Au cours des dernières années, nous avons tous entendu l’expression « données personnelles ». Dans une plus ou moins grande mesure, ils ont mis leurs processus commerciaux en conformité avec les exigences de la législation en la matière.
Le nombre d'inspections du Roskomnadzor qui ont révélé des violations dans ce domaine cette année s'efforce constamment d'atteindre 100 %. Statistiques du Bureau de Roskomnadzor pour le District fédéral central pour le 1er semestre 2019 – 131 violations sur 17 inspections.
En même temps, notre réalité quotidienne est constituée d’appels « à froid » provenant de diverses organisations avec lesquelles nous n’avons peut-être jamais eu affaire. Depuis les téléphones portables pour le compte de grandes entreprises (banques, assurances, etc.). Des newsletters SMS que vous ne pouvez pas refuser. Leur nombre semble ne faire qu’augmenter.
Maintenir un équilibre entre les intérêts commerciaux et le respect des exigences réglementaires constitue un véritable défi pour les entreprises, quelle que soit leur taille. La loi propose d'évaluer de manière indépendante la liste et le caractère suffisant des mesures appliquées. Du côté positif, les risques peuvent être réduits en évitant les violations les plus courantes. De plus, cela ne nécessitera pas de coûts supplémentaires ni de mesures techniquement complexes.
Et donc, le premier sur la liste est la violation des conditions de traitement des données personnelles. Exemples : liste incomplète des finalités du traitement, des catégories de sujets ainsi que des tiers autorisés à accéder aux données.
Une vérité qu'il faudra accepter : il est impossible d'élaborer un consentement standard pour toutes les situations - ni pour les employés, ni pour les clients, ni pour les utilisateurs d'un logiciel. Même si j'en ai vraiment envie.
Chaque fois que vous lancez une nouvelle campagne marketing ou modifiez votre système de vente, consacrez 5 minutes et vérifiez que le consentement contient :
1) nom et adresse de la société exploitante,
2) finalités du traitement,
3) liste des données,
4) une liste d'actions avec les données et les modalités de leur traitement,
5) transfert transfrontalier et/ou transfert à des tiers (en indiquant les pays et tiers spécifiques),
6) la durée de validité du consentement et
7) mode de son retrait.
Un modèle rare sur Internet peut se vanter de répondre à tous les critères, vous pouvez donc l'emprunter, mais avec prudence et ajouts.
Les auditeurs ont-ils eu accès à des documents contenant des données personnelles ? — Un consentement est requis indiquant l’objet (audit), le nom et l’adresse de la société du commissaire aux comptes. L’entreprise qui livre les produits de la boutique en ligne a-t-elle changé ? — Le consentement obtenu lors de l'inscription d'un client sur le site n'est plus suffisant. L'option avec un lien vers une liste de partenaires n'apportera pas une tranquillité d'esprit à 100 %, mais c'est mieux que rien.
Le traitement des données des utilisateurs finaux du logiciel mérite une mention particulière. Lorsque vous souhaitez connaître au mieux votre utilisateur et lui faire parvenir les offres du moment. Lorsque les données sont collectées et stockées, une clé de licence suffit pour enregistrer un produit logiciel. Nous pouvons utiliser ces données avec le consentement du sujet, mais ne lions pas la possibilité de fournir le service principal/vendre un produit aux envois marketing obligatoires. Il ne s’agit pas seulement de données personnelles, mais aussi de législation en matière de publicité.
D'autres conditions ne sont pas moins difficiles à remplir. La liste des objectifs ne doit pas être redondante. Le principe est un objectif – un accord. Autrement dit, il ne sera pas possible d'obtenir le consentement au traitement des données du CV du candidat et à l'inclure dans la réserve du personnel avec une seule signature. En guise de compromis, des exemples viables semblent être ceux où, dans un document, chaque objectif est mis en évidence dans un paragraphe séparé et où le sujet a la possibilité de saisir « d'accord »/« pas d'accord » dans chaque cas.
Et enfin, qu’est-ce que les données personnelles ? Comment savoir, à partir de la définition vague donnée par la loi (« toute information relative à une personne physique directement ou indirectement identifiée ou identifiable ») si un cas particulier entre dans son champ d'application ? Roskomnadzor a promis d'approuver la matrice des données personnelles d'ici la fin de 2018. La date limite a été reportée à fin 2019. Nous attendons.
Qu'attendons-nous d'autre :
- Projet de loi n°04/13/09-19/00095069. Simplification du formulaire de consentement. Légalisation du formulaire de consentement électronique (coche, SMS, etc.). Aujourd'hui, la pratique est double : le tribunal peut soit appliquer les règles sur le consentement papier par analogie, soit reconnaître le consentement électronique comme inapproprié.
- Projet de loi n° 729516-7. Augmentation des amendes. Pour violation répétée de l'exigence de localisation (collecte initiale de données dans une base de données sur le territoire de la Fédération de Russie) – 18 millions de roubles. Modifications de la procédure de calcul des amendes. Allons-nous multiplier le montant de l'amende par le nombre de sujets dont le consentement a été jugé abusif ?
Et les sujets de données personnelles attendent que les appels et les mails intrusifs s'arrêtent. Je ne suis pas intéressé par un prêt, la publicité contextuelle interfère avec la visualisation du contenu et je me souviens que l'assurance de ma voiture est en cours de téléchargement.
Source: habr.com