среда, 29 мая 2013 г.

Про согласие на обработку при регистрации на сайтах...

В ходе вчерашнего вечернего занятия в процессе обсуждений всплыл пресловутый вопрос о форме согласия с обработкой ПД в виде "галки" в окне регистрации на сайтах. Озвучиваю свою позицию по этому вопросу.

Согласно п.1 статьи 9 ФЗ-152 (с учетом редакций ФЗ-261) "Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором."

Кроме того, согласно п.3 этой же статьи "Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора."

Исходя из этих положений, следует, что оператор должен иметь возможность доказать получение согласия от субъекта ПД. При этом он сможет юридически значимо это сделать только, если:
1) на его сайте ведется лог-журнал регистрации пользователей;
2) обеспечена целостность этого лог-журнала с применением ЭП (для получения статуса электронного документа), либо механизм ведения лог-файла с обеспечением целостности прошёл оценку соответствия (вот этот момент спорный, не уверен, что этого будет достаточно для суда).
Сильно сомневаюсь, что все эти меры реализованы в работающих системах.

Но даже если все это реализовать, остается ещё проблема подтверждения личности самого субъекта при регистрации. Т.е. оператор сможет подтвердить только факт получения ПД и согласие на их обработку от кого-то, кто их ввел. Является ли этот "кто-то" реально субъектом введенных ПД, оператор на сегодняшний день доказать сможет, только если субъект при регистрации на сайте воспользовался ЭП, которую предварительно получил и лично подписался под фактом её получения. Понятно, что при таком раскладе выигрыш от электронной формы согласия сводится к нулю, поскольку технически реализовать подобную систему достаточно дорого, а кроме того в России далеко не каждый субъект имеет свою ЭП (если не сказать, что её почти ни у кого нет).

Выводы можно не делать, они очевидны. Мысль родилась вчера, возможно я чего-то не учел, тогда прошу меня поправить. Кроме того, не исключаю, что это "баян" ))

15 комментариев:

  1. Посмотрите еще практику проверок регулятором и судебные решения, где-то я по этой теме видел...

    ОтветитьУдалить
  2. Есть ощущение, что вы смотрите однобоко и усложняете, хотя мысль в целом верна...

    ОтветитьУдалить
  3. Подобную тему я уже пытался поднять. http://sborisov.blogspot.ru/2012/01/blog-post_19.html

    В общем подход правильный.
    Только ты пошел по пути гарантированному и 100% надежному - обеспечивать юридическую значимость.

    На самом деле, форма доказательства получения согласия никак не определена.

    Большинство в качестве доказательств просто ведет логи или журнал заявок. Имеется достаточно большая вероятность что данные журналы будут приняты в качестве доказательств. Видимо для большинства этого достаточно.

    ОтветитьУдалить
  4. Спасибо, почитал...тут вот в чем загвоздка - не сомневаюсь, что регулятора устроит "галка" согласия, если вдруг будет проверка. Но основным источником проблем для оператора здесь может быть юридически грамотный недовольный субъект с жалобой. Насчет формы доказательства согласия, я не юрист, но на сегодняшний день мне известны только 2 вида документального подтверждения: личная подпись в бумажном документе и ЭП в электронном. Субъект обосновано может сослаться на другого оператора или любое иное лицо, незаконно получившее его ПД, которые просто ввели его данные на сайте.
    Если я прав, с одной стороны получается применение в общем-то полезных методов автоматизации, с другой - риск получить множественные заявления недовольных клиентов. Что перевесит, каждый оператор должен решить сам. Вот только задумывались ли операторы о таком риске?
    Вообще вопрос юридической значимости лог-журналов и прочей технической информации в контексте форензики и судебных разбирательств достаточно интересный. Надо покопаться.

    ОтветитьУдалить
  5. Этот комментарий был удален автором.

    ОтветитьУдалить
  6. Давно ищу материал по поводу реализации возможности доказать факт получения согласия от субъекта ПД на обработку его данных при регистрации на сайтах и каким образом возможно идентифицировать отправителя ПДн субъекта, но пока не нашел. Вот мне очень интересно- каким образом возможно обрабатывать ПДн субъекта на законном основании в просторах сети интернет, обезопасив себя от проверяющих органов и негодующих субъектов ПДн, которым можно наглядно показать "где", "когда" и "на что" давал согласие. Может быть есть выход из данной ситуации с помощью "простой ЭЦП"?

    ОтветитьУдалить
    Ответы
    1. В ссылке Сергея Борисова один из комментаторов описывает как раз такое решение

      Удалить
    2. Да, я читал, но полностью согласен с ответом Сергея Борисова по поводу выполнения 9 ст. ФЗ №63. Каким образом реализовать все это действие? Камень преткновения встречается уже в п.1 данной статьи. Если мы будем передавать ключ по смс сообщению на номер телефона, это хорошо, но мы не знаем является ли обладатель данного номер телефона именно тем субъектом ПДн, чьи данные мы собираемся обрабатывать, т.е. как мы можем проверить связь "субъект ПДн"="держатель номера телефона"? Ведь человек может пожаловаться и сказать: "ПДн, которые Вы обрабатываете-мои, а вот согласия на обработку моих данных я не давал, а номер телефона, на который приходил ключ/код/пароль, я вообще вижу в первый раз..."

      Удалить
    3. Вот и выходит что никак, пока на уровне закона официально не будет подтверждено доверие какой бы то ни было технологии удаленной установки подлинности (при этом доверие полному циклу, начиная с первичной инициализации субъекта).
      Эту проблему могли бы помочь решить универсальные электронные карты, т.к. их должны были получать все граждане РФ, но проект этот свернули.
      Так что берегись оператор озлобленного клиента-юриста.

      Удалить
    4. Еще раз добрый день. Был на семинаре от компании "ДиалогНаука" от 31.05.2013,посвященный 152 ФЗ со всеми его вытекающими, на котором задал вопрос о законности и возможности ставить "галочку" в чекбоксе, на что Ген.директор компании "ДиалогНаука" ответил что они ставят галочку, и это является подтверждением согласия, а логи- доказательство подтверждения согласия. И во всех проектах реализации 152 ФЗ, в которых они участвовали, Роскомнадзор не задавал никаких лишних вопросов по поводу галочки.

      Удалить
    5. Сказать-то он сказал, но я не услышал никаких юридических оснований его позиции. По поводу РКН, я уже писал - головную боль и угрозу в данном случае не они представляют, а возможные недовольные клиенты (или конкуренты).
      С одной стороны весь этот разговор напоминает параноидальное копание в нормативке, ведь пока все спокойно, и все работают нормально. С другой, если предположения темы верны, то все операторы с "галкой" уязвимы к DDoS-атаке на уровне множественных заявлений в прокуратуру об обработке ПД без получения согласия.

      Удалить
    6. Кстати, с повышением штрафов, могут появиться и мошенники...Представляете письмо от субъекта:"прошу перевести мне на счет 100 000 руб. или я буду жаловаться в РКН"... А уж грамотный недовольный юрист может нарубить дров для любой организации.

      Удалить
    7. Ну если уж так фантазировать, то данная атака по аналогии с технической удаленного управления с повышением прав (в нашем случае денег) клиенту не даст, т.к. при таком письме оператору данные тут же будут удалены им из базы, а вот DOS за счет письма в прокуратуру (приостановка работы в процессе проверок регулятором и судебных разбирательств) может случиться. ))

      Удалить
    8. Полностью согласен с Вами

      Удалить