За останні кілька років ми чули словосполучення «персональні дані». Більшою чи меншою мірою привели свої бізнес-процеси у відповідність до вимог законодавства у цій галузі.
Кількість перевірок Роскомнагляду, які виявили цього року порушення у цій галузі, наполегливо прагне 100%. Статистика Управління Роскомнагляду ЦФО за 1 півріччя 2019 року – 131 порушення за 17 перевірок.
При цьому наша повсякденна дійсність — «холодні» дзвінки від різних організацій, з якими, можливо, ніколи не мав справ. З мобільних телефонів від імені великого бізнесу (банки, страхові компанії тощо). Смс-розсилки, яких неможливо відмовитися. Їхня кількість, здається, тільки зростає.
Дотриматися балансу між інтересами бізнесу та виконанням вимог регулятора – справжній челендж для бізнесу будь-якого розміру. Перелік та достатність вживаних заходів закон пропонується оцінювати самостійно. Із позитивних моментів — знизити ризики можна, уникнувши найпоширеніших порушень. Тим більше, що це не вимагатиме додаткових витрат та вживання технічно складних заходів.
Так, топ-1 у списку — порушення умов обробки персональних даних. Приклади: неповний перелік цілей опрацювання, категорій суб'єктів, а також третіх осіб, яким надано доступ до даних.
Істина, яку доведеться прийняти: неможливо створити одну типову згоду на всі випадки життя – ні для співробітників, ні для клієнтів, ні для користувачів програмного продукту. Хоча дуже хочеться.
Щоразу, запускаючи нову маркетингову компанію або змінюючи систему продажів, витратити 5 хвилин і перевірити, щоб згода містила:
1) найменування та адресу компанії – оператора,
2) цілі обробки,
3) список даних,
4) перелік дій з даними та способів їх обробки,
5) транскордонна передача та/або передача третім особам (із зазначенням конкретних країн та третіх осіб),
6) термін дії згоди та
7) спосіб його відкликання.
Рідкісний шаблон з інтернету може похвалитися відповідністю всім критеріям, так що запозичувати можна, але з оглядом і доповненнями.
Аудитори отримали доступ до документів з персональними даними? — Потрібна згода із зазначенням мети (проведення аудиту), найменування та адреси компанії аудитора. Чи змінилася компанія, яка доставляє товари інтернет-магазину? — Згоди, отриманої під час реєстрації клієнта на сайті, вже недостатньо. Варіант із посиланням на список партнерів не забезпечить 100% спокою, але це краще ніж нічого.
На окрему згадку заслуговує обробка даних кінцевих користувачів програмного забезпечення. Коли хочеться якнайкраще знати свого користувача і надсилати йому актуальні пропозиції. Коли дані збираються та зберігаються, хоча для реєстрації програмного продукту достатньо ліцензійного ключа. Ми можемо використовувати такі дані за згодою суб'єкта, але не прив'язувати можливість надання основного сервісу/продажу продукту до обов'язкової рекламної розсилки. Це вже не лише про персональні дані, а й про законодавство про рекламу.
Не менш важко здійснити й інші умови. Перелік цілей має бути надлишковим. Принцип одна мета – одна згода. Тобто отримати згоду на обробку даних резюме претендента та включення його до кадрового резерву одним підписом не вийде. Як компроміс життєздатними є приклади, коли в одному документі кожна мета виділена окремим абзацом і суб'єкту надано можливість вписати «згоден» / «не згоден» у кожному випадку.
Ну і нарешті, що таке персональні дані? Як зрозуміти з розпливчастого визначення, даного в законі («будь-яка інформація, що відноситься до прямо чи опосередковано визначеної чи визначеної фізичної особи»), чи підпадає конкретний випадок під його дію? Роскомнагляд до кінця 2018 року обіцяв затвердити матрицю персональних даних. Термін був перенесений на кінець 2019 року. Чекаємо.
Що ще чекаємо:
- Законопроект №04/13/09-19/00095069. Спрощення форми згоди. Легалізація електронної форми згоди (галочка, смс та тд). На сьогоднішній день практика двоїста, суд може як застосувати за аналогією правила про паперову згоду, так і визнати електронну згоду неналежною.
- Законопроект №729516-7. Збільшення штрафів. За повторне порушення вимоги локалізації (первинному зборі даних у базу біля РФ) – 18 млн.руб. Зміна порядку нарахування штрафів. Чи будемо множити суму штрафу на кількість суб'єктів, чия згода визнана неналежною.
А суб'єкти персональних даних чекають, коли припиняться нав'язливі дзвінки та розсилки, від яких неможливо зупинити. Мене не цікавить кредит, контекстна реклама заважає перегляду контенту, і я пам'ятаю, що страховка закачується на мій автомобіль.
Джерело: habr.com