Comments 23
прочитал вроде несколько раз но так и не понял в чем заключается
«электронная подпись согласия»
для меня электронная подпись это когда я купил
квалифицированный сертификат электронной подписи у одного из аккредитованных удостоверяющих центров
и с генерировал на своем компьютере пару закрытый/открытый ключ
и подписываю этим колючем юридически значимые документы.
а у Вас?
СМС-кой согласие берется?
возможно у меня проблемы с пониманием
«электронная подпись согласия»
для меня электронная подпись это когда я купил
квалифицированный сертификат электронной подписи у одного из аккредитованных удостоверяющих центров
и с генерировал на своем компьютере пару закрытый/открытый ключ
и подписываю этим колючем юридически значимые документы.
а у Вас?
СМС-кой согласие берется?
возможно у меня проблемы с пониманием
В законодательстве есть такая штука: простая электронная подпись. Для неё достаточно смс-сообщения с кодом. Понятно, что это совершенно небезопасно, но закон есть закон.
по моему чтобы использовать простую электронную подпись нужно это как регламентировать
или какое то соглашение между участниками сторон о том по каким правилам это будет использоваться
Просто в смс-ке не будет текста согласия, а просто сам факт подписи непонятно чего.
а на стороне сервера можно и подделать текст согласия итд итп со всеми вытекающими.
и подписанный КЭП документ думаю подделать невозможно.
ничего личного возможно это моя фантазия…
или какое то соглашение между участниками сторон о том по каким правилам это будет использоваться
Просто в смс-ке не будет текста согласия, а просто сам факт подписи непонятно чего.
а на стороне сервера можно и подделать текст согласия итд итп со всеми вытекающими.
и подписанный КЭП документ думаю подделать невозможно.
ничего личного возможно это моя фантазия…
Вы правы:
1) Использование ПЭП должно быть регламентировано между участниками обмена. Это должно быть зафиксировано на бумаге собственноручными подписями или подписано КЭП (порочный круг :). Не уточнено, как в данном случае реализовано если учесть, что клиент по сути первым подписывает Согласие и до этого никаких соглашений не подписывал.
2) Если договорились подписывать OTP-SMS, то в тексте СМС должна быть или ссылка на подписываемый документ или его реквизиты, позволяющие клиенту однозначно понять, что он подписывает (можно еще весь текст документа, но это сложно реализуемо).
1) Использование ПЭП должно быть регламентировано между участниками обмена. Это должно быть зафиксировано на бумаге собственноручными подписями или подписано КЭП (порочный круг :). Не уточнено, как в данном случае реализовано если учесть, что клиент по сути первым подписывает Согласие и до этого никаких соглашений не подписывал.
2) Если договорились подписывать OTP-SMS, то в тексте СМС должна быть или ссылка на подписываемый документ или его реквизиты, позволяющие клиенту однозначно понять, что он подписывает (можно еще весь текст документа, но это сложно реализуемо).
2) Согласен с Вами.
Я об этом сразу подумал после того как отправил коммент.
Клиент должен как то удостовериться что подписывает и то что он подписал сейчас не измениться.
Я думаю в данном случае ПЭП должна соответствовать свойствам КЭП как целостность, авторство, неотказуемость.
Возможно этот вопрос как то и решили.
В общем мало технических деталей в статье.
Я об этом сразу подумал после того как отправил коммент.
Клиент должен как то удостовериться что подписывает и то что он подписал сейчас не измениться.
Я думаю в данном случае ПЭП должна соответствовать свойствам КЭП как целостность, авторство, неотказуемость.
Возможно этот вопрос как то и решили.
В общем мало технических деталей в статье.
Процесс между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью регламентируется соглашением об использовании простой электронной подписи в соответсвии с ФЗ-63 «Об электронной подписи».
Т.е., теперь достаточно сломать только один централизованный сервер, чтобы получить все собранные персональные данные граждан России?
На сегодняшний день сервис позволяет организовать единый реестр сведений о сборе согласий, присваивая уникальный номер (ID) отслеживания статуса по каждому из субъектов персональных данных.
Больше уникальных идентификаторов для бога уникальных идентификаторов. А как же ЕСИА?
ps: а ещё же надо будет постоянно следить за бешенным принтером rg.ru/2021/01/11/personalnie-dannie-dok.html
Вот с учетом того, что в тексте проскальзывает, что на данный момент обработка ПД не производится в целях рекламы, то есть большое подозрение, что с обработкой персональных данных есть определенные проблемы.
Скорее всего брать согласие на обработку ПД вообще не требуется, а если следовать логике авторов комментариев к европейскому закону, то взятие согласия, когда оно не требуется, само по себе является нарушением.
Из статьи:
Вот это само по себе не правильно. В большинстве случаев основанием для законной обработки ПД являются исключения прописанные в законе, при которых брать согласие не требуется.
Скорее всего брать согласие на обработку ПД вообще не требуется, а если следовать логике авторов комментариев к европейскому закону, то взятие согласия, когда оно не требуется, само по себе является нарушением.
Из статьи:
Так как, в большинстве случаев, основанием для обработки таких данных является согласие на это.
Вот это само по себе не правильно. В большинстве случаев основанием для законной обработки ПД являются исключения прописанные в законе, при которых брать согласие не требуется.
В большинстве случаев в отношениях организаций с гражданами основанием для обработки ПДн является договор, одной из сторон которого является субъект ПДн. Правда тут есть одно «но», если ПДн передаются третьим лицам (любой другой организации, кроме различных узаконенных передач — в ПФР, в ходе оперативно-розыскной деятельности и тд), то нужно брать согласие, несмотря на исключение. А сейчас очень редко бывает, когда ПДн никуда дальше не передается. В статье конечно корявенько сформулировано, согласен.
