Чем грозит закон "О персональных данных" директ-маркетингу и рекламе?Госдума РФ приняла в первом чтении закон "О персональных данных". Чем это грозит директ-маркетингу, рекламе и всем, кто с базами данных работает? - обзор от агентства «ДМ Базис» На наш взгляд, в этой редакции закон может если не убить, то серьезно покалечить рынок баз данных. Следовательно, под огонь попадает весь директ-маркетинг и инструменты рекламы, с базами связанные – почтовая рассылка (директ мейл), телемаркетинг, промо-кампании «Собери и выиграй», дисконтные клубы и программы лояльности… Очень коротко повторим основные положения закона, достаточно уже широко освещенные в прессе, которые коснутся непосредственно директ-маркетинга. Закон: • Определяет права субъекта персональных данных (сиречь клиента, которого мы, директ-маркетологи, хотим достичь, используя данные о нем), и возможность использования данных о нем. • Определяет обязанности оператора персональных данных – того, кто будет обрабатывать базу данных клиентов. • И устанавливает ограничения, в которых этот оператор будет работать под присмотром вновь создаваемого органа по надзору за оборотом персональных данных. Первый, несомненный и самый большой плюс этого закона – появляется возможность контроля за оборотом нелегальных баз данных. Ворованные ГИБДД, БТИ, налоговая и прочие – отныне вне закона не только для соответствующих органов, но и для адресатов почтовой рассылки и телемаркетинга, которые в этих базах окажутся. Компанию, осмелившуюся использовать подобные базы данных для своих коммерческих интересов, ждут большие неприятности. А теперь пройдемся по тем положениям, которые будут «вязать руки» всем, кто хочет работать законно. 1) Для работы с персональными данными база данных, в которую они будут собираться, должна быть зарегистрирована в специальном государственном реестре. Также должна быть зарегистрирована организация (или частное лицо), которая работает с базами данных. Возможно, к этому нет особенных претензий. Просто появится еще одна сложность – как для тех, кто работает с базами данных постоянно (директ-маркетинг, почтовая рассылка, телемаркетинг, Интернет-маркетинг, мобильный маркетинг и т.д.), так и для рекламных агентств и их клиентов, которые касаются баз данных изредка – при организации промо-акций «Собери и выиграй». 2) Отныне обращение к субъекту персональных данных (то бишь использование персональных данных) становится возможным только с его согласия, либо если использованные (для почтовой рассылки, для телемаркетинга) базы данных (персональные данные) относятся к категории общедоступных. В принципе, и раньше в законе «Об информации, информационных технологиях и защите данных» была такая норма, но ничего не было сказано, что будет, если ее не выполнить. И не сказано было, каким образом согласие получать. Теперь сказано, и делайте выводы. Во-первых, согласие должно быть выражено письменно. Из этого следует, что Интернет-анкетирования попадают в категорию сбора информации «под большим вопросом». Во-вторых, письменное согласие (если это анкета в печатном виде, заполненная покупателем) должно включать еще и серьезный перечень дополнительных пунктов – от согласия субъекта с целями сбора информации до срока действия согласия, условий его отзыва и прав субъекта данных. В общем, любая анкета в магазине, или "собери и выиграй", даже мини-опросник на/в упаковке продукта, должна включать громоздкий абзац о том, что и когда можно делать с собираемыми данными. В-третьих, оператор персональных данных (владелец базы данных) обязан по запросу предоставить доказательства согласия субъекта на контакт с ним (использование персональных данных). То есть придется в любой базе хранить изображения анкет с подписями. Что будет, если не выполнить этого. Будет отзыв регистрации и требование об уничтожении базы данных, а Комитет по делам религиозных и общественных организаций требует в явном виде прописать и уголовную ответственность. 3) Запрещается обработка персональных данных, касающихся расовых, религиозных, политических и т.д. взглядов. Де-факто запрещается директ-маркетинг для политических и религиозных организаций. 4) Субъекту персональных данных предоставлена возможность запрашивать оператора персональных данных о наличии у него, оператора, данных об этом субъекте. И запрещать их использование. Отдельно даже сказано об использовании данных в рекламных целях – если у субъекта есть основания полагать, что его данные будут так использованы, он может возразить и запретить использование. А у оператора установлен срок и порядок ответа субъекту. Это значит, что при любой акции, особенно почтовой рассылке, по базе данных, оператор может быть завален грудой вопросов от адресатов, и обязан будет на них ответить в установленном порядке. А поскольку люди склонны забывать (что дали согласие), то запросов по любой легальной базе может быть весьма много… 5) Требуется согласие субъекта персональных данных не только на использование его данных владельцем базы данных (которому он согласие дал), но и на передачу данных третьим лицам. Это как минимум говорит о том, что подобное условие надо прописывать в согласии. А покуда его нет – никаких партнерских акций и баз данных в аренду быть не может. 6) В базе данных запрещено хранить сведения, которые не имеют отношения к целям, для которых база данных собиралась. Не совсем ясно в таком случае, как будут определяться данные «для целей» и «не для целей». Например, в анкете акции «Собери и выиграй» по некоей дорогой, например, мебели, будет просьба ответить на вопрос «Как часто Вы ездите за рубеж в турпоездки?». Видимо, организатор пытается хоть как-то установить доход. Но с целями это никак не связано – будьте любезны убрать… 7) Не определено само понятие "персональные данные". К сожалению, и Комитеты по этому поводу не высказались. Что есть персональная информация, что - нет? Например, место работы и должность - персональные данные? Видимо, да. А тогда как будет развиваться индустрия b2b? Любая база данных, где есть информация о руководителе - имя и должность (генеральный директор, например, или финансовый директор) - противозаконна, если он, генеральный, не дал согласия. Но при банальном исходящем телемаркетинге ФИО в 70% случаев можно выяснить у секретаря - что в этой информации закрытого? А самое важное требование (уже Комитетов) – установить уголовную ответственность, причем как для операторов персональных данных, так и, отдельно, для их работников. Агентство «ДМ Базис»
|