Электронное согласие на обработку персональных данных: правомерно или нет?

Вопросы правомерности получения согласия на обработку персональных данных могут возникать в ходе обычных рабочих процессов в организациях здравоохранения различных форм собственности. Иногда получение письменного согласия бывает затруднительным. Но правомерно ли в настоящий момент получение согласия в электронной форме? Давайте разбираться.

Шафеев Кирилл

Ассоциированный партнер, руководитель направления «Приватность и защита персональных данных» ООО «Юридическая компания ЮКОН»

656 Shape 1 copy 6Created with Avocode.

Согласие является достаточно популярным правовым основанием обработки персональных данных, выбираемым операторами для обеспечения законного характера обработки. Однако если ранее была предусмотрена только письменная форма согласия, то сейчас оно может быть получено и в электронной форме.

Какие формы получения согласия на обработку персональных данных предусмотрены белорусским законодательством и какие способы получения согласия в электронном виде являются наиболее используемыми, рассмотрим далее.

Формы получения согласия

Белорусский законодатель предусматривает различные формы получения согласия, которые оператор может использовать, исходя из своих бизнес-­процессов. Пунктом 2 ст. 5 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) установлены три формы получения согласия.

Письменная форма согласия

Это наиболее надежная и наименее удобная форма согласия, которая в силу проработанности в рамках белорусской правовой школы не нуждается в дополнительном толковании.

Электронный документ

Несмотря на достаточно высокий уровень обеспечения целостности и подлинности согласия в виде электронного документа, взятие согласия в такой форме сопряжено как для субъекта персональных данных, так и для оператора с определенными неудобствами в части надлежащего обеспечения такой процедуры.

Во-первых, для подписания документа субъект персональных данных должен обладать электронной цифровой подписью (далее — ЭЦП), которую получают в соответствии с отдельной процедурой и на платной основе.

Во-вторых, оператор должен иметь определенное программное обеспечение, позволяющее распознавать ЭЦП конкретных физических лиц для проверки целостности и подлинности документов. В случае же взятия согласия в виде электронного документа в рамках ­какой-либо информационной системы оператора соответствующее программное обеспечение необходимо интегрировать в информационную систему, что требует дополнительных затрат.

Иная электронная форма

Благодаря иной электронной форме перед операторами открывается широкий спектр возможностей для взятия согласия субъектов персональных данных. В п. 3 ст. 5 Закона дополнительно называется несколько способов получения согласия в такой форме:

1) СМС-сообщение или электронная почта.

Оператор может получить согласие, отправив СМС или сообщение на адрес электронной почты субъекта персональных данных и получив в ответ сообщение с указанием определенной информации.

ПРИМЕР
«Пожалуйста, отправьте цифру 1, если Вы согласны на обработку персональных данных».

Данный способ достаточно удобен с точки зрения цифровизации процесса и требует незначительных или вовсе не требует доработок в части его технического обеспечения.

Руководителю на заметку
При получении согласия через СМС-переписку требуется только интеграция соответствующего сервиса по рассылке СМС в свои процессы.

В случае же взятия согласия через электронную почту достаточными будут стандартные возможности любого почтового сервиса.

Доказывание оператором факта получения согласия возможно с помощью анализа метаданных СМС-сообщения или электронного письма, полученного от субъекта персональных данных.

Вместе с тем обязанности, налагаемые Законом на оператора, могут осложнить процедуру получения согласия посредством СМС или электронной почты. Так, оператор обязан предоставить субъекту персональных данных определенный перечень информации перед взятием согласия (п. 5 ст. 5 Закона). Для выполнения этого требования оператор может направить в первом сообщении субъекту персональных данных ссылку на свою политику в отношении обработки персональных данных, в которой описаны все необходимые аспекты их обработки;

Это важно
Оператору следует предусмотреть возможность предоставления субъекту информации при данном способе взятия согласия.

2) проставление отметки на интер­нет-­ресурсе.

Оператор может попросить субъекта персональных данных проставить на интернет-­ресурсе отметку, обозначающую согласие.

ПРИМЕР
«☑ Я согласен на обработку моих персональных данных».

На сегодняшний день взятие согласия таким образом является, пожалуй, одним из самых популярных вариантов, который позволяет оператору реализовать свои обязанности без значительных операционных и финансовых затрат. Проставление отметки легко поддается логированию в журнале аудита информационной системы, что при необходимости даст оператору возможность доказать факт взятия согласия;

Руководителю на заметку
В данном случае достаточно легко предусмотреть гипер­ссылку на политику оператора в отношении обработки персональных данных или разместить политику прямо в форме в виде текстового документа (clickwrap agreements).

3) иные способы.

Учитывая текущую формулировку абз. 4 п. 3 ст. 5 Закона, данный способ оставляет оператору множество технических возможностей для получения согласия. Оператор может использовать сервисы электронного документооборота, запись телефонного разговора, фото-, скан-копию подписанного согласия.

Заключение

Белорусское законодательство в сфере защиты персональных данных предоставляет операторам большое количество вариантов для взятия согласия субъектов персональных данных.

Каждый оператор может адаптировать существующие варианты как под свою деятельность, так и под актуальные внутренние процессы. Вместе с тем оператору необходимо помнить обо всех сопутствующих обязанностях, требующих обеспечения законности полученных согласий.

656 Shape 1 copy 6Created with Avocode.
Последнее
по теме
• • •

Что должна содержать выписка из медицинских документов, чтобы исключить излишнюю обработку персональных данных?

Руководитель. Здравоохранение № 10 (142) 2024
Shape 1 copy 6Created with Avocode. 80
Задать вопрос в редакцию
Заказать звонок