Согласие является популярным правовым основанием обработки персональных данных, выбираемым операторами для обеспечения законности обработки. Однако если ранее была предусмотрена только письменная форма согласия, то сейчас оно может быть получено и в электронной форме.
Рассмотрим предусмотренные белорусским законодательством формы получения согласия на обработку персональных данных, а также наиболее используемые способы получения согласия в электронном виде.
Формы получения согласия
Законодатель предусматривает различные формы получения согласия, которые оператор может использовать, исходя из своих бизнес-процессов. Пунктом 2 ст. 5 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных (далее — Закон) установлены три формы получения согласия.
Письменная форма согласия. Наиболее надежная и наименее удобная форма, которая в силу проработанности в белорусской правовой школе не нуждается в дополнительном толковании.
Согласие в виде электронного документа. Несмотря на достаточно высокий уровень обеспечения целостности и подлинности согласия в виде электронного документа, такая форма получения согласия сопряжена и для субъекта персональных данных, и для оператора с определенными неудобствами в части надлежащего обеспечения данной процедуры.
Во-первых, для подписания документа субъект персональных данных должен обладать электронной цифровой подписью (далее — ЭЦП), которую получают в соответствии с отдельной процедурой и на платной основе. Во-вторых, оператор должен иметь определенное программное обеспечение, позволяющее распознавать ЭЦП конкретных физических лиц для проверки целостности и подлинности документов. В случае же получения согласия в виде электронного документа в рамках какой-либо информационной системы оператора такое программное обеспечение необходимо интегрировать в информационную систему, что требует дополнительных затрат.
Согласие в иной электронной форме. Иная электронная форма открывает перед операторами широкий спектр возможностей для получения согласия субъектов персональных данных. В п. 3 ст. 5 Закона дополнительно называется несколько способов получения согласия в такой форме:
а) СМС или электронная почта.
Оператор может получить согласие, отправив СМС или сообщение на адрес электронной почты субъекта персональных данных и получив в ответ сообщение с указанием определенной информации.
Пример: «Пожалуйста, отправьте цифру 1, если Вы согласны на обработку персональных данных».
Данный способ достаточно удобен с точки зрения цифровизации процесса и требует незначительных или вовсе не требует доработок в части его технического обеспечения. При получении согласия через СМС-переписку требуется только интеграция соответствующего сервиса по рассылке СМС в свои процессы. В случае же поступления согласия через электронную почту достаточными будут стандартные возможности любого почтового сервиса.
Доказывание оператором факта получения согласия возможно с помощью анализа метаданных СМС-сообщения или электронного письма, полученного от субъекта персональных данных.
Вместе с тем обязанности, налагаемые Законом на оператора, могут осложнить процедуру получения согласия посредством СМС или электронной почты. Так, оператор обязан предоставить субъекту персональных данных определенный перечень информации перед взятием согласия (п. 5 ст. 5 Закона). Для выполнения этого требования оператор может направить в первом сообщении субъекту персональных данных ссылку на свою политику в отношении обработки персональных данных, в которой будут описаны все необходимые аспекты обработки;
б) проставление отметки на интернет-ресурсе.
Оператор может попросить субъекта персональных данных проставить на интернет-ресурсе отметку, обозначающую согласие.
Пример: «☑ Я согласен на обработку моих персональных данных».
На сегодняшний день получение согласия таким образом является, пожалуй, одним из самых популярных вариантов, который позволяет оператору реализовать свои обязанности без значительных операционных и финансовых затрат. Так, проставление отметки легко поддается логированию в журнале аудита информационной системы, что в случае необходимости даст оператору возможность доказать факт взятия согласия.
В рамках такой формы получения согласия также достаточно легко предусмотреть гиперссылку на политику оператора в отношении обработки персональных данных или разместить политику прямо в форме в виде текстового документа (clickwrap agreements);
в) иные способы.
Учитывая текущую формулировку абз. 4 п. 3 ст. 5 Закона, данный вариант оставляет операторам множество технических возможностей для получения согласия.
Резюме
Белорусское законодательство в сфере защиты персональных данных предоставляет операторам большое количество вариантов для получения согласия субъектов персональных данных.
Каждый оператор может адаптировать существующие варианты как под свою деятельность, так и под актуальные внутренние процессы. Среди прочих способов получения согласия оператор может использовать сервисы электронного документооборота, запись телефонного разговора, получать фото- или скан-копию подписанного согласия.
Вместе с тем оператору необходимо помнить обо всех сопутствующих обязанностях, требующих обеспечения законности получения согласия.
и затем На экран «Домой»
на верхней панели или нажмите меню и затем Добавить на домашний экран/экран приложений