Экстремально персональные данные

Соответствовать требованиям текущей версии закона «О персональных данных» почти невозможно. Бизнес, оперирующий данными о людях (а сегодня это почти любой бизнес) осуществляет свою деятельность почти незаконно! В первую очередь под удар попадают крупные FMCG компании, работающие на лояльность своих клиентов с использованием CRM систем. Операторы персональных данных должны привести свои информационные системы в соответствие с требованиями Закона к лету 2011.

Классический пример. Терминатор подходит к телефонному автомату, берет телефонный справочник, ... Коннор Сара... адрес и телефон. СТОП!

Если бы этот эпизод вдруг по каким-то неведомым причинам снимали в современной России, то мы наблюдаем жесточайшее нарушение закона о персональных данных. Сара не давала письменного разрешения на размещение информации о себе в телефонном справочнике, а легальность существования этого телефонного справочника, как, собственно, и любых справочных служб, оперирующих информацией о частных лицах, находится под серьезным сомнением.

Основная проблема заложена в самом определении персональных данных. Согласно закону «О персональных данных» (Закон №152-ФЗ):

«персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»

Формулировка «другая информация» расширяет понятие персональных данных до фактически любой информации о человеке (субъекте персональных данных).

Более того, закон устанавливает также, что обработка такой «любой информации» осуществляется только с согласия субъекта персональных данных в письменной форме, которое должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных; 4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.

Просто галочку «я согласен» поставить в анкете не достаточно. Согласие должно быть письменным и включать в себя перечисленные шесть пунктов. Часто получить такое согласие просто невозможно. Данные требования закона явно избыточны.

Вывод не очевиден на первый взгляд, но при этом однозначен. Не смотря на то, что законом предусмотрены случаи, не требующие получения согласия, в большинстве случаев Бизнес, оперирующий данными о людях (а сегодня это почти любой бизнес) осуществляет свою деятельность незаконно!

Контролирующие органы имеют право в рамках своих полномочий провести проверку уже сегодня. Санкции достаточно серьезные. Административную и даже уголовную ответственность несут представители организаций, в том случае, если будет доказано, что организация обрабатывала сведения с нарушением законодательства.

В первую очередь под удар попадают крупные FMCG компании, работающие на лояльность с использованием CRM и ведущие базу данных клиентов. Особенно остро этот вопрос стоит для компаний, занимающихся производством табачных и алкогольных изделий, т.к. они имеют ограниченное число каналов продвижения и для них директ маркетинг (а значит работа с базами данных клиентов) - важнейший инструмент повышения лояльности и продаж.

На самом деле задуматься стоит фактически любой организации, которая ведет бухгалтерию, т.к., например, при начислении заработной платы сотрудникам приходится обрабатывать персональные данные: номер страхового полиса, номер индивидуального пенсионного лицевого счета, индивидуальный номер налогоплательщика и паспортные данные. Не говоря уже о том, что в каждом отделе кадров хранятся анкеты работников, которые также являются персональными данными.

Согласно изменениям, внесённым законом N 359-ФЗ от 23 декабря 2010 года, операторы персональных данных должны привести свои системы обработки персональных данных, запущенных до 1 января 2011 года в соответствие с требованиями Закона №152-ФЗ - не позднее 1 июля 2011 года.

Времени на подготовку осталось очень мало. Летом 2011 ожидается принятие нового закона, который внесёт изменения в нынешний Закон о персональных данных. Работа над новым законом ведется уже сейчас в комитетах Государственной Думы РФ.

В мировой практике компании объединяются в общественные организации с целью выработать унифицированный подход и правила игры на рынке. Персональные данные очень важная тема для дистанционной торговли, т.к. весь бизнес в этой отрасли стоится на базах покупателей. Уже несколько лет существует Национальная Ассоциация Дистанционной Торговли, которая участвует в законотворчестве на тему персональных данных. В планах создание отраслевого стандарта организации безопасной обработки персональных данных на основе которого в будущем будет проводиться сертификация информационных систем. Первыми пройдут сертификацию, естественно те компании, которые будут участвовать в создании отраслевого стандарта.

