Сбор персональных данных, что нужно делать, чтобы не нарушить закон?

Добрый день, Станислав!

1 Нужно ли какое-то согласие от клиента на то, что я буду эти данные хранить? Если да, то в какой форме оно может быть предоставлено, можно ли взять согласие в виде подписи пальцем на экране планшета? Как ответ на СМС? Устно? На страничке веб-сайта?

Станислав

Да, его согласие требуется, поскольку хранение персональных данных с точки зрения закона — это уже обработка персональных данных:

Статья 3 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 04.06.2014) «О персональных данных» Основные понятия, используемые в настоящем Федеральном законе

3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Согласие лучше всего получить путем подписания клиентов соответствующего письменного согласия. Можно через интернет, но в этом и других случаях могут в случае спора быть сомнения относительно того, действительно ли конкретное лицо дало согласие.

2 Есть ли какие-то специальные требования к хранению таких данных?

Станислав

Да, есть требования к хранению как к обработке персональных данных:

Статья 5 ФЗ «О персональных данных» Принципы обработки персональных данных

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3 Есть ли какие-то проблемы с тем, что база данных расположена за рубежом РФ?

Станислав

Лучше всего об этом указать в самом согласии, которое будет подписывать клиент.

4 Нужно ли согласие и в какой форме, если я захочу посылать клиенту СМС?

Станислав

Да, нужно, иначе это будет нарушать ФЗ о рекламе и Вы можете быть привлечены к административной ответственности:

Статья 18 ФЗ «О рекламе» Реклама, распространяемая по сетям электросвязи

1. Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.

Статья 14.3 КоАП РФ Нарушение законодательства о рекламе

1. Нарушение рекламодателем, рекламопроизводителем или рекламораспространителем законодательства о рекламе, за исключением случаев, предусмотренных частями 2 — 5 настоящей статьи, частью 4 статьи 14.3.1, статьями 14.37, 14.38, 19.31 настоящего Кодекса, —

влечет наложение административного штрафа на граждан в размере от двух тысяч до двух тысяч пятисот рублей; на должностных лиц — от четырех тысяч до двадцати тысяч рублей; на юридических лиц — от ста тысяч до пятисот тысяч рублей.

Добрый день.

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)(см. текст в предыдущей редакции)
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. 2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. 3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.КонсультантПлюс: примечание.В соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ (ред. от 02.07.2013) в случаях, если федеральными законами и иными нормативными правовыми актами, вступившими в силу до 1 июля 2013 года, предусмотрено использование электронной цифровой подписи, используется усиленная квалифицированная электронная подпись. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;9) подпись субъекта персональных данных. 5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации. 6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных. 7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни. 8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

1 Нужно ли какое-то согласие от клиента на то, что я буду эти данные хранить? Если да, то в какой форме оно может быть предоставлено, можно ли взять согласие в виде подписи пальцем на экране планшета? Как ответ на СМС? Устно? На страничке веб-сайта?

Да, согласие нужно.

Однако обратите внимание, что указано в ст. 9.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)(см. текст в предыдущей редакции)
В целях настоящего Федерального закона используются следующие основные понятия: 1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; 3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; 4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

2 Есть ли какие-то специальные требования к хранению таких данных?

Статья 6. Условия обработки персональных данных
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)(см. текст в предыдущей редакции)
1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; 3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта); 4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;(в ред. Федерального закона от 05.04.2013 N 43-ФЗ)(см. текст в предыдущей редакции) 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;(п. 5 в ред. Федерального закона от 21.12.2013 N 363-ФЗ)(см. текст в предыдущей редакции) 6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных; 9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных; 10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных); 11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. 2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона. 3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. 4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. 5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

3 Есть ли какие-то проблемы с тем, что база данных расположена за рубежом РФ?

Нет. сейчас требование хранить данные на серверах в РФ только к кредитным организациям.

. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях: 1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;2) предусмотренных международными договорами Российской Федерации;3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства; 4) исполнения договора, стороной которого является субъект персональных данных; 5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

4 Нужно ли согласие и в какой форме, если я захочу посылать клиенту СМС?

Согласие нужно. в письменной форме, можно сделать галочку на сайте.

Станислав, добрый день.

1 Нужно ли какое-то согласие от клиента на то, что я буду эти данные хранить? Если да, то в какой форме оно может быть предоставлено, можно ли взять согласие в виде подписи пальцем на экране планшета? Как ответ на СМС? Устно? На страничке веб-сайта?

Станислав

[Закон РФ «О персональных данных»]
[Глава 2]
[Статья 9]

1. Субъект персональных данных принимает решение о
предоставлении его персональных данных и дает согласие на их обработку
свободно, своей волей и в своем интересе. Согласие на обработку
персональных данных должно быть конкретным, информированным и
сознательным. Согласие на обработку персональных данных может быть дано
субъектом персональных данных или его представителем в любой позволяющей
подтвердить факт его получения форме, если иное не установлено
федеральным законом. В случае получения согласия на обработку
персональных данных от представителя субъекта персональных данных
полномочия данного представителя на дачу согласия от имени субъекта
персональных данных проверяются оператором.

