02.11.2009

О конклюдентности и персональных данных

Я на своих курсах по персданным всегда начинаю с общей рекомендации привлекать к проектам по персданным юристов, т.к. любая тема, связанная с законодательством, не может обойтись без их помощи. ФЗ-152 не является исключением. Возьмем к примеру вопрос с получением согласия субъекта ПДн. Обычно считается, что согласие может быть либо в письменной, либо в устной форме. Так нам подсказывает здравый смысл. А вот любой юрист подскажет, что есть и третья форма согласия - конклюдентные действия.
Конклюдентные действия - это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Эта форма совершения сделки определена и в ГК (ст.158).

Это понятие очень сильно облегчает нам жизнь при получении согласия субъекта ПДн. Допустим, мы размещаем резюме. Если следовать распространненому мнению, нам необходимо получить согласие субъекта ПДн на обработку его ПДн. Однако сам факт размещения или отправки им резюме является согласием на обрботку его ПДн, т.е. конклюдентными действиями. Разумеется, он дает свое согласие на обработку данных, указанных в резюме, только при их рассмотрения для закрытия вакансии. Т.е. передавать их третьим лицам (если это не сайт поиска вакансий) или использовать для других целей (без согласия) - незаконно.

Другой пример конклюдентных действий:
  • оплата платежек
  • регистрация на форумах и Интернет-сервисах
  • оплата товаров в Интернет
  • приобретение билетов на транспорт
  • предоставление удостоверения личности для прохода на территорию.

Последний пример тоже интересен. В зависимости от того, куда мы приходим, предоставление нами удостоверения личности может как быть конклюдентным действием, так и не быть таковым. Допустим мы пришли в банк за кредитом. На входе у нас попросили паспорт - на лицо обработка ПДн. Нужно ли получать дополнительное согласие? Нет. Мы пришли в банк по своей воле и прекрасно понимаем, что пройти в банк мы можем только предоставив паспорт. Но мы можем и не ходить в банк. Тем самым, предоставляя паспорт, мы делаем это своей волей и в своем интересе. Налицо признаки согласия из ст.9 ФЗ-152. А теперь представим, что мы пришли в суд по повестке. Мы также предоставляем свои паспортные данные, но конклюдентными наши действия уже не назовешь. Нас "вынуждают" придти в суд - отказаться от этого мы не можем. Поэтому требуется дополнительное согласие на обработку наших ПДн.

Этот пример лишний раз показывает, что приведение себя в соответствие с требованиями ФЗ-152 и подзаконных актов - это не такая простая задача и заниматься ею должны не столько службы ИБ, сколько юристы.

26 коммент.:

Ригель комментирует...

> Налицо признаки согласия из ст.9

В ст. 9 русским по белому "только с согласия в письменной форме".

Станислав комментирует...

Ригель ошибается.
В ст. 9 русским по белому написано про согласие в письменной форме в случаях, указанных в настоящем законе. А их там 4.
Насчет другого вида выражения согласия все правильно. И юристы со мной согласились. Единственное но...,
которые они озвучивают, а как ты будешь доказывать это "не письменное" согласие, если субъект решит на оператора "наехать".

Quiet Zone комментирует...

Конклюдентное согласие уже не первый день широко используется в Интернет, удобно в самом деле. Сложность в том, что наличие такого согласия зависит от того, насколько пользователь был осведомлен об условиях обработки его ПДн. Галки "Понял и согласен" в чекбоксе, если дело, например, дойдет до суда, ИМХО недостаточно. Кроме того 158ГК ограничивает возможность использования конклюдентного согласия: только для сделок, которые могут быть заключены устно.

toparenko комментирует...

>Это понятие очень сильно облегчает нам жизнь при получении согласия субъекта ПДн. Допустим, мы размещаем резюме. Если следовать распространненому мнению, нам необходимо получить согласие субъекта ПДн на обработку его ПДн. Однако сам факт размещения или отправки им резюме является согласием на обрботку его ПДн, т.е. конклюдентными действиями

Одна тонкость. В 152-ФЗ заложена "презумпция виновности" оператора - т.е. обязанность доказать получение согласие от субъекта. Для случая резюме и подобных у оператора очень зыбкие перспективы доказать, что согласие получено именно от субъекта, а не от третьего лица...
Гораздо проще было бы, если бы не было этой "презумпции виновности" и действовал принцип ст.10 ГК РФ: " разумность действий и добросовестность участников гражданских правоотношений предполагаются"...

Ригель комментирует...

Станиславу: а ну-ка.
"В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме".
Любой пункт, в котором Вы будете мне показывать пальцем на слово "согласие" и говорить: "вот видишь же - здесь про письменное не сказано, поэтому можно конклюдентное просунуть" будет являться случаем, предусмотренным настоящим законом.

Станислав комментирует...

Тогда зачем законодатель, если все случаи согласия предполагают письменную форму, выделил именно 4 случая, конкретно указав про письменную форму?

