И сразу наша политика конфиденциальности.
В законодательстве произошли большие изменения, но про них практически не говорят. Так что давно пора привлечь к этому внимание широкой общественности.
Законодательство нас часто пугает и порой кажется тайной даже для людей, знакомых с языком договоров, приложений и прочей формальной документации. Поэтому статья написана простым языком, в первую очередь — для представителей бизнес-аудитории, которые используют персональные данные (далее — ПДн) для рекламы и маркетинговых акций.
Как правило, юристы не любят законодательство о персональных данных — мутное, непонятное, примеры не проработаны. При появлении вопросов о ПДн им проще запретить, чем искать пути решения проблемы. Поэтому российскому бизнесу необходимо уметь ориентироваться в этих вопросах, хотя бы для правильной постановки задач юристам и правильного контроля.
В поисковиках мне удалось найти только три статьи на тему изменений в Законе N 152-ФЗ с 1 июля; во всех трёх грубейшие ошибки в трактовке законодательства и изменений. Правда же в том, что некоторые ужесточения не особо страшны, а вот на другие советуем обязательно обратить внимание.
Государство предприняло самый значимый шаг в законодательстве о ПДн со времени появления самого закона 152-ФЗ. С 1 июля 2017 года вступит в силу закон 13-ФЗ от 07.02.2017, вносящий поправки в КоАП. Ужесточается ответственность за нарушения, которые могут допустить операторы (читаем — бизнес) в работе с ПДн.
Если коротко, то штрафы выросли почти на порядок (до 75 тысяч рублей). Причём за нарушения, которые допустить очень легко и которые видны на каждом шагу. Проверяющим и надзорным органам в том числе.
А привлечь к ответственности стало существенно проще. Если раньше это можно было сделать через прокуратуру (которой этими вашими ПДн заниматься некогда), то сейчас возбудить дело об административном правонарушении может непосредственно регулятор — Роскомнадзор. Который, можете быть уверены, заниматься этим хочет и давно уже ждал изменений в КоАП.
Главное
«Кошмарить бизнес» за нарушения 152-ФЗ стало гораздо выгоднее. Штраф был до 10 000 рублей, стал до 75 000 рублей.
Привлекать к ответственности стало проще. Раньше была прокуратура, которой было не до того, чтобы этим заниматься, а стал Роскомнадзор — регулятор, в зоне ответственности которого и находится 152-ФЗ.
Бизнес, однако, расслаблен, и угрозы не заметил.
Давайте разберёмся, будут ли «кошмарить», за что конкретно и зачем это нужно. Где кошмар, а где нет?
Как было раньше и почему не волнуются сейчас
Небольшое сравнение законодательства и поведения операторов (бизнеса, компаний, юрлиц) «раньше и сейчас».
152-ФЗ «О персональных данных» появился в 2006 году. Всё прошло тихо, и люди всполошились не сразу. Довольно долгое время (год–два) к закону не было подзаконной нормативной базы на тему его применения.
Тем не менее, году в 2008–2009 благодаря появлению нормативки (от Роскомнадзора, ФСТЭК и ФСБ) и более активной работе СМИ некоторый мандраж наступил. Не знающих о законе почти не осталось, а отношение к нему было очень разным.С операторами-клиентами в то время много общались мои сотрудники в рамках наших CRM-проектов (мы ведём крупные проекты, и клиенты были озадачены), я сам выступал и писал на эту тему, как раз в те годы я входил в Консультативный совет при РКН.
По степени реакции на происходящее в законодательстве выделим четыре категории компаний
«Не знаем» (очень малочисленная категория).
«Знаем, но не обращаем внимания и считаем это всё полной ерундой. Ещё один неработающий закон: как применять — непонятно, и чем грозит — непонятно».
«Знаем, смотрим в ту сторону. Как применять — непонятно, чем грозит — непонятно... Немножко что-то сделаем, типа подготовились».
«Знаем и подготовимся по полной программе, насколько это можно в непонятном законодательстве».
Последняя категория позволила хорошо заработать интеграторам и компаниям, специализирующимся на информационной безопасности. Стоимость услуги по подготовке документации «на соответствие 152-ФЗ» могла превышать 2 млн рублей, хотя сама услуга была достаточно типовая.
К 2012 году рынок понял, что «реальной опасности» законы о ПДн не представляют — штрафы мизерные, вчинить их довольно сложно, требования умозрительные, проверки редкие и так далее. Операторы из категорий 3 и 4 плавно перетекли в категорию 2; а категория 4 при этом почувствовала себя обманутой — сначала услуги по подготовке подешевели до 600–500 тысяч, потом до 300 тысяч, а после появились сайты, предлагающие типовой пакет документов за 20–30 тысяч рублей.
Что мы имеем сейчас? Пассивность и нежелание бизнеса обращать внимание на изменения. Несмотря на то, что с изменениями «поймать штраф» до 30 тысяч рублей теперь легко может каждый второй интернет-магазин, а в более запущенных случаях и до 75 тысяч рублей, а в инфопространстве тишина и покой! К моему большому удивлению, ничего не обсуждается, подготовка не ведётся — это отчётливо видно по тем же интернет-сайтам, где штрафы можно просто поставить на поток.
Очевидно, что первая волна 2009–2012 годов, всколыхнувшая операторское сообщество, качнула маятник в другую сторону — от волнений тогда до равнодушия сейчас. Прошедшее время показало, что «выиграли» те, кто не готовился — категория 2. Они и время, и деньги сэкономили, и ничего им за это не было. Не обращать внимания, переждать, а потом оно само уляжется — тактика сработала.
И сейчас уже опытный бизнес, как будто бы поднаторевший на ниве ПДн, не воспринимает серьёзно нынешние изменения, поскольку «всё уже знаем, не пугайте, ничего за это не будет».
Но когда изменения в КоАП уже внесены, риски стали значительно выше.
Изменения в 152-ФЗ. Как стало сейчас, и почему риски операторов увеличились
Как мы уже упомянули в начале статьи, буду говорить о примерах, актуальных для наиболее многочисленной группы операторов — тех, кто использует персональные данные частных лиц в целях продвижения товаров, работ и услуг. Это — бизнес, использующий CRM-проекты, программы лояльности, интернет-магазины, финансовые сервисы, такси, мобильные приложения и так далее.
Несмотря на десятилетнюю историю законодательства в сфере ПДн, читают закон и нормативные акты к нему очень плохо и воспринимать их не хотят. Поэтому изменения заслуживают более глубокого анализа, сравнения с самим законом и нормативкой в целом.
Терминологию упрощу, а штрафы приведены в отношении юридических лиц. Хотя в изменениях в КоАП ещё есть штрафы в отношении граждан, должностных лиц.
Теперь протоколы об административных правонарушениях будет составлять Роскомнадзор. Это ключевой регулятор в сфере ПДн, и он давно ждал изменений в КоАП. Потому что возбуждать дела через прокуратуру и в итоге выставлять штраф в 5–10 тысяч рублей очень муторно. А ускорить процесс, проведя всё самостоятельно, и выставить в десять раз больше — гораздо интереснее.
Интерес ведомства значим ещё и потому, что РКН желал увеличения штрафов, определяемых КоАП, до 500 тысяч рублей. Хорошо, что этого не случилось (пока), иначе риски бизнеса взлетели бы до небес. Но и увеличение от 5–10 тысяч рублей до 50–75 тысяч рублей, согласитесь, тоже неплохо.
Итак, КоАП с 1 июля 2017 года, статья 13.11. Семь пунктов, нас касаются первые шесть. Седьмой — про операторов, являющихся государственным или муниципальным органом, и это не про нас.
Шесть пунктов
1. Обработка ПДн в случаях, не предусмотренных законодательством РФ, или обработка ПДн, несовместимых с целями обработки. Штраф от 30 до 50 тысяч рублей
В зоне риска:
Операторы, не указавшие цели обработки или указавшие их неграмотно. Встречается сплошь и рядом.
Операторы, собирающие данные, связь которых с целью обработки очень натянута или вообще необъяснима. Самый частый пример — сбор в анкетах программ лояльности паспортных данных. Это частое требование юристов, плохо читавших закон, и которое теперь может привести к штрафам.
Сюда же может быть отнесена принудительная регистрация в личном кабинете интернет-магазина при покупке. Если цель — продажа товара (доставка по указанному адресу), то запрашиваемая для регистрации информация (и сама регистрация) — избыточна и несовместима с целями.
2. Обработка ПДн без письменного согласия в случаях, когда оно должно быть по закону. Штраф от 15 до 75 тысяч рублей
Может показаться странным, но тут риск невелик. Дело в том, что перечень случаев, когда нужно письменное согласие (в терминах 152-ФЗ), ограничен, и продвижение товаров и услуг к нему не относится. А то, что многие называют сбором письменных согласий (в виде анкет), — это неверное понимание и трактовка законодательства. Недавно мне попалась на глаза одна из немногих разъяснительных статей по изменениям с 1 июля — и даже в экспертной статье неверно объясняются принципы письменного согласия. И вообще прелестно выглядит в другой статье рекомендация «получать письменное согласие у каждого подписчика на сайте».
3. Невыполнение оператором обязанности по обеспечению доступа к политике обработки ПДн. Штраф от 15 до 30 тысяч рублей
Вот здесь как раз группа риска огромна.
Любой сбор данных, относящихся к категориям ПДн в формах на сайтах, должен сопровождаться указаниями на политику обработки этих данных. То есть, программа минимум — на любом сайте необходимо реализовать такой документ. И совсем хорошо, когда из формы сбора данных дана ссылка на него. Отсутствие этого документа — повод для штрафа.
Годится, если на сайте просто где-то в футере есть ссылка на политику обработки данных или политику конфиденциальности. Пользовательское соглашение, в котором прописаны пункты о соответствии 152-ФЗ, тоже подходит.
4. Невыполнение оператором обязанности по предоставлению частному лицу информации об обработке его ПДн. Штраф от 20 до 40 тысяч рублей
Зона риска:
С одной стороны, сам порядок запроса субъектом информации об обработке его ПДн довольно сложен (он прописан в 152-ФЗ). И редкий субъект его выполнит
С другой, обязанность о предоставлении информации об обработке ПДн возникает при получении данных через третье лицо. Например, в партнёрских программах, различных кросс-промо, сменах подрядчиков в маркетинговых кампаниях и так далее.
В самом 152-ФЗ прописано, когда и как необходимо уведомлять субъекта.
5. Невыполнение в установленные сроки требования (частного лица, его представителя, уполномоченного органа) о блокировании-уничтожении-изменении ПДн. Штраф от 25 до 45 тысяч рублей
Зона риска:
Как упомянул выше, порядок запроса со стороны субъекта довольно сложен, поэтому таких запросов ещё очень мало. В этом смысле пункт оператору особо не угрожает
Будут ли при трактовке этого пункта сюда относить, например, отказ от email-рассылки или SMS, это вопрос...
Это заслуживает отдельного изучения. Формально никакого «упрощённого» порядка отзыва субъектом своего согласия на обработку данных законодательство не предусматривает. Но не рекомендовал бы пренебрегать остановкой коммуникаций с покупателем, если он попросил не беспокоить его. Кстати, в этом случае можно поиметь ещё и претензии ФАС в соответствии с законом «О рекламе».
6. Невыполнение обязанностей по хранению материальных носителей ПДн. Штраф от 25 до 50 тысяч рублей
Зона риска:
Если вы храните свои бумажные архивы (анкеты, договоры с частными лицами, заявки-запросы) очень долго, убедитесь, что это хранение обеспечивает конфиденциальность. Простой склад по соседству вряд ли подходит, должно быть что-то более безопасное. Либо проработайте с юристами механику перевода архива в электронный вид.
На всякий случай подчеркну, что выше упрощены трактовки и термины и даны самые быстрые и очевидные рекомендации. Этого достаточно, чтобы в целом понять состав изменений и их трактовать.
Если углубляться, то интересных выводов будет ещё много. Как минимум три-четыре пункта из приведённых заслуживают отдельного рассмотрения.
Может, так нам и надо?
Напоследок выскажеме такую крамольную мысль. Может, она и странно прозвучит от активной в интернете компании, но... Тем более, она впрямую следует из хронологии событий и тезисов «почему сообщество расслаблено».
Давайте честно признаемся — бизнес относится к персональным данным частных лиц довольно халатно. Большие компании стараются выстроить правильную политику работы с ними, но даже крупный бизнес ещё далеко не весь обратил внимание на качественные принципы работы с ПДн. А уж средний и малый — тем более. Многие даже не понимают, что данные покупателей — это ценность, и что нужно уважать права частного лица при работе с его данными. И что сам закон не про информационную безопасность, а про соблюдение прав.
По-прежнему имеют место сливы баз данных «налево», неправомерное использование данных (то самое «не соответствующее целям»). Покупателей раздражает чрезмерная коммуникативная активность бизнеса, тем более когда от неё не удаётся отказаться с первого раза.
Всё это — неверные принципы и неверные бизнес-процессы работы с данными. Непонимание и неверные коммуникационные стратегии как основа, и огульное использование данных как следствие.
Как знать, может быть, огромной массе операторского сообщества и нужна увесистая дубина в виде повышенного внимания надзорного органа и применения штрафов?
Грамотный маркетинговый подход к CRM и лояльности — это то, что называется permission-marketing (разрешительный маркетинг). Правильно выстроенные CRM-процессы и процессы обработки данных могут и должны дружить с законодательными требованиями (в случаях, когда эти требования ясны, конечно).
И необходимо обратить внимание ещё на один важный момент. При увеличении штрафов и ускорении возможного наказания можно найти позитивный момент в изменениях — конкретизацию состава нарушений. В предыдущей редакции была очень общая формулировка «Нарушение установленного законом порядка...» и она могла трактоваться весьма широко. Сейчас же семь (шесть, касающихся бизнеса) пунктов достаточно конкретизированы и понятны. Это, на мой взгляд, хороший шаг государства навстречу прозрачности законодательства в этой сфере.
Помните известное «не умеешь — научим, не хочешь — заставим».