Что изменится для предпринимателей с новым постановлением о защите данных?

Пожалуй, все сталкивались с ситуациями, когда с личными данными обращаются небрежно, случайно или умышленно. Например, в больнице в регистратуре о жалобах пациента спрашивают так громко, что слышит весь зал, или в кабинете семейного врача на экране компьютера остается открытой карта предыдущего пациента. Часто случается также, что один раз получив личные данные, предприятие использует их для новых предложений и игнорирует просьбы больше не связываться.

Это любая информация об определенном или определяемом физическом лице. Личными данными являются имя, личный код, адрес, сетевой идентификатор или, в случае физического лица, один или несколько физических, физиологических, генетических, душевных, экономических, культурных или социальных признаков. Эти данные необходимо защищать от случайного или умышленного несанкционированного изменения, уничтожения, обработки или попадания в руки к лицам, не имеющим для этого полномочий.

Обработкой личных данных занимаются очень разные поставщики услуг из всех сфер жизни, начиная с торговли и заканчивая медициной. Собираемые данные и их использование различны. Под обработчиком личных данных обычно понимается тот, кто их собирает, но под обработку также попадает и упорядочивание, документирование, сохранение, применение, распространение и изменение. Кстати, обработкой данных считается даже их просмотр, то есть просто так из интереса просматривать, где живут клиенты, и другие данные нельзя.

Новое постановление устанавливает, что это необходимо описать попроцессно, а также то, что каждое связанное с личными данными действие и его цель должны быть впоследствии видны, то есть в программе должна оставаться запись о каждом шаге.

В определенных случаях на предприятии надо назначить специалиста по защите данных, который знает соответствующие правовые акты и будет контролировать выполнение их требований обработчиками данных. Этого специалиста не надо нанимать отдельно, его услуги можно закупить со стороны или обучить соответственным образом кого-то из своих работников.

Специалист по защите данных работает на уровне руководства, он должен знать структуру предприятия и то, кто, где и какие данные обрабатывает.

Сейчас очень распространена практика, когда для получения карты клиента надо заполнять излишне основательную форму ходатайства. Некоторые предприятия спрашивают у клиентов всевозможные данные, начиная с его дня рождения и заканчивая его уровнем образования и количеством детей. В дальнейшем при сборе личных данных будет действовать принцип минимальности, то есть нельзя спрашивать больше данных, чем реально нужно для оказания услуги. Это означает, что просто так на всякий случай адрес клиента спрашивать нельзя. Например, если интернет-магазин доставляет товары только после получения оплаты и только в почтовые автоматы, он не должен спрашивать адрес клиента.

Поговорка говорит, что молчание – знак согласия. В свете постановления об охране данных все с точностью до наоборот. Обработчик личных данных должен быть в состоянии доказать, что он получил данные с согласия лица для определенных действий и не может использовать их для других действий даже в том случае, если клиент этого не запретил. Это означает, что если кто-то выписал газету и не дал согласия получать на тот же адрес новостные рассылки и другие предложения, то поставщик не может этого делать.

Одним из самых важные изменений в постановлении является положение, согласно которому если клиент хочет быть забытым, то поставщик услуги должен это уважать. Многим знакомы ситуации, когда по той или иной причине дав свой контакт какому-то предприятию, человека поражает бесконечная лавина предложений, которую не останавливают даже постоянные отказы и просьбы больше не беспокоить. Согласно новому постановлению, обработчик данных должен удалить данные субъекта (например, телефон или адрес электронной почты), если лицо об этом попросило.

 

 

Autor: Терье Эйпре, присяжный адвокат