1. Кому не потрібна ступінь MBA?
2. головне
3. Як було раніше і чому не хвилюються зараз
4. За ступенем реакції на те, що відбувається в законодавстві виділимо чотири категорії компаній
5. Зміни в 152-ФЗ. Як стало зараз, і чому ризики операторів збільшилися
6. шість пунктів
7. 2. Обробка ПДН без письмової згоди у випадках, коли воно має бути по закону. Штраф від 15 до 75 неоподатковуваних...
8. 3. Невиконання оператором обов'язки щодо забезпечення доступу до політики обробки ПДН. Штраф від 15...
9. 4. Невиконання оператором обов'язки з надання приватній особі інформації про обробку його ПДН. Штраф...
10. 5. Невиконання у встановлені терміни вимоги (приватної особи, його представника, уповноваженого органу)...
11. 6. Невиконання обов'язків по зберіганню матеріальних носіїв ПДН. Штраф від 25 до 50 неоподатковуваних...
12. Може, так нам і треба?

Ілля Шагаєв, генеральний директор CRM-агентства « ДМ Базис ». Персональними даними займається з 2006 року, входив до Консультативної ради при Роскомнадзоре, в робочі групи різних асоціацій по 152-ФЗ.

Прихильник підходу «закон про персональні дані - це не про безпеку баз даних, а про правильну роботу з даними приватної особи - потенційного клієнта, покупця, працівника».

У законодавстві відбулися великі зміни, але про них практично не говорять. Так що давно пора привернути до цього увагу широкої громадськості.

Законодавство нас часто лякає і часом здається таємницею навіть для людей, знайомих з мовою договорів, додатків та іншої формальної документації. Тому стаття написана простою мовою, в першу чергу - для представників бізнес-аудиторії, які використовують персональні дані (далі - ПДН) для реклами і маркетингових акцій.

Як правило, юристи не люблять законодавство про персональні дані - каламутне, незрозуміле, приклади не опрацьовані. При появі питань про ПДН їм простіше заборонити, ніж шукати шляхи вирішення проблеми. Тому російському бізнесу необхідно вміти орієнтуватися в цих питаннях, хоча б для правильної постановки завдань юристам і правильного контролю.

Кому не потрібна ступінь MBA?

Тим, хто:

• Чи не хоче бути керівником ні зараз, ні в майбутньому;
• Чи не хоче вчитися новому і готовий до стагнації на ринку праці, де сьогодні кожен другий ходить на тренінги і підвищує кваліфікацію;
• До сих пір вірить, що університетської скоринки досить для того, щоб її всюди брали з розпростертими обіймами.

Якщо ти не з таких, потрап на кращу дистанційну програму MBA в Росії і СНД. Ти освоїти весь спектр знань і компетенцій, необхідний для успішного керівника і підприємця. Навіщо? щоб отримати підвищення в зарплаті, посади і знаннях.

Реклама

У пошукових системах мені вдалося знайти тільки три статті на тему змін в Законі N 152-ФЗ з 1 липня; у всіх трьох грубі помилки в трактуванні законодавства і змін. Правда ж в тому, що деякі посилення не особливо страшні, а ось на інші радимо обов'язково звернути увагу.

Держава зробила найбільш значимий крок у законодавстві про ПДН з часу появи самого закону 152-ФЗ. З 1 липня 2017 року набере чинності закон 13-ФЗ від 07.02.2017, що вносить поправки в КпАП. Посилюється відповідальність за порушення, які можуть допустити оператори (читаємо - бізнес) в роботі з ПДН.

Якщо коротко, то штрафи зросли майже на порядок (до 75 неоподатковуваних мінімумів доходів громадян). Причому за порушення, які допустити дуже легко і які видно на кожному кроці. Перевіряючим і наглядовим органам в тому числі.

А притягнути до відповідальності стало значно простіше. Якщо раніше це можна було зробити через прокуратуру (якої цими вашими ПДН займатися ніколи), то зараз порушити справу про адміністративне правопорушення може безпосередньо регулятор - Роскомнадзор. Який, можете бути впевнені, займатися цим хоче і давно вже чекав змін до КпАП.

головне

• «Кошмар бізнес» за порушення 152-ФЗ стало набагато вигідніше. Штраф був до 10 000 рублів, став до 75 000 рублів.

• Залучати до відповідальності стало простіше. Раніше була прокуратура, якій було не до того, щоб цим займатися, а став Роскомнадзор - регулятор, в зоні відповідальності якого і знаходиться 152-ФЗ.

• Бізнес, однак, розслаблений, і загрози не помітив.

Давайте розберемося, чи будуть «кошмарити», за що конкретно і навіщо це потрібно. Де кошмар, а де ні?

Як було раніше і чому не хвилюються зараз

Невелике порівняння законодавства і поведінки операторів (бізнесу, компаній, юросіб) «раніше і зараз».

152-ФЗ «Про персональних даних» з'явився в 2006 році. Все пройшло тихо, і люди сполошилися не відразу. Досить довгий час (рік-два) до закону не було підзаконної нормативної бази на тему його застосування.

Проте, році в 2008-2009 завдяки появі нормативки (від Роскомнадзора, ФСТЕК і ФСБ) і більш активній роботі ЗМІ деякий мандраж настав. Чи не знають про закон майже не залишилося, а ставлення до нього було дуже різним.

З операторами-клієнтами в той час багато спілкувалися мої співробітники в рамках наших CRM-проектів (ми ведемо великі проекти, і клієнти були спантеличені), я сам виступав і писав на цю тему, як раз в ті роки я входив до Консультативної ради при РКН .

За ступенем реакції на те, що відбувається в законодавстві виділимо чотири категорії компаній

1. «Не знаємо» (дуже нечисленна категорія).

2. «Знаємо, але не звертаємо уваги і вважаємо це все повною нісенітницею. Ще один непрацюючий закон: як застосовувати - незрозуміло, і чим загрожує - незрозуміло ».

3. «Знаємо, дивимося в ту сторону. Як застосовувати - незрозуміло, чим загрожує - незрозуміло ... Трошки щось зробимо, типу підготувалися ».

4. «Знаємо і підготуємося по повній програмі, наскільки це можна в незрозумілому законодавстві».

Остання категорія дозволила добре заробити інтеграторам і компаніям, що спеціалізуються на інформаційній безпеці. Вартість послуги з підготовки документації «на відповідність 152-ФЗ» могла перевищувати 2 млн рублів, хоча сама послуга була досить типова.

До 2012 року ринок зрозумів, що «реальної небезпеки» закони про ПДН не уявляють - штрафи мізерні, вчинити їх досить складно, вимоги умоглядні, перевірки рідкісні і так далі. Оператори з категорій 3 і 4 плавно перетекли в категорію 2; а категорія 4 при цьому відчула себе обдуреною - спочатку послуги з підготовки подешевшали до 600-500 тисяч, потім до 300 тисяч, а після з'явилися сайти, які пропонують типовий пакет документів за 20-30 тисяч рублів.

Що ми маємо зараз? Пасивність і небажання бізнесу звертати увагу на зміни. Незважаючи на те, що зі змінами «зловити штраф» до 30 неоподатковуваних мінімумів доходів громадян тепер легко може кожен другий інтернет-магазин, а в більш запущених випадках і до 75 тисяч рублів, а в інформпросторі тиша і спокій! На мій превеликий подив, нічого не обговорюється, підготовка не ведеться - це чітко видно по тим же інтернет-сайтам, де штрафи можна просто поставити на потік.

Очевидно, що перша хвиля 2009-2012 років, що сколихнула операторське спільнота, хитнула маятник в інший бік - від хвилювань тоді до байдужості зараз. Минулий час показало, що «виграли» ті, хто не готувався - категорія 2. Вони і час, і гроші зекономили, і нічого їм за це не було. Не звертати уваги, перечекати, а потім воно само вляжеться - тактика спрацювала.

Але коли зміни в КоАП вже внесені, ризики стали значно вище.

Зміни в 152-ФЗ. Як стало зараз, і чому ризики операторів збільшилися

Як я вже згадав на початку статті, буду говорити про приклади, актуальних для найбільш численної групи операторів - тих, хто використовує персональні дані приватних осіб з метою просування товарів, робіт і послуг. Це - бізнес, який використовує CRM-проекти, програми лояльності, інтернет-магазини, фінансові сервіси, таксі, мобільні додатки і так далі.

Незважаючи на десятирічну історію законодавства в сфері ПДН, читають закон і нормативні акти до нього дуже погано і сприймати їх не хочуть. Тому зміни заслуговують більш глибокого аналізу, порівняння з самим законом і нормативкой в ​​цілому.

Термінологію спрощу, а штрафи вирахувано у відношенні до юридичних осіб. Хоча в змінах в КоАП ще є штрафи щодо громадян, посадових осіб.

Тепер протоколи про адміністративні правопорушення становитиме Роскомнадзор. Це ключовий регулятор у сфері ПДН, і він давно чекав змін до КпАП. Тому що порушувати справи через прокуратуру і в підсумку виставляти штраф в 5-10 тисяч рублів дуже клопітно. А прискорити процес, провівши все самостійно, і виставити в десять разів більше - набагато цікавіше.

Інтерес відомства значущий ще й тому, що РКН бажав збільшення штрафів, визначених КоАП, до 500 неоподатковуваних мінімумів доходів громадян. Добре, що цього не сталося (поки), інакше ризики бізнесу злетіли б до небес. Але і збільшення від 5-10 тисяч рублів до 50-75 тисяч рублів, погодьтеся, теж непогано.

Отже, КоАП з 1 липня 2017 року, стаття 13.11. Сім пунктів, нас стосуються перші шість. Сьомий - про операторів, які є державним чи муніципальним органом, і це не про нашу тему.

шість пунктів

1. Обробка ПДН у випадках, не передбачених законодавством РФ, або обробка ПДН, несумісних з цілями обробки. Штраф від 30 до 50 неоподатковуваних мінімумів доходів громадян

У зоні ризику:

• Оператори, які не вказали мети обробки або вказали їх неграмотно. Зустрічається часто-густо.

• Оператори, що збирають дані, зв'язок яких з метою обробки дуже натягнута або взагалі не піддається поясненню. Найчастіший приклад - збір в анкетах програм лояльності паспортних даних. Це часте вимога юристів, погано читали закон, і яке тепер може привести до штрафів.

• Сюди ж може бути віднесена примусова реєстрація в особистому кабінеті інтернет-магазину при покупці. Якщо мета - продаж товару (доставка за вказаною адресою), то запитувана для реєстрації інформація (і сама реєстрація) - надлишкова і несумісна з цілями.

2. Обробка ПДН без письмової згоди у випадках, коли воно має бути по закону. Штраф від 15 до 75 неоподатковуваних мінімумів доходів громадян

Може здатися дивним, але тут ризик невеликий. Справа в тому, що перелік випадків, коли потрібна письмова згода (в термінах 152-ФЗ), обмежений, і просування товарів і послуг до нього не відноситься. А то, що багато хто називає збором письмових згод (у вигляді анкет), - це неправильне розуміння і трактування законодавства. Нещодавно мені потрапила на очі одна з небагатьох роз'яснювальних статей щодо змін з 1 липня - і навіть в експертній статті невірно пояснюються принципи письмової згоди. І взагалі чарівно виглядає в іншій статті рекомендація «отримувати письмову згоду у кожного передплатника на сайті».

3. Невиконання оператором обов'язки щодо забезпечення доступу до політики обробки ПДН. Штраф від 15 до 30 неоподатковуваних мінімумів доходів громадян

Ось тут якраз група ризику величезна.

Будь збір даних, що відносяться до категорій ПДН в формах на сайтах, повинен супроводжуватися вказівками на політику обробки цих даних. Тобто, програма мінімум - на будь-якому сайті необхідно реалізувати такий документ. І зовсім добре, коли з форми збору даних дано посилання на нього. Відсутність цього документа - привід для штрафу.

Ось приклади того, як зазвичай буває:

Ні посилань з анкет, ні самої політики обробки персональних даних у відкритому доступі на сайтах цих інтернет-магазинах немає. До речі, за прикладами далеко ходити не треба - це перші два магазини, де я намагався зробити потрібну мені покупку. Це звичайна ситуація, але отримати з магазину від 30 до 50 тисяч рублів штрафу з 1 липня буде просто.

А ось так має бути:

Активне посилання веде на політику обробки даних - так повинно бути в ідеалі.

Годиться, якщо на сайті просто десь в футере є посилання на політику обробки даних або політику конфіденційності. Угода, в якому прописані пункти про відповідність 152-ФЗ, теж підходить.

4. Невиконання оператором обов'язки з надання приватній особі інформації про обробку його ПДН. Штраф від 20 до 40 неоподатковуваних мінімумів доходів громадян

Зона ризику:

• З одного боку, сам порядок запиту суб'єктом інформації про обробку його ПДН досить складний (він прописаний в 152-ФЗ). І рідкісний суб'єкт його виконає

• З іншого, обов'язок щодо надання інформації про обробку ПДН виникає при отриманні даних через третю особу. Наприклад, в партнерських програмах, різних крос-промо, змінах підрядників в маркетингових кампаніях і так далі.

У самому 152-ФЗ прописано, коли і як необхідно повідомляти суб'єкта.

5. Невиконання у встановлені терміни вимоги (приватної особи, його представника, уповноваженого органу) про блокування-знищенні-зміні ПДН. Штраф від 25 до 45 неоподатковуваних мінімумів доходів громадян

Зона ризику:

• Як згадав вище, порядок запиту з боку суб'єкта досить складний, тому таких запитів ще дуже мало. У цьому сенсі пункт оператору особливо не загрожує

• Чи будуть при трактуванні цього пункту сюди відносити, наприклад, відмова від email-розсилки або SMS, це питання ...

Це заслуговує окремого вивчення. Формально ніякого «спрощеного» порядку відкликання суб'єктом своєї згоди на обробку даних законодавство не передбачає. Але не рекомендував би нехтувати зупинкою комунікацій з покупцем, якщо він попросив не турбувати його. До речі, в цьому випадку можна поиметь ще й претензії ФАС відповідно до закону «Про рекламу».

6. Невиконання обов'язків по зберіганню матеріальних носіїв ПДН. Штраф від 25 до 50 неоподатковуваних мінімумів доходів громадян

Зона ризику:

• Якщо ви зберігаєте свої паперові архіви (анкети, договори з приватними особами, заявки-запити) дуже довго, переконайтеся, що це зберігання забезпечує конфіденційність. Простий склад по сусідству навряд чи підходить, має бути щось більш безпечне. Або опрацювати з юристами механіку перекладу архіву в електронний вигляд.

Про всяк випадок підкреслю, що вище спрощені трактування і терміни і дані найшвидші і очевидні рекомендації. Цього достатньо, щоб в цілому зрозуміти склад змін та їх трактувати.

Якщо заглиблюватися, то цікавих висновків буде ще багато. Як мінімум три-чотири пункти з наведених заслуговують окремого розгляду.

Може, так нам і треба?

Наостанок висловлю таку крамольну думку. Може, вона й дивно прозвучить з вуст представника операторів, але скажу. Тим більше, вона прямо випливає з хронології подій і моїх тез «чому співтовариство розслаблено».

Як і раніше мають місце сливи баз даних «наліво», неправомірне використання даних (той самий «не відповідає цілям»). Покупців дратує надмірна комунікативна активність бізнесу, тим більше коли від неї не вдається відмовитися з першого разу.

Все це - невірні принципи та невірні бізнес-процеси роботи з даними. Нерозуміння і невірні комунікаційні стратегії як основа, і огульне використання даних як наслідок.

Хтозна, може бути, величезній масі операторського співтовариства і потрібна важка дубина в вигляді підвищеної уваги наглядового органу і застосування штрафів?

Грамотний маркетинговий підхід до CRM і лояльності - це те, що називається permission-marketing (дозвільний маркетинг). Правильно збудовані CRM-процеси і процеси обробки даних можуть і повинні дружити з законодавчими вимогами (у випадках, коли ці вимоги зрозумілі, звичайно).

І необхідно звернути увагу ще на один важливий момент. При збільшенні штрафів і прискоренні можливого покарання можна знайти позитивний момент в змінах - конкретизацію складу порушень. У попередній редакції була дуже загальне формулювання «Порушення встановленого законом порядку ...» і вона могла трактуватися досить широко. Зараз же сім (шість, що стосуються бізнесу) пунктів досить конкретизовані і зрозумілі. Це, на мій погляд, хороший крок держави назустріч прозорості законодавства в цій сфері.

Пам'ятаєте відомий «не вмієш - навчимо, не хочеш - примусимо».

Читати по темі: Що потрібно знати про персональні дані, щоб не заплатити 300 000 рублей штрафу

Думка редакції може не збігатися з думкою автора. Ваші статті надсилайте нам на [email protected] . А наші вимоги до них - ось тут .