W ciągu ostatnich kilku lat wszyscy słyszeliśmy określenie „dane osobowe”. W większym lub mniejszym stopniu dostosowały swoje procesy biznesowe do wymogów legislacji w tym zakresie.
Liczba kontroli Roskomnadzor, które ujawniły w tym roku naruszenia w tym obszarze, nieustannie dąży do 100%. Statystyka Biura Roskomnadzor dla Centralnego Okręgu Federalnego za I półrocze 1 r. – 2019 naruszeń w 131 kontrolach.
Jednocześnie naszą codziennością są „zimne” telefony od różnych organizacji, z którymi być może nigdy nie mieliśmy do czynienia. Z telefonów komórkowych w imieniu dużych przedsiębiorstw (banki, firmy ubezpieczeniowe itp.). Newslettery SMS, których nie możesz odrzucić. Wygląda na to, że ich liczba tylko rośnie.
Utrzymanie równowagi pomiędzy interesami biznesowymi a spełnianiem wymogów regulacyjnych to prawdziwe wyzwanie dla przedsiębiorstw każdej wielkości. Prawo proponuje ocenę wykazu i wystarczalności środków stosowanych niezależnie. Pozytywną stroną jest to, że ryzyko można zmniejszyć, unikając najczęstszych naruszeń. Co więcej, nie będzie to wymagało dodatkowych kosztów ani skomplikowanych technicznie środków.
I tak, na pierwszym miejscu listy znajduje się naruszenie zasad przetwarzania danych osobowych. Przykłady: niepełny wykaz celów przetwarzania, kategorii podmiotów, a także osób trzecich, którym przysługuje dostęp do danych.
Prawda, którą trzeba będzie zaakceptować: nie da się wyrazić jednej standardowej zgody na wszystkie sytuacje – ani dla pracowników, ani dla klientów, ani dla użytkowników oprogramowania. Chociaż bardzo tego chcę.
Za każdym razem, gdy rozpoczynasz nową kampanię marketingową lub zmieniasz system sprzedaży, poświęć 5 minut i sprawdź, czy zgoda zawiera:
1) nazwę i adres firmy operatora,
2) cele przetwarzania,
3) wykaz danych,
4) wykaz działań wraz z danymi i sposobami ich przetwarzania,
5) transfer transgraniczny i/lub transfer do osób trzecich (ze wskazaniem konkretnych krajów i stron trzecich),
6) okres ważności zgody oraz
7) sposób jej odstąpienia.
Rzadki szablon z Internetu może pochwalić się spełnieniem wszystkich kryteriów, dlatego można go wypożyczyć, ale z zachowaniem ostrożności i dodatków.
Czy audytorzy uzyskali dostęp do dokumentów zawierających dane osobowe? — Wymagana jest zgoda ze wskazaniem celu (audytu), nazwy i adresu firmy audytora. Czy zmieniła się firma dostarczająca towar do sklepu internetowego? — Zgoda uzyskana podczas rejestracji klienta w serwisie nie jest już wystarczająca. Opcja z linkiem do listy partnerów nie zapewni 100% spokoju, ale lepsze to niż nic.
Na szczególną uwagę zasługuje przetwarzanie danych od użytkowników końcowych oprogramowania. Gdy chcesz jak najlepiej poznać swojego użytkownika i przesłać mu aktualne oferty. Kiedy dane są gromadzone i przechowywane, chociaż do zarejestrowania oprogramowania wystarczy klucz licencyjny. Możemy wykorzystywać takie dane za zgodą podmiotu, jednak nie wiążemy możliwości świadczenia głównej usługi/sprzedaży produktu z obowiązkowymi mailingami marketingowymi. Nie chodzi tu tylko o dane osobowe, ale także o przepisy dotyczące reklamy.
Pozostałe warunki są nie mniej trudne do spełnienia. Lista celów nie powinna być zbędna. Zasadą jest jeden cel – jedno porozumienie. Oznacza to, że nie będzie możliwe uzyskanie zgody na przetwarzanie danych z CV kandydata i włączenie go do rezerwy kadrowej za pomocą tylko jednego podpisu. Jako kompromis realnymi przykładami wydają się te, w których w jednym dokumencie każdy cel jest wyróżniony w osobnym akapicie, a podmiot ma możliwość wpisania w każdym przypadku „zgadzam się”/„nie zgadzam się”.
I wreszcie, czym są dane osobowe? Jak można stwierdzić na podstawie niejasnej definicji zawartej w prawie („wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”), czy konkretny przypadek wchodzi w jej zakres? Roskomnadzor obiecał zatwierdzić matrycę danych osobowych do końca 2018 roku. Termin został przesunięty na koniec 2019 roku. Czekamy.
Na co jeszcze czekamy:
- Rachunek nr 04/13/09-19/00095069. Uproszczenie formularza zgody. Legalizacja elektronicznego formularza zgody (tick, SMS itp.). Obecnie praktyka jest dwojaka: sąd może albo zastosować zasady dotyczące zgody papierowej przez analogię, albo uznać zgodę elektroniczną za niewłaściwą.
- Rachunek nr 729516-7. Podwyżka kar. Za wielokrotne naruszenie wymogu lokalizacji (wstępne gromadzenie danych w bazie danych na terytorium Federacji Rosyjskiej) – 18 milionów rubli. Zmiany w procedurze naliczania kar. Czy wysokość kary pomnożymy przez liczbę podmiotów, których zgoda została uznana za niewłaściwą?
Natomiast podmioty danych osobowych czekają na natrętne telefony i maile, których nie da się zatrzymać. Nie jestem zainteresowany pożyczką, reklama kontekstowa utrudnia przeglądanie treści, a pamiętam, że pobierane jest ubezpieczenie mojego samochodu.
Źródło: www.habr.com