Τα τελευταία χρόνια, όλοι έχουμε ακούσει τη φράση «προσωπικά δεδομένα». Σε μικρότερο ή μεγαλύτερο βαθμό, έφεραν τις επιχειρηματικές τους διαδικασίες σε συμμόρφωση με τις απαιτήσεις της νομοθεσίας στον τομέα αυτό.
Ο αριθμός των επιθεωρήσεων Roskomnadzor που αποκάλυψαν παραβιάσεις σε αυτόν τον τομέα φέτος προσπαθεί επίμονα να φτάσει το 100%. Στατιστικά στοιχεία από το Γραφείο Roskomnadzor για την Κεντρική Ομοσπονδιακή Περιφέρεια για το 1ο εξάμηνο του 2019 – 131 παραβιάσεις σε 17 επιθεωρήσεις.
Ταυτόχρονα, η καθημερινή μας πραγματικότητα είναι οι «ψυχρές» κλήσεις από διάφορους φορείς με τις οποίες μπορεί να μην είχαμε ποτέ ασχοληθεί. Από κινητά τηλέφωνα για λογαριασμό μεγάλων επιχειρήσεων (τράπεζες, ασφαλιστικές εταιρείες κ.λπ.). Ενημερωτικά δελτία SMS που δεν μπορείτε να αρνηθείτε. Ο αριθμός τους φαίνεται να αυξάνεται μόνο.
Η διατήρηση μιας ισορροπίας μεταξύ των επιχειρηματικών συμφερόντων και η εκπλήρωση των κανονιστικών απαιτήσεων είναι μια πραγματική πρόκληση για επιχειρήσεις οποιουδήποτε μεγέθους. Ο νόμος προτείνει την αξιολόγηση του καταλόγου και της επάρκειας των μέτρων που εφαρμόζονται ανεξάρτητα. Από τη θετική πλευρά, οι κίνδυνοι μπορούν να μειωθούν αποφεύγοντας τις πιο συνηθισμένες παραβιάσεις. Επιπλέον, αυτό δεν θα απαιτήσει πρόσθετο κόστος ή τεχνικά πολύπλοκα μέτρα.
Και έτσι, η πρώτη θέση στη λίστα είναι παραβίαση των όρων επεξεργασίας προσωπικών δεδομένων. Παραδείγματα: ελλιπής κατάλογος σκοπών επεξεργασίας, κατηγορίες υποκειμένων, καθώς και τρίτα μέρη στα οποία παρέχεται πρόσβαση στα δεδομένα.
Μια αλήθεια που θα πρέπει να γίνει αποδεκτή: είναι αδύνατο να γίνει μια τυπική συναίνεση για όλες τις καταστάσεις - ούτε για υπαλλήλους, ούτε για πελάτες, ούτε για χρήστες ενός προϊόντος λογισμικού. Αν και το θέλω πολύ.
Κάθε φορά που ξεκινάτε μια νέα καμπάνια μάρκετινγκ ή αλλάζετε το σύστημα πωλήσεών σας, αφιερώστε 5 λεπτά και βεβαιωθείτε ότι η συγκατάθεση περιέχει:
1) όνομα και διεύθυνση της εταιρείας εκμετάλλευσης,
2) τους σκοπούς της επεξεργασίας,
3) κατάλογος δεδομένων,
4) λίστα ενεργειών με δεδομένα και μεθόδους επεξεργασίας τους,
5) διασυνοριακή μεταφορά ή/και μεταφορά σε τρίτους (υποδηλώνοντας συγκεκριμένες χώρες και τρίτα μέρη),
6) η περίοδος ισχύος της συγκατάθεσης και
7) τρόπος απόσυρσής του.
Ένα σπάνιο πρότυπο από το Διαδίκτυο μπορεί να καυχηθεί ότι πληροί όλα τα κριτήρια, επομένως μπορείτε να το δανειστείτε, αλλά με προσοχή και προσθήκες.
Απέκτησαν οι ελεγκτές πρόσβαση σε έγγραφα που περιέχουν προσωπικά δεδομένα; — Απαιτείται συγκατάθεση που αναφέρει τον σκοπό (έλεγχος), το όνομα και τη διεύθυνση της εταιρείας του ελεγκτή. Έχει αλλάξει η εταιρεία που παραδίδει αγαθά στο ηλεκτρονικό κατάστημα; — Η συγκατάθεση που λαμβάνεται κατά την εγγραφή πελάτη στον ιστότοπο δεν είναι πλέον επαρκής. Η επιλογή με έναν σύνδεσμο προς μια λίστα συνεργατών δεν θα παρέχει 100% ηρεμία, αλλά είναι καλύτερη από το τίποτα.
