Закон "О персональных данных". Угроза директ-маркетингу и рекламе

25 ноября 2005 Госдума РФ приняла в первом чтении закон "О персональных данных".

Событие в жизни страны значимое, если судить по новостным лентам. Десятки новостей и полноценных уже публикаций, передачи по ТВ (как минимум см. "К барьеру" по НТВ), уже и митинги прошли…

Партии, которые на законе создают рейтинги, баламутят избирателей. Уместно ли, по закону, присвоить человеку код? А не оскорбительно ли назвать человека "субъектом персональных данных" и т.д. И народ, судя по всему, волнуется. Хотя на самом деле закон дает ему, народу, права, а не ущемляет.

Что на самом деле странно - это пренебрежение к закону тех, по кому он больно ударит, чьи права он реально отбирает. Многие эти удары в законе отражены мелкими пунктиками, на которые и внимания-то никто и не обращает - а надо бы.

В первую очередь, коллеги, ударит он по рекламе и, в частности, по директ-маркетингу. На мой взгляд, в редакции "первого чтения" закон может если не убить, то серьезно покалечить рынок баз данных.

А значит, под огонь попадает весь директ-маркетинг и инструменты рекламы, с базами связанные - почтовая рассылка (директ мейл), телемаркетинг, промо-кампании "Собери и выиграй", дисконтные клубы и программы лояльности и многое другое…

Это серьезно.

Сразу после принятия мы внимательно изучили закон и комментарии к нему думских Комитетов.
Очень коротко основные положения закона, достаточно уже широко освещенные в прессе, которые коснутся непосредственно директ-маркетинга.

Закон:
-Определяет права субъекта персональных данных (сиречь клиента, которого мы хотим достичь, используя данные о нем), и возможность использования данных о нем.

-Определяет обязанности оператора персональных данных - того, кто будет обрабатывать базу данных клиентов.

-И устанавливает ограничения, в которых этот оператор будет работать под присмотром вновь создаваемого органа по надзору за оборотом персональных данных.

Первый, несомненный и самый большой плюс этого закона - появляется возможность контроля за оборотом нелегальных баз данных. Ворованные ГИБДД, БТИ, налоговая и прочие - отныне вне закона не только для соответствующих органов, но и для адресатов почтовой рассылки и телемаркетинга, которые в этих базах окажутся. Компанию, осмелившуюся использовать подобные базы данных для своих коммерческих интересов, ждут большие неприятности.

А теперь пройдемся по тем положениям, которые будут "вязать руки" всем, кто хочет работать законно.

1) Для работы с персональными данными база данных, в которую они будут собираться, должна быть зарегистрирована в специальном государственном реестре. Также должна быть зарегистрирована организация (или частное лицо), которая работает с базами данных.

Возможно, к этому нет особенных претензий. Просто появится еще одна сложность - как для тех, кто работает с базами данных постоянно (директ-маркетинг, почтовая рассылка, телемаркетинг, Интернет-маркетинг, мобильный маркетинг и т.д.), так и для рекламных агентств и их клиентов, которые касаются баз данных изредка - при организации промо-акций "Собери и выиграй".

Если совсем конкретно - законом предусматривается специальный орган из 50 человек, который будет следить за оборотом баз данных. Обратите внимание на количество промо-акций, в которых надо что-то прислать, заполнить, оставить, собрать - и прикиньте, сколько времени вы будете тратить на регистрацию базы данных перед акцией, если заниматься этим на всю страну будет 50 человек? Дополнительно к работе с регистрацией стимулирующей лотереи.


2) Отныне обращение к субъекту персональных данных (то бишь использование персональных данных) становится возможным только с его согласия, либо если использованные базы данных (персональные данные) относятся к категории общедоступных.

В принципе, и раньше в законе "Об информации, информационных технологиях и защите данных" была такая норма, но ничего не было сказано, что будет, если ее не выполнить. И не сказано было, каким образом согласие получать. Теперь сказано достаточно четко, хотя и двусмысленно.

Во-первых, согласие должно быть выражено письменно. Из этого следует, что Интернет-анкетирования попадают в категорию сбора информации "под большим вопросом". Регистрация данных по телефону - тоже.

Во-вторых, письменное согласие (если это анкета в печатном виде, заполненная покупателем) должно включать еще и серьезный перечень дополнительных пунктов - от согласия субъекта с целями сбора информации до срока действия согласия, условий его отзыва и прав субъекта данных. В общем, любая анкета в магазине, или "собери и выиграй", даже мини-опросник на/в упаковке продукта, должна включать громоздкий абзац о том, что и когда можно делать с собираемыми данными.

В-третьих, оператор персональных данных (владелец базы данных) обязан по запросу предоставить доказательства согласия субъекта на контакт с ним (использование персональных данных). То есть придется в любой базе хранить изображения анкет с подписями.

Вот вам пример - из рекламной паузы в той самой передаче "К барьеру", посвященной новому закону. За внимание телезрителей соревновалось в основном пиво - что и понятно, учитывая время - после 22.00. Два ролика призывали что-то собирать и отправлять: "Золотая бочка" уговаривала покупателей собрать десять крышек для получения УАЗика, а "Клинское" - выслать код по смс-ке, чтобы поехать в Европу.

