Для приобретения товара покупатель — физическое лицо — оформляет заказ на интернет-сайте организации либо по-средством телефонной связи, в котором указывает свои персональные данные. Возможно ли получение согласия субъекта персональных данных

30 октября 2012

Согласно пп. 5 п. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) обработка персональных данных без согласия субъекта допускается в целях исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

В случае если договор по факту оформления заказа с указанием персональных данных лица не был заключен, для обработки требуется получить согласие субъекта персональных данных.

Требования к форме и порядку получения согласия субъекта персональных данных предусмотрены ст. 9 Закона № 152-ФЗ. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.

Исключительно в письменной форме должно быть получено согласие на обработку персональных данных, поименованных в п. 1 ст. 10 Закона № 152-ФЗ, и биометрических данных (пп. 1 п. 2 ст. 10, п. 1 ст. 11 Закона № 152-ФЗ).

В иных случаях, положения законодательства не ограничивают возможность получения согласия субъекта персональных данных в иных формах.

При этом вопрос о возможности выражения согласия на сайте при заполнении заказа или устно по телефону не урегулирован нормативными актами и официальными разъяснениями контролирующих органов.

Необходимо помнить, что обязанность по предоставлению доказательств получения согласия субъекта персональных данных во всех случаях возлагается на оператора (п. 3 ст. 9 Закона № 152-ФЗ).

В данной ситуации возникает проблема обеспечения доказательственной базы. При возникновении спора с субъектом персональных данных доказать факт предоставления согласия в устной форме будет затруднительно: не представляется возможным идентифицировать лицо, предоставляющее персональные данные и согласие на их обработку по телефону или посредством заполнения заказа на сайте. Оператор не может быть уверен, что лицо, предоставляющее такие данные, является субъектом персональных данных либо его уполномоченным представителем.

В том случае, если оператор предусмотрит в тексте заполняемого на сайте заказа предоставление согласия на обработку персональных и технически обеспечит хранение заявки, а также обеспечит хранение аудиозаписи телефонных разговоров с физическими лицами, риск передачи персональных данных субъекта третьим лицам без ведома последнего остается. На сегодняшний момент единственной возможностью идентифицировать лицо, предоставляющее персональные данные, и подтвердить факт предоставления согласия является получение документа (согласие, анкета, заявка) на бумажном носителе (в электронном виде), заверенного собственноручной (электронной подписью) субъекта персональных данных.

Евгения Афонина,
ведущий юрисконсульт ООО «ТЛС-ПРАВО»