21 мая 2019 г.

Закон "О персональных данных". Угроза директ-маркетингу и рекламе



25 ноября 2005 Госдума РФ приняла в первом чтении закон "О персональных данных".

Событие в жизни страны значимое, если судить по новостным лентам. Десятки новостей и полноценных уже публикаций, передачи по ТВ (как минимум см. "К барьеру" по НТВ), уже и митинги прошли…

Партии, которые на законе создают рейтинги, баламутят избирателей. Уместно ли, по закону, присвоить человеку код? А не оскорбительно ли назвать человека "субъектом персональных данных" и т.д. И народ, судя по всему, волнуется. Хотя на самом деле закон дает ему, народу, права, а не ущемляет.

Что на самом деле странно - это пренебрежение к закону тех, по кому он больно ударит, чьи права он реально отбирает. Многие эти удары в законе отражены мелкими пунктиками, на которые и внимания-то никто и не обращает - а надо бы.

В первую очередь, коллеги, ударит он по рекламе и, в частности, по директ-маркетингу. На мой взгляд, в редакции "первого чтения" закон может если не убить, то серьезно покалечить рынок баз данных.

А значит, под огонь попадает весь директ-маркетинг и инструменты рекламы, с базами связанные - почтовая рассылка (директ мейл), телемаркетинг, промо-кампании "Собери и выиграй", дисконтные клубы и программы лояльности и многое другое…

Это серьезно.

Сразу после принятия мы внимательно изучили закон и комментарии к нему думских Комитетов.
Очень коротко основные положения закона, достаточно уже широко освещенные в прессе, которые коснутся непосредственно директ-маркетинга.

Закон:
-Определяет права субъекта персональных данных (сиречь клиента, которого мы хотим достичь, используя данные о нем), и возможность использования данных о нем.

-Определяет обязанности оператора персональных данных - того, кто будет обрабатывать базу данных клиентов.

-И устанавливает ограничения, в которых этот оператор будет работать под присмотром вновь создаваемого органа по надзору за оборотом персональных данных.

Первый, несомненный и самый большой плюс этого закона - появляется возможность контроля за оборотом нелегальных баз данных. Ворованные ГИБДД, БТИ, налоговая и прочие - отныне вне закона не только для соответствующих органов, но и для адресатов почтовой рассылки и телемаркетинга, которые в этих базах окажутся. Компанию, осмелившуюся использовать подобные базы данных для своих коммерческих интересов, ждут большие неприятности.

А теперь пройдемся по тем положениям, которые будут "вязать руки" всем, кто хочет работать законно.

1) Для работы с персональными данными база данных, в которую они будут собираться, должна быть зарегистрирована в специальном государственном реестре. Также должна быть зарегистрирована организация (или частное лицо), которая работает с базами данных.

Возможно, к этому нет особенных претензий. Просто появится еще одна сложность - как для тех, кто работает с базами данных постоянно (директ-маркетинг, почтовая рассылка, телемаркетинг, Интернет-маркетинг, мобильный маркетинг и т.д.), так и для рекламных агентств и их клиентов, которые касаются баз данных изредка - при организации промо-акций "Собери и выиграй".

Если совсем конкретно - законом предусматривается специальный орган из 50 человек, который будет следить за оборотом баз данных. Обратите внимание на количество промо-акций, в которых надо что-то прислать, заполнить, оставить, собрать - и прикиньте, сколько времени вы будете тратить на регистрацию базы данных перед акцией, если заниматься этим на всю страну будет 50 человек? Дополнительно к работе с регистрацией стимулирующей лотереи.


2) Отныне обращение к субъекту персональных данных (то бишь использование персональных данных) становится возможным только с его согласия, либо если использованные базы данных (персональные данные) относятся к категории общедоступных.

В принципе, и раньше в законе "Об информации, информационных технологиях и защите данных" была такая норма, но ничего не было сказано, что будет, если ее не выполнить. И не сказано было, каким образом согласие получать. Теперь сказано достаточно четко, хотя и двусмысленно.