Кстати, общепринятое сокращение «персональных данных» это все-таки ПДн, а не ПД. На этом в свое время настояли ФСТЭК России, тк у них сокращение ПД уже занято по ПротивоДействие. Например, ПД ИТР — ПротивоДействие Иностранным Техническим Разведкам. Странно конечно, но уж как есть.
Кстати, общепринятое сокращение «персональных данных» это все-таки ПДн, а не ПД. На этом в свое время настояли ФСТЭК России, тк у них сокращение ПД уже занято по ПротивоДействие. Например, ПД ИТР — ПротивоДействие Иностранным Техническим Разведкам. Странно конечно, но уж как есть.
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций),… передачу (распространение, предоставление, доступ), ...
Вот из этих двух положений закона следует, что и при передачи третьим лицам исключительно в целях исполнения договора брать согласие не следует.
Дальше в этой же статье:
Да, написано коряво. И можно подумать, что если есть договор есть, то согласие не нужно в этих случаях. Но практика проверок наших клиентов показала, что наличие договора не отменяет обязательность согласия на передачу третьим лицам. Отменяют только положения других ФЗ.
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора).
Да, написано коряво. И можно подумать, что если есть договор есть, то согласие не нужно в этих случаях. Но практика проверок наших клиентов показала, что наличие договора не отменяет обязательность согласия на передачу третьим лицам. Отменяют только положения других ФЗ.
От того, что есть незаконные требования конкретных региональных отделений РКН, положения закона никак не меняются. Аргументировать в суде придется. Но… Надо поставить 2 вопроса:
1) Если я взял согласие на обработку ПД при наличии договора, а клиент взял и сразу отозвал это согласие. Что мне делать?
2) А если я вообще не знаю, кому буду передавать данные клиента? А это часто встречающаяся ситуация ситуация при агентских договорах. А я в правильном согласии обязан указать всех, кому я буду передавать.
В целом в законе вынесены в исключения все случаи, когда обработка ПД неизбежна и производится в интересах клиента. Аргументацию для суда легко можно получить из европейских разъяснений аналогичного закона. Я не говорю, что надо ссылаться, но они там очень логично все описывают, почему это именно так, а не иначе.
1) Если я взял согласие на обработку ПД при наличии договора, а клиент взял и сразу отозвал это согласие. Что мне делать?
2) А если я вообще не знаю, кому буду передавать данные клиента? А это часто встречающаяся ситуация ситуация при агентских договорах. А я в правильном согласии обязан указать всех, кому я буду передавать.
В целом в законе вынесены в исключения все случаи, когда обработка ПД неизбежна и производится в интересах клиента. Аргументацию для суда легко можно получить из европейских разъяснений аналогичного закона. Я не говорю, что надо ссылаться, но они там очень логично все описывают, почему это именно так, а не иначе.
А как Вы доказываете получение согласия, если оно дано не в письменной форме и без использования ЭЦП? Вот, допустим, некто дал согласие через SMS или по уникальной ссылке, а потом заявил, что ничего не давал, РКН требует доказательств, что у Вас реально есть? Только логи собственного сервера? Так Вы можете в них нарисовать что угодно (это не обвинение, а просто констатация факта). Кто практически может выступить независимым и незаинтересованным «арбитром»? Под фактически я подразумеваю, что вопрос не стоит о подрыве госстроя и делом не занимается ФСБ/МВД с выемкой логов у операторов связи на обоих концах.
Согласие дается в форме электронного документа, подписанного простой электронной подписью (ПЭП) в соответствии с ФЗ-63 «Об электронной подписи». Все аспекты взаимоотношения между участниками электронного обмена, которые возникают в связи и в процессе формирования, отправки и получения электронного документа определяются Соглашением об использовании ПЭП.
В соответсвии с ч.1 ст. 8 ФЗ-152 «О персональных данных» согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
В соответсвии с ч.1 ст. 8 ФЗ-152 «О персональных данных» согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Я имел в виду практику. Некто отказывается от ПЭП, мол не я это был, Ваши действия?
Доказывать в суде, что не верблюд. Тут уже оператор ПДн взвешивает риски или получать согласие путем галочки «Я согласен» или обязать своих потенциальных клиентов обзавестись квалифицированной ЭП и тем самым этих клиентов распугать. Обычно выбирают первое, штрафы за отсутствие согласия пока все еще мизерные.
А как Вы отрабатываете ситуацию если идет отказ от подписания?
Откажете в предоставлении услуги?
Является такой отказ правомерным?
Обработка персональных данных в ДомКлик осуществляется с соблюдением принципов и правил, предусмотренных ФЗ-152 «О персональных данных». Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
По объяснению европейского регулятора фраза: «свободно, своей волей и в своем интересе» означает, что согласие может быть дано или не дано при заключении договора. Если контора отказывается заключить договор без согласия на обработку ПД, тогда считается, что согласие навязано. И вы хоть упишитесь в тексте согласия, что оно дано «свободно».
Как обстоят дела с подтверждением на обработку персональных данных для созаемщиков в ипотечном процессе? Сейчас в анкете заемщик вправе загрузить все данные созаемщика без его ведома и по факту вы так же будете обрабатывать эти данные без его ведома, чем в этом случае регламентируется обработка его ПД?
Sign up to leave a comment.
Сервис, позволяющий контролировать процесс сбора согласий на обработку персональных данных