Negli ultimi anni abbiamo tutti sentito la frase “dati personali”. In misura maggiore o minore, hanno adeguato i loro processi aziendali ai requisiti della legislazione in questo settore.
Il numero di ispezioni di Roskomnadzor che hanno rivelato violazioni in quest'area quest'anno punta costantemente al 100%. Statistiche dell’Ufficio di Roskomnadzor per il Distretto Federale Centrale per la prima metà del 1 – 2019 violazioni su 131 ispezioni.
Allo stesso tempo, la nostra realtà quotidiana è costituita da chiamate “fredde” da parte di varie organizzazioni con le quali potremmo non aver mai avuto a che fare. Dai cellulari per conto delle grandi imprese (banche, assicurazioni, ecc.). Newsletter via SMS che non puoi rifiutare. Il loro numero sembra essere in continua crescita.
Mantenere un equilibrio tra interessi aziendali e rispetto dei requisiti normativi è una vera sfida per le aziende di qualsiasi dimensione. La legge propone di valutare autonomamente la consistenza e la sufficienza delle misure applicate. L’aspetto positivo è che i rischi possono essere ridotti evitando le violazioni più comuni. Inoltre, ciò non richiederà costi aggiuntivi o misure tecnicamente complesse.
Pertanto, la prima cosa nella lista è la violazione dei termini di trattamento dei dati personali. Esempi: elenco incompleto delle finalità del trattamento, delle categorie di soggetti, nonché dei terzi che hanno accesso ai dati.
Una verità che dovrà essere accettata: è impossibile fornire un consenso standard per tutte le situazioni, né per i dipendenti, né per i clienti, né per gli utenti di un prodotto software. Anche se lo vorrei davvero.
Ogni volta che lanci una nuova campagna di marketing o cambi il tuo sistema di vendita, dedica 5 minuti e verifica che il consenso contenga:
1) nome e indirizzo della società operatrice,
2) finalità del trattamento,
3) elenco dei dati,
4) un elenco di azioni con dati e modalità di trattamento degli stessi,
5) trasferimento transfrontaliero e/o trasferimento a terzi (indicando paesi specifici e terzi),
6) il periodo di validità del consenso e
7) modalità del suo ritiro.
Un modello raro da Internet può vantarsi di soddisfare tutti i criteri, quindi puoi prenderlo in prestito, ma con cautela e aggiunte.
I revisori hanno avuto accesso a documenti contenenti dati personali? — È richiesto il consenso indicando lo scopo (revisione), il nome e l’indirizzo della società del revisore. L'azienda che consegna i prodotti del negozio online è cambiata? — Il consenso ottenuto al momento della registrazione di un cliente sul sito non è più sufficiente. L'opzione con un collegamento a un elenco di partner non garantirà la tranquillità al 100%, ma è meglio di niente.
Un discorso a parte merita il trattamento dei dati degli utenti finali del software. Quando vuoi conoscere al meglio il tuo utente e inviargli le offerte del momento. Quando i dati vengono raccolti e archiviati, sebbene una chiave di licenza sia sufficiente per registrare un prodotto software. Possiamo utilizzare tali dati con il consenso dell'interessato, ma non leghiamo la possibilità di fornire il servizio principale/vendere un prodotto a invii di marketing obbligatori. Non si tratta solo di dati personali, ma anche di legislazione sulla pubblicità.
Altre condizioni non sono meno difficili da soddisfare. L’elenco degli obiettivi non dovrebbe essere ridondante. Il principio è un obiettivo: un accordo. Non sarà cioè possibile ottenere il consenso al trattamento dei dati del curriculum del candidato e alla sua inclusione nella riserva del personale con una sola firma. Come compromesso, esempi praticabili sembrano essere quelli in cui, in un documento, ogni obiettivo è evidenziato in un paragrafo separato e al soggetto viene data la possibilità di inserire "d'accordo"/"non d'accordo" in ciascun caso.
E infine, cosa sono i dati personali? Come si può stabilire dalla vaga definizione fornita dalla legge (“qualsiasi informazione relativa a una persona fisica identificata o identificabile, direttamente o indirettamente”) se un caso particolare rientra nel suo ambito? Roskomnadzor ha promesso di approvare la matrice dei dati personali entro la fine del 2018. La scadenza è stata posticipata alla fine del 2019. Stiamo aspettando.
Cos'altro stiamo aspettando:
- Fattura n. 04/13/09-19/00095069. Semplificazione del modulo di consenso. Legalizzazione del modulo elettronico di consenso (tick, SMS, ecc.). Oggi la pratica è duplice: il tribunale può applicare per analogia le norme sul consenso cartaceo oppure riconoscere improprio il consenso elettronico.
- Fattura n. 729516-7. Aumento delle multe. Per ripetuta violazione dell'obbligo di localizzazione (raccolta iniziale dei dati in una banca dati sul territorio della Federazione Russa) – 18 milioni di rubli. Cambiamenti nella procedura di calcolo delle sanzioni. Moltiplicheremo l'importo della sanzione per il numero dei soggetti il cui consenso è risultato improprio?
E i soggetti interessati dai dati personali aspettano che le chiamate e gli invii invadenti che non possono essere fermati si interrompano. Non sono interessato al prestito, la pubblicità contestuale interferisce con la visualizzazione dei contenuti e ricordo che si sta scaricando l'assicurazione per la mia auto.
Fonte: habr.com