Правительство создает государственную систему управления согласиями на обработку персональных данных. Предполагается, что через портал Госуслуг любой человек сможет отозвать данные компаниям согласия. Решение уже поддержал Владимир Путин. К 15 ноября 2022 года правительство подготовит законодательную базу для новой системы.

Как в компаниях изменится работа с согласиями, чем рискует бизнес и как заранее подготовится к нововведению, мы попросили рассказать Артема Дмитриева, управляющего партнера в консалтинговой компании Comply. По количеству просмотров на нашем канале выступление Артема о юридических рисках при работе с персональными данными «Data фраера сгубила» на CDI Conf — одно из рекордных.

Идею создания единой системы по управлению согласиями на обработку персональных данных обсуждали еще в 2020 году в Роскомнадзоре. Участвовали и privacy-эксперты Comply. В конце этого лета Минцифры снова выдвинуло это предложение и Владимир Путин его поддержал. Теперь правительство должно подготовить законодательную базу по созданию такой системы до 15 ноября. Да-да, на проработку регуляторной концепции, весьма сложной и амбициозной, выделено всего два месяца.

Похожие инициативы известны и в других странах — например, в Турции, где действует электронный реестр согласий на маркетинговые коммуникации. В других странах есть так называемые «списки Робинсона». Это стоп-листы, куда не желающие получать рекламные сообщения люди вносят свои данные. Там же они отзывают уже данные согласия.

Но ни одно государство не реализовывало идею в таком масштабе, как предлагают в России.

Зачем государству упрощать отзыв согласий

Как предполагается, каждый гражданин сможет отозвать свои согласия через Госуслуги. Идея соответствует глобальному тренду развития data-регулирования — национализировать данные или связанные с ними процессы, направляя их через принадлежащие государству системы, интерфейсы и посредников.

Управление персональными данными значится в повестке не только у бизнеса, но и у чиновников, которые отлично чувствуют социальный контекст. Поэтому формальная цель проекта — защитить права граждан, обеспечив прозрачность работы с персональными данными и контроль над обработкой личной информации.

Но, кажется, не менее важная цель государства – еще больше контролировать обработку данных бизнесом. Например, Роскомнадзор получит доступ к информации о согласиях, которые собирает бизнес, и о запросах граждан об их отзыве. Например, если компания промедлит с ответом на запрос пользователя, то у последнего будет возможность сразу же пожаловаться на эту компанию в Роскомнадзор.

Какую пользу может получить бизнес

Бизнес-сообщество добивается, чтобы новая платформа была добровольной, и компании сохранили возможность разрабатывать и использовать собственные системы управления согласиями. Или, как минимум, вывести за рамки новых требований отдельные стримы обработки персональных данных. Например, обработку персданных для заключения и исполнения договора.

Логично предположить, что бизнес, который добровольно зайдет на новую платформу, мог бы рассчитывать за это на преимущества для себя. Например, государство учитывало бы это, составляя план проверок Роскомнадзора и определяя размеры штрафов. Или разрешало бизнесу использовать для обработки данных клиентов не только согласия, но и законный интерес. Например, для аналитики.

Для малого и среднего бизнеса дополнительная функциональность портала Госуслуг кажется действительно полезной. Насколько новая система решает задачи крупного клиентоцентричного бизнеса — пока вопрос.

Что изменится в работе с согласиями компаний

Создание платформы для управления согласиями на Госуслугах может привести к глобальной перестройке моделей управления согласиями в компаниях.

Предполагаем, что новая платформа будет похожа на «единое окно», через которое люди будут отзывать согласия и отправлять компания запросы. Тогда компании должны регулярно загружать на Госуслуги реестры активных согласий с учетом их атрибутов — например, целями и сроками обработки, объемом данных. И уметь принимать сообщения от пользователей Госуслуг об отзыве согласий или запросе дополнительной информации.

Важно, что согласия будут учитываться и отзываться в привязке к номеру телефона. То есть дизайн планируемого функционала Госуслуг не предусматривает работу с другими идентификационными данными. Не потребуется ни паспорт человека, ни емейл.

Такой функционал очевидно потребует определенной подготовки на стороне компаний:

  • Разработать и согласовать модели обмена информацией с порталом.
  • Определить технические протоколы взаимодействия.
  • Составить реестр согласий и их атрибутов.
  • Уметь контролировать статус согласий каждого клиента.

Как подготовиться

Сейчас большое число компаний собирает согласия в бумажном виде и не оцифровывает их. Или вообще никак не отслеживает. Очевидно, что компаниям придется внедрять систему управления согласиями.

Уже сейчас компаниям полезно:

  • Запустить процессы сбора и управления согласиями на обработку данных, включая логирование и раздельный учет разных типов оснований, контроль версионности текстов согласий, привязку собранных согласий к конкретным дата-сетам. Запускать эти процессы позже будет сложнее и дороже. Подробнее мы рассказали об этом в нашем выступлении на CDI Conf.
  • Убедиться, что цели обработки данных в согласиях соответствуют сведениям в реестре операторов Роскомнадзора. И обновить информацию в реестре. Иначе Роскомнадзор легко выявит нарушения, сверив данные в каталоге согласий, предоставляемом для портала и в реестре.
  • Внедрить процесс реагирования на запросы субъектов персональных данных. Создать регламент и провести тренинги для каждого из возможных каналов коммуникаций, SLA. Напоминаем, что сроки ответа на запросы субъектов персональных данных недавно критично сократились. Теперь на это есть 10 рабочих дней место прежних тридцати календарных.

Когда появится государственная платформа по управлению согласиями

Не похоже, что государство создаст новую систему в ближайшее время. И, скорее всего, на начальном этапе подключаться к ней будет необязательно. Возможно, государство запустит пилот с такими крупными игроками как банки и телеком-операторы и только потом обратится к среднему и малому бизнесу.

Если остались вопросы, пишите мне
artem.dmitriev@comply.ru
+7 (961) 806-2776
t.me/artydmitriev

Подписывайтесь на канал Comply в «Телеграм», чтобы следить за нашими мероприятиями и новостями.