4. В случаях, предусмотренных федеральным законом, обработка
персональных данных осуществляется только с согласия в письменной форме
субъекта персональных данных. Равнозначным содержащему собственноручную
подпись субъекта персональных данных согласию в письменной форме на
бумажном носителе признается согласие в форме электронного документа,
подписанного в соответствии с федеральным законом электронной подписью.

[Закон РФ «О персональных данных»]
[Глава 1]
[Статья 3] 

3) обработка персональных данных — любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными
данными, включая сбор, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных;

3 Есть ли какие-то проблемы с тем, что база данных расположена за рубежом РФ?

Станислав

Где она хранится не принципиально.

4 Нужно ли согласие и в какой форме, если я захочу посылать клиенту СМС?

Станислав

Это должно быть оговорено при подписании клиента согласия на обработку его данных.

Добрый день!

Обработка
персональных данных включает и хранение персональных данных.

Статья
6 Федерального закона «О персональных данных». Условия обработки персональных
данных

1. Обработка персональных данных должна
осуществляться с соблюдением принципов и правил, предусмотренных настоящим
Федеральным законом. Обработка персональных данных допускается в следующих
случаях:

1) обработка персональных данных осуществляется с согласия
субъекта персональных данных на обработку его персональных данных;

Статья 3. Основные понятия,
используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются
следующие основные понятия:

1) персональные данные — любая информация,
относящаяся к прямо или косвенно определенному или определяемому физическому
лицу (субъекту персональных данных);

3) обработка персональных данных — любое действие
(операция) или совокупность действий (операций), совершаемых с использованием
средств автоматизации или без использования таких средств с персональными
данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение персональных данных;

Статья 5. Принципы обработки
персональных данных

Каким образом осуществляется хранение персональных
данных:

7. Хранение
персональных данных должно осуществляться в форме, позволяющей определить
субъекта персональных данных, не дольше, чем этого требуют цели обработки
персональных данных, если срок хранения персональных данных не установлен
федеральным законом, договором, стороной которого, выгодоприобретателем или
поручителем по которому является субъект персональных данных. Обрабатываемые
персональные данные подлежат уничтожению либо обезличиванию по достижении целей
обработки или в случае утраты необходимости в достижении этих целей, если иное
не предусмотрено федеральным законом.

Форма согласия на обработку
персональных данная любая, может быть согласие в форме электронного документа.

Статья 9. Согласие субъекта
персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о
предоставлении его персональных данных и дает согласие на их обработку
свободно, своей волей и в своем интересе. Согласие на обработку персональных
данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных
может быть дано субъектом персональных данных или его представителем в любой
позволяющей подтвердить факт его получения форме, если иное не установлено
федеральным законом. В случае получения согласия на обработку персональных
данных от представителя субъекта персональных данных полномочия данного
представителя на дачу согласия от имени субъекта персональных данных
проверяются оператором.

4. В случаях, предусмотренных федеральным законом,
обработка персональных данных осуществляется только с согласия в письменной
форме субъекта персональных данных. Равнозначным
содержащему собственноручную подпись субъекта персональных данных согласию в письменной
форме на бумажном носителе признается согласие в форме электронного документа,
подписанного в соответствии с федеральным законом
электронной подписью. Согласие в
письменной форме субъекта персональных данных на обработку его персональных
данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта
персональных данных, номер основного документа, удостоверяющего его личность,
сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя
субъекта персональных данных, номер основного документа, удостоверяющего его
личность, сведения о дате выдачи указанного документа и выдавшем его органе,
реквизиты доверенности или иного документа, подтверждающего полномочия этого
представителя (при получении согласия от представителя субъекта персональных
данных);

3) наименование или фамилию, имя, отчество и адрес
оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых
дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес
лица, осуществляющего обработку персональных данных по поручению оператора,
если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на
совершение которых дается согласие, общее описание используемых оператором
способов обработки персональных данных;

8) срок, в течение которого действует согласие
субъекта персональных данных, а также способ его отзыва, если иное не
установлено федеральным законом;

9) подпись субъекта персональных данных.

При передачи данных за рубеж:

Статья 12. Трансграничная
передача персональных данных

1. Трансграничная передача персональных данных на
территории иностранных государств, являющихся сторонами Конвенции
Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных, а также иных иностранных государств, обеспечивающих
адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может
быть запрещена или ограничена в целях защиты основ конституционного строя
Российской Федерации, нравственности, здоровья, прав и законных интересов
граждан, обеспечения обороны страны и безопасности государства.

3. Оператор
обязан убедиться в том, что иностранным государством, на территорию которого
осуществляется передача персональных данных, обеспечивается адекватная защита
прав субъектов персональных данных, до начала осуществления трансграничной
передачи персональных данных.

Принципиально выяснить следующее: Если клиент распишется на экране планшета пальцем, это будет считаться согласием? Если клиент получит СМС и ответит на него с текстом «да» например. Это будет считаться согласием?

Станислав

Здравствуйте.

