Selama beberapa tahun terakhir, kita semua telah mendengar ungkapan “data pribadi”. Pada tingkat yang lebih besar atau lebih kecil, mereka menjadikan proses bisnis mereka sesuai dengan persyaratan undang-undang di bidang ini.
Jumlah pemeriksaan Roskomnadzor yang mengungkap pelanggaran di bidang ini tahun ini terus diupayakan mencapai 100%. Statistik dari Kantor Roskomnadzor untuk Distrik Federal Pusat untuk paruh pertama tahun 1 – 2019 pelanggaran dalam 131 inspeksi.
Pada saat yang sama, realitas kita sehari-hari adalah telepon “dingin” dari berbagai organisasi yang mungkin belum pernah kita tangani. Dari ponsel atas nama bisnis besar (bank, perusahaan asuransi, dll). Buletin SMS yang tidak dapat Anda tolak. Jumlah mereka tampaknya terus bertambah.
Menjaga keseimbangan antara kepentingan bisnis dan memenuhi persyaratan peraturan merupakan tantangan nyata bagi bisnis dalam skala apa pun. Undang-undang mengusulkan untuk mengevaluasi daftar dan kecukupan tindakan yang diterapkan secara independen. Sisi positifnya, risiko dapat dikurangi dengan menghindari pelanggaran yang paling umum. Selain itu, hal ini tidak memerlukan biaya tambahan atau tindakan yang rumit secara teknis.
Jadi, peringkat 1 teratas dalam daftar adalah pelanggaran terhadap ketentuan pemrosesan data pribadi. Contoh: daftar tujuan pemrosesan yang tidak lengkap, kategori subjek, serta pihak ketiga yang diberikan akses terhadap data.
Sebuah kebenaran yang harus diterima: tidak mungkin membuat satu persetujuan standar untuk semua situasi - baik untuk karyawan, klien, atau pengguna produk perangkat lunak. Meskipun aku sangat ingin.
Setiap kali Anda meluncurkan kampanye pemasaran baru atau mengubah sistem penjualan Anda, luangkan waktu 5 menit dan periksa apakah persetujuan tersebut berisi:
1) nama dan alamat perusahaan penyelenggara,
2) tujuan pengolahan,
3) daftar data,
4) daftar tindakan dengan data dan metode pemrosesannya,
5) transfer lintas batas dan/atau transfer ke pihak ketiga (menunjukkan negara tertentu dan pihak ketiga),
6) masa berlaku persetujuan dan
7) cara penarikannya.
Templat langka dari Internet dapat membanggakan memenuhi semua kriteria, sehingga Anda dapat meminjamnya, tetapi dengan hati-hati dan tambahan.
Apakah auditor mendapatkan akses ke dokumen yang berisi data pribadi? — Persetujuan diperlukan untuk menunjukkan tujuan (audit), nama dan alamat perusahaan auditor. Apakah perusahaan pengiriman barang toko online berubah? — Persetujuan yang diperoleh saat mendaftarkan klien di situs tidak lagi memadai. Opsi dengan tautan ke daftar mitra tidak akan memberikan ketenangan pikiran 100%, namun lebih baik daripada tidak sama sekali.
Pemrosesan data dari pengguna akhir perangkat lunak patut mendapat perhatian khusus. Saat Anda ingin mengenal pengguna Anda sebaik mungkin dan mengiriminya penawaran terkini. Ketika data dikumpulkan dan disimpan, meskipun kunci lisensi sudah cukup untuk mendaftarkan produk perangkat lunak. Kami dapat menggunakan data tersebut dengan persetujuan subjek, namun tidak mengaitkan kemungkinan penyediaan layanan utama/penjualan produk dengan surat pemasaran wajib. Ini bukan hanya tentang data pribadi, tetapi juga tentang undang-undang periklanan.
Syarat-syarat lain juga tidak kalah sulitnya untuk dipenuhi. Daftar tujuan tidak boleh berlebihan. Prinsipnya satu tujuan – satu kesepakatan. Artinya, tidak mungkin mendapatkan persetujuan untuk memproses data resume pelamar dan memasukkannya ke dalam cadangan personel hanya dengan satu tanda tangan. Sebagai kompromi, contoh yang layak adalah ketika, dalam satu dokumen, setiap tujuan disorot dalam paragraf terpisah dan subjek diberi kesempatan untuk memasukkan “setuju”/ “tidak setuju” dalam setiap kasus.
Dan yang terakhir, apa itu data pribadi? Bagaimana Anda dapat mengetahui dari definisi yang tidak jelas yang diberikan dalam undang-undang (“informasi apa pun yang berkaitan dengan individu yang diidentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung”) apakah suatu kasus tertentu termasuk dalam cakupannya? Roskomnadzor berjanji akan menyetujui matriks data pribadi pada akhir tahun 2018. Batas waktunya diundur ke akhir tahun 2019. Kita tunggu saja.
Tunggu apa lagi:
- RUU Nomor 04/13/09-19/00095069. Penyederhanaan formulir persetujuan. Legalisasi formulir persetujuan elektronik (centang, SMS, dll). Saat ini, praktiknya ada dua; pengadilan dapat menerapkan aturan persetujuan kertas dengan analogi, atau mengakui persetujuan elektronik sebagai hal yang tidak patut.
- RUU No.729516-7. Kenaikan denda. Untuk pelanggaran berulang terhadap persyaratan lokalisasi (pengumpulan data awal ke dalam database di wilayah Federasi Rusia) – 18 juta rubel. Perubahan tata cara penghitungan denda. Akankah kita mengalikan jumlah denda dengan jumlah subjek yang persetujuannya terbukti tidak tepat?
Dan subjek data pribadi sedang menunggu panggilan dan surat mengganggu yang tidak dapat dihentikan. Saya tidak tertarik dengan pinjaman, iklan kontekstual mengganggu tampilan konten, dan saya ingat bahwa asuransi untuk mobil saya sedang diunduh.
Sumber: www.habr.com