Россия. Закон «О персональных данных» — угроза директ-маркетингу и рекламе

25 ноября 2005 Госдума РФ приняла в первом чтении закон «О персональных данных». Событие в жизни страны значимое, если судить по новостным лентам. Десятки новостей и полноценных уже публикаций, передачи по ТВ (как минимум см. «К барьеру» по НТВ), уже и митинги прошли.


Партии, которые на законе создают рейтинги, баламутят избирателей. Уместно ли, по закону, присвоить человеку код? А не оскорбительно ли назвать человека «субъектом персональных данных» и т.д. И народ, судя по всему, волнуется. Хотя на самом деле закон дает ему, народу, права, а не ущемляет.


Что на самом деле странно — это пренебрежение к закону тех, по кому он больно ударит, чьи права он реально отбирает. Многие эти удары в законе отражены мелкими пунктиками, на которые и внимания-то никто и не обращает — а надо бы.


В первую очередь, коллеги, ударит он по рекламе и, в частности, по директ-маркетингу. На мой взгляд, в редакции «первого чтения» закон может если не убить, то серьезно покалечить рынок баз данных.


А значит, под огонь попадает весь директ-маркетинг и инструменты рекламы, с базами связанные — почтовая рассылка (директ мейл), телемаркетинг, промо-кампании «Собери и выиграй», дисконтные клубы и программы лояльности и многое другое…


Это серьезно.


Сразу после принятия мы внимательно изучили закон и комментарии к нему думских Комитетов.
Очень коротко основные положения закона, достаточно уже широко освещенные в прессе, которые коснутся непосредственно директ-маркетинга.


Закон:
-Определяет права субъекта персональных данных (сиречь клиента, которого мы хотим достичь, используя данные о нем), и возможность использования данных о нем.


-Определяет обязанности оператора персональных данных — того, кто будет обрабатывать базу данных клиентов.


-И устанавливает ограничения, в которых этот оператор будет работать под присмотром вновь создаваемого органа по надзору за оборотом персональных данных.


Первый, несомненный и самый большой плюс этого закона — появляется возможность контроля за оборотом нелегальных баз данных. Ворованные ГИБДД, БТИ, налоговая и прочие — отныне вне закона не только для соответствующих органов, но и для адресатов почтовой рассылки и телемаркетинга, которые в этих базах окажутся. Компанию, осмелившуюся использовать подобные базы данных для своих коммерческих интересов, ждут большие неприятности.


А теперь пройдемся по тем положениям, которые будут «вязать руки» всем, кто хочет работать законно.


1) Для работы с персональными данными база данных, в которую они будут собираться, должна быть зарегистрирована в специальном государственном реестре. Также должна быть зарегистрирована организация (или частное лицо), которая работает с базами данных.


Возможно, к этому нет особенных претензий. Просто появится еще одна сложность — как для тех, кто работает с базами данных постоянно (директ-маркетинг, почтовая рассылка, телемаркетинг, Интернет-маркетинг, мобильный маркетинг и т.д.), так и для рекламных агентств и их клиентов, которые касаются баз данных изредка — при организации промо-акций «Собери и выиграй».


Если совсем конкретно — законом предусматривается специальный орган из 50 человек, который будет следить за оборотом баз данных. Обратите внимание на количество промо-акций, в которых надо что-то прислать, заполнить, оставить, собрать — и прикиньте, сколько времени вы будете тратить на регистрацию базы данных перед акцией, если заниматься этим на всю страну будет 50 человек? Дополнительно к работе с регистрацией стимулирующей лотереи.



2) Отныне обращение к субъекту персональных данных (то бишь использование персональных данных) становится возможным только с его согласия, либо если использованные базы данных (персональные данные) относятся к категории общедоступных.


В принципе, и раньше в законе «Об информации, информационных технологиях и защите данных» была такая норма, но ничего не было сказано, что будет, если ее не выполнить. И не сказано было, каким образом согласие получать. Теперь сказано достаточно четко, хотя и двусмысленно.


Во-первых, согласие должно быть выражено письменно. Из этого следует, что Интернет-анкетирования попадают в категорию сбора информации «под большим вопросом». Регистрация данных по телефону — тоже.


Во-вторых, письменное согласие (если это анкета в печатном виде, заполненная покупателем) должно включать еще и серьезный перечень дополнительных пунктов — от согласия субъекта с целями сбора информации до срока действия согласия, условий его отзыва и прав субъекта данных. В общем, любая анкета в магазине, или «собери и выиграй», даже мини-опросник на/в упаковке продукта, должна включать громоздкий абзац о том, что и когда можно делать с собираемыми данными.


В-третьих, оператор персональных данных (владелец базы данных) обязан по запросу предоставить доказательства согласия субъекта на контакт с ним (использование персональных данных). То есть придется в любой базе хранить изображения анкет с подписями.


Вот вам пример — из рекламной паузы в той самой передаче «К барьеру», посвященной новому закону. За внимание телезрителей соревновалось в основном пиво — что и понятно, учитывая время — после 22.00. Два ролика призывали что-то собирать и отправлять: «Золотая бочка» уговаривала покупателей собрать десять крышек для получения УАЗика, а «Клинское» — выслать код по смс-ке, чтобы поехать в Европу.


А теперь внимание. По нынешней редакции закона «Клинское» не может связаться с победителями, поскольку те отправили смс — а нужно письменное разрешение от покупателей на связь с ними. «Золотая бочка» не может, потому что даже если покупатели прислали в конверте 10 крышек и подпись, то закон все равно не соблюден — покупатели должны быть извещены, для чего данные собираются, сколько времени будут использоваться, какие у них права, кто есть оператор данных (организатор лотереи), каков его регистрационный номер… И все это надо дать в телеролике как минимум!


Что будет, если не выполнить этого. Будет отзыв регистрации и требование об уничтожении базы данных, а Комитет по делам религиозных и общественных организаций требует в явном виде прописать и уголовную ответственность.



3) Запрещается обработка персональных данных, касающихся расовых, религиозных, политических и т.д. взглядов. Де-факто запрещается директ-маркетинг для политических и религиозных организаций.



4) Субъекту персональных данных предоставлена возможность запрашивать оператора персональных данных о наличии у него, оператора, данных об этом субъекте. И запрещать их использование. Отдельно даже сказано об использовании данных в рекламных целях — если у субъекта есть основания полагать, что его данные будут так использованы, он может возразить и запретить использование. А у оператора установлен срок и порядок ответа субъекту.


Это значит, что при любой акции, особенно почтовой рассылке, по базе данных, оператор может быть завален грудой вопросов от адресатов, и обязан будет на них ответить в установленном порядке. А поскольку люди склонны забывать (что дали согласие), то запросов по любой легальной базе может быть весьма много…


Интересно, сколько нужно отдельных менеджеров по ответам на запросы в агентствах — как параноидально настроенных, так и вполне законопослушных, но очень интересующихся своим спокойствием граждан?



5) Требуется согласие субъекта персональных данных не только на использование его данных владельцем базы данных (которому он согласие дал), но и на передачу данных третьим лицам.


Это как минимум говорит о том, что подобное условие надо прописывать в согласии. А покуда его нет — никаких партнерских акций и баз данных в аренду быть не может. Равно как и непонятно, как с данными будут работать мейлинговые агентства, колл-центры, разработчики программ лояльности и поставщики CRM-систем…



6) В базе данных запрещено хранить сведения, которые не имеют отношения к целям, для которых база данных собиралась.


Не совсем ясно в таком случае, как будут определяться данные «для целей» и «не для целей». Например, в анкете акции «Собери и выиграй» по некоей дорогой, например, мебели, будет просьба ответить на вопрос «Как часто Вы ездите за рубеж в турпоездки?». Видимо, организатор пытается хоть как-то установить доход. Но с целями это никак не связано — будьте любезны убрать… Да вообще любые «лишние» вопросы по идее с целями не связаны.



7) Не определено само понятие «персональные данные». К сожалению, и Комитеты по этому поводу не высказались. Что есть персональная информация, что — нет? Например, место работы и должность — персональные данные? Видимо, да.


А тогда как будет развиваться индустрия b2b? Любая база данных, где есть информация о руководителе — имя и должность (генеральный директор, например, или финансовый директор) — противозаконна, если он, генеральный, не дал согласия. Но при банальном исходящем телемаркетинге ФИО в 70% случаев можно выяснить у секретаря — что в этой информации закрытого?



8) И, наконец, самое «вкусное» — то, что закон имеет обратную силу. То есть любые данные, собранные на текущий момент, должны ему удовлетворять — иметь подписи, да не просто подписи, а под перечнем прав субъекта… Иначе говоря, практически все базы данных в рекламе, директ-маркетинге оказываются вне закона.



Под конец требование (уже думских Комитетов) — установить уголовную ответственность, причем как для операторов персональных данных, так и, отдельно, для их работников.


На самом деле в законе много неясных мест и не определено множество понятий. Поэтому стоит думать, что ко второму чтению он изменится очень серьезно. В том числе и в комментариях к закону Комитетов есть моменты, которые устраняют недостатки — четкое определение «база данных», отделение понятий «владелец данных» от «оператор данных», определение «обработки данных».
Особенно приятны комментарии, в которых прямо говорится, что субъекту персональных данных дали необоснованно много прав, тогда как права бизнеса в отношении данных сильно урезали. Да и вообще, приняли «вроде как» по подобию европейских законов, а на самом деле навернули много лишнего, и, в принципе, ненужного.


Впрочем, и ужесточающие комментарии тоже есть.


Это если посмотреть на все вкратце.


Стоит заметить, что закон поступал в Думу уже несколько раз начиная с 1998 года — и так и не прошел. Однако теперь есть все основания полагать, что игры кончились. Во-первых, принятия закона требует Евросоюз. Во-вторых, комментарии всех Комитетов к закону начинаются со слов «Ввиду оборота ворованных данных у нас в стране закон очень своевременен и должен быть принят». Да и шумиха вокруг него заставляет задуматься.


Еще раз стоит отметить, что многие «проблемные» для нас места отмечены в законе мелкими (на первый взгляд) пунктами, и никак не прокомментированы Комитетами, вокруг них никто не шумит. То есть они могут пройти и во второе чтение, и, по необходимости, в третье, и на стол Президенту лечь… Вот теперь точно делайте выводы.