Экстремально персональные данные

Соответствовать требованиям текущей версии закона «О персональных данных» почти невозможно. Бизнес, оперирующий данными о людях (а сегодня это почти любой бизнес) осуществляет свою деятельность почти незаконно! В первую очередь под удар попадают крупные FMCG компании, работающие на лояльность своих клиентов с использованием CRM систем. Операторы персональных данных должны привести свои информационные системы в соответствие с требованиями Закона к лету 2011.

Классический пример. Терминатор подходит к телефонному автомату, берет телефонный справочник, … Коннор Сара… адрес и телефон. СТОП!

Если бы этот эпизод вдруг по каким-то неведомым причинам снимали в современной России, то мы наблюдаем жесточайшее нарушение закона о персональных данных. Сара не давала письменного разрешения на размещение информации о себе в телефонном справочнике, а легальность существования этого телефонного справочника, как, собственно, и любых справочных служб, оперирующих информацией о частных лицах, находится под серьезным сомнением.

Основная проблема заложена в самом определении персональных данных. Согласно закону «О персональных данных» (Закон №152-ФЗ):

«персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»

Формулировка «другая информация» расширяет понятие персональных данных до фактически любой информации о человеке (субъекте персональных данных).

Более того, закон устанавливает также, что обработка такой «любой информации» осуществляется только с согласия субъекта персональных данных в письменной форме, которое должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных; 4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

Просто галочку «я согласен» поставить в анкете не достаточно. Согласие должно быть письменным и включать в себя перечисленные шесть пунктов. Часто получить такое согласие просто невозможно. Данные требования закона явно избыточны.

Вывод не очевиден на первый взгляд, но при этом однозначен. Не смотря на то, что законом предусмотрены случаи, не требующие получения согласия, в большинстве случаев Бизнес, оперирующий данными о людях (а сегодня это почти любой бизнес) осуществляет свою деятельность незаконно!

Контролирующие органы имеют право в рамках своих полномочий провести проверку уже сегодня. Санкции достаточно серьезные. Административную и даже уголовную ответственность несут представители организаций, в том случае, если будет доказано, что организация обрабатывала сведения с нарушением законодательства.

В первую очередь под удар попадают крупные FMCG компании, работающие на лояльность с использованием CRM и ведущие базу данных клиентов. Особенно остро этот вопрос стоит для компаний, занимающихся производством табачных и алкогольных изделий, т.к. они имеют ограниченное число каналов продвижения и для них директ маркетинг (а значит работа с базами данных клиентов) – важнейший инструмент повышения лояльности и продаж.

На самом деле задуматься стоит фактически любой организации, которая ведет бухгалтерию, т.к., например, при начислении заработной платы сотрудникам приходится обрабатывать персональные данные: номер страхового полиса, номер индивидуального пенсионного лицевого счета, индивидуальный номер налогоплательщика и паспортные данные. Не говоря уже о том, что в каждом отделе кадров хранятся анкеты работников, которые также являются персональными данными.

Согласно изменениям, внесённым законом N 359-ФЗ от 23 декабря 2010 года, операторы персональных данных должны привести свои системы обработки персональных данных, запущенных до 1 января 2011 года в соответствие с требованиями Закона №152-ФЗ – не позднее 1 июля 2011 года.

Времени на подготовку осталось очень мало. Летом 2011 ожидается принятие нового закона, который внесёт изменения в нынешний Закон о персональных данных. Работа над новым законом ведется уже сейчас в комитетах Государственной Думы РФ.

В мировой практике компании объединяются в общественные организации с целью выработать унифицированный подход и правила игры на рынке. Персональные данные очень важная тема для дистанционной торговли, т.к. весь бизнес в этой отрасли стоится на базах покупателей. Уже несколько лет существует Национальная Ассоциация Дистанционной Торговли, которая участвует в законотворчестве на тему персональных данных. В планах создание отраслевого стандарта организации безопасной обработки персональных данных на основе которого в будущем будет проводиться сертификация информационных систем. Первыми пройдут сертификацию, естественно те компании, которые будут участвовать в создании отраслевого стандарта.

Со временем, так или иначе, мы придем к ситуации, когда для обработки персональных данных нужно будет иметь соответствующую требованиям закона сертифицированную информационную систему. Получить такую информационную систему будет не так-то просто и дешево, поэтому очевидно, что для многих организаций будет намного выгоднее и спокойнее пользоваться услугами третьих компаний для обработки персональных данных своих баз.

Комментарии экспертов:

Михаил Яценко, исполнительный директор Национальной Ассоциации Дистанционной Торговли

К сожалению, тот концептуальный подход, который был использован в нынешнем законе "О защите персональных данных" при определении способов защиты персональных данных и условий их обработки ставит под сомнение не только идею создания единого информационного общества, но и противоречит, в некоторой степени, российской Конституции, европейским нормативным документам и директивам ЕС. Думаю, что ни одному продавцу и в голову не придёт, что надо требовать паспорт у гражданина при покупке хлеба в магазине. Конечно же, я немного сгущаю краски, но дословное исполнение Закона приведёт именно к такому абсурду! По крайней мере, в большинстве случаев это уже необходимо делать при дистанционном способе продажи товаров. Наша Ассоциация (Национальная Ассоциация Дистанционной Торговли) вместе с другими представителями российских бизнес сообществ продолжает убеждать органы государственной власти учесть ошибки других стран Европейского Союза, где история защиты персональных данных насчитывает не одно десятилетие и подобные ошибки были исправлены давным-давно! Надеемся, что все замечания будут учтены в новой редакции Закона и тогда всё встанет "с головы на ноги":

- у Вас не будут требовать паспорт, чтобы выпить чашечку кофе в любимом кафе;

- Вы свободно сможете найти своих родственников через городские справочные бюро;

- а чтобы найти телефон своего одноклассника или дальнего родственника - достаточно будет открыть столь любимый всеми ранее городской телефонный справочник (легальное существование которых, кстати, поставлено под сомнение в России!)

Всё это, надеюсь, наше счастливое будущее, а пока: "Предъявите документы!"

Михаил Мартьянов, генеральный директор компании Internet Projects (Subscribe.ru)

Подавляющее число малых предприятий и индивидуальных предпринимателей не смогут профинансировать мероприятия по приведению своих систем в соответствие с требованиями закона о ПД ни к 1-му июля 2011 года, ни к 1-му июля 2012 года. А это значит, что если закон не претерпит изменений, то по электронной коммерции в нынешнем виде может быть нанесен чувствительный удар.

Тимофей Мусатов, Адвокат, Управляющий партнер и Глава практики английской юридической компании Filatov Goldberg Musatov LLP в России и странах СНГ

Ситуацию с законом о персональных данных хорошо иллюстрирует известная фраза о том, что в России строгость законов компенсируется необязательностью их исполнения.

Под этот закон попадают абсолютно все организации, и при этом исполнить его невозможно. Невозможно не только потому, что это влечет за собой финансовые затраты, что уже очень существенно для многих компаний, но и потому, что не существует никакого механизма, который помог бы этот закон выполнить. Если бы было так, что компания платит деньги (или государство платит деньги за свои инициативы), и приезжают умные, красивые люди, которые налаживают информационную систему так, чтобы она соответствовала закону. Если бы можно было таким людям заплатить, думаю, что многие компании заплатили бы. Но пока нет ни умных, ни красивых, вообще нет никаких людей, которые помогли бы эту проблему решить.

Я сам не понимаю, как этот закон будет действовать, а чего ждать от среднего и малого бизнеса, который занят своим выживанием и не в курсе государственных инициатив. Привести свои системы обработки данных в соответствие с законом до лета 2011 никто не успеет. “Нарушители” будут с удивлением узнавать о том, что они нарушили закон от тех людей, которые придут к ним "непрошенными гостями".

Ощущение, что государство открывает новый рынок. Причем рынок глобальный, т.к. наказание за неисполнение закона достаточно серьезное, вплоть до закрытия компании, поэтому озаботятся этим вопросом все. На сегодняшний день уже есть случаи привлечения к ответственности по этому закону региональных организаций.

Возникнет рынок, производители ПО будут этому рады - но не долго! Так как он сразу же будет монополизирован (думаю компании уже определены), которые и будут продавать возможность соответствовать этому закону. Менеджеры крупных компаний (особенно с гос. участием) получат возможность осваивать бюджеты и на судьбу таких компаний закон не повлияет. А вот компаниям поменьше будет посложнее. Что им делать в ситуации, когда любые затраты (как временные, так и финансовые) ложатся на них тяжким бременем? Ничего не останется как развивать коррупционную составляющую нашего государства.

Ситуацию можно обрисовать так: представьте, что приняли закон о контроле за чистотой речи. И кару страшную за мат в уборной. Конечно, народ взбунтуется, если совсем прижмет. Закон, соответственно, изменят. Ой, мы ошиблись чуть-чуть. В общественном месте ни ни, в уборной - пожалуйста.

У меня возникает встречный вопрос о том, как будут работать сами государственные органы. Уж они то и есть основные держатели персональных данных. Государству и обществу нужно иметь двустороннюю связь.

Пока мой совет компаниям следующий. Внимательно изучить закон, подготовить правовую форму и брать письменное согласие у субъектов персональных данных, где это возможно.

Андрей Кондратенко, генеральный директор компании Ruslead LLC. (CPA Network)

Весь наш бизнес построен на сборе персональных данных и дальнейшей их обработке. Фактически мы являемся биржей, которая в автоматическом режиме соединяет рекламодателя и площадки для создания лидов. Более того, данные, которые потенциальные клиенты добровольно сообщают системе при каждом контакте, накапливаются, образуя базу знаний о пользователях их предпочтениях, интересах и поведении. CPA Network знает о пользователях все, что они ей сообщили за время всех контактов на всех площадках.

Для нас соответствие закону о персональных данных необходимо как воздух, поэтому мы очень внимательно следим за развитием ситуации вокруг создания новой версии закона, а также планируем принять участие в процессе формирования отраслевого стандарта организации безопасной обработки персональных данных.


Редакция Roem.ru может не разделять мнения авторов. По вопросам публикации статей на темы интернет-бизнеса обращайтесь по адресу sinodov@roem.ru

Добавить 15 комментариев

  • Ответить

    Просто галочку «я согласен» поставить в анкете не достаточно. Согласие должно быть письменным и включать в себя перечисленные шесть пунктов. Часто получить такое согласие просто невозможно. Данные требования закона явно избыточны. […]Не смотря на то, что законом предусмотрены случаи, не требующие получения согласия, в большинстве случаев Бизнес, оперирующий данными о людях (а сегодня это почти любой бизнес) осуществляет свою деятельность незаконно! Не все так страшно, в законе сказано, что письменное согласие не требуется, если данные собираются и обрабатываются для исполнения договора между сторонами. Это как бы покрывает практически все случаи, когда бизнес оперирует ПД.

  • Ответить

    jet, договор-оферта, принимаемый «галочкой», подойдёт в данном случае? > Формулировка «другая информация» расширяет понятие персональных данных до фактически любой информации о человеке (субъекте персональных данных). Да, помню я тоже на это обращал внимание.

  • Ответить

    Psycho, оферта должна подходить – по крайней мере в законе про ПД не уточняется способ заключения договора, значит походит любой: Статья 434 ГК. Форма договора 1. Договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма.

  • Ответить

    > В законе про ПД как раз уточняется: «в письменном виде». Не, там говорится не про договор в письменном виде, а про письменное разрешение на сбор ПД. И отдельно в законе есть раздел, где говорится, когда это разрешение не нужно – в том числе когда ПД нужны для выполнение договора, а к форме такого договора там никаких требований нет.

  • Ответить

    Ага, разумно. Вообще, тут есть два забавных момента: 1) Какова будет реальная практика. То, что Рос-чего-то-там-надзор не может подавать по этому закону иски от «неопределенного круга лиц» — это в суде уже выяснили. Но вот могу ли лично потребовать от метро, чтобы они уничтожили все данные о моих поездках? 2) закон о ПД мутировал от «автоматизированной обработки» к вообще любым операциям. Что, очевидно, будут исправлять как-то, иначе жизнь встанет.

  • Ответить

    Лёха, 1) у метрополитена нет данных о твоих поездках — есть данные только о поезках билета номер 12345 (и те неполные — только точки входа в метро). Установление соответствия между билетом и тобой — это будет отдельная весёлая задача. 2) это не закон мутировал — это квалификация специалистов РКН недоросла до понимания области действия ЗоПДн, вот они и применяют (пытаются применить) его ко всем подряд случаям публикации ПДн граждан, от списком должников по ЖКХ до генеалогических сайтов…

  • Ответить

    Если я в кассе (анонимный) билет покупаю — то да. Но я то езжу по социальной карте москвича, многодетные мы. И (обосновано) подозреваю, что метрополитен про меня знает несколько больше, чем номер билета. Вместе с тем, количество мест, где предлагают подписать бумагу о ПД — растет, что открывает широкое поле для креатива, если хочется развлечься.

  • Ответить

    kaa, в метро «установлены камеры теленаблюдения, которые осуществляют видеозапись в круглосуточном режиме». Так что собирают данные ещё как, по идее-то. Я, кстати, не подписывался, чтобы меня там снимали. Даже договор-оферту.

  • Ответить

    Psycho, я про камеры знаю — потому и назвал задачу весёлой: — опознание — это сильно ручная и дорогая процедура чтобы проводить её превентивно… только постфактум — при расследовании ЧПтерактовetc — техническая пригодность этих видеозаписей для опознания — большой вопрос: во-первых, в метро по-прежнему темновато для хороших съёмок (даже после проведённого пару-тройку лет назад дополнительного освещения станций); во-вторых, снятое видео сильно пережимается чтобы подольше хранить на ограниченном объёме дисков. Всё это не может не сказываться на пригодности картинки для опознавания. Насколько я знаю, у машинистов для наблюдения за хвостом состава используетмся сильно другая система видеонаблюдения, с повышенной до 1000+ _линий_ разрешающей способностью. — есть ещё и сомнения в юридической значимости такого опознания (только по видеозаписи, без привлечения дополнительных агрументовдоказательств)… Ну а насчёт отсутствия договора — это вы не правы: каждый раз, покупая билет, вы таки подписываете договор перевозки, включающий в себя и «Правила пользования метрополитеном». Задержитесь на пару минут, прочитайте их — узнаете много нового…

  • Ответить

    где предлагают подписать бумагу о ПД Все такие бумажки что я видел были составлены столь безграмотно, что ну никак не смогут быть «согласиями на обработку ПДн» — ибо соответствовали, в лучших случаях, лишь 2-3 из 7 требований, установленных пунктом 4 статьи 9 ФЗ-152. Поэтому эти «согласия» — юридически незначимы. Подписывать или нет — не могу посоветовать, ибо это сильно от конкретной ситуации зависит. Советую всем прочитать хотя бы эту одну статью. Но лучше, конечно, весь первоисточник.

  • Ответить

    хотим мы этого или не хотим — переносить сроки ФЗ -152 (точнее, сроки ст. 25, регламентирующей сроки приведения ИСПДн в соответствие с требованиями закона и подзаконных актов) больше никто переносить не будет. Да, неудобно, да трудно, но кому сейчас легко? Даже софт (на уровне Видов) должен быть сертифицированным — не в смысле наличия лицензии MS, а именно в смысле соответствия декларируемых возможностей :)

  • Ответить

    Для начала пусть сами на себе в госорганах попробуют обкатать этот закон! Когда там пилот пару лет пройдет нормально — тогда пусть и внедряют на всю страну! А то не успел я зарегить ООО, как через неделю мне уже звонят на телефон какие-то спамеры из M-style, пытаются впарить какую-то юридическую хрень типа Гаранта. То ли налоговая данные слила, то ли ещё кто — черт их теперь разберешь…

  • Ответить

    2 kaa Откуда у Вас такие данные про видео? Качество виденаблюдения в метро вполне нормальное. Освещения хватает более чем. Денег тратят на это не мало. Даже дешевая мини камера 400TVL при существующих условиях освещения позволит обеспечить узнаваемость лица. Да что там метро, у меня на авторегистраторе номера прекрасно читаются в ночных поездках с обычными камерами. С камерами 600TVL и нормальной оптикой, которая используется метро результаты будут еще лучше. Насчет 1000+ линий думаю Вы тоже загнули — это достаточно дорого для массового использования. Либо это IP решения, либо SDI. Одно дорого, другое совсем дорого.