Конклюдентные действия - это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Эта форма совершения сделки определена и в ГК (ст.158).
Это понятие очень сильно облегчает нам жизнь при получении согласия субъекта ПДн. Допустим, мы размещаем резюме. Если следовать распространненому мнению, нам необходимо получить согласие субъекта ПДн на обработку его ПДн. Однако сам факт размещения или отправки им резюме является согласием на обрботку его ПДн, т.е. конклюдентными действиями. Разумеется, он дает свое согласие на обработку данных, указанных в резюме, только при их рассмотрения для закрытия вакансии. Т.е. передавать их третьим лицам (если это не сайт поиска вакансий) или использовать для других целей (без согласия) - незаконно.
Другой пример конклюдентных действий:
- оплата платежек
- регистрация на форумах и Интернет-сервисах
- оплата товаров в Интернет
- приобретение билетов на транспорт
- предоставление удостоверения личности для прохода на территорию.
Последний пример тоже интересен. В зависимости от того, куда мы приходим, предоставление нами удостоверения личности может как быть конклюдентным действием, так и не быть таковым. Допустим мы пришли в банк за кредитом. На входе у нас попросили паспорт - на лицо обработка ПДн. Нужно ли получать дополнительное согласие? Нет. Мы пришли в банк по своей воле и прекрасно понимаем, что пройти в банк мы можем только предоставив паспорт. Но мы можем и не ходить в банк. Тем самым, предоставляя паспорт, мы делаем это своей волей и в своем интересе. Налицо признаки согласия из ст.9 ФЗ-152. А теперь представим, что мы пришли в суд по повестке. Мы также предоставляем свои паспортные данные, но конклюдентными наши действия уже не назовешь. Нас "вынуждают" придти в суд - отказаться от этого мы не можем. Поэтому требуется дополнительное согласие на обработку наших ПДн.
Этот пример лишний раз показывает, что приведение себя в соответствие с требованиями ФЗ-152 и подзаконных актов - это не такая простая задача и заниматься ею должны не столько службы ИБ, сколько юристы.
> Налицо признаки согласия из ст.9
ReplyDeleteВ ст. 9 русским по белому "только с согласия в письменной форме".
Ригель ошибается.
ReplyDeleteВ ст. 9 русским по белому написано про согласие в письменной форме в случаях, указанных в настоящем законе. А их там 4.
Насчет другого вида выражения согласия все правильно. И юристы со мной согласились. Единственное но...,
которые они озвучивают, а как ты будешь доказывать это "не письменное" согласие, если субъект решит на оператора "наехать".
Конклюдентное согласие уже не первый день широко используется в Интернет, удобно в самом деле. Сложность в том, что наличие такого согласия зависит от того, насколько пользователь был осведомлен об условиях обработки его ПДн. Галки "Понял и согласен" в чекбоксе, если дело, например, дойдет до суда, ИМХО недостаточно. Кроме того 158ГК ограничивает возможность использования конклюдентного согласия: только для сделок, которые могут быть заключены устно.
ReplyDelete>Это понятие очень сильно облегчает нам жизнь при получении согласия субъекта ПДн. Допустим, мы размещаем резюме. Если следовать распространненому мнению, нам необходимо получить согласие субъекта ПДн на обработку его ПДн. Однако сам факт размещения или отправки им резюме является согласием на обрботку его ПДн, т.е. конклюдентными действиями
ReplyDeleteОдна тонкость. В 152-ФЗ заложена "презумпция виновности" оператора - т.е. обязанность доказать получение согласие от субъекта. Для случая резюме и подобных у оператора очень зыбкие перспективы доказать, что согласие получено именно от субъекта, а не от третьего лица...
Гораздо проще было бы, если бы не было этой "презумпции виновности" и действовал принцип ст.10 ГК РФ: " разумность действий и добросовестность участников гражданских правоотношений предполагаются"...
Станиславу: а ну-ка.
ReplyDelete"В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме".
Любой пункт, в котором Вы будете мне показывать пальцем на слово "согласие" и говорить: "вот видишь же - здесь про письменное не сказано, поэтому можно конклюдентное просунуть" будет являться случаем, предусмотренным настоящим законом.
Тогда зачем законодатель, если все случаи согласия предполагают письменную форму, выделил именно 4 случая, конкретно указав про письменную форму?