Ригель комментирует...

Да какая разница! Ну, например, потому что он тоже человек - выпил лишнего, с кем не бывает ))

Вы правы, исходя из здравого смысла, а не буквы 152-ФЗ, правоприменитель же читать между строк и рассуждать по аналогии с другим ФЗ не будет.

Евгений Родыгин комментирует...

А можно четко в каких случаях можно применять ?

Алексей Лукацкий комментирует...

Ригелю: Ты ничего не путаешь? Ст.9.1 ни слова не говорит о письменной форме. Письменная форма предусмотрена только для 5-ти специальных случаев (ст.9.4).

Quiet Zone: Разумеется нужно описать условия обработки ПДн, т.е. существенные условия договора. С этим никто не спорит.

toparenko: А ФЗ-294 определяет "принцип добросовестности". Если кто-то докажет, что я получил ПДн незаконно, то я их просто удалю и все (про юридические последствия пока не говорю).

Евгению: Нету такого списка случаев. В каждой ситуации надо смотреть. Если из действий субъекта очевидно вытекает его воля, то включай в перечень. Но как видно с примером по пропуску в здание, важен контекст.

Евгений Родыгин комментирует...

На мой взгляд проблема связана с интернет технологиями. Но если смотреть с этой точки зрения как убедиться что Иванов дал такое согласие а не Петров... вот где @ порылась на мой взгляд...

Ригель комментирует...

Алексею Лукацкому: это ты уже домысливаешь, 9.4 не указывает на случаи, предусмотренные частью ... статьи ...

Алексей Лукацкий комментирует...

Евгению: Никак. Если не заставить пользователя использовать какие-либо технологии удостоверения себя - ЭЦП, SMS, кредитка и т.д.

Ригелю: Ст.9.1 "Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи". Ни слова про письменность ;-)

Ст.9.4 "В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных". В ФЗ даны только 5 явных указаний на письменную форму.

Евгений Родыгин комментирует...

В том и дело, что технология подтверждения ЭЦП например решает вопрос и тот и другой. Но ее нужно вводить !

Ригель комментирует...

Алексею: но в 9.4 нет указаний на эти 5 указаний.

Станислав комментирует...

Ригелю:
Все правильно, в пункте 9.4 нет, значит надо искать в законе те мета, где прямо указано на "письменное" согласие.
Главный "гемморой" не в том, что нет писменного согласия (регуляторы вроде тоже признают, что можно и без бумажки обрабатывать ПДн), а в процессе доказывания того, что оно было.
В описываемом случае с резюме, я думаю, вряд ли соискатель будет жаловаться на кадровое агентство. Если только он не "профессиональный жалобщик". Да и в случаях с интернет-магазинами и т.п. жалоб наверное особо и не будет, при условии, что магазин не сдаст эти данные спамерами и не начнет навязчивый маркетинг.

Алексей Лукацкий комментирует...

Ригелю: Ну ты как читаешь? "В случаях предусмотренных настоящим законодательством"... Таких случаев 5:
- 8.1
- 10.2
- 11.1
- 12.3
- 16.2

Ригель комментирует...

Проверим встречный вопрос: случай, описанный в 15.1, предусмотрен 152-ФЗ или нет?

Анонимный комментирует...

п. 16.2 сводит все конклюдентные соглашения к нулю.

Алексей Лукацкий комментирует...

16.2 только для обработки без участия человека применяется. Такие случае есть, но их не так уж и много.

Алексей Лукацкий комментирует...

Ригелю: Я не понял твоего вопроса. Если этот случай описан в ФЗ, то он им и предусмотрен. Форма согласия тут может быть любая, но желательно письменная.

Ригель комментирует...

А вот и фиг: "в случаях, предусмотренных настоящим законом, только с согласия в письменной форме" (9.4).
И так любой случай ))

Алексей Лукацкий комментирует...

Ты ударение не там ставишь ;-) Не во всех случаях, предусмотренных ФЗ, а только в тех, в которых предусмотрено письменная форма согласия ;-)

Анонимный комментирует...

в 16.2 - "автоматизированная обработка". Откуда Вы взяли, что без участия человека?

Алексей Лукацкий комментирует...

Потому что она исключительно автоматизированная.

Евгений Родыгин комментирует...

Алексей шутит!
"Потому что она исключительно автоматизированная."

Уже обсуждали этот термин - в ЕК используется если я не ошибаюсь термин АВТОМАТИЧЕСКАЯ обработка - без участия...
У нас по видимому переводчик или тот кто готовил не осмелился написать "автоматическая (без участия человека)"...или не увидел разницы...

P.S. Всех с праздником !!!

kreol комментирует...

ну дык не написано "без участия персонала", а по ГОСТ автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Оно и понятно, что в тексте должна быть "автоматическая". Вот только что написали, то написали :(