En los últimos años, todos hemos escuchado la frase "datos personales". En mayor o menor medida, alinearon sus procesos comerciales con los requisitos de la legislación en esta área.
El número de inspecciones de Roskomnadzor, que revelaron violaciones este año este año, persigue constantemente el 100%. Estadísticas de la Oficina de Roskomnadzor para el Distrito Federal Central para el primer semestre de 2019: 131 violaciones para 17 inspecciones.
Al mismo tiempo, nuestra realidad diaria son las llamadas "frías" de varias organizaciones con las que, tal vez, nunca he tenido ningún negocio. Desde teléfonos móviles en nombre de una gran empresa (bancos, compañías de seguros, etc.). Anular suscripción de mensajes SMS. Su número parece estar creciendo.
Mantener un equilibrio entre los intereses comerciales y cumplir con los requisitos del regulador es un verdadero desafío para una empresa de cualquier tamaño. Se propone que la lista y la suficiencia de las medidas aplicadas sean evaluadas independientemente por la ley. Desde los aspectos positivos, es posible reducir los riesgos evitando las violaciones más comunes. Además, esto no requiere costos adicionales y la adopción de medidas técnicamente complejas.
Por lo tanto, el primer puesto en la lista es una violación de las condiciones para el procesamiento de datos personales. Ejemplos: una lista incompleta de objetivos de procesamiento, categorías de temas, así como de terceros a los que se les otorga acceso a los datos.
La verdad que tendrá que ser aceptada: es imposible dar el consentimiento de un modelo para todas las ocasiones, ni para los empleados, ni para los clientes, ni para los usuarios de un producto de software. Aunque realmente quiero hacerlo.
Cada vez, comenzando una nueva empresa de marketing o cambiando el sistema de ventas, dedique 5 minutos y verifique que el consentimiento contenga:
1) el nombre y la dirección de la empresa - operador,
2) objetivos de procesamiento,
3) una lista de datos
4) una lista de acciones con datos y métodos para su procesamiento,
5) transferencia transfronteriza y / o transferencia a terceros (indicando países y terceros específicos),
6) la duración del consentimiento y
7) el método de su retiro.
Una plantilla rara de Internet puede presumir de cumplir con todos los criterios, por lo que puede pedir prestado, pero con precaución y adiciones.
¿Han accedido los auditores a documentos que contienen datos personales? - Se requiere el consentimiento con una indicación del propósito (auditoría), nombre y dirección de la compañía del auditor. ¿Ha cambiado la empresa que entrega los productos de la tienda en línea? - El consentimiento obtenido al registrar un cliente en el sitio ya no es suficiente. La opción con referencia a la lista de socios no proporcionará el 100% de tranquilidad, pero es mejor que nada.
Se hace especial mención al procesamiento de datos por parte de los usuarios finales del software. Cuando desee conocer a su usuario lo mejor posible y enviarle ofertas actuales. Cuando se recopilan y almacenan datos, aunque una clave de licencia es suficiente para registrar un producto de software. Podemos utilizar dichos datos con el consentimiento del sujeto, pero sin vincular la posibilidad de proporcionar el servicio / venta principal del producto al boletín de marketing obligatorio. No se trata solo de datos personales, sino también de legislación sobre publicidad.
Otras condiciones no son menos difíciles de cumplir. La lista de objetivos no debe ser redundante. El principio es un objetivo: un consentimiento. Es decir, no funcionará obtener el consentimiento para procesar los datos del currículum vitae del solicitante y su inclusión en la reserva de personal con una firma. Como compromiso, los ejemplos parecen viables cuando en un documento cada objetivo se resalta en un párrafo separado y el sujeto tiene la oportunidad de ingresar "de acuerdo" / "en desacuerdo" en cada caso.
Y finalmente, ¿qué son los datos personales? ¿Cómo entender a partir de una definición vaga dada en la ley ("cualquier información relacionada directa o indirectamente con un individuo específico o determinable"), un caso particular cae bajo su efecto? Roskomnadzor hasta finales de 2018 prometió aprobar una matriz de datos personales. La fecha límite se pospuso para fines de 2019. Estamos esperando.
¿Qué más estás esperando?
- Proyecto de ley No. 04/13 / 09-19 / 00095069. Simplificación del formulario de consentimiento. Legalización del formulario de consentimiento electrónico (marca de verificación, SMS, etc.). Hasta la fecha, la práctica es doble, el tribunal puede aplicar las reglas sobre el consentimiento en papel por analogía y reconocer el consentimiento electrónico como inapropiado.
- Proyecto de ley no 729516-7. El aumento de las multas. Por violación reiterada del requisito de localización (recopilación de datos primarios en una base de datos en el territorio de la Federación de Rusia) - 18 millones de rublos. Cambio del procedimiento para calcular multas. ¿Multiplicaremos el monto de la multa por el número de entidades cuyo consentimiento se considera inapropiado?
Y los sujetos de los datos personales están esperando que se detengan las llamadas obsesivas y los boletines, de los cuales es imposible parar. No me interesa el crédito, la publicidad contextual interfiere con la visualización de contenido y recuerdo que el seguro se está descargando a mi automóvil.