Au cours des dernières années, nous avons tous entendu l'expression «données personnelles». Dans une plus ou moins grande mesure, ils ont aligné leurs processus opérationnels sur les exigences de la législation dans ce domaine.
Le nombre d'inspections de Roskomnadzor, qui a révélé des violations cette année cette année, s'efforce constamment d'atteindre 100%. Statistiques du bureau de Roskomnadzor pour le district fédéral central pour le 1er semestre 2019 - 131 violations pour 17 inspections.
Dans le même temps, notre réalité quotidienne est les appels «froids» de diverses organisations avec lesquelles, peut-être, je n'ai jamais eu affaire. Depuis les téléphones portables pour le compte d'une grande entreprise (banques, assurances, etc.). Désabonnez-vous des SMS. Leur nombre ne fait que croître.
Maintenir un équilibre entre les intérêts commerciaux et répondre aux exigences du régulateur est un véritable défi pour une entreprise de toute taille. La liste et le caractère suffisant des mesures appliquées devraient être évalués de manière indépendante par la loi. Du point de vue positif - il est possible de réduire les risques en évitant les violations les plus courantes. De plus, cela ne nécessite pas de coûts supplémentaires et l'adoption de mesures techniquement complexes.
Et donc, le top 1 de la liste est une violation des conditions de traitement des données personnelles. Exemples: une liste incomplète des objectifs de traitement, des catégories de sujets, ainsi que des tiers qui ont accès aux données.
La vérité qui devra être acceptée: il est impossible de consentir à un modèle pour toutes les occasions - ni pour les employés, ni pour les clients, ni pour les utilisateurs d'un produit logiciel. Bien que je veuille vraiment.
Chaque fois, pour démarrer une nouvelle société de marketing ou changer de système de vente, passez 5 minutes et vérifiez que le consentement contient:
1) le nom et l'adresse de l'entreprise - opérateur,
2) objectifs de traitement,
3) une liste de données
4) une liste d'actions avec des données et des méthodes pour leur traitement,
5) transfert transfrontalier et / ou transfert à des tiers (en indiquant des pays spécifiques et des tiers),
6) la durée du consentement et
7) la méthode de son rappel.
Un modèle rare sur Internet peut se vanter de répondre à tous les critères, vous pouvez donc emprunter, mais avec prudence et ajouts.
Les auditeurs ont-ils accédé à des documents contenant des données personnelles? - Le consentement est requis avec une indication de la finalité (audit), du nom et des adresses de la société de l'auditeur. L'entreprise qui livre les marchandises de la boutique en ligne a-t-elle changé? - Le consentement obtenu lors de l'inscription d'un client sur le site ne suffit plus. L'option en référence à la liste des partenaires ne vous procurera pas une tranquillité d'esprit à 100%, mais c'est mieux que rien.
Une mention spéciale est accordée au traitement des données par les utilisateurs finaux du logiciel. Lorsque vous souhaitez connaître au mieux votre utilisateur et lui envoyer des offres actuelles. Lorsque les données sont collectées et stockées, bien qu'une clé de licence soit suffisante pour enregistrer un produit logiciel. Nous pouvons utiliser ces données avec le consentement du sujet, mais sans lier la possibilité de fournir le service principal / vente du produit à la newsletter marketing obligatoire. Il ne s'agit pas seulement de données personnelles, mais aussi de législation sur la publicité.
D'autres conditions ne sont pas moins difficiles à remplir. La liste des objectifs ne doit pas être redondante. Le principe est un objectif - un consentement. Autrement dit, il ne fonctionnera pas pour obtenir le consentement pour le traitement des données de CV du demandeur et leur inclusion dans la réserve de personnel avec une signature. À titre de compromis, les exemples semblent viables lorsque dans un document chaque objectif est mis en évidence dans un paragraphe distinct et que le sujet a la possibilité de saisir «d'accord» / «en désaccord» dans chaque cas.
Et enfin, qu'est-ce que les données personnelles? Comment comprendre à partir d'une définition vague donnée dans la loi ("toute information se rapportant directement ou indirectement à un individu spécifique ou déterminable"), un cas particulier tombe-t-il sous son effet? Roskomnadzor jusqu'à la fin de 2018 a promis d'approuver une matrice de données personnelles. La date limite a été reportée à la fin de 2019. Nous attendons.
Qu'attendent-ils d'autre:
- Projet de loi n ° 04/13 / 09-19 / 00095069. Simplification du formulaire de consentement. Légalisation du formulaire de consentement électronique (coche, SMS, etc.). À ce jour, la pratique est double, le tribunal peut à la fois appliquer les règles sur le consentement papier par analogie et reconnaître le consentement électronique comme inapproprié.
- Projet de loi n ° 729516-7. L'augmentation des amendes. Pour violation répétée de l'exigence de localisation (collecte de données primaires dans une base de données sur le territoire de la Fédération de Russie) - 18 millions de roubles. Modification de la procédure de calcul des amendes. Allons-nous multiplier le montant de l'amende par le nombre d'entités dont le consentement est jugé inapproprié.
Et les sujets de données personnelles attendent l'arrêt des appels obsessionnels et des newsletters, dont il est impossible de s'arrêter. Je ne suis pas intéressé par le crédit, la publicité contextuelle interfère avec l'affichage du contenu et je me souviens que l'assurance est téléchargée sur ma voiture.