Получившийся диалог с Алексеем Волковым после моего комментария :
Здесь есть несколько важных для меня моментов:
1. При работе с партнерами за рубежом можно нарваться на трансграничную передачу просто отправив подтверждение только что полученных данных. На территории РФ это ПД и передавать за рубеж только по письменному согласию. Понятно, что бред, но прямое чтение оставляет только такие мысли.
2. В общем случае форма согласия может быть любая и только в определённых законом случаях письменная.
3. Нет ясности и не предвидится с ЛООПДППО.
Сокращения:
А.В. – Алексей Волков
Р.П. – Руслан Пермяков
А.В.: Вы оперируете понятиями законопроекта, поэтому на нем и остановимся. Если смотреть дословно, то понятия "обработчик" в нем тоже нет, есть ЛООПДППО, и поручение ему может выписать только другой ОПЕРАТОР, который определяет цели. Поскольку субъект оператором быть не может, т.к. не попадает под действие ЗоПД, то ни о каком поручении и ЛООПДППО речи быть не может. Тем не менее, сыграть в игру "я не оператор" все же стоит, исходя из определения оператора.
Статьей 9 пунктом 1 действительно предусмотрена любая форма. И все было бы хорошо, если бы не приписка "если иное не установлено федеральным законом". И этим же 152-ФЗ установлено только 2 формы: письменная и ЭЦП. Так что свобода автоматически ограничена: сможете найти ФЗ, который перебивает 152-ФЗ в отношении согласия, получаемого через интернет-форму - бодайтесь, Ваша возьмет. Не сможете - бесперспективняк.
Единственное, с чем можно согласиться, это, пожалуй, трансграничка, но и то, если текст отправленной СМС не отображается в истории при отслеживании на самом сайте. А он, насколько мне известно, отображается. Так что увы...
Кругом двойные толкования.
Р.П.:
Вообще-то в определении Оператора присутствуют магические слова "физические лица". ;) Про цели в определении не сказано не слова, это заявлено выше.
По пункту 4 статьи 6, где предусмотрено две формы согласия, я готов биться, что она возникает только в случаях "предусмотренных федеральным законом", а это закрытый список: общедоступные источники, специальные категории, биометрия, трансграничная передача, автоматические решения и все. В соответствующих статьях идет ссылка на форму. Это пройдет на 100%. Ак что во всех остальных случаях согласие может быть любым. Или я не в то место закона смотрю?
А история отображается за границу в отношении персданных полученных из-за границы. Если толковать на уровне движения пакетов, то трафик за бугор надо резать. ;) Короче здесь вроде как хорошо. Еще бы Царева на эту тему услышать. ;) А то я не юрист.
А.В.:
В "операторе" действительно есть определение "физического лица", но пункт 1 статьи 2 выводит физлиц, если они обрабатывают ПДн для личных и семейных нужд. Так что если доказать, что СМС была отправлена для личной нужды, то такой субъект - не оператор. Если для корпоративной или иной другой - то оператор. Во как :)
И как же про цели не сказано - статья 3 пункт 2: "а также определяющее цели обработки".
Внимательно читаем пункт 1 статьи 9. Согласие на обработку ПДн может быть дано ... в любой форме ... позволяющей подтвердить факт его получения ... если иное не установлено ФЗ. Вы ссылаетесь на пункт 4 статьи 9 (а не 6), и готовы биться, и я Вам скажу, что имеете право. Однако здесь опять двойное толкование - о чем идет речь в п. 1 ст. 9: о ФОРМЕ, а не о случаях. Готовы доказать обратное - велкам :)
А какая разница, откуда она получена? За границу передается - будьте любезны.
Р.П.:
Про трансграничную [передачу]: форму [web] отслеживания статуса править надо и все, не будет там ее [трансграничной передачи].
Про оператора: про цели [обработки] я имел в виду какие цели личные или общественные. ;)
Про форму [согласия], я вижу следующую цепочку: Есть определение формы [согласия] и оно открытое, есть прицеп в виде "если иное не установлено федеральным законом". Далее в Законе перечислены случаи когда это ограничение действует. Наши юристы говорят железобетонно.