На Евразийском конгрессе по защите данных - 2025 заместитель руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Милош Вагнер рассказал о двух крупных волнах наполнения реестра операторов персональных данных за последние годы: "Если в 2021 г. в реестре было около 700-800 тыс. записей, то сегодня их уже 2,5 млн. Эти записи содержат подробную информацию о том, какие и для чего данные обрабатываются".

Милош Вагнер отметил, что операторов персональных данных можно разделить на три категории: "Первая группа собирает данные по требованию законодательства: для идентификации клиентов, оказания государственных, образовательных, медицинских услуг, учета работников и расчета социальных выплат. Вторая группа собирает данные по собственной инициативе, но в меньшем объеме. Это интернет-магазины, разработчики приложений, кофейни, автосалоны и другие компании. Третья группа - это компании, формирующие цифровую экономику, развивающие технологии больших данных и нейросети. Они собирают наибольшее количество данных, но их доля в общем количестве операторов минимальна".

Милош Вагнер сообщил, что для первой и второй групп Роскомнадзор разработает отраслевые стандарты работы с данными: "Эти стандарты будут включать состав приемлемых данных, правовое регулирование, источники их получения, порядок уничтожения и взаимодействия с субъектами персональных данных. Цель - создать четкие инструкции для тех, кто готов соблюдать закон".

Третья группа требует особого внимания. Милош Вагнер отметил, что им нужно дать больше свободы для принятия решений, какие данные собирать и обрабатывать. В обмен компании должны перестать навязывать пользователям сложные условия договоров и совершать бесконечные звонки.

Милош Вагнер подчеркнул, что идея разработки стандартов получила поддержку Министерства цифрового развития, связи и массовых коммуникаций РФ, Министерства экономического развития РФ, а также профильных федеральных ведомств, отвечающих за образование и здравоохранение.

Руководитель направления персональных данных Главного радиочастотного центра (ГРЧЦ) Екатерина Ефимова отметила, что граждане наблюдают интересную ситуацию в сфере обработки персональных данных: "Большинство компаний в России выстраивают процессы вокруг согласия субъектов на обработку данных. Однако согласие, хотя и является одним из 13 оснований для обработки, стало своеобразным стандартом".

Екатерина Ефимова рассуждает: "Почему другие основания, которые стоят в законе на первом месте, на практике часто игнорируются? Не пора ли нам перейти к более ответственной модели выстраивания правовых оснований?"

Екатерина Ефимова назвала несколько причин, почему граждане попали в ловушку согласия:

1. Иллюзия простоты и безопасности. Для компании это самый простой путь: подготовить форму, реализовать галочку на сайте, и все - формальная защита от претензий со стороны Роскомнадзора и субъектов обеспечена. Правовые и административные риски кажутся минимальными.

2. Подмена ответственности. Ключевой недостаток этой модели - ее хрупкость и неизвестность. В случае отзыва согласия компания легко находит другое основание и продолжает обработку. Это доказывает, что согласие было не необходимым, а лишь прикрытием нежелания анализировать бизнес-процессы.

3. Перекладывание рисков. Получая формальное согласие, компания перекладывает ответственность на человека, включая последствия некомпетентности, утечек данных и беспечности контрагентов. Логика проста: он же сам согласился. Мы предупредили, наше дело было предупредить. Таким образом, мы создали культуру, где принятие решения о согласии ничего не решает для оператора, но возлагает всю ответственность на субъекта.

Основатель ООО "Лекс Инжиниринг" (Privacy Advocates) Алексей Мунтян согласился, что операторы персональных данных не равны, они различаются по возможностям, компетенции, аппетиту к риску и готовности обрабатывать разные категории данных в различных объемах. Он отметил, что все более становится очевидным, что для разных операторов персональных данных могут применяться разные подходы.

Алексей Мунтян напомнил, что за последние пару лет звучало много идей о дифференцированном подходе к операторам персональных данных: "Я считаю, что мы можем пойти по пути не жесткой дифференциации, а более гибкой системы. Если оператор захочет обрабатывать большие объемы данных для специфических целей, к нему будут применяться более строгие требования. Это повысит спрос на его услуги и ответственность".

https://www.comnews.ru/content/240525/2025-08-05/2025-w32/1008/roskomnadzor-oglasil-trebovaniya-k-obezlichivaniyu-personalnykh-dannykh

Взгляд регулятора

Представитель пресс-службы Минцифры сообщил корреспонденту ComNews, что защита персональных данных граждан остается ключевым приоритетом работы министерства: "В действующем законодательстве закреплены принципы обработки персональных данных, а также принципы работы операторов персданных с такой информацией. Они в том числе предусматривают, что обрабатываемые персональные данные не должны быть избыточными. Минцифры также продолжает прорабатывать с заинтересованными ведомствами и отраслью дополнительные механизмы, направленные на минимизацию сбора персональных данных. Отраслевые требования не вошли в обновленную версию второго пакета мер по борьбе с кибермошенничеством. Однако финальной версии документа пока нет".

