Персональные данные и публичная оферта

Question

[jazvenko]

И так, мы имеем:

Федеральный закон от 06.04.2011 N 63-ФЗ «Об электронной подписи»

Статья 5. п. 2 Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Статья 6. п. 2 Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия.

Статья 9. Использование простой электронной подписи
1. Электронный документ считается подписанным простой электронной подписью при выполнении в том числе одного из следующих условий:
1) простая электронная подпись содержится в самом электронном документе;
2) ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.12.2010) «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Статья 9. п. 4 В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой подписью

Итого мы получаем:

ЭЦП — пароль, логин, наш алгоритм (63-ФЗ ст.ст. 5, 9)
Электронный документ — то самое соглашение или договор подписанные ЭЦП с указанием в докуменье ФИО и номера телефона (телефон проверить при регистрации не составит труда) (63-ФЗ ст. 5, 9)
Соглашением между участниками электронного взаимодействия — оферта на сайте принимаемая пользователем при регистрации (обычно это выглядит как «Я согласен с условиями...»)

Описание процесса регистрации:

1. При заполнении реквизитов при регистрации, две галочки «Я согласен на обработку моих персональных данных» и «Я согласен с условиями соглашения»
2. После нажатия кнопки «Регистрация» отправляется код на телефон и предлагается его ввести для подтверждения номера
3. После подтверждения номера формируется простая ЭЦП, ей подписываются 2 электронных документа «Соглашение на обработку ПДн» и «Соглашением между участниками электронного взаимодействия», документы аккуратно складываться на и хранятся на сервере оператора.

Таким образом, мы уходим от необходимости получения согласия в письменной форме.

Всё вполне законно? Или я что-то упустил?

Answer 1

[Kindman]

Конечно же упустили:
Вот ситуация:
1) какой-то пиндос вводит в анкету при регистрации ЧУЖИЕ персональные данные
и ставит две галочки
2) на телефон с украинским номером приходит код подтверждения, который пиндос вводит
3) далее на сервере формируются ЭЦП, подписываются документы, складываются на сервер и всякое такое
4) далее эти данные начинают использоваться, и об этом узнает НОСИТЕЛЬ персональных данных
5) он пишет телегу в ФСБ/ФСТЭК/Путину что его перданные ВЫ незаконно используете
6) начинается маски-шоу, приезжают забирают СЕРВЕР для проверки

Comments

[jazvenko]

При регистрации только телефон, ФИО и email. Всё завязано на телефон (номер не повторяется). Можно дополнительно позванивать номер.

[Kindman]

1-day-mail и украинский телефон, даже если будете прозванивать — не поможет.
Вам все равно придется «на-слово» доверять тому, кто ответит на другом конце провода, со всеми вытекающими маски-шоумами

[Kindman]

>> телефон проверить при регистрации не составит труда
что Вы под этим подразумевали?

[jazvenko]

И часто при получения согласия в письменной форме на обработку ПД в паспорт смотрят. Его ведь тоже можно переклеить при желании. И подписать согласие от чужой фамилии. И тоже самое маски шоу.
А про телефон имею ввиду что можно слать смс с кодом для активации.

[Kindman]

>>… часто при получения согласия в письменной форме на обработку ПД в паспорт смотрят…
Это прямая обязанность Оператора ПДн, в том числе визуальная сверка подписи. Более того, сама подпись на самом заявлении о согласии должна делаться лично дающим это согласие в присутствии оператора.
>>… Его ведь тоже можно переклеить при желании…
что именно переклеить? фотографию из одного паспорта в другой? О чем идет речь вообще?
>>… И подписать согласие от чужой фамилии…
Как Вы себе это представляете? Типа, я Иванов Иван Иванович даю согласие на обработку персональных данных Петрова Петра Петровича?
>>… И тоже самое маски шоу…
В слкчае таких серьезных нарушений это Маски-шоу будет даже к месту! И метлой поганой гнать нужно таких горе-операторов!!!

>> А про телефон имею ввиду что можно слать смс с кодом для активации
Этим Вы сможете подтвердить всего лишь существование самого телефонного номера, который оказался в распоряжении у пиндоса в момент заполнения формы. Но никак не связь НОСИТЕЛЯ персональных данных с этим номером.
Пример: пиндос пишет в форме:
ФИО: «Владимир Владимирович Путин»
Тел: «89012345678»
ставит две галочки
отправляет запрос
ждет кода подтверждения на СМС
вводит код полученный по СМС

это совсем не значит что таким образом Владимир Владимирович дал ВАМ (Вашему сервису) свое согласие на обработку его пер.данных

[jazvenko]

И я ведь на самом деле с Вами согласен полностью, но хотелось бы как-то упростить регистрацию пользователей. А как происходит регистрация на сайтах например с резюме? Яж ничего не подписываю, а мои ПДн есть и они их обрабатывают. Да и таких сайтов много. Взять тот же rzd.ru продажа билетов в онлайне. Задача ведь не красть ПДн, а упростить какраз жизнь тем самым пользователям сервиса при этом защищая их данные.