Со вступлением в силу Закона к согласию субъекта на обработку его ПД стали предъявляться определенные требования. Теперь далеко не всегда факт получения согласия субъекта означает исполнение требований законодательства о защите ПД надлежащим образом. Один из критериев надлежащего согласия — критерий информированности.
Когда согласие будет информированным?
Соблюдение критерия информированного согласия — это одна из мер обеспечения принципа прозрачности обработки, заложенного в п. 6 ст. 4 Закона.
Критерий информированного согласия означает, что до начала обработки ПД субъекту должна быть предоставлена определенная информация. Такая информация позволит субъекту получить представление о том, как будут обрабатываться его ПД (кем, для каких целей, как долго и пр.), и, соответственно, понять, на что именно он дает свое согласие.
Справочно.
Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных (п. 1 ст. 5 Закона).
Закон (абз. 2–8 п. 5 ст. 5) установил следующий минимальный перечень информации, которая должна быть доведена до сведения субъекта перед получением его согласия:
— наименование (фамилия, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора;
Справочно.
Оператор — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных (абз. 8 ст. 1 Закона).
— цели обработки;
— перечень ПД, на обработку которых дается согласие;
— срок, на который дается согласие;
— информация об уполномоченных лицах, если они привлекаются к обработке;
— перечень действий с ПД, на совершение которых дается согласие;
— способы обработки ПД;
— иная информация, необходимая для обеспечения прозрачности процесса обработки ПД.
Более того, согласно абз. 9 п. 5 ст. 5 Закона отдельно от иной предоставляемой информации субъекту должны быть разъяснены:
— его права, связанные с обработкой его ПД;
— механизм реализации таких прав;
— последствия дачи согласия на обработку или отказа в даче такого согласия.
На сегодняшний день нет официальных разъяснений, где именно отдельно от иной предоставляемой информации должна быть размещена информация, предусмотренная абз. 9 п. 5 ст. 5 Закона. При этом, по нашему мнению, такая информация, в частности, может содержаться и в самой форме согласия наряду с иной информацией об обработке ПД при условии, что все сведения подаются структурированно (например, в разных разделах). Это дает возможность субъекту легко найти и понять как условия обработки ПД, так и сведения относительно его прав, их реализации и последствий дачи/отказа в даче согласия.
Пример включения информации в форму согласия:
Согласие на обработку персональных данных
Подписывая данное согласие, я соглашаюсь на обработку моих персональных данных [указать, кем, то есть каким оператором] на следующих условиях:
1. Согласие дается мной для цели [указать цель].
2. Для достижения указанной цели оператор может осуществлять обработку следующих моих персональных данных: [указать перечень].
3. Согласие дается мной на срок [указать срок].
4. К обработке могут привлекаться следующие уполномоченные лица: [дать информацию об уполномоченных лицах].
5. Перечень действий с персональными данными: [перечислить].
6. Способы обработки персональных данных: [указать способ(-ы)].
Мои права, механизм их реализации, а также последствия дачи согласия или отказа в даче согласия на обработку разъяснены мне в разделах ниже:
7. Права
Оператор гарантирует реализацию следующих прав: …
8. Механизм реализации прав
Указанные в разделе 7 права могут быть реализованы путем …
9. Последствия дачи или отказа в даче согласия
Соглашаясь на обработку на указанных выше условиях, я …
В случае отказа от обработки моих персональных данных на указанных выше условиях …
Важно отметить, что в Законе определены требования не только к содержанию предоставляемой информации, но и к форме ее предоставления. Так, согласно п. 5 ст. 5 Закона информация должна быть предоставлена субъекту:
— до получения его согласия;
Справочно.
В соответствии с пп. 2 и 3 ст. 5 Закона согласие субъекта может быть получено:
— в письменной форме;
— в виде электронного документа;
— в иной электронной форме посредством, например, указания субъектом определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты; проставления субъектом соответствующей отметки на интернет-ресурсе и т.д.
— в письменной либо электронной форме — в зависимости от того, в какой форме субъект дает согласие на обработку ПД.
Ниже рассмотрим несколько вариантов предоставления субъекту информации, необходимой для соблюдения критерия информированности, в зависимости от формы получения согласия.
Вариант 1. Форма получения согласия — письменная. Форма предоставления информации — путем включения информации в письменную форму согласия
Закон не содержит прямых требований непосредственно к содержанию письменного согласия, предъявляя их только к предоставляемой оператором информации.
Справочно.
Для сравнения, российское законодательство устанавливает требования к форме письменного согласия на обработку ПД. В соответствии с п. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных» согласие в письменной форме субъекта на обработку его ПД должно включать в себя, в частности, ФИО, адрес субъекта; данные документа, удостоверяющего его личность; цели обработки ПД и т.д.
Полагаем, что несмотря на то, что информация, перечисленная в абз. 2–8 п. 5 ст. 5 Закона, законодателем не была прямо определена как информация, подлежащая включению в форму письменного согласия, ее указание в форме письменного согласия (как в приведенном выше примере) позволит соблюсти требования Закона к форме и моменту предоставления информации (п. 5 ст. 5 Закона):
— субъект перед проставлением подписи в согласии сможет ознакомиться с включенной в него информацией;
— сама информация будет донесена субъекту в форме, соответствующей форме дачи согласия.
Рекомендация.
