Первая редакция законопроекта насторожила многих – из текста следовало, что согласия можно собирать только тогда, когда такая обязанность предусмотрена международным договором или федеральным законом. И таких случаев не так уж и много, конечно же.
Судя по всему, крестовый поход на культ согласий рисковал зайти слишком далеко. Да, этот культ следует искоренять, но не так грубо. Иначе в этой священной войне могли пострадать и вполне себе безобидные процессы обработки. Возможно, именно так и подумал законодатель, и удалил эту норму из новой редакции проекта. И это ключевое изменение для нас по сравнению с первой редакцией.
Это, конечно, не индульгенция на сбор согласий «на вырост». Бизнесу давно пора осваивать иные основания обработки – тот же договор, закон или законный интерес, который на бумаге существует, а на практике все еще крайне редко оживает. Поэтому те многие, кто начал свой путь по замене консентопоборов на что-то иное — пожалуйста, не останавливайтесь.
Что осталось в новой редакции проекта в части ПД-регулирования (см. статью 5 Антифрод-2):
управление согласиями через ЕСИА, включая их предоставление и отзыв [ч. 1(1) и 2(1) ст. 9];
типовые формы согласий будут утверждать РКН и Минцифры, а в финсекторе – еще и с ЦБ [ч. 1(3) ст. 9];
субъекты смогут видеть на Госуслугах информацию об обработке ПД на основании согласий по ч. 7 ст. 14 [ч. 7(1) ст. 14];
субъекты смогут жаловаться в РКН на оператора через Госуслуги, но только после получения от него информации по ч. 7(1) ст. 14 [ч. 1(1) ст. 17].
Как можно заметить, Антифрод-2 все больше уводит нас в цифровой контроль, но до бана согласий не дошло... еще пока. Однако их активное использование все равно будет сильно урезано. Ведь работа с ними станет куда более наглядной и подконтрольной как субъектам, так и РКН.
Да и вообще, бизнесу будет непросто. Ведь новые механизмы управления согласиями потребуют адаптации всех каналов сбора – как онлайн, так и офлайн. А с последним пока совсем не ясно, как именно это реализовать. Наверняка не обойдемся тут без Цифрового ID из МАХ-а. Скоро узнаем, как это будет прописано в Постановлении Правительства. В Постановлении также будут закреплены:
порядок и случаи получения / отзыва согласий через ЕСИА, включая их типовые формы и состав;
порядок и случаи предоставления оператором информации через ЕСИА.
Кроме того, во 2-ю редакцию проекта внесли новое положение о передаче в ЕСИА информации о предоставлении / отзыве и тех согласий, которые получены непосредственно у субъекта вне ЕСИА. Очень интересно, но пока непонятно: а как это будет реализовано технически? Как минимум — не всегда у оператора, собравшего согласие, достаточно ПД, чтобы точно идентифицировать субъекта.
При этом законопроект не предлагает какие-либо санкции за непередачу сведений о согласиях в ЕСИА. Что будет оператору, если он не направит или направит много позднее эти сведения в ЕСИА? Вариантов для этого несколько, но пока не будем гадать.
В любом случае, чтобы разобраться с этими вопросами у нас и чиновников 2+ года. Ибо ожидается, что:
субъекты смогут управлять согласиями через ЕСИА после 1 марта 2028 года,
операторы должны обеспечить передачу сведений о согласиях в ЕСИА не позднее 1 сентября 2028 года.
Бизнес, кажется, может пока выдохнуть, но уже начинать готовить бюджеты, т.к. судя по всему, менять процессы и системы придется масштабно. Граждане же (кому интересно) получат новые инструменты управления, а регулятор, вероятно, доволен новым контрольным инструментом. Или нет? Ведь это, наверное, небесплатная разработка для государства такого функционала ИЭП, а для бизнеса не бесплатная адаптация процессов. Ну да ладно, что мы считаем чужие деньги! Или не чужие? Платить ведь населению…
Просто фиксируем очевидное: согласия живы, но их рассвет уж точно канул. Время новых фаворитов.