За последние несколько лет все мы слышали словосочетание «персональные данные». В большей или меньшей степени привели свои бизнес-процессы в соответствие с требованиями законодательства в данной области.
Количество проверок Роскомнадзора, выявивших в этом году нарушения в данной области, настойчиво стремится к 100%. Статистика Управления Роскомнадзора по ЦФО за 1 полугодие 2019 года – 131 нарушение за 17 проверок.
При этом наша повседневная действительность — «холодные» звонки от различных организаций, с которыми, возможно, никогда и не имел дел. С мобильных телефонов от имени крупного бизнеса (банки, страховые компании и тд). Смс-рассылки, от которых невозможно отказаться. Их количество, кажется, только растёт.
Соблюсти баланс между интересами бизнеса и выполнением требований регулятора – настоящий челлендж для бизнеса любого размера. Перечень и достаточность применяемых мер закон предлагается оценивать самостоятельно. Из позитивных моментов — снизить риски можно, избежав самых распространённых нарушений. Тем более, что это не потребует дополнительных затрат и принятия технически сложных мер.
И так, топ-1 в списке — нарушение условий обработки персональных данных. Примеры: неполный перечень целей обработки, категорий субъектов, а также третьих лиц, которым предоставлен доступ к данным.
Истина, которую придётся принять: невозможно сделать одно типовое согласие на все случаи жизни – ни для сотрудников, ни для клиентов, ни для пользователей программного продукта. Хотя очень хочется.
Каждый раз, запуская новую маркетинговую компанию или меняя систему продаж, потратить 5 минут и проверить, чтобы согласие содержало:
1) наименование и адрес компании – оператора,
2) цели обработки,
3) перечень данных,
4) перечень действий с данными и способов их обработки,
5) трансграничная передача и/или передача третьим лицам (с указанием конкретных стран и третьих лиц),
6) срок действия согласия и
7) способ его отзыва.
Редкий шаблон из интернета может похвастаться соответствием всем критериям, так что заимствовать можно, но с оглядкой и дополнениями.
Аудиторы получили доступ к документам, содержащим персональные данные? — Требуется согласие с указанием цели (проведение аудита), наименование и адреса компании аудитора. Сменилась компания, доставляющая товары интернет-магазина? — Согласия, полученного при регистрации клиента на сайте, уже недостаточно. Вариант со ссылкой на список партнеров не обеспечит 100% спокойствия, но это лучше, чем ничего.
Отдельного упоминания заслуживает обработка данных конечных пользователей программного обеспечения. Когда хочется как можно лучше знать своего юзера и присылать ему актуальные предложения. Когда данные собираются и хранятся, хотя для регистрации программного продукта достаточно лицензионного ключа. Мы можем использовать такие данные с согласия субъекта, но не привязывать возможность оказания основного сервиса/ продажи продукта к обязательной маркетинговой рассылке. Это уже не только про персональные данные, но и про законодательство о рекламе.
Не менее трудновыполнимы и другие условия. Перечень целей не должен быть избыточным. Принцип одна цель – одно согласие. То есть получить согласие на обработку данных резюме соискателя и включение его в кадровый резерв одной подписью не получится. В качестве компромисса жизнеспособными представляются примеры, когда в одном документе каждая цель выделена отдельным абзацем и субъекту предоставлена возможность вписать «согласен» / «не согласен» в каждом случае.
Ну и наконец, что же такое персональные данные? Как понять из расплывчатого определения, данного в законе («любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»), подпадает ли конкретный случай под его действие? Роскомнадзор до конца 2018 года обещал утвердить матрицу персональных данных. Срок был перенесён на конец 2019. Ждём.
Что еще ждём:
- Законопроект № 04/13/09-19/00095069. Упрощение формы согласия. Легализация электронной формы согласия (галочка, смс и тд). На сегодняшний день практика двойственна, суд может как применить по аналогии правила о бумажном согласии, так и признать электронное согласие ненадлежащим.
- Законопроект № 729516-7. Увеличение штрафов. За повторное нарушение требования о локализации (первичном сборе данных в базу на территории РФ) – 18 млн.руб. Изменение порядка начисления штрафов. Будем ли умножать сумму штрафа на количество субъектов, чьё согласи признано ненадлежащим.
А субъекты персональных данных ждут, когда прекратятся навязчивые звонки и рассылки, от которые невозможно остановить. Меня не интересует кредит, контекстная реклама мешает просмотру контента, и я помню, что закачивается страховка на мой автомобиль.
Источник: habr.com