персональные данные

Получение согласия на обработку персональных данных в электронной форме

Можно ли получать согласие на обработку персональных данных в электронном виде или нужно только в письменном?
Предусмотрен и электронный вариант согласия.
Законно ли получение согласия посредством СМС или электронной почты?
Да, законно.
Нужно ли оператору предоставлять субъекту персональных данных какую-либо информацию перед получением согласия на обработку его персональных данных?
Да, нужно. Подробнее об этом пишется в п. 5 ст. 5 Закона о персональных данных.

9 августа 2022

Шафеев Кирилл

Ассоциированный партнер, руководитель направления «Privacy & Data Protection» юридической компании «Юкон»

1794

Согласие является популярным правовым основанием обработки персональных данных, выбираемым операторами* для обеспечения законности обработки. Однако если ранее была предусмотрена только письменная форма согласия, то сейчас оно может быть получено и в электронной форме.

* Напомним, что согласно абз. 8 ст. 1 Закона Республики Беларусь от 07.05.2021 № 99З «О защите персональных данных» (далее — Закон о ПД) оператор — это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в т. ч. индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.

Рассмотрим предусмотренные белорусским законодательством формы получения согласия на обработку персональных данных, а также наиболее используемые способы получения согласия в электронном виде.

Формы получения согласия

Законодатель предусматривает различные формы получения согласия, которые оператор может использовать, исходя из внутренних организационных процессов. Пунктом 2 ст. 5 Закона о ПД установлены три формы получения согласия.

Письменная форма согласия

Наиболее надежная и наименее удобная форма, которая в силу проработанности в белорусской правовой школе не нуждается в дополнительном толковании.

Согласие в виде электронного документа

Несмотря на достаточно высокий уровень обеспечения целостности и подлинности согласия в виде электронного документа, такая форма получения согласия сопряжена и для субъекта персональных данных*, и для оператора с определенными неудобствами в части надлежащего обеспечения данной процедуры.

* Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных (абз. 13 ст. 1 Закона о ПД).

Во-первых, для подписания документа субъект персональных данных должен обладать электронной цифровой подписью (далее — ЭЦП), которую получают в соответствии с отдельной процедурой и на платной основе.

Во-вторых, оператор должен иметь определенное программное обеспечение, позволяющее распознавать ЭЦП конкретных физических лиц для проверки целостности и подлинности документов. В случае же получения согласия в виде электронного документа в рамках какой-либо информационной системы оператора такое программное обеспечение необходимо интегрировать в информационную систему, что требует дополнительных затрат.

Согласие в иной электронной форме

Иная электронная форма открывает перед операторами широкий спектр возможностей для получения согласия субъектов персональных данных. В п. 3 ст. 5 Закона о ПД дополнительно называется несколько способов получения согласия в такой форме:

а) СМС или электронная почта.

Оператор может получить согласие, отправив СМС или сообщение на адрес электронной почты субъекта персональных данных и получив в ответ сообщение с указанием определенной информации.

ПРИМЕР
«Пожалуйста, отправьте цифру 1, если Вы согласны на обработку персональных данных».

Данный способ достаточно удобен с точки зрения цифровизации процесса и требует незначительных или вовсе не требует доработок в части его технического обеспечения. Для получения согласия через СМС-переписку понадобится только интеграция соответствующего сервиса по рассылке СМС в свои процессы. В случае же поступления согласия через электронную почту достаточными будут стандартные возможности любого почтового сервиса.

Доказывание оператором факта получения согласия возможно с помощью анализа метаданных СМС-сообщения или электронного письма, полученного от субъекта персональных данных.

Вместе с тем обязанности, налагаемые Законом о ПД на оператора, могут осложнить процедуру получения согласия посредством СМС или электронной почты.

Так, оператор обязан предоставить субъекту персональных данных определенный перечень информации перед взятием согласия (п. 5 ст. 5 Закона о ПД)*. Для выполнения этого требования оператор может направить в первом сообщении субъекту персональных данных ссылку на свою политику в отношении обработки персональных данных, в которой будут описаны все необходимые аспекты обработки;

* До получения согласия субъекта персональных данных оператор в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязан предоставить субъекту персональных данных информацию, содержащую:
• наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора, получающего согласие субъекта персональных данных;
• цели обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• срок, на который дается согласие субъекта персональных данных;
• информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
• перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
• иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
До получения согласия субъекта персональных данных оператор обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

б) проставление отметки на интернет-ресурсе.

Оператор может попросить субъекта персональных данных проставить на интернет-ресурсе отметку, обозначающую согласие.

ПРИМЕР
«☑ Я согласен на обработку моих персональных данных».

На сегодняшний день получение согласия таким образом является, пожалуй, одним из самых популярных вариантов, который позволяет оператору реализовать свои обязанности без значительных операционных и финансовых затрат. Так, проставление отметки легко поддается логированию в журнале аудита информационной системы, что в случае необходимости даст оператору возможность доказать факт взятия согласия.

В рамках такой формы получения согласия также достаточно легко предусмотреть гиперссылку на политику оператора в отношении обработки персональных данных или разместить политику прямо в форме в виде текстового документа;

в) иные способы.

Учитывая текущую формулировку абз. 4 п. 3 ст. 5 Закона о ПД, данный вариант оставляет операторам множество технических возможностей для получения согласия.

Резюме

Белорусское законодательство в сфере защиты персональных данных предоставляет операторам большое количество вариантов для получения согласия субъектов персональных данных.

Каждый оператор может адаптировать существующие варианты как под свою деятельность, так и под актуальные внутренние процессы. Среди прочих способов получения согласия оператор может использовать сервисы электронного документооборота, запись телефонного разговора, получать фото- или скан-копию подписанного согласия.

Вместе с тем оператору необходимо помнить обо всех сопутствующих обязанностях, требующих обеспечения законности получения согласия.