Αξίζει ιδιαίτερης αναφοράς η επεξεργασία δεδομένων από τελικούς χρήστες του λογισμικού. Όταν θέλετε να γνωρίσετε όσο το δυνατόν καλύτερα τον χρήστη σας και να του στείλετε τρέχουσες προσφορές. Όταν συλλέγονται και αποθηκεύονται δεδομένα, αν και ένα κλειδί άδειας χρήσης αρκεί για την εγγραφή ενός προϊόντος λογισμικού. Μπορούμε να χρησιμοποιήσουμε τέτοια δεδομένα με τη συγκατάθεση του υποκειμένου, αλλά δεν συνδέουμε τη δυνατότητα παροχής της κύριας υπηρεσίας/πώλησης ενός προϊόντος με υποχρεωτικές αποστολές μάρκετινγκ. Δεν πρόκειται μόνο για προσωπικά δεδομένα, αλλά και για τη νομοθεσία για τη διαφήμιση.
Άλλες προϋποθέσεις δεν είναι λιγότερο δύσκολο να τηρηθούν. Η λίστα των στόχων δεν πρέπει να είναι περιττή. Η αρχή είναι ένας στόχος - μία συμφωνία. Δηλαδή, δεν θα είναι δυνατή η λήψη συγκατάθεσης για την επεξεργασία των δεδομένων βιογραφικού του αιτούντος και την ένταξή του στην εφεδρεία προσωπικού με μία μόνο υπογραφή. Ως συμβιβασμός, βιώσιμα παραδείγματα εμφανίζονται να είναι εκείνα όπου, σε ένα έγγραφο, κάθε στόχος επισημαίνεται σε ξεχωριστή παράγραφο και δίνεται στο υποκείμενο η ευκαιρία να εισαγάγει «συμφωνώ»/«διαφωνώ» σε κάθε περίπτωση.
Και τέλος, τι είναι τα προσωπικά δεδομένα; Πώς μπορείτε να καταλάβετε από τον αόριστο ορισμό που δίνεται στο νόμο («οποιαδήποτε πληροφορία που σχετίζεται άμεσα ή έμμεσα με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο») εάν μια συγκεκριμένη υπόθεση εμπίπτει στο πεδίο εφαρμογής της; Η Roskomnadzor υποσχέθηκε να εγκρίνει τη μήτρα προσωπικών δεδομένων έως το τέλος του 2018. Η προθεσμία μετατέθηκε για το τέλος του 2019. Αναμένουμε.
Τι άλλο περιμένουμε:
- Νο. 04/13/09-19/00095069. Απλοποίηση του εντύπου συγκατάθεσης. Νομιμοποίηση της ηλεκτρονικής φόρμας συγκατάθεσης (τικ, SMS κ.λπ.). Σήμερα, η πρακτική είναι διπλή: το δικαστήριο μπορεί είτε να εφαρμόσει τους κανόνες για τη συγκατάθεση σε χαρτί κατ' αναλογία είτε να αναγνωρίσει την ηλεκτρονική συναίνεση ως ακατάλληλη.
- Νο 729516-7. Αύξηση προστίμων. Για επανειλημμένη παραβίαση της απαίτησης εντοπισμού (αρχική συλλογή δεδομένων σε βάση δεδομένων στο έδαφος της Ρωσικής Ομοσπονδίας) - 18 εκατομμύρια ρούβλια. Αλλαγές στη διαδικασία υπολογισμού των προστίμων. Θα πολλαπλασιάσουμε το ποσό του προστίμου με τον αριθμό των ατόμων των οποίων η συγκατάθεση κρίθηκε ακατάλληλη;
Και τα υποκείμενα των προσωπικών δεδομένων περιμένουν να σταματήσουν οι παρεμβατικές κλήσεις και αποστολές που δεν μπορούν να σταματήσουν. Δεν με ενδιαφέρει ένα δάνειο, η διαφήμιση με βάση τα συμφραζόμενα παρεμβαίνει στην προβολή περιεχομένου και θυμάμαι ότι γίνεται λήψη ασφάλισης για το αυτοκίνητό μου.
Πηγή: www.habr.com