Содержание:
Формы получения согласия
Белорусский законодатель предусматривает различные формы получения согласия, которые оператор может использовать, исходя из своих бизнес-процессов. Пунктом 2 ст. 5 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных (далее — Закон) установлены 3 формы получения согласия.
1. Письменная форма согласия.
Наиболее надежная и наименее удобная форма согласия, которая в силу проработанности в рамках белорусской правовой школы не нуждается в дополнительном толковании.
2. Согласие в виде электронного документа.
Несмотря на достаточно высокий уровень обеспечения целостности и подлинности согласия в виде электронного документа, взятие согласия в такой форме причиняет как субъекту персональных данных, так и оператору определенные неудобства в части надлежащего обеспечения такой процедуры.
Во-первых, для подписания документа субъект персональных данных должен обладать электронной цифровой подписью (далее — ЭЦП), которую получают в соответствии с отдельной процедурой и на платной основе. Во-вторых, оператор должен иметь определенное программное обеспечение, позволяющее распознавать ЭЦП конкретных физических лиц для проверки целостности и подлинности документов. В случае же взятия согласия в виде электронного документа в рамках какой-либо информационной системы оператора такое программное обеспечение необходимо интегрировать в информационную систему, что требует дополнительных затрат.
3. Согласие в иной электронной форме.
Благодаря иной электронной форме перед операторами открывается широкий спектр возможностей для взятия согласия субъектов персональных данных. В п. 3 ст. 5 Закона дополнительно уточняется несколько способов получения согласия в такой форме:
а) СМС или электронная почта.
Оператор может получить согласие, отправив СМС или сообщение на адрес электронной почты субъекта персональных данных и получив в качестве ответа сообщение с указанием определенной информации.
Пример: «Пожалуйста, отправьте цифру 1, если Вы согласны на обработку персональных данных».
Данный способ взятия согласия остается достаточно удобным с точки зрения цифровизации процесса и требует незначительных или вовсе не требует доработок в части его технического обеспечения. При получении согласия через СМС-переписку требуется только интеграция соответствующего сервиса по рассылке СМС в свои бизнес-процессы. В случае же взятия согласия на обработку персональных данных через электронную почту достаточными будут стандартные возможности любого почтового сервиса.
В двух ситуациях доказывание оператором факта получения согласия возможно с помощью анализа метаданных СМС или электронного письма, полученных от субъекта персональных данных.
Вместе с тем обязанности, накладываемые Законом на оператора, могут осложнить процедуру получения согласия посредством СМС или электронной почты. Так, оператор обязан предоставить субъекту персональных данных определенный перечень информации перед взятием согласия (п. 5 ст. 5 Закона).
Соответственно, оператору следует предусмотреть предоставление информации при данном способе взятия согласия. Так, оператор может направить ссылку на свою политику в отношении обработки персональных данных, в рамках которой будут описаны все необходимые аспекты обработки персональных данных, в первом сообщении в адрес субъекта персональных данных, которое направляется для получения согласия;
б) проставление отметки на интернет-ресурсе.
Оператор может попросить субъекта персональных данных поставить отметку на интернет-ресурсе, обозначающую согласие.
Пример: «☑ Я согласен на обработку моих персональных данных».
На сегодняшний день взятие согласия таким образом является, пожалуй, одним из самых популярных вариантов среди операторов. При этом взятие согласия путем проставления отметки позволяет операторам реализовать свои обязанности без значительных операционных и финансовых затрат. Так, проставление отметки легко поддается логированию в журнале аудита информационной системы, что позволит оператору доказать факт взятия согласия в случае необходимости.
В рамках такой формы взятия согласия также достаточно легко предусмотреть гиперссылку на политику оператора в отношении обработки персональных данных или разместить политику прямо в форме в виде текстового документа (clickwrap agreements);
в) иные способы.
Учитывая текущую формулировку абз. 4 п. 3 ст. 5 Закона, данный способ оставляет операторам множество технических возможностей для получения согласия.