Во-первых, согласие должно быть выражено письменно. Из этого следует, что Интернет-анкетирования попадают в категорию сбора информации "под большим вопросом". Регистрация данных по телефону - тоже.

Во-вторых, письменное согласие (если это анкета в печатном виде, заполненная покупателем) должно включать еще и серьезный перечень дополнительных пунктов - от согласия субъекта с целями сбора информации до срока действия согласия, условий его отзыва и прав субъекта данных. В общем, любая анкета в магазине, или "собери и выиграй", даже мини-опросник на/в упаковке продукта, должна включать громоздкий абзац о том, что и когда можно делать с собираемыми данными.

В-третьих, оператор персональных данных (владелец базы данных) обязан по запросу предоставить доказательства согласия субъекта на контакт с ним (использование персональных данных). То есть придется в любой базе хранить изображения анкет с подписями.

Вот вам пример - из рекламной паузы в той самой передаче "К барьеру", посвященной новому закону. За внимание телезрителей соревновалось в основном пиво - что и понятно, учитывая время - после 22.00. Два ролика призывали что-то собирать и отправлять: "Золотая бочка" уговаривала покупателей собрать десять крышек для получения УАЗика, а "Клинское" - выслать код по смс-ке, чтобы поехать в Европу.

А теперь внимание. По нынешней редакции закона "Клинское" не может связаться с победителями, поскольку те отправили смс - а нужно письменное разрешение от покупателей на связь с ними. "Золотая бочка" не может, потому что даже если покупатели прислали в конверте 10 крышек и подпись, то закон все равно не соблюден - покупатели должны быть извещены, для чего данные собираются, сколько времени будут использоваться, какие у них права, кто есть оператор данных (организатор лотереи), каков его регистрационный номер... И все это надо дать в телеролике как минимум!

Что будет, если не выполнить этого. Будет отзыв регистрации и требование об уничтожении базы данных, а Комитет по делам религиозных и общественных организаций требует в явном виде прописать и уголовную ответственность.


3) Запрещается обработка персональных данных, касающихся расовых, религиозных, политических и т.д. взглядов. Де-факто запрещается директ-маркетинг для политических и религиозных организаций.


4) Субъекту персональных данных предоставлена возможность запрашивать оператора персональных данных о наличии у него, оператора, данных об этом субъекте. И запрещать их использование. Отдельно даже сказано об использовании данных в рекламных целях - если у субъекта есть основания полагать, что его данные будут так использованы, он может возразить и запретить использование. А у оператора установлен срок и порядок ответа субъекту.

Это значит, что при любой акции, особенно почтовой рассылке, по базе данных, оператор может быть завален грудой вопросов от адресатов, и обязан будет на них ответить в установленном порядке. А поскольку люди склонны забывать (что дали согласие), то запросов по любой легальной базе может быть весьма много…

Интересно, сколько нужно отдельных менеджеров по ответам на запросы в агентствах - как параноидально настроенных, так и вполне законопослушных, но очень интересующихся своим спокойствием граждан?


5) Требуется согласие субъекта персональных данных не только на использование его данных владельцем базы данных (которому он согласие дал), но и на передачу данных третьим лицам.

Это как минимум говорит о том, что подобное условие надо прописывать в согласии. А покуда его нет - никаких партнерских акций и баз данных в аренду быть не может. Равно как и непонятно, как с данными будут работать мейлинговые агентства, колл-центры, разработчики программ лояльности и поставщики CRM-систем…


6) В базе данных запрещено хранить сведения, которые не имеют отношения к целям, для которых база данных собиралась.

Не совсем ясно в таком случае, как будут определяться данные "для целей" и "не для целей". Например, в анкете акции "Собери и выиграй" по некоей дорогой, например, мебели, будет просьба ответить на вопрос "Как часто Вы ездите за рубеж в турпоездки?". Видимо, организатор пытается хоть как-то установить доход. Но с целями это никак не связано - будьте любезны убрать… Да вообще любые "лишние" вопросы по идее с целями не связаны.


7) Не определено само понятие "персональные данные". К сожалению, и Комитеты по этому поводу не высказались. Что есть персональная информация, что - нет? Например, место работы и должность - персональные данные? Видимо, да.

