В начале 2026 года планируется рассмотрение Госдумой антифрод-поправок, инициированых Минцифры. Предполагается, что в случае принятия часть из них вступит в силу с 1 сентября 2026 года (гражданам дадут право предоставления и отзыва согласий на обработку персональных данных через «Госуслуги»), а часть – с 1 марта 2028 года (операторов обяжут передавать согласия в ЕСИА). И хотя порядок работы с персональными данными изменится только через несколько месяцев, бизнесу готовиться к новым правилам стоит уже сейчас. О том, какие меры необходимо предпринять в ближайшие месяцы, юрист-консультант по защите персональных данных компании «Б-152» София Триандафилова рассказала Biz360.ru.
София Триандафилова – юрист-консультант по защите персональных данных компании «Б-152». Получила высшее юридическое образование в СПбГУ. Зона ответственности Софии Триандафиловой в компании «Б-152» – консалтинг клиентов по вопросам законодательства в области персональных данных.
Если пакет антифрод-поправок, предложенных Министерством цифрового развития, будет принят, то компаниям предстоит пересмотреть и обновить следующие документы:
- политику обработки персональных данных;
- формы согласий;
- различные регламенты и инструкции (например, инструкцию ответственного лица или порядок уничтожения данных).
Документов много, их проработка требует времени, а также участия сотрудников юридического отдела при активной поддержке IT-специалистов. Чтобы распределить нагрузку на сотрудников и избежать хаоса, готовить свежие версии документов нужно постепенно, начиная уже в ближайшее время.
В приоритете обновление тех регламентов, которые напрямую влияют на взаимодействие бизнеса с Единой системой идентификации и аутентификации (ЕСИА). Для минимизации рисков стоит составить детальный план работ с документацией, установить сроки, контрольные точки и назначить ответственных.
Пока персонал компании не будет обучен новым правилам, нужно быть готовыми к возможным временным сбоям в операционной деятельности.
Предложенный регламент взаимодействия с ЕСИА предполагает использование СКЗИ (средств криптографической защиты информации). Так называются программные и программно-аппаратные решения, которые обеспечивают шифрование, контроль целостности данных и защиту каналов передачи. Если ранее криптографическая защита не использовалась в компании, то её внедрение станет большим проектом.
Потребуется определить зоны, где необходима криптографическая защита, выбрать сертифицированный продукт, интегрировать его в имеющуюся инфраструктуру, настроить процессы генерации и ротации ключей, подготовить эксплуатационную документацию и обучить сотрудников. После ввода в эксплуатацию компании должны соблюдать регуляторные требования: вести журналы, поддерживать сертифицированные версии и уведомлять Роскомнадзор об использовании СКЗИ.
Довольно много компаний ранее не имели дело с такими инструментами. Им нужно их внедрить и обновить уведомления в Роскомнадзор. Скорее всего, возникнет эффект волны, когда регулятор в один момент получит огромное количество документов, и сроки рассмотрения могут быть затянуты.
Поскольку контроль использования СКЗИ находится в ведении ФСБ России, появится дополнительный контролирующий орган в сфере обработки информации. Это означает более жёсткий надзор, а вместе с ним риск проверок и штрафов при несоответствии требованиям.
Кроме того, операционная деятельность может временно замедлиться из-за адаптации к очередным техническим регламентам при взаимодействии с государственными структурами. Поэтому есть смысл уже в 2025 году оценить текущее состояние системы информационной безопасности вашей компании и составить план внедрения СКЗИ с указанием бюджета, сроков и поставщиков.
Компании понесут прямые затраты на закупку и интеграцию софта, расходы на его сертификацию, обучение сотрудников. Новые антифрод-требования обойдутся бизнесу минимум в 0,5-3 миллиона рублей.
Но игнорирование требований может стоить дороже, так как законом предусматриваются штрафы до 18 миллионов рублей. Кроме того, компании будут обязаны возмещать клиентам причинённый ущерб из-за утечки данных, когда, к примеру, у мошенников появилась возможность оформить микрозаймы. Выгоднее сразу вложиться в соответствие всем требованиям, чем потом покрывать многомиллионные убытки.
В обновлённой редакции проекта появилось положение о том, что передавать согласия на обработку персональных данных в ЕСИА нужно будет не всегда, а только в определённых случаях.
С одной стороны, это упрощение для операторов по сравнению с первой редакцией проекта. С другой – необходима корректировка внутренних процедур с точки зрения «сортировки» согласий. Конечно, чем меньше данных, тем меньше работы. Но правильная классификация должна выполняться постоянно, что усложняет задачу.
Компаниям нужно разработать регламент и определить, какие данные нужно подгружать в ЕСИА, а какие нет. Самый простой способ – внедрить метки в CRM или реестре согласий, но нужно обучить сотрудников новым принципам работы, а для снижения ошибок – по возможности автоматизировать сортировку.
Ранее собранные согласия тоже придётся загружать в ЕСИА, а, значит, у бизнеса возникнут дополнительные издержки и риски из-за повышения прозрачности. Если в базе будет согласие пользователя, который ранее обращался к оператору за его отзывом, он может задаться вопросом – продолжает ли оператор обрабатывать его персональные данные? И тут может быть два сценария:
-
оператор подтвердит, что данные не обрабатываются;
-
окажется, что всё-таки обработка продолжается, потому что оператор не уничтожил данные. То есть допустил неправомерную обработку данных.
Сейчас имеет смысл провести инвентаризацию существующих согласий: источник, дату, текст согласия, отзыв. Оцените объём работ для загрузки и риски – например, кто и почему может пожаловаться. Подготовьте схемы коммуникации для пользователей и процесс обработки запросов, чтобы ни одно обращение не осталось без ответа.
Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал и страницу в «ВКонтакте».