Как вариант: брать контактные данные не устно, а сделать небольшой бланк, где оставить место под ФИО, год рождения, номер телефона, а ниже дописать, что субъект дает согласие на обработку своих персональных данных таким-то способом такой-то организацией в такой-то период. После заполнения бланка просить клиента проверить номер телефона и расписаться. Такое часто практикуется, недоумения у клиента вызвать не должно.

4 Нужно ли согласие и в какой форме, если я захочу посылать клиенту СМС?

Станислав

Зависит от содержания СМС. Если речь идет о рекламных сообщениях, то Вам нужно соблюдать законодательство о рекламе, в частности ст. 18 ФЗ «О рекламе»:

1.
Распространение рекламы по сетям электросвязи, в том числе посредством
использования телефонной, факсимильной, подвижной радиотелефонной связи,
допускается только при условии предварительного согласия абонента или
адресата на получение рекламы

Т.е. нужно будет предварительно получить согласие на получение рекламы посредством телефонной связи. При этом обратите внимание, что

2. Не
допускается использование сетей электросвязи для распространения рекламы
с применением средств выбора и (или) набора абонентского номера без
участия человека (автоматического дозванивания, автоматической
рассылки).

1 Нужно ли какое-то согласие от клиента на то, что я буду эти данные хранить? Если да, то в какой форме оно может быть предоставлено, можно ли взять согласие в виде подписи пальцем на экране планшета? Как ответ на СМС? Устно? На страничке веб-сайта?

Станислав

да, согласие нужно, согласие может быть выражено в форме — подписи на планшете (подпись сохраняете или переводите ее а формат PDF), так ответом СМС. Устно — нет, на странице веб-сайта — галочка.

2 Есть ли какие-то специальные требования к хранению таких данных?

Станислав

да, на серверах, расположенных в России, уровень защиты вот здесь: http://zakonbase.ru/content/part/1154426

3 Есть ли какие-то проблемы с тем, что база данных расположена за рубежом РФ?

Станислав

можно, запрет только по данным кредитных организаций, но см. ответ на следующий вопрос

3 Есть ли какие-то проблемы с тем, что база данных расположена за рубежом РФ?

Станислав

пока нет, но на осенней сессии Госдумы будет рассмотрено дополнение к закону о хранении всех персональных данных на серверах России, так что лучше сразу сделать хранение в России

4 Нужно ли согласие и в какой форме, если я захочу посылать клиенту СМС?

Станислав

да, нужно. Согласие простое — галочка на веб-сайте, роспись в планшете или личная подпись или отправка обратного СМС клиентом, когда получить от Вас СМС с просьбой подтвердить разрешение на посылку ему СМС от Вас

Если клиент распишется на экране планшета пальцем, это будет считаться согласием? Если клиент получит СМС и ответит на него с текстом «да» например. Это будет считаться согласием?

Станислав

Да, это будет согласием. Обычно сохраняют его подпись не только в виде рисунка в планшете, но и переводят в графическое изображение PDF формат. 

Не забудьте добавить в разрешительную документацию, что клиент согласен на обработку и хранение его персональных данных + все данные, включая его согласие, обрабатываются в электронном виде. Это на тот случай, если клиент потом скажет — а покажите мне мою подпись на бумаге.

Здравствуйте!

Постараюсь ответить коротко и по сути, чтобы не загромождать лишним текстом.

Статья 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» 

3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включаясбор, запись, систематизацию, накопление, хранение,уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Таким образом, да, согласие клиента необходимо.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Как правильно получить согласие клиента? планшет и СМС это возможные способы, не запрещенные законом. Однако они видятся не очень надежными, поскольку оспоримы.

Я бы рекомендовал Вам ввести на сайте процедуру регистрации разместив оферту — соглашение об обработке персональных данных. даже можно подумать над публичной офертой.

Статья 435. Оферта
1. Офертой признается адресованное одному или нескольким конкретным лицам предложение, которое достаточно определенно и выражает намерение лица, сделавшего предложение, считать себя заключившим договор с адресатом, которым будет принято предложение.

Оферта должна содержать существенные условия договора.

Статья 437. Приглашение делать оферты. Публичная оферта
2. Содержащее все существенные условия договора предложение, из которого усматривается воля лица, делающего предложение, заключить договор на указанных в предложении условиях с любым, кто отзовется, признается офертой (публичная оферта).

Статья 438. Акцепт
1. Акцептом признается ответ лица, которому адресована оферта, о ее принятии.Акцепт должен быть полным и безоговорочным.

То есть просто размещаете на сайте согласие об обработке персональных данных и устанавливаете «галочку» или «кнопку „принять“. После ее нажатия, зарегистрированный пользователь будет считаться давшим согласие на обработку персональных данных. Оспорить такое согласие будет достаточно сложно.

С уважением,

Ярослав Цветков.

Добрый день, согласие возможно получить разместив на сайте текст о Вашем намерении получать, хранить и обрабатывать персональные данные, и поставить вопрос о том что нажав например на ту или иную кнопку или поставив галочку клиент подтверждает согласие, если не подтверждает дальнейшие действия на сайте не выполняются, для того, чтобы проверить реальность человека возможно просить указать номер телефона, куда приходит код подтверждения. Данная технология реализована на многих ресурсах.