Владимир Путин вернул россиянам персональные данные
Президент РФ Владимир Путин поручил проработать возможность давать и отзывать согласие на обработку персональных данных (ПДн) через единый портал госуслуг ("Госуслуги", ЕПГУ). Мера должна быть проработана до 15 ноября 2022 г. Эксперты считают, что право на отзыв персональных данных - важная гарантия для их владельца, однако бизнесу это добавит сложностей, ведь в случае отзыва обработку данных нужно будет прекратить.
По итогам состоявшегося 31 августа совещания с членами правительства глава государства поручил правительству представить предложения по внесению в законодательство изменений, направленных на расширение функционала единого портала государственных и муниципальных услуг. В результате правительству нужно обеспечить возможность реализации пилотного проекта по идентификации личности граждан в определенных жизненных ситуациях с помощью использования мобильного приложения. Также необходимо обеспечить возможность размещения на ЕПГУ перечня согласий на обработку ПДн, которые даны гражданами органам и организациям, в том числе при получении государственных, муниципальных и коммерческих услуг, и предоставить гражданам возможность давать согласие на обработку ПДн и отзывать такое согласие с использованием "Госуслуг".
Руководитель отдела ИТ группы компаний "Рексофт" Евгений Черток считает, что это отличная мера, впрямую направленная на "обеление" рынка персональных данных. "В этой области нет никакого контроля. Если мы не ставим галочку в конце документа о разрешении обрабатывать данные, то просто не можем получить услугу. Таким образом у граждан нет возможности управлять разрешениями на передачу данных, централизовано обновлять их, отзывать по окончании отношений с компанией, получившей к ним доступ. Будет особенно хорошо, если непосредственно на портале появится интерфейс для подачи жалоб на незаконное использование ПДн", - говорит Евгений Черток. По его словам, по факту поручения может быть создан инструмент, благодаря которому граждане смогут контролировать выданные разрешения, видеть список организаций, обновлять ПДн из единого места, отзывать разрешения. "Я в этом вижу только плюсы и горячо поддерживаю. Естественно, что замысел будет работать только при существовании действенной процедуры ответственности за неправомерное использование ПДн или их использование после отзыва разрешения. Но также встает серьезный вопрос защиты такого хранилища. Ведь мы говорим о чувствительной персональной информации. Взломав такой периметр, злоумышленники получают доступ к огромному массиву данных всех граждан", - рассуждает он.
Основатель KIP LegalTech, член Комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций, член Ассоциации юристов России Павел Катков отмечает, что право на отзыв персональных данных - важная гарантия для их владельца, однако бизнесу это добавит сложностей, ведь в случае отзыва обработку данных нужно будет прекратить. "При разовом отзыве одним гражданином это можно относительно легко решить, а что если они будут массовыми? В любом случае, бизнесу, использующему ПДн, нужно планировать, как реагировать на эту новеллу, советоваться с юристами и заблаговременно разрабатывать правовые методы обеспечения исполнения механизмов, которые будут введены по результатам исполнения поручения главы государства", - считает юрист.
Директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов отмечает, что в перечне поручений говорится не о "передаче персональных данных", а о "выдаче/отзыве согласия на обработку персональных данных". "Обработка ПДн интернет-порталами фактически находится вне правового поля. На обработку ПДн в большинстве случаев требуется информированное согласие граждан, а широко использующиеся интернет-сайтами опции "поставив галочку, я даю согласие..." не имеют ничего общего с теми согласиями, которые требует закон. Это создает риски и для субъекта ПДн, и для оператора", - считает он. По его словам, у субъектов персональных данных другая сложность: дав согласие, его уже технически невозможно отозвать - или интернет-сайты не предлагают такую опцию, или у субъекта персональных данных нет уверенности, что они как-то среагируют на отзыв согласия. "Госуслуги" в качестве интерфейса между субъектом персональных данных и интернет-порталами теоретически способны решить обе эти проблемы. Так, "Госуслуги" способны подтвердить оператору факт согласия субъекта - причем оставляя возможность для субъекта остаться для интернет-портала анонимным. С другой стороны, у пользователя "Госуслуг" остается перечень действующих согласий, возможность отозвать любое из них и вообще задуматься "а стоило ли раздавать персональные данные такому количеству неизвестных, и возможно недобросовестных, юридических лиц", - объясняет Дмитрий Кузнецов.
Директор по консалтингу ГК InfoWatch Ирина Зиновкина считает, что плюс инициативы в том, что на данный момент возможность отзыва согласия не очень понятна и прозрачна, а в случае реализации ее на портале "Госуслуг" она станет более легкодоступной. "Потенциальные минусы будут понятны, когда станет понятен механизм реализации. Влияние на рынок, возможно, будет выражаться в более строгом механизме дачи и отзыва согласий - потребители услуг смогут сделать это быстрее, чем в данный момент, вследствие чего будут чаще отзывать согласия на обработку персональных данных", - отмечает он.
Старший консультант центра компетенций по информационной безопасности "Т1 Интеграция" Роман Романов отмечает, что новый функционал даст гражданам средство идентификации личности в определенных жизненных ситуациях посредством использования мобильного приложения, а также инструмент для централизованного контроля распространения выданных согласий на обработку ПДн. "Из плюсов для граждан, помимо удобства в вопросах выдачи и отзыва согласия, стоит выделить дополнительное привлечение внимания людей к вопросам цифровой гигиены. Видя картину выданных согласий на обработку ПДн, граждане станут чаще вспоминать о необходимости их последующего отзыва. В зависимости от реализации данного поручения, предоставление подобной услуги может обернуться дополнительной нагрузкой на операторов ПДн", - предполагает Роман Романов.
Руководитель департамента цифровых решений агентства "Полилог", разработчик BPM-платформы Polycode Людмила Богатырева отмечает, что граждане чуть ли не ежедневно предоставляют ПДн различным государственным и коммерческим компаниям: при получении госуслуг, подключении программ лояльности, покупке турпродуктов, в медицинских клиниках и т.д. "Нововведение позволит управлять доступом к данным и контролировать их использование. Это безусловно даст гражданам чувство безопасности. Например, при желании гражданин мог бы отозвать своё согласие на обработку персональных данных у компаний, которые ушли из России", - отмечает она. По ее словам, пока не до конца понятно, как будет выглядеть такой реестр согласий и каким будет порядок его наполнения. "Будут ли в него попадать согласия, полученные на бумаге? Или в него войдут только согласия через сайты, которые имеют возможность авторизации через "Госуслуги". Хочу отметить, что уже сейчас гражданин может проверить все согласия, которые он давал на ресурсах с авторизацией через аккаунт на "Госуслугах". Это можно посмотреть в профиле, в разделе "Согласия и доверенности". Мне кажется, что нововведение, скорее всего, затронет вопрос расширения использования ЕСИА - аккаунтов на "Госуслугах" - на всех ресурсах, которые собирают от пользователей согласие на обработку персональных данных. При таком сценарии бизнесу придется дорабатывать сайты и интегрировать их с ЕСИА. Минцифры в ближайшее время прояснит свое видение реестра согласий, возможно, оно будет принципиально иным", - предполагает Людмила Богатырева. По ее мнению, для государства основное преимущество данного нововведения - это более прозрачный механизм контроля за утечками персональных данных, так как в случае инцидента это позволит сузить перечень контрагентов, по вине которых могла произойти утечка.