Полная текстовая версия интервью Олега Матюнина Первому каналу на тему получения согласия на обработку персональных данных в сети "Интернет"
Вопрос: законно ли получать согласие на обработку персональных данных через сайт?
Законно, но не для всех категорий персональных данных.
Все персональные данные законом поделены на три категории:
1) персональные данные (ПД общей категории) — фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных — согласие на их обработку можно получить через сайт (поставить галочку);
2) специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости) — согласие на их обработку должно быть оформлено отдельным документом, подписанным собственноручно, либо электронной подписью, приравненной к собственноручной подписи;
3) биометрические персональные данные — характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (самые распространенные – это отпечаток пальца, изображение лица, голос, радужная оболочка глаза и рисунок вен ладони) — согласие на их обработку должно быть оформлено отдельным документом, подписанным собственноручно, либо электронной подписью, приравненной к собственноручной подписи.
Таким образом, согласие может быть оформлено на обработку различных категорий ПД. В упрощенной форме через сайт без заполнения отдельного письменного документа под названием «Согласие на обработку ПД» можно это сделать только в отношении ПД общей категории. Обычно на сайтах из этих ПД запрашивают имя и контактные данные.
Все персональные данные законом поделены на три категории:
1) персональные данные (ПД общей категории) — фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных — согласие на их обработку можно получить через сайт (поставить галочку);
2) специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости) — согласие на их обработку должно быть оформлено отдельным документом, подписанным собственноручно, либо электронной подписью, приравненной к собственноручной подписи;
3) биометрические персональные данные — характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (самые распространенные – это отпечаток пальца, изображение лица, голос, радужная оболочка глаза и рисунок вен ладони) — согласие на их обработку должно быть оформлено отдельным документом, подписанным собственноручно, либо электронной подписью, приравненной к собственноручной подписи.
Таким образом, согласие может быть оформлено на обработку различных категорий ПД. В упрощенной форме через сайт без заполнения отдельного письменного документа под названием «Согласие на обработку ПД» можно это сделать только в отношении ПД общей категории. Обычно на сайтах из этих ПД запрашивают имя и контактные данные.
Вопрос: Как оформляется получение согласия на обработку персональных данных через сайт
Как выше пояснялось, для целого ряда случаев требуется оформление отдельного письменного согласия на обработку ПД, содержащего перечень сведений, установленных Законом о ПД. Если на сайте запрашивается именно такое согласие, то заполнить и отправить его, не выходя из дома, можно лишь при наличии у вас электронной подписи, позволяющей вас идентифицировать.
Когда же мы говорим о самой распространенной ситуации заполнения формы обратной связи, то действует следующее правило. Каждый, кто собирает персональные данные клиентов через свой сайт, должен получить согласие на их обработку. Без такого согласия запрашивать у клиента его ФИО, контактные данные и другую информацию нельзя. Согласие предоставляется в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Согласие на обработку персональных данных общей категории на сайте выражают обычно путем проставления галочки в одном или двух чекбоксах.
Клиент должен подтвердить, что разрешает фирме использовать сведения о нем в целях, о которых она предупредила клиента. Цели и другие сведения об условиях обработки ПД компании размещают в документах, с которыми клиенты могут ознакомиться перед тем, как давать свое согласие. В формах обратной связи размещаются ссылки на локальные положения конфиденциальности, либо по-иному названные документы, в которых подробно расписано, на что именно соглашается клиент, давая свое информированное согласие: какие именно ПД запрашиваются, цели их обработки, сроки обработки, в чем будет заключаться обработка, каким образом можно отозвать согласие и т.д.
По закону согласие на обработку персональных данных:
1) предоставляется субъектом данных свободно, своей волей и в своем интересе;
2) должно быть конкретным, информированным и сознательным.
Вместе с тем существует вероятность, что описанный способ получения согласия может быть оспорен Роскомнадзором, исходя из того, как ведомство отвечало на похожий вопрос.
Приведем полностью вопрос и ответ:
Когда же мы говорим о самой распространенной ситуации заполнения формы обратной связи, то действует следующее правило. Каждый, кто собирает персональные данные клиентов через свой сайт, должен получить согласие на их обработку. Без такого согласия запрашивать у клиента его ФИО, контактные данные и другую информацию нельзя. Согласие предоставляется в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Согласие на обработку персональных данных общей категории на сайте выражают обычно путем проставления галочки в одном или двух чекбоксах.
Клиент должен подтвердить, что разрешает фирме использовать сведения о нем в целях, о которых она предупредила клиента. Цели и другие сведения об условиях обработки ПД компании размещают в документах, с которыми клиенты могут ознакомиться перед тем, как давать свое согласие. В формах обратной связи размещаются ссылки на локальные положения конфиденциальности, либо по-иному названные документы, в которых подробно расписано, на что именно соглашается клиент, давая свое информированное согласие: какие именно ПД запрашиваются, цели их обработки, сроки обработки, в чем будет заключаться обработка, каким образом можно отозвать согласие и т.д.
По закону согласие на обработку персональных данных:
1) предоставляется субъектом данных свободно, своей волей и в своем интересе;
2) должно быть конкретным, информированным и сознательным.
Вместе с тем существует вероятность, что описанный способ получения согласия может быть оспорен Роскомнадзором, исходя из того, как ведомство отвечало на похожий вопрос.
