среда, 29 мая 2013 г.

Про согласие на обработку при регистрации на сайтах...

В ходе вчерашнего вечернего занятия в процессе обсуждений всплыл пресловутый вопрос о форме согласия с обработкой ПД в виде "галки" в окне регистрации на сайтах. Озвучиваю свою позицию по этому вопросу.

Согласно п.1 статьи 9 ФЗ-152 (с учетом редакций ФЗ-261) "Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором."

Кроме того, согласно п.3 этой же статьи "Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора."

Исходя из этих положений, следует, что оператор должен иметь возможность доказать получение согласия от субъекта ПД. При этом он сможет юридически значимо это сделать только, если:
1) на его сайте ведется лог-журнал регистрации пользователей;
2) обеспечена целостность этого лог-журнала с применением ЭП (для получения статуса электронного документа), либо механизм ведения лог-файла с обеспечением целостности прошёл оценку соответствия (вот этот момент спорный, не уверен, что этого будет достаточно для суда).
Сильно сомневаюсь, что все эти меры реализованы в работающих системах.

Но даже если все это реализовать, остается ещё проблема подтверждения личности самого субъекта при регистрации. Т.е. оператор сможет подтвердить только факт получения ПД и согласие на их обработку от кого-то, кто их ввел. Является ли этот "кто-то" реально субъектом введенных ПД, оператор на сегодняшний день доказать сможет, только если субъект при регистрации на сайте воспользовался ЭП, которую предварительно получил и лично подписался под фактом её получения. Понятно, что при таком раскладе выигрыш от электронной формы согласия сводится к нулю, поскольку технически реализовать подобную систему достаточно дорого, а кроме того в России далеко не каждый субъект имеет свою ЭП (если не сказать, что её почти ни у кого нет).

Выводы можно не делать, они очевидны. Мысль родилась вчера, возможно я чего-то не учел, тогда прошу меня поправить. Кроме того, не исключаю, что это "баян" ))