ReplyDeleteДа какая разница! Ну, например, потому что он тоже человек - выпил лишнего, с кем не бывает ))
ReplyDeleteВы правы, исходя из здравого смысла, а не буквы 152-ФЗ, правоприменитель же читать между строк и рассуждать по аналогии с другим ФЗ не будет.
А можно четко в каких случаях можно применять ?
ReplyDeleteРигелю: Ты ничего не путаешь? Ст.9.1 ни слова не говорит о письменной форме. Письменная форма предусмотрена только для 5-ти специальных случаев (ст.9.4).
ReplyDeleteQuiet Zone: Разумеется нужно описать условия обработки ПДн, т.е. существенные условия договора. С этим никто не спорит.
toparenko: А ФЗ-294 определяет "принцип добросовестности". Если кто-то докажет, что я получил ПДн незаконно, то я их просто удалю и все (про юридические последствия пока не говорю).
Евгению: Нету такого списка случаев. В каждой ситуации надо смотреть. Если из действий субъекта очевидно вытекает его воля, то включай в перечень. Но как видно с примером по пропуску в здание, важен контекст.
На мой взгляд проблема связана с интернет технологиями. Но если смотреть с этой точки зрения как убедиться что Иванов дал такое согласие а не Петров... вот где @ порылась на мой взгляд...
ReplyDeleteАлексею Лукацкому: это ты уже домысливаешь, 9.4 не указывает на случаи, предусмотренные частью ... статьи ...
ReplyDeleteЕвгению: Никак. Если не заставить пользователя использовать какие-либо технологии удостоверения себя - ЭЦП, SMS, кредитка и т.д.
ReplyDeleteРигелю: Ст.9.1 "Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи". Ни слова про письменность ;-)
Ст.9.4 "В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных". В ФЗ даны только 5 явных указаний на письменную форму.
В том и дело, что технология подтверждения ЭЦП например решает вопрос и тот и другой. Но ее нужно вводить !
ReplyDeleteАлексею: но в 9.4 нет указаний на эти 5 указаний.
ReplyDeleteРигелю:
ReplyDeleteВсе правильно, в пункте 9.4 нет, значит надо искать в законе те мета, где прямо указано на "письменное" согласие.
Главный "гемморой" не в том, что нет писменного согласия (регуляторы вроде тоже признают, что можно и без бумажки обрабатывать ПДн), а в процессе доказывания того, что оно было.
В описываемом случае с резюме, я думаю, вряд ли соискатель будет жаловаться на кадровое агентство. Если только он не "профессиональный жалобщик". Да и в случаях с интернет-магазинами и т.п. жалоб наверное особо и не будет, при условии, что магазин не сдаст эти данные спамерами и не начнет навязчивый маркетинг.
Ригелю: Ну ты как читаешь? "В случаях предусмотренных настоящим законодательством"... Таких случаев 5:
ReplyDelete- 8.1
- 10.2
- 11.1
- 12.3
- 16.2
Проверим встречный вопрос: случай, описанный в 15.1, предусмотрен 152-ФЗ или нет?
ReplyDeleteп. 16.2 сводит все конклюдентные соглашения к нулю.
ReplyDelete16.2 только для обработки без участия человека применяется. Такие случае есть, но их не так уж и много.
ReplyDeleteРигелю: Я не понял твоего вопроса. Если этот случай описан в ФЗ, то он им и предусмотрен. Форма согласия тут может быть любая, но желательно письменная.
ReplyDeleteА вот и фиг: "в случаях, предусмотренных настоящим законом, только с согласия в письменной форме" (9.4).
ReplyDeleteИ так любой случай ))
Ты ударение не там ставишь ;-) Не во всех случаях, предусмотренных ФЗ, а только в тех, в которых предусмотрено письменная форма согласия ;-)
ReplyDeleteв 16.2 - "автоматизированная обработка". Откуда Вы взяли, что без участия человека?
ReplyDeleteПотому что она исключительно автоматизированная.
ReplyDeleteАлексей шутит!
ReplyDelete"Потому что она исключительно автоматизированная."
Уже обсуждали этот термин - в ЕК используется если я не ошибаюсь термин АВТОМАТИЧЕСКАЯ обработка - без участия...
У нас по видимому переводчик или тот кто готовил не осмелился написать "автоматическая (без участия человека)"...или не увидел разницы...
P.S. Всех с праздником !!!
ну дык не написано "без участия персонала", а по ГОСТ автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
ReplyDeleteОно и понятно, что в тексте должна быть "автоматическая". Вот только что написали, то написали :(