Приведем полностью вопрос и ответ:
Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?
Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.
Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.
Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.
Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.
Источник: https://25.rkn.gov.ru/p17348/p32646/
Но есть и другая позиция Роскомнадзора:
Вопрос: Согласие субъекта на обработку персональных данных должно содержать подпись субъекта персональных данных. Как быть в тех случаях, когда персональные данные предоставляются оператором через телекоммуникационные сети Интернет и личной встречи между оператором и субъектом не происходит? Достаточно ли в этом случае выражения согласия субъекта персональных данных на обработку его данных путем проставления отметки в согласии в электронном виде? (Например, при предоставлении по электронной почте анкет соискателей на вакансии работодателей, предоставление данных организатору конкурса, проводимого в Интернет).
Ответ: При наличии требования федерального закона об обязательном получении в конкретных случаях письменного согласия, документ должен быть подписан либо на бумажном носителе, либо в электронной форме (посредством электронной подписи как аналога собственноручной).
ФЗ «О персональных данных» регламентирует, что согласие на обработку персональных данных может быть дано гражданином или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае, если наличие письменного согласия в силу закона не обязательно, гражданин может выразить свое согласие на обработку персональных данных любым способом, в частности проставлением отметки в электронном виде. При этом необходимо помнить, что обязанность предоставить доказательство получения согласия субъекта персональных данных возлагается на оператора.
Источник: https://57.rkn.gov.ru/p8924/p14069/p14070/
Вопрос: Что Роскомнадзор считает нарушениями при получении согласия на обработку ПД через сайт?
Ответ:
- использование на сайте электронных форм сбора персональных данных в отсутствие механизма получения согласия на обработку персональных данных;
- отсутствие информирования пользователей об использовании файлов cookies (в отличие от ПД в отношении cookies достаточно только информирования пользователя);
- неопубликование на сайте документов, определяющих политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных;
- распространение персональных данных граждан в сети "Интернет" в отсутствие правовых оснований (такое распространение считается правомерным, если получено отдельное письменное согласие, оформленное по форме, установленной Роскомнадзором).
Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?
Ответ: Для каждой категории ПД свой перечень случаев.
Перечень таких случаев для ПД общей категории:
1. Для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
2. В связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
3. Для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
4. Для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
5. Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
6. Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
7. Для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
8. Для осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
9. В статистических или иных исследовательских целях, за исключением рекламных целей и целей политической агитации, при условии обязательного обезличивания персональных данных.
10. Обработка обезличенных персональных данных в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами;
11. Обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Источник: ч. 1 ст. 6 ФЗ «О ПД»
Для ПД специальной категории согласие не требуется, если обработка осуществляется:
1) в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2) в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";
3) в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
4) для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
5) в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
6) общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, в отношении персональных данных членов (участников) общественного объединения или религиозной организации для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
7) для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
8) в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
9) органами прокуратуры в связи с осуществлением ими прокурорского надзора;
10) в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
11) в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
12) в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
Источник: ч. 2 ст. 10 ФЗ «О ПД»
Перечень таких случаев для биометрических ПД:
1) в связи с реализацией международных договоров Российской Федерации о реадмиссии,
2) в связи с осуществлением правосудия и исполнением судебных актов,
3) в связи с проведением обязательной государственной дактилоскопической регистрации, обязательной государственной геномной регистрации,
4) в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
Источник: ч. 2 ст. 11 ФЗ «О ПД»
Перечень таких случаев для ПД общей категории:
1. Для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
2. В связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
3. Для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
4. Для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
5. Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
6. Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
7. Для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
8. Для осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
9. В статистических или иных исследовательских целях, за исключением рекламных целей и целей политической агитации, при условии обязательного обезличивания персональных данных.
10. Обработка обезличенных персональных данных в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами;
11. Обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Источник: ч. 1 ст. 6 ФЗ «О ПД»
Для ПД специальной категории согласие не требуется, если обработка осуществляется:
1) в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2) в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";
3) в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
4) для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
5) в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
6) общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, в отношении персональных данных членов (участников) общественного объединения или религиозной организации для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
7) для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
8) в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
9) органами прокуратуры в связи с осуществлением ими прокурорского надзора;
10) в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
11) в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
12) в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
Источник: ч. 2 ст. 10 ФЗ «О ПД»
Перечень таких случаев для биометрических ПД:
1) в связи с реализацией международных договоров Российской Федерации о реадмиссии,
2) в связи с осуществлением правосудия и исполнением судебных актов,
3) в связи с проведением обязательной государственной дактилоскопической регистрации, обязательной государственной геномной регистрации,
4) в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
Источник: ч. 2 ст. 11 ФЗ «О ПД»
Дополнительный вопрос: Является ли обработкой персональных данных, осуществление телефонных звонков с целью проведения телефонных опросов граждан?
Номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Осуществление же телефонного опроса без указания на фамилию, имя, отчество, дату рождения, адреса места жительства субъекта персональных данных ит.д., само по себе подразумевает анонимность данного мероприятия и не является обработкой персональных данных какого-либо конкретного субъекта персональных данных.
Роскомнадзор по СКФО (https://26.rkn.gov.ru/p8926/p10713/)
Роскомнадзор по СКФО (https://26.rkn.gov.ru/p8926/p10713/)
Вас также могут заинтересовать:
