СЗПДн. Анализ. Согласие в электронной форме на обработку ПДн


Достаточно давно идут обсуждения между специалистами о законности сбора в электронной форме Согласия на обработку персональных данных (были заметки в блогах у Лукацкого, Волкова и других специалистов).

С одной стороны утверждается, что согласие может быть только в письменной форме или  в форме электронного документа с электронной подписью в соответствии с частью 4           статьи 9 152-ФЗ:
“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.”
При этом фраза “в случаях, предусмотренных федеральным законом” понимается как в случаях, не попадающих под исключения описанные в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11.

Другие специалисты ссылаются на часть 1 статьи 9 152-ФЗ:
“1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.”
а часть 4 статьи 9 152-ФЗ трактуют, как необходимость сбора согласий в письменном виде только в тех случаях, где законом явно предусмотрена такая необходимость (общедоступность, специальные категории, биометрические, трансграничная передача, юридические последствия):
“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.”

Пока споры идут, появляется всё больше интернет ресурсов, на которых требуется поставить галочку о согласии на обработку ПДн. В том числе такую галочку просит поставить Роскомнадзор при заполнении Уведомления в электронном виде.
Чтобы для себя расставить точки над галочками, отправил запрос в Роскомнадор с просьбой разъяснить ситуацию. В отличие от предыдущего запроса про биометрию, когда пришел ответ о невозможности комментировать законодательство, в этот раз получил развернутый ответ:




Как видно, Роскомнадор считает что галочки достаточно для согласия, надо только не забыть опубликовать рядом политику в отношении обработки ПДн.
Большое количество компаний уже опубликовало свои политики в отношении обработки ПДн, есть варианты на которые можно равняться - «Почта Сервис», KDL, есть варианты из которых ничего не понять ни субъекту ни регулятору ни самим авторам – OZON, ВСК. А вот сам Роскомнадзор пока не опубликовал политику.




Комментарии

Artem Ageev написал(а)…
А как по-другому? Письменное согласие все равно не взять.

Вне зависимости от мнения РКН (которому, кстати, не дано право трактовать закон) способ работы с ПДн в Интернете один - галочка =)
19 января 2012 г. в 21:27
Сергей Борисов написал(а)…
Ну как сказать один способ.

Если законодательно запретить галочку и начать выписывать астрономические штрафы - то часть начнет работать с электронной подписью, часть перестанет собирать ПДн и часть уйдет в тень.

Проблема как всегда в том, что законодательство можно трактовать по-разному. И тут важно понимать как трактует тот кто будет тебя штрафовать и как трактуает тот кто будет судить.
19 января 2012 г. в 22:18
Анонимный написал(а)…
С вступлением в силу нового закона об ЭП ситуация упрощается: простая ЭП = пароль. Публикуется оферта о признании сторонами простой ЭП в качестве собственноручной для совершения того-сего (в частности подписи согласия). Клиент отправляет запрос на получение ЭП, получает ее (СМС к примеру) и подписывает согласие. Придраться к оператору нельзя.
22 января 2012 г. в 21:00
Сергей Борисов написал(а)…
Сергей: cогласен на счет электронной подписи. Такая возможность есть, но ей пока никто не пользуется.

Я специально поискал в интернете и не нашел варианта сбора согласия в электронной форме с электронной подписью .

Ведь для этого необходимо полностью выполнить статью 9 63-ФЗ.
22 января 2012 г. в 23:14
Andrey Prozorov написал(а)…
Согласие "галочкой" крайне полезно и удобно для различных интернет-сайтов. При этом обычно это делается в виде: "Согласен с правилами" , а если уже эти правила почитать. то там уже и будут и цели, и перечень ПДн, и прочие необходимые атрибуты, ну и текст и/или ссылка на политику обработки ПДн, которая по новой версии 152-ФЗ должна быть общедоступной...
29 января 2012 г. в 13:06
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?   Например, если мы школа или учреждение соц. защиты. Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь :     Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...