В 2021 году был принят закон «О защите персональных данных», который имеет преимущественно предупредительную направленность. Его цель – найти баланс между сбором и использованием информации для экономических и иных общественных нужд и правом человека на приватность в цифровую эпоху.

При подготовке закона был проведен глубокий анализ национальной и зарубежной правоприменительной практики в этой области. Мониторинги осуществляли Национальный центр защиты персональных данных и Национальный центр законодательства и правовой информации при участии более 60 государственных органов и бизнес-ассоциаций. Анализ показал, что проблемы в правоприменении не носят системного характера, поэтому планируемые поправки будут скорее уточняющими.

Один из ключевых вопросов для доработки – разграничение правовых оснований обработки данных. Сейчас она проводится либо на основании закона, либо с согласия субъекта данных. Требуется более четко определить, когда применяется каждое из этих оснований.

«Бытует мнение, что закон о защите персональных данных – это закон о согласии. Но это совсем не так. Если бы мы давали согласие на каждое действие, все бы просто утонули в этом процессе. Согласие не имеет смысла давать, когда у человека нет реального выбора при решении тех или иных вопросов. Иногда при осуществлении, например, административных процедур одновременно с заявлением отдельные структуры требовали согласия. Но человек не может влиять на процесс, иначе процедура просто не будет оказана. Поэтому такие ситуации требуют разграничения. Выполнение публично-правовых функций государственных органов просто не предполагает получения согласия», – сказал Андрей Гаев.

Также планируется урегулировать обработку персональных данных при видеонаблюдении и аудиозаписи. В частности, предполагается разрешить обработку без согласия в работе колл-центров. Учитывая широкое распространение технических средств фиксации и рост числа связанных с ними жалоб, в законопроект будет включен ряд запретительных мер. Запрет коснется видеосъемки в ситуациях, касающихся личной сферы человека, когда цели обработки данных могут быть достигнуты иными способами. Будет закреплен принцип разумной минимизации: фиксировать следует только необходимую информацию, избегая попадания в кадр посторонних лиц и объектов.

Отдельное внимание уделяется вопросам обработки данных с применением технологий искусственного интеллекта, которые, решая множество позитивных задач, одновременно создают серьезные риски для приватности. Распространение дипфейков и цифровых атак требует правового реагирования, что также найдет отражение в законопроекте.

Кроме того, планируется уточнить перечень случаев обработки персональных данных без согласия. Это может коснуться:

• обработки сведений о кандидатах на трудоустройство (сейчас для этого требуется согласие);
• создания новостного контента организациями любой формы собственности;
• обработки данных при заключении договоров в пользу третьих лиц.

Для субъектов малого бизнеса, обрабатывающих незначительные объемы данных, планируется разрешить привлечение аутсорсеров, если это будет предусмотрено отраслевым законодательством. Также для холдинговых структур рассматривается возможность централизованной организации защиты персональных данных на базе управляющих компаний.

Как подчеркнул Андрей Гаев, ужесточения правил обработки персональных данных не предвидится. Вместе с тем, в современном цифровом мире их защита – это не просто техническая задача, а фундаментальный элемент национальной и личной безопасности, а также конкурентоспособности бизнеса. В стране предпринимаются системные шаги для укрепления правовой и цифровой зрелости. Согласованные действия граждан, организаций и государства, направленные навстречу друг другу, способствуют повышению уровня защиты личной информации.

Ожидается, что законопроект будет внесен на рассмотрение в Совет министров в августе 2026 года.

Фото: pixabay, используется для иллюстрации