Согласие является популярным правовым основанием обработки персональных данных, выбираемым операторами* для обеспечения законности обработки. Однако если ранее была предусмотрена только письменная форма согласия, то сейчас оно может быть получено и в электронной форме.
* Напомним, что согласно абз. 8 ст. 1 Закона Республики Беларусь от 07.05.2021 № 99З «О защите персональных данных» (далее — Закон о ПД) оператор — это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в т. ч. индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.
Рассмотрим предусмотренные белорусским законодательством формы получения согласия на обработку персональных данных, а также наиболее используемые способы получения согласия в электронном виде.
Формы получения согласия
Законодатель предусматривает различные формы получения согласия, которые оператор может использовать, исходя из внутренних организационных процессов. Пунктом 2 ст. 5 Закона о ПД установлены три формы получения согласия.
Письменная форма согласия
Наиболее надежная и наименее удобная форма, которая в силу проработанности в белорусской правовой школе не нуждается в дополнительном толковании.
Согласие в виде электронного документа
Несмотря на достаточно высокий уровень обеспечения целостности и подлинности согласия в виде электронного документа, такая форма получения согласия сопряжена и для субъекта персональных данных*, и для оператора с определенными неудобствами в части надлежащего обеспечения данной процедуры.
* Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных (абз. 13 ст. 1 Закона о ПД).
Во-первых, для подписания документа субъект персональных данных должен обладать электронной цифровой подписью (далее — ЭЦП), которую получают в соответствии с отдельной процедурой и на платной основе.
Во-вторых, оператор должен иметь определенное программное обеспечение, позволяющее распознавать ЭЦП конкретных физических лиц для проверки целостности и подлинности документов. В случае же получения согласия в виде электронного документа в рамках какой-либо информационной системы оператора такое программное обеспечение необходимо интегрировать в информационную систему, что требует дополнительных затрат.
Согласие в иной электронной форме
Иная электронная форма открывает перед операторами широкий спектр возможностей для получения согласия субъектов персональных данных. В п. 3 ст. 5 Закона о ПД дополнительно называется несколько способов получения согласия в такой форме:
а) СМС или электронная почта.
Оператор может получить согласие, отправив СМС или сообщение на адрес электронной почты субъекта персональных данных и получив в ответ сообщение с указанием определенной информации.
ПРИМЕР
«Пожалуйста, отправьте цифру 1, если Вы согласны на обработку персональных данных».
Данный способ достаточно удобен с точки зрения цифровизации процесса и требует незначительных или вовсе не требует доработок в части его технического обеспечения. Для получения согласия через СМС-переписку понадобится только интеграция соответствующего сервиса по рассылке СМС в свои процессы. В случае же поступления согласия через электронную почту достаточными будут стандартные возможности любого почтового сервиса.
Доказывание оператором факта получения согласия возможно с помощью анализа метаданных СМС-сообщения или электронного письма, полученного от субъекта персональных данных.
Вместе с тем обязанности, налагаемые Законом о ПД на оператора, могут осложнить процедуру получения согласия посредством СМС или электронной почты.
Так, оператор обязан предоставить субъекту персональных данных определенный перечень информации перед взятием согласия (п. 5 ст. 5 Закона о ПД)*. Для выполнения этого требования оператор может направить в первом сообщении субъекту персональных данных ссылку на свою политику в отношении обработки персональных данных, в которой будут описаны все необходимые аспекты обработки;
* До получения согласия субъекта персональных данных оператор в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязан предоставить субъекту персональных данных информацию, содержащую:
• наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора, получающего согласие субъекта персональных данных;
• цели обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• срок, на который дается согласие субъекта персональных данных;
• информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
• перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
• иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
До получения согласия субъекта персональных данных оператор обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.
б) проставление отметки на интернет-ресурсе.
Оператор может попросить субъекта персональных данных проставить на интернет-ресурсе отметку, обозначающую согласие.
ПРИМЕР
«☑ Я согласен на обработку моих персональных данных».
На сегодняшний день получение согласия таким образом является, пожалуй, одним из самых популярных вариантов, который позволяет оператору реализовать свои обязанности без значительных операционных и финансовых затрат. Так, проставление отметки легко поддается логированию в журнале аудита информационной системы, что в случае необходимости даст оператору возможность доказать факт взятия согласия.
В рамках такой формы получения согласия также достаточно легко предусмотреть гиперссылку на политику оператора в отношении обработки персональных данных или разместить политику прямо в форме в виде текстового документа;
в) иные способы.
Учитывая текущую формулировку абз. 4 п. 3 ст. 5 Закона о ПД, данный вариант оставляет операторам множество технических возможностей для получения согласия.
Резюме
Белорусское законодательство в сфере защиты персональных данных предоставляет операторам большое количество вариантов для получения согласия субъектов персональных данных.
Каждый оператор может адаптировать существующие варианты как под свою деятельность, так и под актуальные внутренние процессы. Среди прочих способов получения согласия оператор может использовать сервисы электронного документооборота, запись телефонного разговора, получать фото- или скан-копию подписанного согласия.
Вместе с тем оператору необходимо помнить обо всех сопутствующих обязанностях, требующих обеспечения законности получения согласия.
и затем На экран «Домой»
на верхней панели или нажмите меню и затем Добавить на домашний экран/экран приложений