А тогда как будет развиваться индустрия b2b? Любая база данных, где есть информация о руководителе - имя и должность (генеральный директор, например, или финансовый директор) - противозаконна, если он, генеральный, не дал согласия. Но при банальном исходящем телемаркетинге ФИО в 70% случаев можно выяснить у секретаря - что в этой информации закрытого?


8) И, наконец, самое "вкусное" - то, что закон имеет обратную силу. То есть любые данные, собранные на текущий момент, должны ему удовлетворять - иметь подписи, да не просто подписи, а под перечнем прав субъекта… Иначе говоря, практически все базы данных в рекламе, директ-маркетинге оказываются вне закона.


Под конец требование (уже думских Комитетов) - установить уголовную ответственность, причем как для операторов персональных данных, так и, отдельно, для их работников.

На самом деле в законе много неясных мест и не определено множество понятий. Поэтому стоит думать, что ко второму чтению он изменится очень серьезно. В том числе и в комментариях к закону Комитетов есть моменты, которые устраняют недостатки - четкое определение "база данных", отделение понятий "владелец данных" от "оператор данных", определение "обработки данных".
Особенно приятны комментарии, в которых прямо говорится, что субъекту персональных данных дали необоснованно много прав, тогда как права бизнеса в отношении данных сильно урезали. Да и вообще, приняли "вроде как" по подобию европейских законов, а на самом деле навернули много лишнего, и, в принципе, ненужного.

Впрочем, и ужесточающие комментарии тоже есть.

Это если посмотреть на все вкратце.

Стоит заметить, что закон поступал в Думу уже несколько раз начиная с 1998 года - и так и не прошел. Однако теперь есть все основания полагать, что игры кончились. Во-первых, принятия закона требует Евросоюз. Во-вторых, комментарии всех Комитетов к закону начинаются со слов "Ввиду оборота ворованных данных у нас в стране закон очень своевременен и должен быть принят". Да и шумиха вокруг него заставляет задуматься.

Еще раз стоит отметить, что многие "проблемные" для нас места отмечены в законе мелкими (на первый взгляд) пунктами, и никак не прокомментированы Комитетами, вокруг них никто не шумит. То есть они могут пройти и во второе чтение, и, по необходимости, в третье, и на стол Президенту лечь… Вот теперь точно делайте выводы.

Илья Шагаев

06.12.2005



Уважаемые господа маркетологи и рекламисты!

Редакция Sostav.ru приглашает профессионалов к сотрудничеству в ведении рубрики "Частное мнение". Если у вас есть опыт, собственный взгляд на ситуацию в той или иной области и тема, которую вы бы хотели обсудить с читателями, присылайте свои работы на news@sostav.ru

Мнение редакции может не совпадать с мнением автора
Публикации
2012
развернуть
2011
развернуть
2010
развернуть
2009
развернуть
2008
развернуть
2007
развернуть
2006
развернуть
2005
свернуть
20.12
13.12
06.12
29.11
22.11
22.11
15.11
08.11
01.11
25.10
18.10
11.10
04.10
27.09
20.09
13.09
06.09
30.08
23.08
16.08
09.08
02.08
26.07
19.07
12.07
05.07
28.06
22.06
15.06
07.06
31.05
24.05
17.05
14.05
11.05
26.04
19.04
12.04
06.04
29.03
22.03
15.03
09.03
01.03
22.02
16.02
08.02
01.02
25.01
18.01
2004
развернуть
2003
развернуть

© Состав.ру 1998-2019, фирменный стиль Depot WPF

тел/факс: +7 (495) 225 1331 адрес: 109004, Москва, Пестовский пер., д. 16, стр. 2

При использовании материалов портала ссылка на Sostav.ru обязательна!
Администрация Sostav.ru просит Вас сообщать о всех замеченных технических неполадках на E-mail
  Рассылка 'Sostav.ru - ежедневные новости маркетинга, рекламы и PR.'   Rambler's Top100         18+   Словарь маркетинговых терминов