Получение согласия на обработку персональных данных в электронной форме -->

Получение согласия на обработку персональных данных в электронной форме

Можно ли получать согласие на обработку персональных данных в электронном виде или нужно только в письменном?
Предусмотрен и электронный вариант согласия.
Законно ли получение согласия посредством СМС или электронной почты?
Да, законно.
Нужно ли оператору предоставлять субъекту персональных данных какую-либо информацию перед получением согласия на обработку его персональных данных?
Да, нужно. Подробнее об этом пишется в п. 5 ст. 5 Закона о персональных данных.

Шафеев Кирилл

Ассоциированный партнер, руководитель направления «Privacy & Data Protection» юридической компании «Юкон»

1493 Shape 1 copy 6Created with Avocode.

Согласие является популярным правовым основанием обработки персональных данных, выбираемым операторами* для обеспечения законности обработки. Однако если ранее была предусмотрена только письменная форма согласия, то сейчас оно может быть получено и в электронной форме.

*   Напомним, что согласно абз. 8 ст. 1 Закона Республики Беларусь от 07.05.2021 № 99­З «О защите персональных данных» (далее — Закон о ПД) оператор — это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в т. ч. индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.

Рассмотрим предусмотренные белорусским законодательством формы получения согласия на обработку персональных данных, а также наиболее используемые способы получения согласия в электронном виде.

Формы получения согласия

Законодатель предусматривает различные формы получения согласия, которые оператор может использовать, исходя из внутренних организационных процессов. Пунктом 2 ст. 5 Закона о ПД установлены три формы получения согласия.

Письменная форма согласия

Наиболее надежная и наименее удобная форма, которая в силу проработанности в белорусской правовой школе не нуждается в дополнительном толковании.

Согласие в виде электронного документа

Несмотря на достаточно высокий уровень обеспечения целостности и подлинности согласия в виде электронного документа, такая форма получения согласия сопряжена и для субъекта персональных данных*, и для оператора с определенными неудобствами в части надлежащего обеспечения данной процедуры.

*   Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных (абз. 13 ст. 1 Закона о ПД).

Во-первых, для подписания документа субъект персональных данных должен обладать электронной цифровой подписью (далее — ЭЦП), которую получают в соответствии с отдельной процедурой и на платной основе.

Во-вторых, оператор должен иметь определенное программное обеспечение, позволяющее распознавать ЭЦП конкретных физических лиц для проверки целостности и подлинности документов. В случае же получения согласия в виде электронного документа в рамках ­какой-либо информационной системы оператора такое программное обеспечение необходимо интегрировать в информационную систему, что требует дополнительных затрат.

Согласие в иной электронной форме

Иная электронная форма открывает перед операторами широкий спектр возможностей для получения согласия субъектов персональных данных. В п. 3 ст. 5 Закона о ПД дополнительно называется несколько способов получения согласия в такой форме:

а) СМС или электронная почта.

Оператор может получить согласие, отправив СМС или сообщение на адрес электронной почты субъекта персональных данных и получив в ответ сообщение с указанием определенной информации.


ПРИМЕР
«Пожалуйста, отправьте цифру 1, если Вы согласны на обработку персональных данных».


Данный способ достаточно удобен с точки зрения цифровизации процесса и требует незначительных или вовсе не требует доработок в части его технического обеспечения. Для получения согласия через СМС-перепис­ку понадобится только интеграция соответствующего сервиса по рассылке СМС в свои процессы. В случае же поступления согласия через электронную почту достаточными будут стандартные возможности любого почтового сервиса.

Доказывание оператором факта получения согласия возможно с помощью анализа метаданных СМС-сообщения или электронного письма, полученного от субъекта персональных данных.

Вместе с тем обязанности, налагаемые Законом о ПД на оператора, могут осложнить процедуру получения согласия посредством СМС или электронной почты.

Так, оператор обязан предоставить субъекту персональных данных определенный перечень информации перед взятием согласия (п. 5 ст. 5 Закона о ПД)*. Для выполнения этого требования оператор может направить в первом сообщении субъекту персональных данных ссылку на свою политику в отношении обработки персональных данных, в которой будут описаны все необходимые аспекты обработки;

*   До получения согласия субъекта персональных данных оператор в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязан предоставить субъекту персональных данных информацию, содержащую:
• наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора, получающего согласие субъекта персональных данных;
• цели обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• срок, на который дается согласие субъекта персональных данных;
• информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
• перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
• иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
До получения согласия субъекта персональных данных оператор обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

б) проставление отметки на интернет-­ресурсе.

Оператор может попросить субъекта персональных данных проставить на интернет-­ресурсе отметку, обозначающую согласие.


ПРИМЕР
«Я согласен на обработку моих персональных данных».


На сегодняшний день получение согласия таким образом является, пожалуй, одним из самых популярных вариантов, который позволяет оператору реализовать свои обязанности без значительных операционных и финансовых затрат. Так, проставление отметки легко поддается логированию в журнале аудита информационной системы, что в случае необходимости даст оператору возможность доказать факт взятия согласия.

В рамках такой формы получения согласия также достаточно легко предусмотреть гиперссылку на политику оператора в отношении обработки персональных данных или разместить политику прямо в форме в виде текстового документа;

в) иные способы.

Учитывая текущую формулировку абз. 4 п. 3 ст. 5 Закона о ПД, данный вариант оставляет операторам множество технических возможностей для получения согласия.

Резюме

Белорусское законодательство в сфере защиты персональных данных предоставляет операторам большое количество вариантов для получения согласия субъектов персональных данных.

Каждый оператор может адаптировать существующие варианты как под свою деятельность, так и под актуальные внутренние процессы. Среди прочих способов получения согласия оператор может использовать сервисы электронного документооборота, запись телефонного разговора, получать фото- или скан-копию подписанного согласия.

Вместе с тем оператору необходимо помнить обо всех сопутствующих обязанностях, требующих обеспечения законности получения согласия.

1493 Shape 1 copy 6Created with Avocode.
Последнее
по теме
Задать вопрос в редакцию
Заказать звонок