Рекомендуем включить информацию, перечисленную в абз. 2–8 п. 5 ст. 5 Закона, в форму согласия. Это позволит оператору зафиксировать факт выполнения своей обязанности по информированию субъекта.
Вариант 2. Форма получения согласия — письменная. Форма предоставления информации — путем ее размещения по месту нахождения оператора
Информация об обработке ПД может предоставляться по месту нахождения оператора — например, путем ее размещения на ресепшн или на доске в «уголке потребителя».
При использовании описанного в данном варианте подхода нужно учитывать следующее:
1. Если субъект предоставляет свое согласие в том же месте, где размещена соответствующая информация (то есть сам субъект ПД в момент дачи согласия также находится по месту нахождения оператора), такой вариант считается приемлемым при условии, что информация была доступна без ограничений и субъект имел возможность с ней ознакомиться перед дачей согласия.
Однако важно учитывать, что обязанность доказывания получения согласия субъекта возлагается на оператора (п. 7 ст. 5 Закона). В рамках описанного выше подхода оператору может быть проблематично доказать, что субъект действительно имел возможность ознакомиться с информацией об обработке его ПД, в частности, доказать, что:
— такая информация была действительно размещена (например, на ресепшн) перед дачей конкретным субъектом согласия;
— такая информация действительно соответствовала требованиям Закона и т.д.
2. Если же субъект персональных данных дает свое согласие, например, в магазине оператора, а информация находится в распечатанном виде по месту нахождения оператора (и адреса не совпадают), то в таком случае согласие однозначно является ненадлежащим, поскольку субъект не имел возможности ознакомиться с информацией об обработке его ПД.
Вариант 3. Форма получения согласия — электронная. Форма предоставления информации — онлайн
Если согласие на обработку ПД субъекта запрашивается в электронной форме, то предоставить субъекту необходимую информацию также нужно в электронной форме.
По нашему мнению, такая информация может быть предоставлена следующими способами.
Способ 1. Размещение необходимой информации во всплывающем информационном окне на странице с формой, через которую субъект предоставляет свои ПД и (или) дает согласие на их обработку.
Способ 2. Размещение гиперссылки на соответствующий раздел политики обработки ПД, где структурированно обозначено, какой перечень данных для данной конкретной цели будет обрабатываться, а также указана иная информация, предоставление которой требуется для получения информированного согласия.
Справочно.
Способ 2 представляется более трудным для реализации, поскольку операторам важно при написании политики обработки ПД строго соблюдать структурность и лаконичность подачи информации, чтобы избежать ситуации, в которой субъект не сможет найти в тексте объемного документа информацию, применимую к конкретной цели обработки. Однако, по нашему мнению, данный способ может быть реализован без нарушения прав субъектов.
Как это визуально может выглядеть, покажем на примере формы подписки на рассылку:
«Срок годности» согласия
До получения согласия субъекта на обработку его ПД он должен быть проинформирован о том, на какой срок дается такое согласие (абз. 5 п. 5 ст. 5 Закона). Срок дачи согласия может быть обозначен как в виде конкретной даты (до 31.12.2022) или периода времени (3 месяца, 1 год, 5 лет), так и через критерии, используемые для определения срока (1 год с момента совершения последней покупки в магазине оператора).
Справочно.
На возможность установления срока через описание критериев его определения указывает также ч. 4 п. 10 Рекомендаций Национального центра по защите персональных данных от 07.12.2021 по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных.
Соответственно, оператор должен еще до начала обработки продумать сроки обработки ПД для каждой цели обработки. При этом в любом случае хранение ПД должно осуществляться в форме, позволяющей идентифицировать субъекта, не дольше, чем этого требуют заявленные цели обработки ПД (п. 8 ст. 4 Закона).
Конкретных критериев, по которым можно было бы определить, какой срок считать достаточным, нет. По нашему мнению, при установлении того или иного срока оператор должен быть готов как минимум обосновать длительность выбранного им срока (срок не должен быть безосновательно долгим).
Пример
Оператор получил согласие на направление пользователю онлайн-ресурса рассылки рекламного характера на срок до 1 года с момента последнего использования пользователем онлайн-ресурса. Оператор может обосновать выбранный им срок тем, что в течение 1 года пользователю все еще может быть интересно получать информацию о предложениях оператора, что может повлиять на его решение снова начать пользоваться соответствующим онлайн-ресурсом. В ситуации, когда оператор установит срок дачи согласия в аналогичных целях 100 лет, такому оператору будет затруднительно обосновать разумность хранения ПД в течение такого длительного периода времени.
Продлеваем срок действия согласия
По истечении срока дачи согласия у оператора пропадает законное основание для дальнейшей обработки ПД в соответствующих целях. Поэтому при отсутствии иных оснований для обработки таких ПД по истечении срока согласия оператор обязан прекратить их обработку (абз. 7 п. 1 ст. 16 Закона). Если оператор намерен продолжить такую обработку, ему необходимо запросить новое согласие на новый срок. Это связано с тем, что согласие на обработку ПД должно представлять собой однозначное выражение воли субъекта. Если субъект согласился предоставить свои данные для обработки на конкретный срок, совершенно необязательно, что он пойдет на его продление. Соответственно, простого информирования субъекта будет недостаточно. Субъект сохраняет за собой право как согласиться на продление срока, так и отказаться от дальнейшей обработки ПД.