Как продать техническое решение для клиентов, сделав его юридически безопасным?

Суть проекта: чтобы снять сомнения клиентов разработчика в законности программного обеспечения, нужно было подготовить рекомендации по доработке ПО для соблюдения закона.

Разработчик систем самообслуживания ИНВЕНД invend.ru сделал терминал для самостоятельной регистрации гостей отелей.
Задача отелей, которую решает терминал, – автоматизировать процесс заселения и выселения в отеле. Исключить оформление бумажных договоров с проверкой паспорта на ресепшене.

Как работает терминал?
Гость выбирает нужный номер в отеле с помощью терминала, прикладывает паспорт, терминал сканирует паспорт и вставляет данные в договор. Чтобы убедиться, что паспорт принадлежит гостю, терминал использует систему распознания лиц. После проверки гость подписывает договор проживания в отеле стилусом (пальцем на экране).
Удобно, правда?

Но юристы отелей спрашивали:
1. В каком законе прописано, что подпись гостя при заселении через терминал саморегистрации имеет такую же юридическую силу, как и подпись от руки на бумаге?
2. Как можно подтвердить для третьих лиц (например, суда), наличие согласия гостя на обработку биометрических персональных данных, которое было подписано стилусом/пальцем в терминале?
И без ответов на эти вопросы отели не готовы работать с терминалом.

📝Собрав эти вопросы на этапе разработки ПО разработчик обратился к нам за решение: что сделать, чтобы техническое решение было законным.
Мы подготовили правовое решение, которое удовлетворило отельеров, и было реализовано в терминале. Суть решения сводилась к тому, чтобы получить с помощью терминала письменное согласие гостей на обработку биометрических персональных данных. Фото в паспорте и изображение, распознаваемое системой распознания лиц относятся к биометрическим персональным данным. Для их обработки нужно именно письменное согласие.
Сделали это, придав юридическую силу подписи гостя стилусом/пальцем на экране терминала.
Для этого на основе наших рекомендаций разработчик доработал ПО:
1. реализовали возможность гостя прочитать (или пролистать) договор проживания в отеле до начала сканирования паспорта и распознания лица. И согласиться с договором, поставив «галочку». В договоре прописали, что подпись гостя на экране пальцем/стилусом имеет юридическую силу, как и подпись на бумаге.
Плюс ввели дополнительную идентификацию личности гостя с помощью отправки кода на телефон.
2. А дальше гость, подпись которого на экране стала легальной, дает согласие на обработку персональных данных, подписываясь на экране терминала. Это и есть то самое письменное согласие на обработку персональных данных.
3. Добавили в ПО два юридических документа: договор проживания в гостинице и политику обработки персональных данных. Последний документ содержит согласие гостя, воспользовавшегося терминалом, на обработку персональных данных. А с 01.07.2017 года его наличие обязательно в силу закона (если его нет, штраф от 15 т.р. до 30 т.р.).

📌Чтобы снять вопросы юристов отелей, подготовили ответы:
1. Какими законами обосновать юридическую силу подписи в терминале наравне с подписью на бумаге?

Подпись на экране терминала – это аналог собственноручной подписи.
Пункт 2 статьи160 Гражданского кодекса РФ разрешает использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.
Из этого пункта можно сделать 2 вывода:
1) можно использовать разные технологии, позволяющие ставить подпись с помощью сенсорного экрана, либо с помощью стилуса. Потому что в законе нет правил, которые обязывали бы использовать специальные технологии или технические устройства при заключении договора в электронной форме.
2) для этого нужно в соглашении (договоре) между отелем и гостем предусмотреть условие о правомерности использования такого аналога собственноручной подписи. Что и было включено в разработанные юристами документы.
Кроме ГК РФ правомерность использования аналога собственноручной подписи в целях заключения договоров и обмена документами, подтверждается Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Часть 4 статьи11 закона прямо говорит о возможности такого использования.

2. Как мы можно подтвердить для третьих лиц (например, суда), наличие согласия гостя на обработку биометрических персональных данных, которое было подписано стилусом/пальцем в терминале?

Подтвердить наличие согласия на обработку биометрических персональных данных можно с помощью:
1) электронного договора на проживание в гостинице с подписью Потребителя (в нем прописано согласие на обработку биометрических персональных данных)
2) правил, устанавливающих порядок (технологию) проверки аналога собственноручной подписи на достоверность. В правилах отражается технология установления лица, дающего согласия на обработку персональных данных.
Аналогичный подход используют банки, чтобы подтвердить, что электронный перевод денежных средств производится определенным плательщиком (глава 1 «Положения о правилах осуществления перевода денежных средств» (утв. Банком России 19.06.2012 № 383-П)).
Такое согласие дает отелям право:
1) сканировать паспорт с фото гостя и
2) использовать систему распознания лиц.
Для технической защиты от утечки персональных данных используются техническая защита сертифицированные ФСТЭК России и ФСБ России средства защиты информации персональных данных.

Результат:
Результат: были сняты возражения отелей по юридической безопасности терминала. Продукт не только автоматизирует процесс заселения в отель, но и защищает отель от штрафов за нарушение закона о персональных данных. юридически защищает отель. Устраняет вероятность штрафа за отсутствие политики обработки персональных данных (от 15 до 30 тысяч рублей) и штрафа за отсутствия письменного согласия гостей на обработку персональных данных (от 50 до 75 тысяч рублей).