четверг, 15 августа 2019 г.

Графическая подпись в согласии на обработку ПДн, составленном в форме электронного документа

В группе "Доступно о защите персональных данных" в соцсети Facebook был задан следующий вопрос:
Возник такой вопрос: насколько будет соответствовать 152 закону согласие на обработку персональных данных, подписанное самоличной подписью на графическом планшете? Известно, что многие крупные компании активно используют данную методу при сборе персональных данных, ссылаясь на отсутствие прямого требования закона к форме получения согласия на обработку. 
Давайте разбираться.

Часть 4 статьи 9 ФЗ "О персональных данных" гласит:
"В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.".
Согласно абзацу 1 части 4 статьи 9 ФЗ "О персональных данных", согласие должно быть оформлено в письменной форме.

Согласно ч. 1 ст. 160 ГК РФ:
Сделка в письменной форме должна быть совершена путем составления документа, выражающего ее содержание и подписанного лицом или лицами, совершающими сделку, или должным образом уполномоченными ими лицами.
Таким образом, согласие на обработку ПДн должно представлять из себя документ, выражающего содержание согласия и подпись лица, совершающего сделку.

Требования к содержанию согласия установлены абзацем 3 части 4 статьи 9 ФЗ "О персональных данных".

Теперь рассмотрим положения 2 абзаца части 4 статьи 9 ФЗ "О персональных данных", а именно:
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Из приведенной цитаты представляется возможным четко выделить два важных момента:

  1. Согласие может быть либо в форме документа на бумажном носителе либо в форме электронного документа.
  2. Согласие в форме электронного документа, должно быть подписано в соответствии с федеральным законом об электронной подписи. 

Согласно п. 11.1 ст. 2 Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"дает следующее определение термину "электронный документ":
электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах
Согласно указанному определению согласие, оформляемое с помощью планшета, является электронным документом.

Таким образом ссылка на "отсутствие прямого требования закона к форме получения согласия на обработку" представляется необоснованной.

Область применения электронной подписи регулируется Федеральным законом  от 06.04.2011 № 63-ФЗ "Об электронной подписи"

Ст. 2 ФЗ "Об электронной подписи" устанавливает следующее определение термина "электронная подпись":
электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию
Ч. 1 ст. 5 ФЗ "Об электронной подписи" определяются следующие виды электронной подписи:
Видами электронных подписей, отношения в области использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись) 
Ч. 2 ст. 5 ФЗ "Об электронной подписи" установлено следующее определение простой электронной подписи:
Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
По формальным признакам графическое изображение подписи субъекта, сформированное с помощью планшета, может быть отнесено к простой электронной подписи.

Ст. 4 ФЗ "Об электронной подписи" установлены следующие принципы использования электронной подписи:
Принципами использования электронной подписи являются:
1) право участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;
2) возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования настоящего Федерального закона применительно к использованию конкретных видов электронных подписей;
3) недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.
 ФЗ "О персональных данных" не установлены требования по применению конкретного вида электронной подписи при оформлении согласия субъекта ПДн.

Таким образом по формальным признакам, графическое изображение подписи субъекта, сформированное с помощью планшета, может использоваться в качестве электронной подписи, заверяющей согласие субъекта ПДн, оформленное в форме электронного документа.

P.S. Автор считает необходимым отметить следующее.
Использование простой электронной подписи при оформлении согласия субъекта ПДн несет в себе, по мнению автора, существенные риски для оператора ПДн.
Риски связаны с положениями ч. 3 ст. 9 "О персональных данных":
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
Фактически, данное положение определяет принцип "виновности оператора ПДн" по умолчанию. И доказать обратное - это его обязанность и интерес. Т.е. именно оператор ПДн должен доказать подлинность графического изображения подписи субъекта, сформированного с помощью планшета.

Вторым риском является отсутствие у графического изображения подписи субъекта, сформированного с помощью планшета, такого свойства как "неотрекаемость от подписи". Т.е. субъект ПДн может заявить, что не подписывал согласие, а подпись была скопирована или подделана, например методом оцифровки.

В случае использования графического изображения подписи субъекта, сформированного с помощью планшета, доказать факт заверения субъектом согласия в форме электронного документа очень затруднительно.
Графическое изображение подписи легко копируется и добавляется к любому содержанию любого электронного документа. А вот доказать подлинность такой подписи с помощью единственного доступного и принимаемого судами метода, а именно графологической (подчерковедческой) экспертизы, крайне сложно, т.к. в ходе экспертизы проверяется не только само начертание, но и характеристики и вектор приложения силы нажатия рукой, при подписании. При использовании обычного (бытового) электронного планшета зафиксировать данные о силе нажатия невозможно. Даже если электронный планшет оснащен резистивным экраном, и программное обеспечение позволяет фиксировать характеристики и вектор приложения силы при нажатии, применить их при графологической экспертизе крайне затруднительно, т.к. сам метод ориентирован на работу с бумажными документами.

P.S.P.S. Судебная практика или комментарии регуляторов по данному вопросу автору не известны. Если такая информация у Вас имеется, прошу оставлять ссылки в комментариях.
_________________________________________________________________________________
Disclamer (отказ от ответственности).
Содержание настоящей публикации является результатом частного рассмотрения положений Федеральных законов и иных нормативно-правовых актов, и содержит частные выводы и комментарии, которые ни в коем случае не следует воспринимать как официальное трактование или разъяснение положений указанных Федеральных законов и иных нормативно-правовых актов.

Мнение автора может не совпадать с официальным трактованием или разъяснением положений указанных Федеральных законов и иных нормативно-правовых актов. В таком случае следует руководствоваться текстом официальных разъяснений.

В случае необходимости получения официального трактования или разъяснения положений указанных Федеральных законов и иных нормативно-правовых актов следует обращаться в государственные органы власти, уполномоченные предоставлять такие разъяснения.

Комментарии: 0:

Отправить комментарий

Подпишитесь на каналы Комментарии к сообщению [Atom]

<< Главная страница