Возможно ли дистанционное подписание согласий на обработку персональных данных? Достаточно ли скан-копии согласия, которое соискатель направит со своего телефона или электронной почты, позволяющих достоверно определить, кто отправитель скан-копии?

  •  7 апреля 2026 г.

Согласие субъекта персональных данных или его представителя может быть дано в любой форме, позволяющей подтвердить факт его получения оператором, если иное не установлено федеральным законом (ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", далее — Закон о персональных данных).

В случаях, когда федеральным законом требуется письменная форма согласия (например, при обработке специальных или биометрических персональных данных, передаче третьим лицам и др.), оно должно быть оформлено отдельно от иных документов и содержать все сведения, предусмотренные ч. 4 ст. 9 Закона о персональных данных.

Если законодательство не требует именно письменной формы с собственноручной подписью, допустимо получение согласия посредством скан-копии, направленной с электронной почты или телефона, позволяющих достоверно идентифицировать отправителя (ч. 1 ст. 9 Закона о персональных данных; консультации Роскомнадзора). 

Получение согласия на обработку персональных данных посредством электронной почты, мессенджера или телефонного разговора влечет необходимость сохранения истории взаимодействия с субъектом персональных данных. В случае, когда законодательство РФ возлагает на оператора обязанность получения согласия субъекта в письменной форме, подтверждением его наличия будет исключительно согласие, содержащее собственноручную подпись субъекта или электронный документ, подписанный в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи" (ч. 4 ст. 9 Закона N 152-ФЗ).

 

Обоснование

 

Касаемо формы согласия, отметим следующее: из положений ч. 1 ст. 9 Закона N 152-ФЗ следует, что согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных, отвечающего требованиям ч. 4 ст. 9 Закона N 152-ФЗ (в частности, обработка специальных категорий и биометрических персональных данных; при принятии решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы на основании автоматизированной обработки его персональных данных, и др. случаях).

Вместе с тем, независимо от формы (способа) получения согласия субъекта на обработку его персональных данных, в ч. 1 ст. 9 Закона N 152-ФЗ установлено, что решение о предоставлении персональных данных должно приниматься и согласие на их обработку должно даваться субъектом свободно, своей волей и в своем интересе, а также должно быть конкретным, предметным, информированным, сознательным и однозначным.

Начальной точкой обработки персональных данных является их сбор, под которым с учетом содержания ст. 18 Закона N 152-ФЗ понимается процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо иного лица (представителя и др.) для совершения дальнейших действий (операций) с ними в соответствии с заранее определенными целями. Указанный подход подтверждается и позицией Минцифры России, согласно которой в целях толкования под сбором персональных данных можно понимать документально оформленную процедуру получения оператором от субъекта его персональных данных для их последующей обработки в соответствии с заявленными целями сбора.

То есть, если речь идет о предоставлении персональных данных непосредственно субъектом, в том числе путем их направления в адрес оператора посредством функционала сайта в сети "Интернет", электронной почты или мессенджера, то указанное может являться подтверждением наличия согласия на их обработку (конклюдентные действия), в частности, в целях заключения и исполнения договора. Однако, поскольку ч. 3 ст. 9 Закона N 152-ФЗ обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия предусмотренных условий (оснований) возлагается на оператора, то при наличии предусмотренных п.п. 2-11 ч. 1 ст. 6ч. 2 ст. 10ч. 2 ст. 11 Закона N 152-ФЗ оснований обязанностью оператора будет предоставить соответствующее обоснование обработки персональных данных, например в силу закона, договорных обязательств и т.д. Если же условием обработки является исключительно согласие субъекта, то оператору необходимо обеспечить возможность в дальнейшем предоставить соответствующее подтверждение того, что такое согласие действительно было дано субъектом. В частности, в случае получения согласия посредством функционала сайта в сети "Интернет" такая возможность достигается хранением лог-файлов, представляющих собой журнал автоматического ведения учета системной информации о работе сервера и информацию о действиях пользователей. Получение согласия на обработку персональных данных посредством электронной почты, мессенджера или телефонного разговора влечет необходимость сохранения истории взаимодействия с субъектом персональных данных. В случае, когда законодательство РФ возлагает на оператора обязанность получения согласия субъекта в письменной форме, подтверждением его наличия будет исключительно согласие, содержащее собственноручную подпись субъекта или электронный документ, подписанный в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи" (ч. 4 ст. 9 Закона N 152-ФЗ).

Но также стоит обратить внимание на следующие разъяснения: Роскомнадзор неоднократно высказывал позицию, что передача персональных данных по незащищенным каналам связи Законом N 152-ФЗ не запрещена.

Однако надлежит учитывать, что в силу ч. 1 ст. 19 Закона N 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных в информационных системах достигается в том числе с применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных (ч. 2 ст. 19 Закона N 152-ФЗ).

Приказом ФСТЭК России от 18 февраля 2013 г. N 21 (далее - Приказ N 21) утверждены Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, в силу которых оператор персональных данных при передаче (подготовке передачи) персональных данных по электронной почте выполняет следующие меры безопасности персональных данных:

- антивирусная защита - мера безопасности АВЗ.1;

- защита информационной системы, ее средств, систем связи и передачи данных - мера безопасности ЗИС.3 "Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи";

- обеспечение целостности информационной системы и персональных данных - мера безопасности ОЦЛ.4 "Обнаружение и реагирование на поступление в ИСПДн незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию ИСПДн (защита от спама)".

Реализация базовой меры ЗИС.3 обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения с использованием сертифицированных ФСБ России СКЗИ (средства криптографической защиты информации) в соответствии с Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной Приказом ФАПСИ от 13 июня 2001 г. N 152.

Еще по этой теме

КонсультантПлюс

СБИС

Образование

Новости

Мероприятия

Записи мероприятий

Подборки

Справочная информация

Библиотека

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie. Они помогают нам делать этот сайт удобнее для пользователей. Нажав кнопку «Соглашаюсь», вы даете свое согласие на обработку файлов cookie вашего браузера. Однако вы можете запретить обработку некоторых типов файлов cookie в настройках вашего браузера. С условиями обработки данных при помощи файлов cookie можно ознакомиться в Политике.