За апошнія некалькі гадоў усе мы чулі словазлучэнне "персанальныя дадзеныя". У большай ці меншай ступені прывялі свае бізнес-працэсы ў адпаведнасць з патрабаваннямі заканадаўства ў гэтай галіне.
Колькасць праверак Роскомнадзора, якія выявілі ў гэтым годзе парушэнні ў гэтай галіне, настойліва імкнецца да 100%. Статыстыка Упраўлення Роскомнадзора па ЦФО за 1 паўгоддзе 2019 года - 131 парушэнне за 17 праверак.
Пры гэтым нашая паўсядзённая рэчаіснасць — «халодныя» званкі ад розных арганізацый, з якімі, магчыма, ніколі і не меў спраў. З мабільных тэлефонаў ад імя буйнога бізнэсу (банкі, страхавыя кампаніі і тд). Смс-рассыланні, ад якіх немагчыма адмовіцца. Іх колькасць, здаецца, толькі расце.
Выканаць баланс паміж інтарэсамі бізнесу і выкананнем патрабаванняў рэгулятара - сапраўдны челлендж для бізнесу любога памеру. Пералік і дастатковасць мер, якія прымяняюцца, закон прапануецца ацэньваць самастойна. З пазітыўных момантаў - знізіць рызыкі можна, пазбегнуўшы самых распаўсюджаных парушэнняў. Тым больш, што гэта не запатрабуе дадатковых затрат і прыняцця тэхнічна складаных мер.
І так, топ-1 у спісе - парушэнне ўмоў апрацоўкі персанальных дадзеных. Прыклады: няпоўны пералік мэт апрацоўкі, катэгорый суб'ектаў, а таксама трэціх асоб, якім прадастаўлены доступ да даных.
Ісціна, якую давядзецца прыняць: немагчыма зрабіць адну тыпавую згоду на ўсе выпадкі жыцця – ні для супрацоўнікаў, ні для кліентаў, ні для карыстальнікаў праграмнага прадукту. Хаця вельмі хочацца.
Кожны раз, запускаючы новую маркетынгавую кампанію або мяняючы сістэму продажаў, выдаткаваць 5 хвілін і праверыць, каб згоду змяшчала:
1) найменне і адрас кампаніі - аператара,
2) мэты апрацоўкі,
3) пералік дадзеных,
4) пералік дзеянняў з дадзенымі і спосабаў іх апрацоўкі,
5) трансгранічная перадача і/або перадача трэцім асобам (з указаннем канкрэтных краін і трэціх асоб),
6) тэрмін дзеяння згоды і
7) спосаб яго водгуку.
Рэдкі шаблон з інтэрнэту можа пахваліцца адпаведнасцю ўсім крытэрам, так што пазычаць можна, але з аглядкай і дадаткамі.
Аўдытары атрымалі доступ да дакументаў, якія змяшчаюць персанальныя дадзеныя? - Патрабуецца згоду з указаннем мэты (правядзенне аўдыту), найменне і адрасы кампаніі аўдытара. Змянілася кампанія, якая дастаўляе тавары інтэрнэт-крамы? - Згоды, атрыманага пры рэгістрацыі кліента на сайце, ужо недастаткова. Варыянт са спасылкай на спіс партнёраў не забяспечыць 100% спакою, але гэта лепш, чым нічога.
Асобнай згадкі заслугоўвае апрацоўка дадзеных канчатковых карыстальнікаў праграмнага забеспячэння. Калі жадаецца як мага лепш шляхта свайго карыстача і дасылаць яму актуальныя прапановы. Калі дадзеныя збіраюцца і захоўваюцца, хоць для рэгістрацыі праграмнага прадукта досыць ліцэнзійнага ключа. Мы можам выкарыстоўваць такія дадзеныя са згоды суб'екта, але не прывязваць магчымасць аказання асноўнага сэрвісу / продажу прадукта да абавязковай маркетынгавай рассылцы. Гэта ўжо ня толькі пра персанальныя дадзеныя, але і пра заканадаўства аб рэкламе.
Не менш цяжкавыканальныя і іншыя ўмовы. Пералік мэт не павінен быць залішнім. Прынцып адна мэта - адна згода. Гэта значыць атрымаць згоду на апрацоўку дадзеных рэзюмэ суіскальніка і ўключэнне яго ў кадравы рэзерв адным подпісам не атрымаецца. У якасці кампрамісу жыццяздольнымі прадстаўляюцца прыклады, калі ў адным дакуменце кожная мэта выдзелена асобным абзацам і суб'екту прадастаўлена магчымасць упісаць "згодзен" / "не згодзен" у кожным выпадку.
Ну і нарэшце, што такое персанальныя дадзеныя? Як зразумець з расплывістага вызначэння, дадзенага ў законе («любая інфармацыя, якая адносіцца да прама ці ўскосна вызначанай або вызначанай фізічнай асобе»), ці падпадае пэўны выпадак пад яго дзеянне? Раскамнагляд да канца 2018 года абяцаў зацвердзіць матрыцу персанальных дадзеных. Тэрмін быў перанесены на канец 2019 года. Чакаем.
Што яшчэ чакаем:
- Законапраект № 04/13/09-19/00095069. Спрашчэнне формы згоды. Легалізацыя электроннай формы згоды (галачка, смс і тд). На сённяшні дзень практыка дваістая, суд можа як прымяніць па аналогіі правілы аб папяровай згодзе, так і прызнаць электронную згоду неналежнай.
- Законапраект № 729516-7. Павелічэнне штрафаў. За паўторнае парушэнне патрабавання аб лакалізацыі (першасным зборы дадзеных у базу на тэрыторыі РФ) - 18 млн.руб. Змяненне парадку налічэння штрафаў. Ці будзем памнажаць суму штрафу на колькасць суб'ектаў, чыё згоду прызнана неналежным.
А суб'екты персанальных дадзеных чакаюць, калі спыняцца дакучлівыя званкі і рассыланні, ад якія немагчыма спыніць. Мяне не цікавіць крэдыт, кантэкстная рэклама мяшае прагляду кантэнту, і я памятаю, што запампоўваецца страхоўка на мой аўтамабіль.
Крыніца: habr.com