Способы подписания субъектами согласий на обработку ПДн

В 152-ФЗ говорится, что рукописную подпись можно заменить ЭЦП, отсюда я делаю вывод, что согласие становится письменным, когда стоит «живая» подпись субъекта. Так ли это? Будет ли правильной следующая схема: - вход субъекта на сайт; - получение согласия (с просьбой ввести ФИО и паспортные данные); - подписание согласия на экране телефона (или любом другом устройстве с сенсорным экраном). Дополнительно в защиту этого метода хочу отметить, что на семинаре РКН в декабре 2019г. было сказано, что скан/фотография письменного согласия равны по силе оригиналу. Т.е. бумажка не нужна. И последняя ситуация, которую хочется рассмотреть в рамках вопроса: субъект ПДн полностью написал и подписал согласие с помощью сенсорного экрана или мышки компьютера; это является согласием в письменной форме?

Сначала следует определиться с терминологией: будем называть согласие предоставляемым в письменной форме только если оно обязано быть таким в силу требований законодательства (например, при обработке специальных категорий ПДн, при внесении ПДн в общедоступные источники, при трансграничной передаче ПДн в «неадекватную» страну и др.). В остальных случаях согласие не будем так называть, даже если оно оформлено на бумаге.

Согласие в письменной форме обязано соответствовать ч.4 ст.9 152-ФЗ. Это может быть либо [бумага + собственноручная подпись], либо [электронный документ + ЭП]. Вариант с подписью на сенсорном экране сразу не подходит: подпись собственноручная, а документ электронный.

Для возможности подписания согласия в письменной форме на сайте придётся использовать ЭП. 152-ФЗ не содержит информации о том, какой конкретно вид ЭП необходимо использовать, чтобы приравнять согласие к «бумажному». Тем не менее, в 63-ФЗ сказано, что информация в электронной форме, подписанная квалифицированной ЭП, признается электронным документом, равнозначным собственноручно подписанному документу на бумажном носителе. В то же время в отношении документов, подписанных простой или неквалифицированной ЭП для признания их равнозначными “бумажным” требуется прямое указание об этом в законе, соответствующих подзаконных актах, актах ЦБ или наличие соглашения об этом между оператором и субъектом ПД. В 152-ФЗ отсутствует указание на то, что согласие, подписанное простой или неквалифицированной ЭП, приравнивается к документу, составленному на бумажном носителе. Таким образом, при отсутствии исключений, предусмотренных специальными нормативными актами или соответствующего соглашения между оператором и субъектом ПД, будет действовать общее правило, при котором для легализации согласия в электронной форме необходима квалифицированная ЭП субъекта.

Отдельно следует рассмотреть получение через сайт скана бумажного согласия в письменной форме вместо оригинала. Такой способ нельзя назвать легитимным: ведь это электронный документ без ЭП (а значит есть риск искажения документа и некорректной идентификации личности субъекта ПДн). Комментарии РКН на эту тему касались хранения таких сканов вместо оригиналов, а не процедуры их получения.


Ответ подготовили Рудакова Светлана и Владимир Скурыдин (12.10.2020, с изменениями от 13.10.2020)