28 января прошел Privacy Forum 2026 - конференция о персональных данных в бизнесе, организованная Lukash & Partners.
В мероприятии приняли участие более 20 практикующих специалистов в области персональных данных и информационной безопасности.
Среди экспертов представители ФГУП ГРЧЦ (Роскомнадзор), ДИП г. Москва, Центра биометрических технологий, ТБанка, Сбербанка, Авито, ГК "Гарда", Городисский и партнеры, АЛРУД, RTM GROUP и других крупных российских и международных компаний.
В данной секции руководитель направления персональных данных ФГУП "ГРЧЦ" (Роскомнадзор) Екатерина Ефимова, управляющий партнер Lukash & Partners Денис Лукаш и руководитель направления правовой защиты данных и интеллектуальной собственности ПАО Сбербанк Герман Сабиров, обсудили текущее состояние регулирования персональных данных в России и практические подходы к адаптации бизнеса под изменения законодательства.
Запись секции доступна VKvideo.
Тенденции нормативно-правового регулирования (Екатерина Ефимова, ФГУП ГРЧЦ/Роскомнадзор)
Проблематика текущего состояния
Регулятор выделил ключевые проблемы в сфере обработки персональных данных: избыточный сбор данных операторами, нарушение принципа целеполагания, бесконтрольная передача данных третьим лицам и принудительный сбор согласий. Граждане сталкиваются с невозможностью отследить цепочки передачи своих данных.
Отраслевые стандарты
Основная инициатива регулятора — разработка отраслевых стандартов обработки персональных данных для различных сфер деятельности. Стандарты создаются совместно с операторским сообществом на базе Центра компетенции ГРЧЦ и направлены, в первую очередь, на малый и средний бизнес, у которого нет ресурсов для содержания квалифицированных специалистов. Это не директивы, а четкие инструкции — "дорожные правила" — как организовать работу с персональными данными без избыточных затрат времени и средств. Первые наработки по стандартам для здравоохранения, образования и туризма планируется представить к концу первого квартала 2026 года.
Гармонизация правовых оснований
Регулятор активно продвигает отказ от "культа согласия" и переход к использованию приоритетных правовых оснований. В 80% случаев обработку персональных данных можно покрыть исполнением требований законодательства, договорными обязательствами или пользовательскими соглашениями без получения отдельного согласия. Обновленная ст. 9 Закона о персональных данных требует отделения согласия от других документов только в тех случаях, когда согласие действительно необходимо как правовое основание.
Законный интерес
Совместно с операторским сообществом проводится анализ "жизненных ситуаций", где может применяться законный интерес, однако это правовое основание рекомендуется только для зрелых операторов с развитой privacy-культурой. Применение законного интереса требует тщательного обоснования, проведения оценки рисков для субъектов и готовности доказать правомерность такого выбора регулятору и в суде.
В ходе обсуждения участники затронули применение законного интереса при обработке данных кандидатов и их родственников. Регулятор подчеркнул, что типовые кейсы применения законного интереса формируются по запросу операторского сообщества, но требуют обязательной оценки потенциальных рисков для субъектов и учета требований профильного законодательства. Отраслевые стандарты разрабатываются совместно бизнесом и регулятором, что позволяет учесть специфику деятельности организаций.
Адаптация к изменениям законодательства в области персональных данных (Герман Сабиров, Сбербанк)
Типология изменений законодательства
Изменения в законодательстве классифицируются по степени влияния на деятельность: документарные (изменение политик и форм), операционные (пересмотр процессов) и системные (перестройка архитектуры обработки данных). Критически важна правильная оценка изменений — переоценка приводит к излишним затратам ресурсов, недооценка — к пожару перед вступлением норм в силу.
Риск-ориентированный подход
Для оценки необходимости адаптации спикером предложена методология, учитывающая влияние возможных санкций и вероятность их применения (юридическую и фактическую). Перемножая эти параметры и сравнивая со стоимостью адаптации, бизнес может принять взвешенное решение в рамках здорового риск-ориентированного подхода.
Мониторинг изменений
Рекомендуется использовать комплексный подход к отслеживанию законодательных новелл: подписка на обновления справочных правовых систем, дайджесты от консалтинговых фирм, специализированные privacy-каналы и участие в профессиональном сообществе. Высший уровень подготовки — анализ регуляторных трендов, позволяющий начать адаптацию заранее.
Роль DPO
Ответственный за защиту персональных данных (DPO) должен выступать координатором, а не исполнителем внедрения изменений. DPO разрабатывает план реагирования, взаимодействует с владельцами бизнес-процессов, выявляет риски несоответствия, но решения о доработке процессов и управлению рисками принимают владельцы процессов и руководство.
Типичные проблемы
Основные препятствия к внедрению изменений: бумажная приватность (изменение только документов без реальной корректировки процессов), отсутствие назначенных владельцев процессов, DPO без полномочий, плохая коммуникация с бизнесом и реактивность. Решение — развитие privacy-культуры, автоматизация, четкое разграничение ответственности и применение риск-ориентированного подхода.
Дисклеймер:
Представленные в материале позиции отражают мнения экспертов-участников дискуссии и носят информационно-ознакомительный характер. Данная информация не является юридической консультацией. При принятии решений по вопросам обработки персональных данных рекомендуется учитывать специфику конкретной ситуации и обращаться за профессиональной юридической помощью. Организатор и спикеры не несут ответственности за последствия применения представленных подходов.
