Nos últimos anos, todos ouvimos a frase "dados pessoais". Em maior ou menor grau, eles alinharam seus processos de negócios aos requisitos da legislação nessa área.
O número de inspeções em Roskomnadzor, que revelou violações este ano este ano, busca persistentemente 100%. Estatísticas do Escritório de Roskomnadzor para o Distrito Federal Central para o 1º semestre de 2019 - 131 violações para 17 inspeções.
Ao mesmo tempo, nossa realidade diária é chamada "fria" de várias organizações com as quais, talvez, eu nunca tenha tido negócios. De telefones celulares em nome de uma grande empresa (bancos, companhias de seguros, etc.). Cancelar a inscrição de mensagens SMS. O número deles parece estar apenas crescendo.
Manter um equilíbrio entre os interesses comerciais e atender aos requisitos do regulador é um verdadeiro desafio para empresas de qualquer tamanho. Propõe-se que a lista e suficiência das medidas aplicadas sejam avaliadas independentemente por lei. Dos aspectos positivos - é possível reduzir riscos, evitando as violações mais comuns. Além disso, isso não exige custos adicionais e a adoção de medidas tecnicamente complexas.
E, assim, o primeiro da lista é uma violação das condições para o processamento de dados pessoais. Exemplos: uma lista incompleta de objetivos de processamento, categorias de sujeitos e também terceiros que têm acesso aos dados.
A verdade que terá que ser aceita: é impossível consentir um modelo para todas as ocasiões - nem para funcionários, nem para clientes, nem para usuários de um produto de software. Embora eu realmente queira.
Sempre que iniciar uma nova empresa de marketing ou alterar o sistema de vendas, gaste 5 minutos e verifique se o consentimento contém:
1) o nome e endereço da empresa - operador,
2) objetivos de processamento,
3) uma lista de dados
4) uma lista de ações com dados e métodos para seu processamento,
5) transferência transfronteiriça e / ou transferência para terceiros (indicando países específicos e terceiros),
6) a duração do consentimento e
7) o método de seu recall.
Um modelo raro da Internet pode se orgulhar de atender a todos os critérios, para que você possa emprestar, mas com cautela e acréscimos.
Os auditores acessaram documentos contendo dados pessoais? - É necessário consentimento com uma indicação do objetivo (auditoria), o nome e o endereço da empresa do auditor. A empresa que entrega os produtos da loja online mudou? - O consentimento obtido ao registrar um cliente no site não é mais suficiente. A opção com referência à lista de parceiros não fornecerá 100% de tranquilidade, mas é melhor que nada.
Menção especial é dada ao processamento de dados pelos usuários finais do software. Quando você quiser conhecer o seu usuário da melhor forma possível e enviar a ele as ofertas atuais. Quando os dados são coletados e armazenados, embora uma chave de licença seja suficiente para registrar um produto de software. Podemos usar esses dados com o consentimento do sujeito, mas não vinculamos a possibilidade de fornecer o principal serviço / venda do produto ao boletim de marketing obrigatório. Não se trata apenas de dados pessoais, mas também de legislação sobre publicidade.
Outras condições não são menos difíceis de cumprir. A lista de objetivos não deve ser redundante. O princípio é um objetivo - um consentimento. Ou seja, não funcionará para obter consentimento para o processamento dos dados do currículo do candidato e sua inclusão na reserva de pessoal com uma assinatura. Como compromisso, os exemplos parecem viáveis quando, em um documento, cada objetivo é destacado em um parágrafo separado e o sujeito recebe a oportunidade de inserir "concordo" / "discordo" em cada caso.
E, finalmente, o que são dados pessoais? Como entender, a partir de uma definição vaga dada na lei ("qualquer informação relacionada direta ou indiretamente a um indivíduo específico ou determinável"), um caso específico cai sob seu efeito? Roskomnadzor até o final de 2018 prometeu aprovar uma matriz de dados pessoais. O prazo foi adiado para o final de 2019. Estamos aguardando.
O que mais estão esperando:
- Projeto de lei nº 04/13 / 09-19 / 00095069. Simplificação do formulário de consentimento. Legalização do formulário de consentimento eletrônico (marca de seleção, SMS, etc.). Até o momento, a prática é dupla, o tribunal pode aplicar as regras do consentimento em papel por analogia e reconhecer o consentimento eletrônico como inadequado.
- Projeto de lei 729516-7. O aumento de multas. Por violação repetida do requisito de localização (coleta de dados primários em um banco de dados no território da Federação Russa) - 18 milhões de rublos. Alteração do procedimento de cálculo de multas. Vamos multiplicar o valor da multa pelo número de entidades cujo consentimento é considerado inadequado.
E os assuntos de dados pessoais estão aguardando o término das chamadas obsessivas e boletins, dos quais é impossível parar. Não estou interessado em crédito, a publicidade contextual interfere na visualização do conteúdo e lembro que o seguro está sendo baixado no meu carro.