В Государственной Думе рассматривается Законопроект № 992331-7. Пожалуй, самый ожидаемый документ в сфере персональных данных, поскольку предлагаемые изменения в 152-ФЗ призваны уменьшить количество болевых точек как у операторов, так и консультантов в сфере защиты информации.
Наиболее важным нововведением является новый подход к содержанию согласия субъекта в письменном виде. В частности, цель обработки теперь может быть не одна, а несколько. Законодатель предлагает устранить недочёт формулировки п. 4 ч. 4 ст. 9 ФЗ «О персональных данных», который создавал неудобства для операторов, обрабатывающих специальные категории данных, биометрию или осуществляющих трансграничную передачу на территорию стран, не обеспечивающих адекватную защиту. Теперь в одном согласии можно предусмотреть несколько целей, но с обязательным указанием следующих сведений: (1) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, (2) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, (3) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, (4) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва.
Ещё одним немаловажным пунктом Законопроекта является множественность обработчиков: иными словами, появится возможность указать в согласии несколько лиц, осуществляющих обработку персональных данных по поручению оператора. Сейчас закон содержит положение только об одном обработчике в документе.
Для наглядности можно представить структуру согласия в письменном виде следующим образом:
Необходимо отметить, что на прошедшем 26 ноября 2020 года семинаре1 Роскомнадзор уже высказал позицию по поводу множественности целей в согласии и отметил, что такое указание допускается в случаях, если не происходит обработки биометрии, данных специальных категорий, если не осуществляется трансграничная передача на территории стран, не обеспечивающих адекватную защиту. Таким образом, в случае принятия Законопроекта № 992331-7, а также при соблюдении дополнительных требований, можно будет предусмотреть перечень целей для любых категорий персональных данных, а также поручить их обработку нескольким лицам.