Допустимость включения в согласие на обработку ПДн возможности передачи оператором ПДн по открытым каналам связи
В форме Согласия на обработку персональных данных организации-оператора сказано, что субъект персональных данных дает согласие на передачу третьим лицам (обработчикам) его персональных данных по открытым каналам связи, и оператор не гарантирует конфиденциальности в отношении переданной таким образом информации. Соответствует ли данное положение Согласия на обработку персональных данных законодательству? Вправе ли оператор передавать персональные данные по открытым каналам связи?
Обязанность оператора не распространять ПДн (т.е. не раскрывать их неопределённому кругу лиц) закреплена в ст.7 ФЗ-152. Для обеспечения выполнения этой обязанности он должен принимать меры, которые посчитает необходимыми и достаточными (это требование ст.18.1 и 19).
Оператор может передавать ПДн по открытым каналам связи, но только если при этом не актуальны угрозы их перехвата (т.е. если он посчитает, что ПДн не могут стать известными неопределённому кругу лиц при такой передаче). Например, такие угрозы могут быть признаны неактуальными, если между оператором и «обработчиком» проложен выделенный оптический канал. Однако в описанном случае оператор прямо заявляет, что не гарантирует конфиденциальности ПДн, а значит, он не выполняет требования закона (ст.7, 18.1 и 19 ФЗ-152).
Стоит упомянуть, что согласия на передачу ПДн по открытым каналам связи ранее были не редкостью и встречались даже на государственных сайтах, в т.ч. на госуслугах и на сайте Роскомнадзора. Но это было на раннем этапе практики применения ФЗ-152, сейчас такие нарушения редки.
Ответ подготовила Светлана Рудакова (13.11.2020)