А теперь внимание. По нынешней редакции закона "Клинское" не может связаться с победителями, поскольку те отправили смс - а нужно письменное разрешение от покупателей на связь с ними. "Золотая бочка" не может, потому что даже если покупатели прислали в конверте 10 крышек и подпись, то закон все равно не соблюден - покупатели должны быть извещены, для чего данные собираются, сколько времени будут использоваться, какие у них права, кто есть оператор данных (организатор лотереи), каков его регистрационный номер... И все это надо дать в телеролике как минимум!

Что будет, если не выполнить этого. Будет отзыв регистрации и требование об уничтожении базы данных, а Комитет по делам религиозных и общественных организаций требует в явном виде прописать и уголовную ответственность.


3) Запрещается обработка персональных данных, касающихся расовых, религиозных, политических и т.д. взглядов. Де-факто запрещается директ-маркетинг для политических и религиозных организаций.


4) Субъекту персональных данных предоставлена возможность запрашивать оператора персональных данных о наличии у него, оператора, данных об этом субъекте. И запрещать их использование. Отдельно даже сказано об использовании данных в рекламных целях - если у субъекта есть основания полагать, что его данные будут так использованы, он может возразить и запретить использование. А у оператора установлен срок и порядок ответа субъекту.

Это значит, что при любой акции, особенно почтовой рассылке, по базе данных, оператор может быть завален грудой вопросов от адресатов, и обязан будет на них ответить в установленном порядке. А поскольку люди склонны забывать (что дали согласие), то запросов по любой легальной базе может быть весьма много…

Интересно, сколько нужно отдельных менеджеров по ответам на запросы в агентствах - как параноидально настроенных, так и вполне законопослушных, но очень интересующихся своим спокойствием граждан?


5) Требуется согласие субъекта персональных данных не только на использование его данных владельцем базы данных (которому он согласие дал), но и на передачу данных третьим лицам.

Это как минимум говорит о том, что подобное условие надо прописывать в согласии. А покуда его нет - никаких партнерских акций и баз данных в аренду быть не может. Равно как и непонятно, как с данными будут работать мейлинговые агентства, колл-центры, разработчики программ лояльности и поставщики CRM-систем…


6) В базе данных запрещено хранить сведения, которые не имеют отношения к целям, для которых база данных собиралась.

Не совсем ясно в таком случае, как будут определяться данные "для целей" и "не для целей". Например, в анкете акции "Собери и выиграй" по некоей дорогой, например, мебели, будет просьба ответить на вопрос "Как часто Вы ездите за рубеж в турпоездки?". Видимо, организатор пытается хоть как-то установить доход. Но с целями это никак не связано - будьте любезны убрать… Да вообще любые "лишние" вопросы по идее с целями не связаны.


7) Не определено само понятие "персональные данные". К сожалению, и Комитеты по этому поводу не высказались. Что есть персональная информация, что - нет? Например, место работы и должность - персональные данные? Видимо, да.

А тогда как будет развиваться индустрия b2b? Любая база данных, где есть информация о руководителе - имя и должность (генеральный директор, например, или финансовый директор) - противозаконна, если он, генеральный, не дал согласия. Но при банальном исходящем телемаркетинге ФИО в 70% случаев можно выяснить у секретаря - что в этой информации закрытого?


8) И, наконец, самое "вкусное" - то, что закон имеет обратную силу. То есть любые данные, собранные на текущий момент, должны ему удовлетворять - иметь подписи, да не просто подписи, а под перечнем прав субъекта… Иначе говоря, практически все базы данных в рекламе, директ-маркетинге оказываются вне закона.


Под конец требование (уже думских Комитетов) - установить уголовную ответственность, причем как для операторов персональных данных, так и, отдельно, для их работников.

На самом деле в законе много неясных мест и не определено множество понятий. Поэтому стоит думать, что ко второму чтению он изменится очень серьезно. В том числе и в комментариях к закону Комитетов есть моменты, которые устраняют недостатки - четкое определение "база данных", отделение понятий "владелец данных" от "оператор данных", определение "обработки данных".
Особенно приятны комментарии, в которых прямо говорится, что субъекту персональных данных дали необоснованно много прав, тогда как права бизнеса в отношении данных сильно урезали. Да и вообще, приняли "вроде как" по подобию европейских законов, а на самом деле навернули много лишнего, и, в принципе, ненужного.

Впрочем, и ужесточающие комментарии тоже есть.

Это если посмотреть на все вкратце.

Стоит заметить, что закон поступал в Думу уже несколько раз начиная с 1998 года - и так и не прошел. Однако теперь есть все основания полагать, что игры кончились. Во-первых, принятия закона требует Евросоюз. Во-вторых, комментарии всех Комитетов к закону начинаются со слов "Ввиду оборота ворованных данных у нас в стране закон очень своевременен и должен быть принят". Да и шумиха вокруг него заставляет задуматься.

Еще раз стоит отметить, что многие "проблемные" для нас места отмечены в законе мелкими (на первый взгляд) пунктами, и никак не прокомментированы Комитетами, вокруг них никто не шумит. То есть они могут пройти и во второе чтение, и, по необходимости, в третье, и на стол Президенту лечь… Вот теперь точно делайте выводы.

Илья Шагаев