«Электронное» согласие
Рассмотрим несколько частных способов взятия согласия в контексте коммерческой деятельности операторов.
1. Получение согласия с использованием сервисов электронного документооборота.
Сервисы документооборота с функциональными возможностями проставления цифровых подписей (например, DocuSign или HelloSign) напрямую не предусмотрены законодательством в качестве легитимных вариантов взятия согласия на обработку персональных данных. Тем не менее использование данных сервисов широко распространено среди белорусских субъектов хозяйствования.
Благодаря функционалу таких сервисов у операторов есть широкий спектр возможностей для идентификации субъекта персональных данных перед дачей согласия (например, через документы, удостоверяющие личность, биометрические паспорта, аутентификационные вопросы, СМС, заданные PIN-коды и т.д.), что в значительной степени облегчает доказывание факта взятия согласия в случае необходимости. В то же время интеграция данных сервисов в собственные информационные системы через API позволяет реализовать и иные обязанности оператора, например, по информированию субъекта персональных данных.
Таким образом, в соответствии с законодательством использование сервисов документооборота с функциями проставления цифровых подписей возможно для получения согласия.
2. Получение согласия по телефону.
В случаях, когда у оператора имеется техническая или клиентская поддержка, колл-центр, предоставляющие помощь по телефону, согласие на обработку персональных данных сотрудники могут брать до или во время разговора с субъектом персональных данных.
В случае взятия согласия для записи телефонного разговора логичным представляется интеграция сервиса IP-телефонии, в рамках которого субъект персональных данных мог бы предоставлять свое согласие самостоятельно перед разговором с работником поддержки.
Пример: «Если Вы хотите, чтобы Ваш разговор был записан, пожалуйста, нажмите цифру "1"».
При этом в рамках автоматического сообщения, проигрываемого субъекту персональных данных для взятия его согласия перед разговором с работником поддержки, рекомендуется озвучить ссылку на политику в отношении обработки персональных данных для соблюдения обязательства оператора по информированию субъекта персональных данных в соответствии с п. 5 ст. 5 Закона.
Пример: «Пожалуйста, ознакомьтесь с нашей политикой конфиденциальности по следующей ссылке…»
Если же согласие требуется для обработки каких-либо новых персональных данных, собранных работником поддержки во время разговора с субъектом персональных данных, целесообразным является устное взятие согласия на обработку персональных данных, а также устное информирование субъекта персональных данных в соответствии с п. 5 ст. 5 Закона при условии записи всего разговора в целях доказывания факта взятия согласия в случае необходимости.
3. Получение согласия в виде фото/скан-копии.
Несмотря на некоторые неудобства, связанные с получением согласия в подобной форме, данный вариант возможен в рамках регулирования правового института согласия в Беларуси. В случае направления фото/скан-копии подписанной формы согласия субъектом персональных данных в адрес оператора у последнего имеется вся необходимая информация для подтверждения личности субъекта персональных данных и факта взятия самого согласия: личная подпись субъекта персональных данных, метаданные электронного сообщения, к которому было приложено фото/скан-копия, а также вся иная информация, которую субъект персональных данных обязан указать при даче согласия.
Вместе с тем в случае получения согласия в виде фото/скан-копий оператор все еще обязан соблюсти обязанность по информированию субъекта персональных данных в соответствии с п. 5 ст. 5 Закона, что делает целесообразным направление соответствующей информации субъекту перед инициацией получения фото/скан-копии согласия.
Резюме.
Белорусское законодательство в сфере защиты персональных данных предоставляет операторам большое количество вариантов для взятия согласий субъектов персональных данных.
Каждый оператор может адаптировать существующие варианты как под свою коммерческую деятельность, так и под актуальные внутренние бизнес-процессы. Среди прочих способов получения согласия оператор может использовать сервисы электронного документооборота, запись телефонного разговора, получать фото/скан-копию подписанного согласия.
Вместе с тем оператору необходимо помнить обо всех сопутствующих обязанностях, требующих обеспечения законности полученных согласий.