В РКН предлагают отказаться от концепции согласий на обработку персональных данных и перейти к единым отраслевым стандартам сбора информации о пользователях. Эксперты отмечают, что при этом важно пересмотреть правила сбора «формальных» согласий.

Глава Роскомнадзора Андрей Липов отметил необходимость пересмотреть механизм работы бизнеса с согласиями на обработку персональных данных россиян. «Механизм согласий был эффективен на заре появления закона об обработке персональных данных. Мы приходили в компанию, она предлагала нам подписать согласие на обработку данных. И сегодня мало кто помнит, где какие согласия давал. А главное, если у нас с вами возникнут какие-то сомнения по поводу того, насколько эти согласия мы правомерно дали или у нас правомерно взяли, обычным гражданам это крайне сложно отыграть назад», – рассказал Липов.

В ведомстве предлагают заменить эту систему едиными стандартами, которые создадут прозрачные правила обработки персональных данных пользователей.

В Ассоциации больших данных (АБД) поясняют, что для стандартизации согласия нужно стандартизировать процессы всех компаний, что невозможно, так как обработка персональных данных – это всегда надстройка над реальными бизнес-процессами и она не существует отдельно.

«На наш взгляд, для решения проблемы с избыточным сбором согласий важно дать бизнесу более разнообразную палитру правовых оснований, включая законный интерес. Существенная часть действительно формальных согласий уйдет, когда будут работать другие основания», – отмечают в АБД.

Кроме этого, добавляют в АБД, важно установить баланс между законными правами, интересами работников и работодателей и сократить сбор лишних, чаще всего «неинформированных», но по существу неизбежных в рамках трудовых отношений согласий на обработку персональных данных.

Алексей Коробченко, начальник отдела по информационной безопасности компании «Код Безопасности», отмечает, что многое зависит от того, насколько глубоко будут проработаны отраслевые стандарты, поскольку всегда есть риск сохранения «серых зон». Это позволит компаниям находить лазейки, и, как следствие, у пользователей будет меньше возможностей контролировать свои персональные данные.

«Сам по себе отказ от формальных согласий не гарантирует ни роста, ни сокращения объема обрабатываемых персональных данных. Итог зависит от содержания отраслевых стандартов. Если стандарты четко закрепят минимально необходимый состав данных, цели и ограниченные сроки хранения, это может снизить «сверхсбор» и улучшит управляемость обработки», – говорит руководитель группы по обеспечению информационной безопасности облачной платформы K2 Cloud Александр Лугов.

Он поясняет, если же стандарты окажутся расплывчатыми, то возрастут риски избыточного сбора и длительного хранения, что косвенно может увеличить вероятность компрометации. Требования к защите персональных данных продолжают действовать вне зависимости от механизма согласий.

Также Андрей Липов рассказал о снижении числа утечек персональных данных в России. По его словам, в 2024 году было зафиксировано 135 фактов утечек, 710 млн записей. В 2025 году по сегодняшний день – 103 факта, 50 млн записей.