8 ноября 2017 года Роскомнадзор на своем официальном сайте опубликовал ответ на самый популярный вопрос про обработку персональных данных в интернете: можно ли брать согласие на обработку персональных данных субъекта в виде проставления галочки в соответствующем поле? Порассуждаем на эту живую и актуальную тему.
«Согласно закону, персональные данные граждан России должны обрабатываться только с их согласия, если иное не установлено другими нормами законодательства. Интернет-магазины такое согласие получать должны, если правоотношения с пользователем не оформлены в виде акцепта публичной оферты либо в виде иных форм договорных отношений.
Согласие на обработку персональных данных может быть получено посредством проставления галочки пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено письменно. Список стран, обеспечивающих адекватную защиту персональных данных, опубликован на Портале персональных данных». Ответ Роскомнадзора полностью опубликован здесь.
Вероятно, что многие сейчас зададутся вопросом: и что здесь непонятного?
Дело в том, что вопросы все равно остаются. На этом же сайте в разделе «Часто задаваемые вопросы» можно найти такой комментарий:
Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?
Ответ: При заполнении веб-формы заявки на покупку товара на сайте интернет-магазина — свидетельствующим о получении оператором согласия субъекта на обработку его персональных данных является файл электронной цифровой подписи.
Что мы видим? Выражение согласия на сайте разрешено. Однако при этом требуется иметь доказательства, подтверждающие получение согласия на обработку персональных данных субъекта. В комментарии от 8 ноября 2017 г. Роскомнадзор ничего не говорит про ЭЦП, что, скорее всего, свидетельствует о ее ненадобности в данном случае. Но можно ли говорить об этом однозначно? Конечно, всем приятен более легкий вариант: поставил чекбокс для отметки галочки — и всё решено. Но избавит ли это полностью от возможных проблем? Пока это никому не известно…
Откуда вообще изначально появилось мнение Роскомнадзора о необходимости электронной подписи? Это требование исходит из законодательства.
Позиция уполномоченного органа про достаточность галочки и ненужность ЭЦП опирается на часть 1 статьи 9 ФЗ «О персональных данных», в которой сказано о том, что согласие может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом. В любой — значит, в любой. И галочка для этой роли отлично подходит. Но что-то смущает в этой конструкции. А именно фраза «в позволяющей подтвердить факт его получения форме». Далее, в пункте 3 статьи 9 вышеуказанного федерального закона говорится: «Обязанность предоставить доказательство получения согласия субъекта на обработку его персональных данных возлагается на оператора». Иными словами, если на вас пожалуется субъект, например, на то, что вы забросали его рекламными письмами, а он вам своих персональных данных не предоставлял и согласия не выражал, вам необходимо будет доказать, что согласие дал именно данный субъект в отношении своих персональных данных. Представьте себе такую ситуацию, когда данные субъекта заполнил его сосед по общежитию и галочкой выразил согласие на обработку соседских персональных данных. То есть у вас возникла ситуация, когда подтвердить получение согласия конкретного человека на обработку его данных вы не можете, и сам субъект отрицает дачу согласия.
В этой ситуации так и хочется «полезть в карман» за пунктом 5 статьи 10 Гражданского кодекса Российской Федерации и заявить о том, что, предлагая на сайте внести свои (а не чужие) данные и выразить согласие на их обработку, вы исходите из того, что другая сторона гражданских правоотношений будет действовать добросовестно и не будет использовать чужие данные. Но поможет ли такой аргумент в суде? На этот вопрос ответить очень сложно. Все будет зависеть от множества факторов. На другой чаше весов будут нормы федерального закона «О персональных данных», устанавливающие, что именно вы как оператор персональных данных обязаны подтвердить факт получения согласия конкретного субъекта. То есть, видя шаткость конструкции выражения согласия на сайте путем проставления галочки в чекбоксе, Роскомнадзор в своем первом ответе на данный вопрос указал на необходимость подтверждения согласия на сайте электронной подписью.
Думается, не нужно объяснять, как непросто придется владельцам сайтов, если они решат воплотить в жизнь согласие с ЭЦП. Видимо, поэтому, Роскомнадзор в комментарии от 8 ноября этого года рекомендовал получать согласие на сайте путем проставления галочки в соответствующей веб-форме и ничего не сказал про ЭЦП. Но комментарий к нормам законодательства это хорошо, а вот как поведут себя представители надзорного органа в суде, когда субъект персональных данных будет заявлять о том, что никаких согласий он не давал, мы не знаем. Более того, суды крайне редко смотрят на какие-либо комментарии надзорных органов и в своей деятельности руководствуются буквальным толкованием норм законодательства.
Что же делать владельцам сайтов? Уже не раз Роскомнадзор критиковали за требование получать согласие на обработку персональных данных на сайтах. Ведь фактически пользователь сайта совершает конклюдентные действия уже тем, что вносит свои данные в предложенные графы. Если он не согласен на обработку своих персональных данных, то зачем их предоставлял? И в связи с этим возникает справедливый вопрос: зачем тогда вообще чекбокс?
В своем комментарии от 8 ноября Роскомнадзор осторожно заявляет: «Интернет-магазины такое согласие получать должны, если правоотношения с пользователем не оформлены в виде акцепта публичной оферты либо в виде иных форм договорных отношений». То есть если у вас есть оферта (грамотно составленная!) или иная форма договорных отношений, размещенная на сайте, то согласие получать вроде бы не нужно. Почему опять «вроде бы»? Потому что, к сожалению, федеральный закон «О персональных данных» у нас такой. Ни в чем нельзя быть уверенным до конца, и даже наличие оферты или согласия могут не спасти вас при определенных обстоятельствах. Например, вы берете согласие на сбор данных, необходимых для регистрации на вашем сайте, но при этом ничего в согласии не указываете про другие случаи обработки. Получается, что на одно действие согласие есть, а на остальные нет. То же самое относится и к оферте.
Очень серьезно следует подойти к вопросу содержания согласия или оферты. Могут возникнуть проблемы, если у вас вообще нет никакого текста согласия, а есть просто чекбокс для проставления галочки напротив слов «На обработку персональных данных согласен». Да, формально в федеральном законе сказано о том, что согласие может быть дано в любой форме. Но также сказано и о том, что согласие должно быть конкретным, информированным и сознательным. И в суде от вас могут потребовать доказательства того, что пользователь дал согласие именно на «это», а не только на «то».
В том числе для этого в законе установлено требование о размещении на сайте документа, определяющего политику оператора в отношении обработки персональных данных, в котором можно описать все тонкости обработки. А можно их описать и в согласии или оферте. Никакой универсальной «пилюли» не существует. Документы необходимо разрабатывать для конкретного сайта и под конкретные задачи. Самое главное в данной ситуации — это разобраться в вопросе, для чего вы используете персональные данные? И здесь нужно учитывать, что любая обработка персональных данных допускается только в случаях, установленных федеральным законом: пункты 1-11 части 1 статьи 6 и части 1,2 статей 10 и 11 ФЗ «О персональных данных». А среди этих случаев есть уже упомянутые нами согласие, оферта и закон.