In den letzten Jahren haben wir alle den Begriff „personenbezogene Daten“ gehört. Sie haben ihre Geschäftsprozesse mehr oder weniger an die gesetzlichen Anforderungen in diesem Bereich angepasst.
Die Zahl der Inspektionen von Roskomnadzor, die in diesem Jahr Verstöße aufdeckten, strebt nach 100%. Statistik des Amtes Roskomnadzor für den Zentralrussland für das 1. Halbjahr 2019 - 131 Verstöße gegen 17 Inspektionen.
Gleichzeitig ist unsere tägliche Realität, dass verschiedene Organisationen, mit denen ich vielleicht noch nie Geschäfte gemacht habe, „kalt“ telefonieren. Von Mobiltelefonen im Auftrag eines Großunternehmens (Banken, Versicherungen usw.). SMS abbestellen. Ihre Zahl scheint nur zu wachsen.
Ein Gleichgewicht zwischen Geschäftsinteressen und den Anforderungen der Aufsichtsbehörde zu halten, ist eine echte Herausforderung für Unternehmen jeder Größe. Es wird vorgeschlagen, dass die Liste und die Hinlänglichkeit der angewandten Maßnahmen vom Gesetz unabhängig bewertet werden. Von den positiven Aspekten aus ist es möglich, Risiken zu reduzieren, indem die häufigsten Verstöße vermieden werden. Darüber hinaus sind hierfür keine zusätzlichen Kosten und der Erlass technisch komplexer Maßnahmen erforderlich.
Die oberste 1 in der Liste verstößt also gegen die Bedingungen für die Verarbeitung personenbezogener Daten. Beispiele: Eine unvollständige Liste von Verarbeitungszielen, Kategorien von Subjekten sowie von Dritten, denen Zugriff auf Daten gewährt wird.
Die Wahrheit, die akzeptiert werden muss: Es ist unmöglich, eine Einverständniserklärung für alle Fälle abzugeben - weder für Mitarbeiter noch für Kunden oder für Benutzer eines Softwareprodukts. Obwohl ich wirklich will.
Nehmen Sie sich jedes Mal, wenn Sie ein neues Marketingunternehmen gründen oder das Verkaufssystem ändern, 5 Minuten Zeit und prüfen Sie, ob die Einwilligung Folgendes enthält:
1) Name und Anschrift des Unternehmens - Betreiber,
2) Verarbeitungsziele,
3) eine Liste von Daten
4) eine Liste von Aktionen mit Daten und Methoden für ihre Verarbeitung,
5) grenzüberschreitende Übermittlung und / oder Übermittlung an Dritte (unter Angabe bestimmter Länder und Dritter),
6) die Dauer der Einwilligung und
7) die Methode seines Rückrufs.
Eine seltene Vorlage aus dem Internet kann sich rühmen, alle Kriterien zu erfüllen, sodass Sie sie mit Vorsicht und Hinzufügung ausleihen können.
Haben die Prüfer auf Dokumente zugegriffen, die personenbezogene Daten enthalten? - Die Zustimmung ist mit Angabe des Zwecks (Prüfung), des Namens und der Anschrift der Wirtschaftsprüfungsgesellschaft erforderlich. Hat sich das Unternehmen, das die Waren des Onlineshops liefert, geändert? - Die Zustimmung, die bei der Registrierung eines Kunden auf der Website eingeholt wurde, reicht nicht mehr aus. Die Option in Bezug auf die Liste der Partner bietet keine hundertprozentige Sicherheit, ist jedoch besser als nichts.
Besonders erwähnt wird die Verarbeitung von Daten durch Endbenutzer der Software. Wenn Sie Ihren Nutzer bestmöglich kennenlernen und ihm aktuelle Angebote schicken möchten. Wenn Daten gesammelt und gespeichert werden, genügt ein Lizenzschlüssel, um ein Softwareprodukt zu registrieren. Wir können solche Daten mit Zustimmung des Betreffenden verwenden, jedoch nicht die Möglichkeit der Erbringung der Hauptleistung / des Hauptverkaufs des Produkts an den obligatorischen Marketing-Newsletter binden. Hierbei handelt es sich nicht nur um personenbezogene Daten, sondern auch um Rechtsvorschriften zur Werbung.
Andere Bedingungen sind nicht weniger schwierig zu erfüllen. Die Liste der Ziele sollte nicht redundant sein. Das Prinzip ist ein Ziel - eine Zustimmung. Das heißt, es wird nicht funktionieren, um die Zustimmung zur Verarbeitung der Lebenslaufdaten des Antragstellers und seiner Aufnahme in die Personalreserve mit einer Unterschrift zu erhalten. Als Kompromiss erscheinen Beispiele sinnvoll, wenn in einem Dokument jedes Ziel in einem eigenen Absatz hervorgehoben wird und der Betreff die Möglichkeit erhält, jeweils "zustimmen" / "nicht zustimmen" einzugeben.
Und was sind schließlich personenbezogene Daten? Wie kann man aus einer vagen Definition im Gesetz („Informationen, die sich direkt oder indirekt auf eine bestimmte oder bestimmbare Person beziehen“) verstehen, fällt ein bestimmter Fall unter seine Wirkung? Roskomnadzor versprach bis Ende 2018, eine personenbezogene Datenmatrix zu genehmigen. Die Frist wurde auf Ende 2019 verschoben. Wir warten.
Worauf warten Sie noch?
- Rechnung Nr. 04/13 / 09-19 / 00095069. Vereinfachung des Einwilligungsformulars. Legalisierung des elektronischen Einwilligungsformulars (Häkchen, SMS usw.). Bisher hat die Praxis zwei Gründe: Das Gericht kann die Bestimmungen zur Einwilligung in Papierform analog anwenden und die elektronische Einwilligung als unangemessen anerkennen.
- Rechnung Nr. 729516-7. Die Erhöhung der Geldbußen. Für den wiederholten Verstoß gegen das Erfordernis der Lokalisierung (primäre Datenerfassung in einer Datenbank auf dem Territorium der Russischen Föderation) - 18 Millionen Rubel. Änderung des Verfahrens zur Berechnung von Geldbußen. Multiplizieren wir die Höhe der Geldbuße mit der Anzahl der Unternehmen, deren Zustimmung als unangemessen erachtet wird?
Und die Subjekte der persönlichen Daten warten darauf, dass die besessenen Anrufe und Newsletter aufhören, wovon es unmöglich ist anzuhalten. Ich interessiere mich nicht für Guthaben, kontextbezogene Werbung beeinträchtigt das Anzeigen von Inhalten und ich erinnere mich, dass die Versicherung auf mein Auto heruntergeladen wird.