Книга жалоб и предложений

Ведущий научный сотрудник лаборатории искусственного интеллекта, нейротехнологий и бизнес-аналитики РЭУ им. Г.В. Плеханова Марина Холод положительно оценила текущий вектор развития регулирования в сфере персональных данных, который движется от унифицированных правил к взвешенному, дифференцированному подходу: "Стремительный рост реестра операторов до 2,5 млн записей наглядно демонстрирует, что единые нормы не могут одинаково эффективно регулировать и государственную больницу, и нейросетевой стартап. Предложенное Роскомнадзором разделение на три группы является логичным и своевременным шагом. Для первой группы, работающей в строгих законодательных рамках, важны предсказуемость и детализация. Для второй - упрощение и ясность правил игры. А для третьей, которая формирует цифровую экономику, критически важна гибкость, позволяющая не тушить инновации избыточными бюрократическими барьерами".

"Что касается третьей группы - компаний, работающих с большими данными и искусственным интеллектом, то предложенный обмен "свободы на прозрачность" выглядит разумным. Однако чтобы он работал, необходима не только свобода в сборе данных, но и четкие "зеленые коридоры" для обезличенных данных и их дальнейшего использования. В качестве предложения можно рассмотреть внедрение механизма регуляторных песочниц для тестирования новых бизнес-моделей под контролем регулятора. Это позволит компаниям легально экспериментировать, а Роскомнадзору - формировать адекватную правоприменительную практику, не дожидаясь, когда технологии окончательно уйдут вперед от норм закона. Поддержка инициатив со стороны Минцифры и Минэкономразвития вселяет надежду, что этот баланс будет найден", - считает Марина Холод.

Старший партнер ИТ-интегратора "Энсайн" Алексей Постригайло отметил, что регулирование операторов персональных данных в целом движется в сторону систематизации: "Если раньше компании вносились в реестр для галочки, то теперь это становится рабочим инструментом, который помогает понимать, кто, что и зачем собирает. Но подход действительно должен быть разным для разных категорий операторов. Государственные структуры и компании, работающие по требованию закона, уже живут в жестких рамках. Малый бизнес - интернет-магазины, сервисы, кофейни, напротив, часто просто не знает, как правильно все оформить. А вот компании, работающие с большими данными и искусственным интеллектом, должны иметь немного больше свободы, потому что для них обработка данных - не просто часть процессов, а сама суть продукта".

Руководитель направления консалтинга и аудита информационной безопасности ООО "Стэп Лоджик" (Step Logic) Алена Игнатьева считает, что основное предложение, которое можно внести при разработке отраслевых стандартов по работе с персональными данными, - предусмотреть, чтобы они были гармонизированы и согласованы с существующими нормативными актами и рекомендациями регуляторов: "Это обеспечит единство подходов и предотвратит противоречие законодательных требований. Особое внимание следует уделить новому стандарту Банка России, который находится на финальной стадии разработки и установит принципы защиты персональных данных. Документ заменит ранее действующий ГОСТ 57580.1-2017 и станет обязательным для исполнения всеми организациями финансового сектора. Кроме того, необходимо обеспечить гармонизацию отраслевых стандартов с приказом ФСТЭК №117, который регулирует требования к обеспечению конфиденциальности персональных данных".

Заместитель генерального директора по инновационной деятельности ООО "Серчинформ" Алексей Парфентьев отметил, что верхнеуровневая регуляторика, в частности федеральные законы, проработана в достаточной мере: "Но зачастую не хватает уровня практического - четких требований, методологий, рекомендаций или отобранных практик по защите информации. В последнем наиболее заинтересованы небольшие компании - операторы персданных, испытывающие недостаток компетенций в информационной безопасности и плохо ориентирующиеся в хитросплетениях приказов регуляторов. Им требуются конкретные прикладные меры по инфобезу. С подобной инициативой по созданию лучших практик по защите данных выступала Ассоциация больших данных. Но подобные документы носят скорее информативный характер, и необходимы дополнительные ресурсы, чтобы популяризировать инициативы для широкого круга малого и среднего предпринимательства".

https://www.comnews.ru/content/239753/2025-06-19/2025-w25/1008/associaciya-bolshikh-dannykh-vystupila-za-kompromiss-pravitelstvom

Консультант по информационной безопасности ООО "Актив-Консалтинг" Анастасия Калиничева считает, что внесение предложений в разрабатываемые регуляторами стандарты требует глубокой проработки в рамках технических комитетов либо специально создаваемых рабочих групп, к которым, на ее взгляд, охотно бы присоединились представители подназдорных организаций, а также представители компаний, оказывающих услуги в сфере персональных данных.

Анастасия Калиничева отметила, что некоторые крупные отраслевые представители уже успели озаботиться созданием внутригрупповых стандартов, поэтому было бы полезно учесть их мнение при разработке отраслевых стандартов: "Так, например, компании из финансовой сферы уже внедрили внутренние стандарты обработки и защиты персональных данных. Эти документы включают как требования федеральных и отраслевых законодательных актов, так и специально разработанные инструменты для самооценки соответствия требованиям защиты персональных данных. Это хорошая практика, которая помогает операторам свести к минимуму комплаенс-риски и привести в порядок процессы обработки и защиты данных".

https://www.comnews.ru/content/234726/2024-08-14/2024-w33/1007/roskomnadzor-nazval-kriterii-dlya-vozmozhnykh-upolnomochennykh-operatorov-personalnykh-dannykh