Роскомнадзор создаёт отраслевые стандарты для работы с персональными данными

На «Евразийском конгрессе по защите данных 2025» заместитель руководителя Роскомнадзора Милош Вагнер заявил о начале разработки отраслевых стандартов в сфере обработки персональной информации. Нововведение направлено на формирование единых и понятных правил для организаций, которые работают с данными граждан и стремятся соблюдать законодательные требования.

По словам Милоша Вагнера, число операторов, зарегистрированных в официальном Реестре, за 3 года выросло почти в 4 раза. Если в 2022 году в нём числилось около 700 000 компаний и ИП, то сейчас в реестре — более 2,5 млн записей. Каждая из них содержит подробную информацию о том, какие именно категории данных обрабатываются, для каких целей, в каких объёмах и на каком правовом основании.

В ответ на такую динамику регулятор решил предложить бизнесу стандартизированные подходы к работе с персональной информацией. Ожидается, что в будущие стандарты войдут:

• перечень допустимых для сбора категорий данных;
• максимально допустимый объём таких данных;
• список допустимых оснований для обработки;
• возможные источники получения информации;
• требования к порядку уничтожения данных;
• рекомендации по взаимодействию с субъектами данных.

Милош Вагнер отметил, что новые стандарты будут встроены в правовое поле, соответствовать действующему законодательству и учитывать как интересы бизнеса, так и права граждан. По его словам, документ станет своего рода «пошаговой инструкцией» для компаний, которые намерены работать в правовом поле и минимизировать регуляторные риски.

Инициатива уже получила концептуальную поддержку в Министерстве цифрового развития, Министерстве экономического развития и других федеральных органах власти. Разработка и внедрение стандартов будут вестись с учётом отраслевой специфики и актуальных вызовов в сфере цифровизации.

Иван Василенко, Руководитель клиентской стратегии HiveTrace, заявил CISOCLUB: «Подход к работе с персданным претерпевает колоссальные изменения с развитием технологий искусственного интеллекта, и вопрос сохранения персданных в новых условиях будет становиться все более актуальным. Мы видим растущий интерес к этой теме со стороны компаний всех масштабов, от госкорпораций до технологических стартапов. Клиенты всё чаще спрашивают, как контролировать работу ИИ-систем, чтобы исключить утечки или несанкционированное использование персональных данных. Мы с большим вниманием следим за инициативами Роскомнадзора и надеемся, что в новых отраслевых стандартах будет уделено особое внимание именно вопросам безопасности искусственного интеллекта – чтобы этот процесс стал максимально прозрачным и предсказуемым для бизнеса».

Алексей Захаров, директор по технологическому консалтингу Axiom JDK: «Предложенная инициатива по стандартизации работы с персональными данными является своевременной и полезной с практической точки зрения для бизнеса и субъектов персданных, особенно в условиях постоянно ужесточающегося российского законодательства в области защиты персданных. Она напрямую отвечает на ключевые вызовы, с которыми сегодня сталкиваются компании в России.

Инициатива систематизирует и разъясняет существующие требования. Ее ценность заключается в создании конкретного инструмента и четкого регламента сопровождающегося инструкциями, что позволит российским компаниям создать надежную основу для снижения рисков, связанных с обработкой персональных данных».

Виктор Чащин, директор по стратегическому развитию МУЛЬТИФАКТОР: «Так как тема ПДн (персональных данных) постоянно обновляется, а законодательство регулярно меняется, компаниям необходимы чёткие и подробные инструкции по правильной обработке персональных данных и тем ситуациями, которые возникают в процессе работы с этими данными.

Поэтому данная инициатива получила такой горячий отклик и скорее всего будет внедрена в ближайшее время.

Хотелось бы, чтобы её проработкой занялись эксперты не только в области защиты персональных данных, но и представители бизнеса разных размеров».

Алина Ледяева, эксперт компании StopPhish: «Новые стандарты внесут ясность в работу с персональными данными. Четкие правила по сбору, хранению и уничтожению информации помогут компаниям снизить риски нарушений и при этом сохранить защиту прав граждан.

Но даже самые строгие стандарты не спасут от утечек, если в компании отсутствует культура безопасности. 88% атак в 2025 году начинаются с писем — переход по фишинговой ссылке, открытие сомнительного файла или передача данных посторонним лицам. Поэтому стандарты должны работать вместе с осознанностью сотрудников. Только так компании смогут не просто защищать данные, но и соблюдать требования закона».

Елизавета Кузина, юрист компании Кейс Групп: «Инициатива Роскомнадзора по разработке стандартизированного подхода к работе с персональными данными закрывает важнейший пробел в правоприменении. Бизнесу, особенно среднему и малому, критически не хватает конкретики, и предложенные стандарты призваны восполнить этот пробел. Особую практическую ценность, несут пункты, касающиеся определения максимально допустимого объема данных для обработки и четкого перечня допустимых для сбора категорий данных. Именно эти понятия часто становятся предметом споров и зоной риска при проверках. Их стандартизация позволит компаниям наконец-то перейти от интуитивного понимания «соразмерности» к конкретным и легитимным бизнес-процессам».

Буч Диана Юрьевна, Юрист ООО «Кейс Групп»: «Инициатива Роскомнадзора по разработке отраслевых стандартов — своевременный и важный шаг на пути к правовой определённости. Особого внимания, заслуживает аспект «законного интереса» как основания для обработки данных. На практике это наиболее гибкое, а потому и наиболее рискованное для бизнеса основание. Его размытое толкование часто приводит либо к избыточному сбору данных «на всякий случай», либо, наоборот, к правовому параличу, когда компании боятся его использовать. Создание стандартизированных подходов, которые четко очертят границы и условия применения законного интереса в разных отраслях, — это именно то, чего ждет бизнес.

Такой документ действительно может стать «пошаговой инструкцией», которая снимет излишнюю регуляторную нагрузку и позволит компаниям легитимно развивать свои сервисы, не нарушая права граждан.