In den letzten Jahren haben wir alle den Begriff „personenbezogene Daten“ gehört. Sie haben ihre Geschäftsprozesse mehr oder weniger an die gesetzlichen Anforderungen in diesem Bereich angepasst.
Die Zahl der Roskomnadzor-Inspektionen, bei denen in diesem Jahr Verstöße in diesem Bereich festgestellt wurden, strebt kontinuierlich nach 100 %. Statistiken des Roskomnadzor-Büros für den Zentralrussland für das 1. Halbjahr 2019 – 131 Verstöße bei 17 Kontrollen.
Gleichzeitig besteht unsere tägliche Realität aus Kaltakquiseanrufen verschiedener Organisationen, mit denen wir möglicherweise noch nie zu tun hatten. Von Mobiltelefonen im Auftrag großer Unternehmen (Banken, Versicherungen usw.). SMS-Newsletter, die Sie nicht ablehnen können. Ihre Zahl scheint nur noch zu wachsen.
Das Gleichgewicht zwischen Geschäftsinteressen und der Erfüllung regulatorischer Anforderungen zu wahren, ist für Unternehmen jeder Größe eine echte Herausforderung. Das Gesetz sieht vor, die Liste und die Angemessenheit der angewandten Maßnahmen unabhängig zu bewerten. Positiv ist, dass Risiken durch die Vermeidung der häufigsten Verstöße verringert werden können. Darüber hinaus sind hierfür keine zusätzlichen Kosten oder technisch aufwändigen Maßnahmen erforderlich.
An erster Stelle der Liste steht also ein Verstoß gegen die Bedingungen für die Verarbeitung personenbezogener Daten. Beispiele: unvollständige Liste der Verarbeitungszwecke, Kategorien von Personen sowie Dritte, denen Zugriff auf Daten gewährt wird.
Eine Wahrheit, die akzeptiert werden muss: Es ist unmöglich, eine einheitliche Einwilligung für alle Situationen zu treffen – weder für Mitarbeiter, noch für Kunden, noch für Benutzer eines Softwareprodukts. Obwohl ich es wirklich möchte.
Nehmen Sie sich jedes Mal, wenn Sie eine neue Marketingkampagne starten oder Ihr Vertriebssystem ändern, 5 Minuten Zeit und prüfen Sie, ob die Einwilligung Folgendes enthält:
1) Name und Anschrift des Betreiberunternehmens,
2) Zwecke der Verarbeitung,
3) Liste der Daten,
4) eine Liste von Aktionen mit Daten und Methoden zu deren Verarbeitung,
5) grenzüberschreitende Übermittlung und/oder Übermittlung an Dritte (unter Angabe bestimmter Länder und Dritter),
6) die Gültigkeitsdauer der Einwilligung und
7) Art der Auszahlung.
Eine seltene Vorlage aus dem Internet kann sich rühmen, alle Kriterien zu erfüllen, sodass Sie sie ausleihen können, jedoch mit Vorsicht und Ergänzungen.
Haben die Prüfer Zugang zu Dokumenten erhalten, die personenbezogene Daten enthalten? — Es ist eine Einwilligung unter Angabe des Zwecks (Prüfung), des Namens und der Anschrift des Unternehmens des Prüfers erforderlich. Hat sich das Unternehmen, das Online-Shop-Waren liefert, geändert? — Die bei der Registrierung eines Kunden auf der Website eingeholte Einwilligung ist nicht mehr ausreichend. Die Option mit einem Link zu einer Partnerliste bietet keine hundertprozentige Sicherheit, ist aber besser als nichts.
Besonders hervorzuheben ist die Verarbeitung der Daten von Endnutzern der Software. Wenn Sie Ihren Nutzer bestmöglich kennenlernen und ihm aktuelle Angebote zukommen lassen möchten. Bei der Erhebung und Speicherung von Daten reicht zwar ein Lizenzschlüssel aus, um ein Softwareprodukt zu registrieren. Wir können diese Daten mit Zustimmung des Betroffenen verwenden, knüpfen die Möglichkeit der Erbringung der Hauptdienstleistung/des Produktverkaufs jedoch nicht an obligatorische Marketing-Mailings. Dabei geht es nicht nur um personenbezogene Daten, sondern auch um das Werberecht.
Andere Bedingungen sind nicht weniger schwierig zu erfüllen. Die Liste der Ziele sollte nicht überflüssig sein. Der Grundsatz lautet: ein Ziel – eine Vereinbarung. Das heißt, es ist nicht möglich, mit nur einer Unterschrift die Einwilligung zur Verarbeitung der Lebenslaufdaten des Bewerbers und zur Aufnahme in die Personalreserve einzuholen. Als Kompromiss scheinen brauchbare Beispiele solche zu sein, bei denen in einem Dokument jedes Ziel in einem separaten Absatz hervorgehoben wird und dem Betreff jeweils die Möglichkeit gegeben wird, „stimme zu“/„stimme nicht zu“ einzugeben.
Und schließlich: Was sind personenbezogene Daten? Wie kann man anhand der vagen Definition im Gesetz („alle Informationen, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person“ beziehen) erkennen, ob ein bestimmter Fall in den Geltungsbereich des Gesetzes fällt? Roskomnadzor versprach, die personenbezogene Datenmatrix bis Ende 2018 zu genehmigen. Die Frist wurde auf Ende 2019 verschoben. Wir warten.
Worauf warten wir noch:
- Gesetzentwurf Nr. 04-13/09. Vereinfachung der Einwilligungserklärung. Legalisierung des elektronischen Einwilligungsformulars (Häkchen, SMS usw.). Heutzutage gibt es eine zweigleisige Praxis: Das Gericht kann entweder die Regeln für die Einwilligung auf Papier analog anwenden oder die elektronische Einwilligung als unzulässig anerkennen.
- Gesetzentwurf Nr. 729516-7. Erhöhung der Bußgelder. Für wiederholten Verstoß gegen die Lokalisierungspflicht (erstmalige Erfassung von Daten in einer Datenbank auf dem Territorium der Russischen Föderation) – 18 Millionen Rubel. Änderungen im Verfahren zur Berechnung von Bußgeldern. Werden wir die Höhe der Geldbuße mit der Anzahl der Personen multiplizieren, deren Einwilligung als unzulässig befunden wurde?
Und Personen mit personenbezogenen Daten warten darauf, dass die aufdringlichen Anrufe und Mailings, die nicht gestoppt werden können, aufhören. Ich bin nicht an einem Kredit interessiert, kontextbezogene Werbung stört die Anzeige von Inhalten und ich erinnere mich, dass die Versicherung für mein Auto heruntergeladen wird.
Source: habr.com