Хабрахабр

[Из песочницы] Персональные данные в РФ: кто все мы? Куда мы идём?

За последние несколько лет все мы слышали словосочетание «персональные данные». В большей или меньшей степени привели свои бизнес-процессы в соответствие с требованиями законодательства в данной области.

Статистика Управления Роскомнадзора по ЦФО за 1 полугодие 2019 года – 131 нарушение за 17 проверок. Количество проверок Роскомнадзора, выявивших в этом году нарушения в данной области, настойчиво стремится к 100%.

С мобильных телефонов от имени крупного бизнеса (банки, страховые компании и тд). При этом наша повседневная действительность — «холодные» звонки от различных организаций, с которыми, возможно, никогда и не имел дел. Их количество, кажется, только растёт. Смс-рассылки, от которых невозможно отказаться.

Перечень и достаточность применяемых мер закон предлагается оценивать самостоятельно. Соблюсти баланс между интересами бизнеса и выполнением требований регулятора – настоящий челлендж для бизнеса любого размера. Тем более, что это не потребует дополнительных затрат и принятия технически сложных мер. Из позитивных моментов — снизить риски можно, избежав самых распространённых нарушений.

Примеры: неполный перечень целей обработки, категорий субъектов, а также третьих лиц, которым предоставлен доступ к данным. И так, топ-1 в списке — нарушение условий обработки персональных данных.

Хотя очень хочется. Истина, которую придётся принять: невозможно сделать одно типовое согласие на все случаи жизни – ни для сотрудников, ни для клиентов, ни для пользователей программного продукта.

Каждый раз, запуская новую маркетинговую компанию или меняя систему продаж, потратить 5 минут и проверить, чтобы согласие содержало:

1) наименование и адрес компании – оператора,
2) цели обработки,
3) перечень данных,
4) перечень действий с данными и способов их обработки,
5) трансграничная передача и/или передача третьим лицам (с указанием конкретных стран и третьих лиц),
6) срок действия согласия и
7) способ его отзыва.

Редкий шаблон из интернета может похвастаться соответствием всем критериям, так что заимствовать можно, но с оглядкой и дополнениями.

— Требуется согласие с указанием цели (проведение аудита), наименование и адреса компании аудитора. Аудиторы получили доступ к документам, содержащим персональные данные? — Согласия, полученного при регистрации клиента на сайте, уже недостаточно. Сменилась компания, доставляющая товары интернет-магазина? Вариант со ссылкой на список партнеров не обеспечит 100% спокойствия, но это лучше, чем ничего.

Когда хочется как можно лучше знать своего юзера и присылать ему актуальные предложения. Отдельного упоминания заслуживает обработка данных конечных пользователей программного обеспечения. Мы можем использовать такие данные с согласия субъекта, но не привязывать возможность оказания основного сервиса/ продажи продукта к обязательной маркетинговой рассылке. Когда данные собираются и хранятся, хотя для регистрации программного продукта достаточно лицензионного ключа. Это уже не только про персональные данные, но и про законодательство о рекламе.

Перечень целей не должен быть избыточным. Не менее трудновыполнимы и другие условия. То есть получить согласие на обработку данных резюме соискателя и включение его в кадровый резерв одной подписью не получится. Принцип одна цель – одно согласие. В качестве компромисса жизнеспособными представляются примеры, когда в одном документе каждая цель выделена отдельным абзацем и субъекту предоставлена возможность вписать «согласен» / «не согласен» в каждом случае.

Как понять из расплывчатого определения, данного в законе («любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»), подпадает ли конкретный случай под его действие? Ну и наконец, что же такое персональные данные? Срок был перенесён на конец 2019. Роскомнадзор до конца 2018 года обещал утвердить матрицу персональных данных. Ждём.

Что еще ждём:

  • Законопроект № 04/13/09-19/00095069. Упрощение формы согласия. Легализация электронной формы согласия (галочка, смс и тд). На сегодняшний день практика двойственна, суд может как применить по аналогии правила о бумажном согласии, так и признать электронное согласие ненадлежащим.
  • Законопроект № 729516-7. Увеличение штрафов. За повторное нарушение требования о локализации (первичном сборе данных в базу на территории РФ) – 18 млн.руб. Изменение порядка начисления штрафов. Будем ли умножать сумму штрафа на количество субъектов, чьё согласи признано ненадлежащим.

А субъекты персональных данных ждут, когда прекратятся навязчивые звонки и рассылки, от которые невозможно остановить. Меня не интересует кредит, контекстная реклама мешает просмотру контента, и я помню, что закачивается страховка на мой автомобиль.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть