Заявление на отзыв персональных данных. Персональные данные: защитить нельзя продать? Можно ли знать о клиенте все и спать спокойно

Роспотребнадзор по поручению президента разработал проект федерального закона о расширении перечня административных правонарушений, связанных с нарушением прав потребителей. За принуждение людей к тому, чтобы при совершении различных сделок они сообщали свои персональные данные, будут наказывать рублем.

Должностных лиц предлагается штрафовать на 1-3 тысячи рублей, а бизнес может лишиться 10-20 тысяч рублей. Как пояснили "РГ" в Роспотребнадзоре, новые административные штрафы будут прописаны в законе о защите прав потребителей. "Законопроектом предусмотрен запрет на понуждение потребителя под угрозой отказа в совершении сделки к предоставлению персональных данных, когда это не предусмотрено законодательством РФ и не связано с совершением сделки по реализации товаров (работ, услуг)", - уточнили в ведомстве.

Сегодня сильно распространена практика, когда под различными предлогами у людей собирают их персональные данные: номер карт, счетов, СНИЛС, полиса медицинского страхования, полисов автострахования, водительского удостоверения и др.

Как рассказывает управляющий партнер Московской коллегии адвокатов Владимир Старинский, это общераспространенная практика. "Например, при покупке билетов на концерт или в театр часто приходится указывать свои данные, хотя согласно российскому законодательству это обязательно только при покупке билетов на самолет или поезд, - поясняет адвокат. - Ни театрам, ни кассирам ваши данные не могут быть интересны".

А вот детсады, школы, поликлиники и другие социальные объекты имеют право запрашивать персональные данные граждан, но лишь в рамках своей сферы деятельности. Понятно, что врачу не надо знать, есть ли у человека права и номер его водительского удостоверения. Бытует мнение, что именно из социальных учреждений персональные данные утекают к мошенникам, но здесь уже должны работать правоохранительные органы по каждому конкретному случаю.

Роспотребнадзор должен разработать перечень недопустимых, несправедливых, нарушающих права потребителей условий договоров. Это поможет своевременно информировать потребителей о недобросовестных практиках включения в договоры ущемляющих их права условий. Кстати, если в 2010 году было выявлено более 6,6 тысячи таких нарушений, то в 2016 году - уже более 8 тысяч. При этом зачастую в договоры с потребителями включаются условия, которые неоднократно признавались в судах недопустимыми.

Роспотребнадзор разработает перечень несправедливых и нарушающих права потребителей условий договоров

Как технически можно доказать, что человека принудили выдать свои данные, пока неясно. "Возможно, граждане сами смогут жаловаться на понуждение к предоставлению личных данных. Скорее всего, будет какое-либо разъяснение о том, в каких случаях у граждан можно требовать персональные данные, чтобы они могли ссылаться на этот документ. Как это на практике делается, например, со списком товаров, которые не подлежат возврату", - предполагает юрист.

Казалось, он так и останется на бумаге. Принятый «27» июля 2006 г. Федеральный закон № 152-ФЗ «О персональных данных» долгое время не вызывал у игроков рынка ничего, кроме иронии и скепсиса. Тем неожиданнее стало требование Роскомнадзора, которое он выдвинул этим летом в отношении знаменитых купонных сервисов: Группон, КупиКупон, Биглион и некоторых других. Их попросили отчитаться о мерах по защите личной информации подписчиков. Формальным поводом к проверке послужили объявления в Сети о продаже баз данных, которые, в общем-то, уже не редкость.

О результатах проверки пока ничего не известно, но уже есть все основания предполагать, что это – только начало. Купонаторы оказались первыми в силу своей популярности, но они далеко не рекордсмены по сбору информации о клиентах. Операторами персональных данных, подпадающими под действие закона, являются все компании, чей бизнес так или иначе связан с идентификацией потребителя, и среди них есть и более «осведомленные» сферы деятельности:

Медицина (государственные и частные лечебные учреждения);

Кредитно-финансовые учреждения;

Сфера страхования;

Операторы сотовой связи;

Компании туриндустрии;

Агентства по подбору персонала;

Риэлторские компании;

Авиационные пассажирские перевозки.

Сегодня в России таких компаний более 5 миллионов. Кто следующий?

Чем грозит игнорирование закона?

Нарушение 152-ФЗ «О персональных данных» чревато дисциплинарной, гражданской, административной, уголовной ответственностью:

    штрафы до 300 000 рублей;

    конфискация средств защиты информации;

    приостановление деятельности предприятия;

    исправительные работы;

    лишение свободы и т.д.

Штраф накладывается за зафиксированное нарушение, что вовсе не исключает возможность повторного взыскания штрафа. Это как если бы вы ехали на автобусе без билета, и на каждой остановке заходил контролер и штрафовал вас за безбилетный проезд. Так и здесь, выдается предписание о немедленном устранении нарушений, например, в течение 3 дней. После проверка приходит снова, и вас снова штрафуют - и так до бесконечности, пока вы не выполните все требования 152-ФЗ, что недешево и небыстро.

Более того, соответствие закону контролируют не только госорганы, но и грамотные пользователи. При утечке информации любой пользователь сможет подать гражданский иск, где сумма морального ущерба будет исчисляться фантастическими суммами. Так, год назад был подан иск по жалобе одной из посетительниц сайта, которая нашла на нем личные данные шести человек. Роскомнадзор в процессе выступал в интересах неопределенного круга лиц, и требовал уничтожить персональные данные, которые к тому моменту были размещены на сайте. Сведения эти публиковались для поиска родственников, а сам сайт представляет собой крупнейший российский генеалогический ресурс. Дело закончилось мировой. Но это, вероятно, первое и последнее дело с подобным исходом.

Что же делать?

Существует, как минимум, четыре способа, отличающиеся степенью риска в отношении базы данных в частности и бизнеса в целом.

    Уничтожить базу данных. За что маркетологи не скажут вам спасибо. Клиентская база - источник повторных продаж: маркетинговые инвестиции в 5 раз меньше, чем в новых клиентов, а доходы от старых клиентов в 2 раза выше, чем от новых.

    Сделать так, чтобы информация в базе данных была обезличена в понимании 152-ФЗ. Это значит, что собранная информация должна содержать минимум данных, чтобы субъекта невозможно было идентифицировать. Но, например, такая мелочь, как личное обращение к клиенту, является одним из условий успешной email - рассылки – надежного маркетингового инструмента, и что вы будете делать с обезличенной базой?

Имея возможность самостоятельно определять категорию обрабатываемых данных, компании впадают в соблазн намеренно занижать его, чтобы освободить себя от дополнительных хлопот с аттестацией и сертификацией оборудования и защитой информации. Но при первой же проверке Роскомнадзора, ФСТЭК или ФСБ подлог без труда будет раскрыт.

4. Соответствовать требованиям 152-ФЗ. На взгляд законодателей, безопасность персональных данных может гарантировать:

Сегодня из 5 миллионов российских компаний-операторов персональных данных требованиям закона соответствуют лишь 230 000. Остальные являются формальными нарушителями, что и понятно: работа над соответствием - это трудоемкий и дорогой процесс. По оценкам одного известного банка, приведение деятельности к стандартам может стоить от 1,5 млн рублей и занять 3 года.

Тем не менее, эту процедуру уже начали проводить те, кто всегда находится под пристальным внимание м регулирующих органов – банки, страховые, авиа-компании.

Но маркетинговая активность поставила эти компании перед очередной проблемой. Организация масштабных программ лояльности порой требует передачи клиентской базы сторонним подрядчикам – дело в том, что технические возможности собственного аппаратно-программного комплекса часто ограничены и не позволяют работать с большими объемами писем к клиентам. Так вот если компания, которой база передана для работы, в свою очередь, не соответствует требованиям 152-ФЗ, все усилия по защите данных внутри компании можно считать напрасными: вы - нарушитель.

Кому доверять?

В настоящий момент на рынке решений, которые обеспечивают рассылку емейлов по клиентской базе данных, не так много компаний, заявляющих о наличии аттестованных продуктов, а среди полнофункциональных и способных рассылать в краткие сроки большие объемы писем (а в отношении крупных компаний счет идет на миллионы), пожалуй, всего один. Это сервис, разработанный петербургской компанией сайт (ЗАО «Интернет-Проекты» ).

Инструмент, получивший название , имеет аттестат соответствия требованиям по информационной безопасности № СПАЯ.141011АК1 в системе сертификации ФСТЭК России РОСС RU.0001.01БИОО.

Обмен информацией между клиентом и SubscribePRO проходит по защищенным VPN - тоннелям. Необходимые для полноценной работы данные хранятся в информационной системе, прошедшей проверку и аттестацию, на серверах, расположенных в России и принадлежащих российской компании. Это значит, они подчиняются российскому законодательству, чем не могут похвастаться другие крупные сервисы емейл-маркетинга.

Компании с повышенными требованиями к безопасности могут шифровать свои базы с невозможностью доступа к ним даже при получении доступа в аккаунт. Для усиления безопасности возможно также использование биометрической AGSES-карты, которая обеспечивает безусловную взаимную аутентификацию доступа и подтверждение операций.

Как закон помог маркетологам?

Таким образом, федеральный закон «О персональных данных» с одной стороны, поставил под угрозу работу маркетологов, связанную с рассылкой по клиентской базе, а с другой, напротив, подтолкнул компании к использованию мощных профессиональных инструментов рассылок, способных решать ранее недоступные задачи:

    рассылать письма автоматически в заданное время;

    делать это со скоростью более 4 млн писем/час;

    сегментировать базу данных на группы получателей;

    по имени обращаться к каждому клиенту;

    поддерживать фирменный стиль в оформлении писем;

    получать статистику доставки писем и откликов на них;

    не попадать в SPAM -листы.

В случае с 152-ФЗ выходит, что обойти законодательство будет гораздо дороже, чем ему соответствовать - и речь здесь идет не только о времени и деньгах, но и о репутации компании, которая сама по себе является весьма серьезным маркетинговым инструментом. При работе с профессиональным подрядчиком опасность утечки информации при рассылке можно с уверенностью исключить.

Еще один закон, принятый в пользу маркетологам, - 161-ФЗ «О национальной платежной системе», в той его части, которая обязывает банки «информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления ». Если раньше этим инструментом повышения лояльности пользовались лишь некоторые банки, то с 1 января 2013 года, когда п. 4 ст. 9 161-ФЗ должен вступить в силу, - обязаны будут все.

Ведущие финансовые организации страны уже начали проведение тендеров среди рассылочных компаний. Они понимают, с какими объемами работы придется столкнуться, и использование аттестованного подрядчика в этом случае - наименее затратный и наиболее эффективный способ решения проблемы.

Наши персональные данные давно стали валютой, в обмен на которую мы получаем определённые продукты и услуги, например возможность пользоваться Facebook или Google. Компании получают информацию, перепродают её другим и чаще всего делают это без нашего ведома. Большинство из нас имеют весьма призрачное понимание того, какими объёмами информации они владеют. В 2011 году австрийский студент юрфака Макс Шремс попросил Facebook предоставить ему все сохранённые ими данные о нём. В результате длительных переговоров он таки получил по почте CD, содержащий PDF-файл на 1 222 страницы, на которых содержалась информация о его трудоустройстве, отношениях с окружающими, деталях личной жизни, старая переписка и фотографии с координатами мест, где они были сняты. Шремса особенно поразило то, что большинство этих фотографий он когда-то собственноручно удалил из профайла, - оказалось, они всё равно сохраняются в базе данных.

Вместо того чтобы впадать в истерику по поводу
неизбежной утечки информации, можно научиться контролировать её потоки

Другой пример впечатляет не меньше. Немецкий депутат «Партии зелёных» Мальте Шпитц запросил у Deutsche Telecom информацию о данных, собранных о нём с помощью его смартфона за последние полгода. Он также получил CD, в котором был файл длиной в 36 000 строк, а затем обнародовал их на этом сайте. Информация, собранная провайдером, поражает своей глубиной и уровнем детализации. Можно узнать, в какой день Шпитц ездил за город, где и во сколько обедал, с кем разговаривал.

Вместо того чтобы впадать в истерику по поводу неизбежной утечки информации, можно научиться контролировать её потоки и, понимая её истинную ценность, попробовать извлечь из этого пользу. Правда, пока нельзя сказать, что это очень прибыльное дело. По оценке JPMorgan Chase, данные одного человека стоят $4 для Facebook и $24 для Google. Оценить условную стоимость своих данных можно, например, использовав калькулятор на Financial Times. Из него становится ясно, что, если вы не миллионер, не владеете недвижимостью и не состоите в браке, «ваша» стоимость для маркетологов условно составляет 22 цента. Так что покупка 1 000 профайлов с данными, аналогичных вашему, обойдётся им всего в $220. В последние годы появляются компании, которые стараются максимизировать выгоду от использования персональных данных их непосредственными владельцами. H&F нашёл несколько примеров подобных проектов.

Handshake


Устроено это так: пользователи регистрируются на сайте и вводят максимальное количество персональных данных, среди которых должен быть пол, возраст, род занятий и уровень дохода. Затем им предлагают участвовать в различных опросах, проводимых компаниями, в рамках которых они сообщают о себе дополнительную информацию за заявленную цену (можно торговаться). Тематика опросов варьируется от личных пристрастий в еде до привычек сна. Дункан считает, что люди, готовые потратить некоторое время на участие в подобных опросах, могут в среднем заработать за год от $1 000 до $5 000.

Datacoup


Основатель Datacoup Мэтт Хоган говорит, что важным преимуществом его сервиса является алгоритм, позволяющий выстраивать связи между разнородными данными. Например, выстроить последовательную цепочку событий, начиная с того, каким способом пользователь искал продукт в интернете, и заканчивая тем, где и когда он в итоге совершил покупку. Хоган уверен, что сможет заинтересовать своим «синтезирующим» подходом компании, покупающие персональные данные пользователей.

Personal


Personal, вероятно, наиболее зрелая и перспективная из компаний, позволяющих управлять персональными данными. Она предлагает пользователям создать защищённое хранилище всей личной информации, начиная с паролей и заканчивая данными из медицинской карты. Сервис не просто аккумулирует данные из всех источников, к которым вы откроете доступ, но и автоматически оформляет их в удобной для использования форме. Основная идея Personal в том, что пользователь может выбирать, кто имеет право доступа к определённым частям его информации: друзья, коллеги, бренды и т.д. Вместо того чтобы устанавливать настройки приватности на различных сайтах, можно будет делать это на одной платформе.

Фотография на обложке: ShutterStock

С 1 июля увеличатся штрафы за нарушение закона «О персональных данных» и ускорится процедура привлечения к ответственности: Роскомнадзор сможет передавать дела в суд и блокировать сайты минуя прокуратуру. Как не повторить и не нарваться на штрафы? Рассказываем.

Кого это касается?

Под действие Федерального закона №152-ФЗ «О персональных данных» и изменений к нему подпадают все, кто собирает, обрабатывает и хранит сведения о гражданах, - независимо от источника, будь то найм или поиск работников, выдача пропусков, промоакции…

По информации Роскомнадзора, более 40% жалоб физических лиц поступает на банки, кредитные организации, МФО и коллекторские агентства. Турфирмам, интернет-сервисам, ретейлерам, активно применяющим почтовые рассылки, промо-акции, BTL, программы лояльности, нужно готовиться к проверкам Роскомнадзора.

Если ваш сайт или информационные системы с персональными данными «хостятся» полностью или частично за пределами РФ, Роскомнадзор их заблокирует.

Что делать?

Уточните, кто, от кого и зачем получает персональные данные в вашей компании, как обрабатывает и куда передает. Такие данные обычно гражданах аккумулируются у юристов, бухгалтеров, безопасников, айтишников, кадровиков, логистов, маркетологов и редакторов сайта.

Определите, в каких системах (1C, CRM, сайт) обрабатываются данные. Эта информация нужна при разработке модели угроз безопасности и технических требований по защите персональных данных.

Назначьте ответственных за обработку и защиту персональных данных (юристы, кадровики, айтишники и безопасники). Их задача - «причесать» ваши документы под требования закона и готовиться к проверке.

Составьте внутренние документы с правилами обработки и защиты персональных данных в вашей компании - приказы, положения, инструкции, регламенты, политика конфиденциальности, акты, перечни… Документы должны отражать специфику вашей работы с данными - поэтому их лучше составить самостоятельно, а не «надергать» из интернета (перечень документов, требуемых Роскомнадзором, обычно выглядит так). Обычно такую работу делают юристы и кадровики, но им может не хватить знаний, - подключите айтишников и безопасников или обратитесь к консультантам.

Получите согласие на обработку персональных данных у своих сотрудников и всех физических лиц, с которыми вы взаимодействуете.

Если вы поручаете обработку персональных данных сторонней компании - подпишите с ней соответствующее соглашение.

Ознакомьте всех своих сотрудников под подпись с внутренними документами о персональных данных.

Внедрите систему технической защиты персональных данных..

Отслеживайте изменения законодательства по защите персональных данных и, в случае необходимости, обновляйте внутреннюю документацию.

Что грозит нарушителям?

Штрафы. Для должностных лиц - до 20 000 рублей, для юридических лиц - до 75 000 рублей законодательства о персональных данных.

Блокировка сайта. По решению суда его включат в Реестр нарушителей прав субъектов персональных данных и закроют к нему доступ пользователей.

Приостановка обработки персональных данных и их удаление по требованию Роскомнадзора, если сведения о физических лицах были собраны незаконно. Если обработка персональных данных - ключевой процесс для компании, то ее работа фактически остановится.

«Популярные» ошибки

Считать, что дело в паспортных данных, - очень распространенное заблуждение российского бизнеса. В законе говорится о любой информации, относящейся «к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»: адрес проживания и регистрации, место работы и занимаемые ранее должности, сведения о семейном положении, квалификации, интересах, судимости, номере телефона, адресе электронной почты, ИНН и СНИЛС. К персональным данным относятся сведения о браузере, посещенных страницах и cookie - это подтверждает судебное дело МГТС.

Многие операторы данных полагают, что закон распространяется только на работу их сайта или основную информационную систему (к примеру - CRM). Но Роскомнадзор может проверить все информационные системы компании.

Другая распространенная ошибка: учитывать требования закона только по основным аспектам взаимодействия с клиентами - непосредственному обслуживанию и продаже услуг, в то время как персональные данные используются при рассылке, промо-акциях, ретаргетинге.

По статистике Роскомнадзора, согласие на обработку персональных данных часто не соответствует требованиям закона: оно бессрочное и без четкого указания целей работы с данными (о формулировках вроде «во всех необходимых целях» забудьте), не упомянуты третьи лица, обрабатывающих персональные данные.

Еще одно «популярное» нарушение - утвержденная приказом политика компании относительно обработки персональных данных не представлена в открытом доступе - в офисах, на сайте и в мобильном приложении, - если на этих площадках ведется сбор данных (например, через форму обратной связи, заказ товаров или запрос на услугу).

В законодательство регулярно вносятся изменения, да и в самой компании многое меняется. Если компания не обновляет документацию в уведомлении (например, ответственным числится давно уволенный сотрудник), Роскомнадзор может нагрянуть с проверкой.

Опыт других стран

Законы, регулирующие персональные данные, есть во всех цивилизованных странах мира. В США, например, с 1996 года действует закон HIPAA (Health Insurance Portability and Accountability Act), регулирующий работу с и устанавливающий требования по защите медицинских данных пациентов. Штрафы за его нарушение - от $100 до $1,5 млн.

В странах Евросоюза с мая 2018 года вступает в силу новый регулирующий документ по защите персональных данных - General Data Protection Regulation (GDPR). В нем определено два уровня штрафов, - в зависимости от характера, частоты и от того, кем (оператором или обработчиком данных) допущено нарушение. ,. Максимальный штраф составит 4% мирового годового оборота организации, но не менее 20 млн евро (но не менее), минимальный - 2% мирового годового оборота или 10 млн евро.



 

Возможно, будет полезно почитать: