在过去的几年里,我们都听说过“个人数据”这个词。他们或多或少地使其业务流程符合该领域的立法要求。
今年Roskomnadzor检查发现该领域违规行为的数量持续力争达到100%。中央联邦区 Roskomnadzor 办公室 1 年上半年的统计数据显示,在 2019 次检查中,共发生 131 起违规事件。
与此同时,我们每天的现实是来自我们可能从未处理过的各种组织的“冷酷”电话。来自移动电话代表大型企业(银行、保险公司等)。您无法拒绝的短信通讯。他们的数量似乎只增不减。
对于任何规模的企业来说,保持商业利益和满足监管要求之间的平衡都是一个真正的挑战。该法律建议对独立实施的措施的清单和充分性进行评估。从积极的一面来看,可以通过避免最常见的违规行为来降低风险。此外,这不需要额外的成本或技术上复杂的措施。
因此,列表中排名第一的是违反个人数据处理条款。示例:处理目的、主体类别以及被授予数据访问权限的第三方的不完整列表。
必须接受的事实是:不可能对所有情况都做出统一的标准同意——无论是对员工、客户还是软件产品的用户。虽然我真的很想。
每次启动新的营销活动或更改销售系统时,请花 5 分钟检查同意是否包含:
1) 运营公司的名称和地址,
2) 处理的目的,
3)数据列表,
4)包含数据和处理它们的方法的操作列表,
5) 跨境转移和/或转移给第三方(注明具体国家和第三方),
6)同意的有效期和
7) 退出方法。
来自互联网的罕见模板可以吹嘘满足所有标准,因此您可以借用它,但要小心并进行补充。
审计员是否获得了包含个人数据的文件? — 需要同意并注明目的(审计)、审计公司的名称和地址。提供网上商店商品的公司是否发生变化? — 在网站上注册客户时获得的同意已不再足够。带有合作伙伴列表链接的选项不能让您 100% 放心,但总比没有好。
软件最终用户的数据处理值得特别提及。当您想尽可能地了解您的用户并向他发送当前优惠时。当收集和存储数据时,尽管许可证密钥足以注册软件产品。我们可以在主体同意的情况下使用此类数据,但不会将提供主要服务/销售产品的可能性与强制性营销邮件联系起来。这不仅涉及个人数据,还涉及广告立法。
其他条件的满足也同样困难。目标清单不应该是多余的。原则是一个目标,一个协议。也就是说,仅通过一个签名就无法获得处理应聘者简历数据的同意并将其纳入人才储备。作为一种妥协,可行的例子似乎是在一份文件中,每个目标在单独的段落中突出显示,并且主题有机会在每种情况下输入“同意”/“不同意”。
最后,什么是个人数据?如何从法律中给出的模糊定义(“与直接或间接识别或可识别的自然人有关的任何信息”)判断特定案件是否属于其范围? Roskomnadzor 承诺在 2018 年底前批准个人数据矩阵。截止日期已推迟至2019年底。我们正在等待。
我们还等什么:
- 法案编号 04/13/09-19/00095069。简化同意书。电子同意书的合法化(勾选、短信等)。如今,这种做法是双重的;法院可以类推适用纸质同意的规则,也可以认定电子同意是不当的。
- 法案编号 729516-7。增加罚款。屡次违反本地化要求(首次将数据收集到俄罗斯联邦境内的数据库中) – 18万卢布。罚款计算程序的变化。我们是否会将罚款金额乘以被认为不当同意的受试者数量?
而个人数据主体正等待着无法阻止的侵入性电话和邮件。我对贷款不感兴趣,上下文广告会干扰查看内容,而且我记得正在下载我的汽车保险。
来源: habr.com
