I løbet af de sidste par år har vi alle hørt udtrykket "personlige data". I større eller mindre grad bragte de deres forretningsprocesser i overensstemmelse med kravene i lovgivningen på området.
Antallet af Roskomnadzor-inspektioner, der afslørede overtrædelser på dette område i år, stræber vedholdende efter 100 %. Statistik fra Roskomnadzor-kontoret for det centrale føderale distrikt for 1. halvår af 2019 – 131 overtrædelser over 17 inspektioner.
Samtidig er vores daglige virkelighed "kolde" opkald fra forskellige organisationer, som vi måske aldrig har beskæftiget os med. Fra mobiltelefoner på vegne af store virksomheder (banker, forsikringsselskaber mv.). SMS-nyhedsbreve, som du ikke kan afslå. Deres antal ser ud til kun at vokse.
At opretholde en balance mellem forretningsinteresser og opfyldelse af lovkrav er en reel udfordring for virksomheder af enhver størrelse. Loven foreslår at evaluere listen og tilstrækkeligheden af de anvendte foranstaltninger uafhængigt. På den positive side kan risici reduceres ved at undgå de mest almindelige overtrædelser. Desuden vil dette ikke kræve yderligere omkostninger eller teknisk komplekse foranstaltninger.
Og så er top 1 på listen overtrædelse af vilkårene for behandling af personoplysninger. Eksempler: ufuldstændig liste over behandlingsformål, kategorier af emner, samt tredjeparter, der får adgang til data.
En sandhed, der skal accepteres: Det er umuligt at give ét standardsamtykke for alle situationer - hverken for medarbejdere, eller for kunder eller for brugere af et softwareprodukt. Selvom jeg virkelig gerne vil.
Hver gang du starter en ny marketingkampagne eller ændrer dit salgssystem, skal du bruge 5 minutter og kontrollere, at samtykket indeholder:
1) navn og adresse på operatørselskabet,
2) formål med behandlingen,
3) liste over data,
4) en liste over handlinger med data og metoder til at behandle dem,
5) grænseoverskridende overførsel og/eller overførsel til tredjeparter (med angivelse af specifikke lande og tredjeparter),
6) samtykkets gyldighedsperiode og
7) metode til tilbagetrækning.
En sjælden skabelon fra internettet kan prale af at opfylde alle kriterierne, så du kan låne den, men med forsigtighed og tilføjelser.
Fik revisorerne adgang til dokumenter, der indeholder personoplysninger? — Samtykke er påkrævet med angivelse af formålet (revision), navn og adresse på revisors virksomhed. Har virksomheden, der leverer varer i netbutikker, ændret sig? — Samtykket opnået ved registrering af en klient på siden er ikke længere tilstrækkeligt. Muligheden med et link til en liste over partnere giver ikke 100 % ro i sindet, men det er bedre end ingenting.
Behandlingen af data fra slutbrugere af softwaren fortjener særlig omtale. Når du vil kende din bruger bedst muligt og sende ham aktuelle tilbud. Når data indsamles og opbevares, selvom en licensnøgle er tilstrækkelig til at registrere et softwareprodukt. Vi kan bruge sådanne data med samtykke fra subjektet, men binder ikke muligheden for at levere hovedtjenesten/sælge et produkt til obligatoriske markedsføringsforsendelser. Det handler ikke kun om persondata, men også om reklamelovgivning.
Andre betingelser er ikke mindre vanskelige at opfylde. Listen over mål bør ikke være overflødig. Princippet er ét mål – én aftale. Det vil sige, at det ikke vil være muligt at opnå samtykke til at behandle ansøgerens CV-data og medtage ham i personalereserven med kun én underskrift. Som et kompromis synes holdbare eksempler at være dem, hvor hvert mål i et dokument er fremhævet i et separat afsnit, og emnet får mulighed for at indtaste "enig"/"uenig" i hvert enkelt tilfælde.
Og endelig, hvad er personlige data? Hvordan kan du afgøre ud fra den vage definition i loven ("enhver information vedrørende en direkte eller indirekte identificeret eller identificerbar fysisk person"), om en bestemt sag falder inden for dens anvendelsesområde? Roskomnadzor lovede at godkende persondatamatricen inden udgangen af 2018. Fristen er udskudt til udgangen af 2019. Vi afventer.
Hvad venter vi ellers på:
- Regning nr. 04/13/09-19/00095069. Forenkling af samtykkeerklæringen. Lovliggørelse af den elektroniske samtykkeformular (flueben, sms mv.). I dag er praksis todelt: Retten kan enten anvende reglerne om papirsamtykke analogt eller anerkende elektronisk samtykke som upassende.
- Regning nr. 729516-7. Forhøjelse af bøder. For gentagen overtrædelse af kravet om lokalisering (indledende indsamling af data i en database på Den Russiske Føderations område) – 18 millioner rubler. Ændringer i proceduren for bødeberegning. Vil vi gange bødebeløbet med antallet af forsøgspersoner, hvis samtykke blev fundet uretmæssigt?
Og emner af personlige data venter på, at de påtrængende opkald og mails, der ikke kan stoppes, stopper. Jeg er ikke interesseret i et lån, kontekstbestemt annoncering forstyrrer visningen af indhold, og jeg kan huske, at forsikringen til min bil bliver downloadet.
Kilde: www.habr.com