Чем для бизнеса обернутся новые требования к работе с персональными данными?

Российское Минцифры и представило новую версию второго пакета «антифрод-поправок», направленных на борьбу с онлайн-мошенничеством. В новосибирском Адвокатском бюро «Гребнева и партнёры» рассказали, к каким последствиям для бизнеса это приведет и что стоит сделать в ближайшее время.

Согласно проекту, компании больше не обязаны будут передавать в Единую систему идентификации и аутентификации (ЕСИА) все согласия на обработку персональных данных. Передача потребуется только по перечню, который будет установлен в подзаконных актах. При этом требования к безопасности обработки данных — в частности, их хранение на территории России — сохраняются без изменений.

По словам юриста корпоративной практики Адвокатского бюро «Гребнева и партнёры» Софьи Серовой, поправки призваны снизить административную нагрузку на бизнес и уточнить порядок взаимодействия с государственными информационными системами. По мнению эксперта, новый порядок упростит операционные процессы, но одновременно усилит требования к информационной безопасности и внутреннему контролю.

Среди мер подготовки к изменениям, которые должны вступить в силу с 2028 года, новосибирские юристы выделяют 3 основных направления: во-первых, компаниям стоит провести аудит процессов обработки персональных данных и выяснить, не происходит ли избыточного сбора информации. Во-вторых, не лишним будет оценить техническую готовность к интеграции с ЕСИА — подключение к платформе потребует соответствия требованиям по
криптозащите, контролю доступа и информационной безопасности, что может привести к дополнительным расходам.

Предпринимателям также рекомендуют систематизировать документирование процедур: следует фиксировать получение, передачу и отзыв согласий, а также цели обработки данных. Такая практика позволит подтвердить соблюдение законодательства при проверках.