Защита персональных данных в интернет-магазинах
В современном бурно развивающемся IT-мире широкое распространение приобретает мир электронной коммерции: интернет-магазины / банки / сервисы, которые предоставляют пользователю множество полезных и удобных возможностей. А ещё, в этом же бурно развивающемся мире живёт, развивается и здравствует 152-ой федеральный закон и всё его множественное окружение в лице 1119 Постановления Правительства, 21-го приказа ФСТЭК, 66-ого - ФСБ и многие другие насущные представители целого мира под названием "защита персональных данных". Отсюда сразу возникает злободневный вопрос: как защищать персональные данные интернет-магазинов (в частности) в контексте всего этого поезда и маленькой тележки документов? О порядке действия оператора ПДн в общем случае, я писал в этой статье.
Эти два направления нашей реальности - интернет-коммерция и защита ПДн - вступают в глубокий конфликт. В особенности, в части таких, например, вещей, как получение от интернет-клиента согласия на обработку его персональных данных в письменной, как того требует закон, форме или обеспечение сертифицированного крипто-канала. Как же быть в таких ситуациях рядовым интернет-магазинам и прочим коммерческим web-сервисам? Рассмотрим эти вопросы подробнее.
Согласие на обработку персональных данных через "галочку" в форме. Законно ли?
Касательно получения согласия на обработку персональных данных посредством проставления "галочки" в электронной форме на сайте, в ФЗ-152 есть замечательная статья 9, п.4:
"В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
<...>
9) подпись субъекта персональных данных."
Из описанного видно, что кроме как через подписанное клиентской ЭП (в соответствии с 63-ФЗ "Об электронной подписи"), согласие в электронной форме законным являться никак не будет. Да и понятно: "галочка на сайте" никак не может являться аналогом собственноручной подписи, потому что поставить её может каждый и доказать, что её ставил клиент, а не Вы сами (имея полный доступ ко всему сайту и его средствам обработки данных ;)), вбив его данные, просто невозможно. Поэтому чтобы мы ни внедряли: коды активации, пароли и т.д. - всё равно соответствия не будет.
Но есть и, что называется, вторая сторона медали. Согласно ст.9 152-ФЗ, цитата: "субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом".
Положения законодательства не ограничивают возможность получения согласия субъекта персональных данных исключительно в письменной форме. При этом в законе чётко не прописано, в какой форме (кроме письменной) физическое лицо может дать свое согласие на обработку. Вопрос о возможности выражения согласия на сайте при заполнении заявки не урегулирован нормативными актами и официальными разъяснениями контролирующих органов.
На первый взгляд - противоречие. Но не всё так драматично. Дело в том, что 152-ФЗ устанавливает случаи, когда согласие субъекта на обработку персональных данных должно быть исключительно в письменной форме: при обработке специальных категорий персональных данных, поименованных в ч. 1 ст. 10 Закона N 152-ФЗ, и биометрических данных (п. 1 ч. 2 ст. 10, ч. 1 ст. 11 152-ФЗ).
Рассматривая реальную судебную практику, ситуация оказывается интереснее. Судебные прецеденты бывают самые разные. Есть реальные случаи, в которых "галочка на сайте" признаётся действительным согласием. Рассмотрим пример.
В судебном споре (Постановление ФАС Северо-Западного округа от 13 декабря 2010 г. N Ф07-13220/2010 по делу N А56-73636/2009) рассматривалась ситуация получения ипотечного кредита через заполнение электронной анкеты, выводы суда были следующими: "Физические лица - потенциальные клиенты на получение ипотечного кредита, заполняя анкету-запрос в письменном электронном виде на веб-ресурсах www.kredituem.com и www.creditsbrf.ru, последовательно отвечали на вопросы анкеты, содержащей сведения о персональных данных; цель предоставления данных - получение ипотечного кредита и обработка персональных данных, поскольку в анкете было указано, что кредит предоставляется банком... Затем данные физические лица отправляли анкету в электронном виде ООО "Кредитмарт", которое непосредственно имело доступ в административную часть порталов указанных веб-ресурсов под профилем "Руководитель офиса"... Отправив свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выразили свое согласие на передачу своих персональных данных, то есть при обработке персональных данных указанных лиц ООО "Авторим" получало их письменное согласие в смысле, определенном пунктом 4 статьи 9 Закона о персональных данных (той самой, что приводилась выше и где говорится об ЭП :))".
Тем не менее есть и другие прецеденты, где выводы суда прямо противоположны. Так что нарушение закона тут будет в любом случае, но риски сводятся к реальной судебной практике в конкретном регионе и однозначно их определить возможным не представляется.
Тут также важно отметить, что предоставление гос. услуг и деятельность муниципальных учреждений подпадает под совсем другие требования и коммерческим организациям равняться на них никак не стоит: ст. 9, п.5 152-ФЗ об этом прямо говорят: "Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг <...> устанавливается Правительством Российской Федерации". А правил этих много и разных. Они нас не особенно сейчас интересуют, потому и останавливаться на них не будем.
Таким образом, если организовать ЭП или получить от клиента (субъекта ПДн) оперативное письменное согласие почти нереально (т.к. часто это губит всё удобство, рентабельность и прелесть рассматриваемой системы), то принять риски придётся. Остаётся лишь уменьшить их. Сделать это можно, к примеру, путём введения смс-кодов подтверждения в качестве закрытого ключа к простой ЭП: да, это не квалифицированная ГОСТовая ЭП из 63-ФЗ, но реальное подтверждение получения клиентом согласия, а судебная практика в России такова, что часто смотрит на семантику закона (логику), а не синтаксис (букву). Процедуры получения письменного согласия тех субъектов, что приходят после принятия положительного решения, наверняка предусмотрены, так что код подтверждения смс ввести, и в этом отношении всё более менее нормально.
Что же касается защищённого канала связи, который в соответствии с ПП-1119 входит в перечень обязательных мер по защите ПДн, то обеспечить ГОСТ-овую криптографию на произвольном сайте - это что-то слабо реальное (хотя и выполнимое в виде развёртывания Trusted SSL ГОСТ). А вот обычный SSL внедрить можно, это решает фактическую проблему с защитой канала и на лояльность суда и регуляторов рассчитывать с таким решением вполне можно. С учётом того, что на первый раз штрафов по опыту практически не бывает риски здесь минимальны. И дождаться первой проверки ФСТЭК можно без особого беспокойства.
Такие вот дела.
Есть ещё множество важных вопросов, таких как нужна ли оператору ПДн лицензия на деятельность по технической защите конфиденциальной информации, обязательно ли использовать сертифицированные криптосредства или как снизить уровень защищённости ИСПДн?
Об этом всём я написал новую статью, которую можно прочитать, перейдя по этой ссылке. :)
С уважением,
Александр Лысяк