Со временем, так или иначе, мы придем к ситуации, когда для обработки персональных данных нужно будет иметь соответствующую требованиям закона сертифицированную информационную систему. Получить такую информационную систему будет не так-то просто и дешево, поэтому очевидно, что для многих организаций будет намного выгоднее и спокойнее пользоваться услугами третьих компаний для обработки персональных данных своих баз.

Комментарии экспертов:

Михаил Яценко, исполнительный директор Национальной Ассоциации Дистанционной Торговли
К сожалению, тот концептуальный подход, который был использован в нынешнем законе "О защите персональных данных" при определении способов защиты персональных данных и условий их обработки ставит под сомнение не только идею создания единого информационного общества, но и противоречит, в некоторой степени, российской Конституции, европейским нормативным документам и директивам ЕС. Думаю, что ни одному продавцу и в голову не придёт, что надо требовать паспорт у гражданина при покупке хлеба в магазине. Конечно же, я немного сгущаю краски, но дословное исполнение Закона приведёт именно к такому абсурду! По крайней мере, в большинстве случаев это уже необходимо делать при дистанционном способе продажи товаров. Наша Ассоциация (Национальная Ассоциация Дистанционной Торговли) вместе с другими представителями российских бизнес сообществ продолжает убеждать органы государственной власти учесть ошибки других стран Европейского Союза, где история защиты персональных данных насчитывает не одно десятилетие и подобные ошибки были исправлены давным-давно! Надеемся, что все замечания будут учтены в новой редакции Закона и тогда всё встанет "с головы на ноги":
- у Вас не будут требовать паспорт, чтобы выпить чашечку кофе в любимом кафе;
- Вы свободно сможете найти своих родственников через городские справочные бюро;
- а чтобы найти телефон своего одноклассника или дальнего родственника - достаточно будет открыть столь любимый всеми ранее городской телефонный справочник (легальное существование которых, кстати, поставлено под сомнение в России!)
Всё это, надеюсь, наше счастливое будущее, а пока: "Предъявите документы!"

Михаил Мартьянов, генеральный директор компании Internet Projects (Subscribe.ru)
Подавляющее число малых предприятий и индивидуальных предпринимателей не смогут профинансировать мероприятия по приведению своих систем в соответствие с требованиями закона о ПД ни к 1-му июля 2011 года, ни к 1-му июля 2012 года. А это значит, что если закон не претерпит изменений, то по электронной коммерции в нынешнем виде может быть нанесен чувствительный удар.

Тимофей Мусатов, Адвокат, Управляющий партнер и Глава практики английской юридической компании Filatov Goldberg Musatov LLP в России и странах СНГ
Ситуацию с законом о персональных данных хорошо иллюстрирует известная фраза о том, что в России строгость законов компенсируется необязательностью их исполнения.

Под этот закон попадают абсолютно все организации, и при этом исполнить его невозможно. Невозможно не только потому, что это влечет за собой финансовые затраты, что уже очень существенно для многих компаний, но и потому, что не существует никакого механизма, который помог бы этот закон выполнить. Если бы было так, что компания платит деньги (или государство платит деньги за свои инициативы), и приезжают умные, красивые люди, которые налаживают информационную систему так, чтобы она соответствовала закону. Если бы можно было таким людям заплатить, думаю, что многие компании заплатили бы. Но пока нет ни умных, ни красивых, вообще нет никаких людей, которые помогли бы эту проблему решить.

Я сам не понимаю, как этот закон будет действовать, а чего ждать от среднего и малого бизнеса, который занят своим выживанием и не в курсе государственных инициатив. Привести свои системы обработки данных в соответствие с законом до лета 2011 никто не успеет. "Нарушители" будут с удивлением узнавать о том, что они нарушили закон от тех людей, которые придут к ним "непрошенными гостями".

Ощущение, что государство открывает новый рынок. Причем рынок глобальный, т.к. наказание за неисполнение закона достаточно серьезное, вплоть до закрытия компании, поэтому озаботятся этим вопросом все. На сегодняшний день уже есть случаи привлечения к ответственности по этому закону региональных организаций.

Возникнет рынок, производители ПО будут этому рады - но не долго! Так как он сразу же будет монополизирован (думаю компании уже определены), которые и будут продавать возможность соответствовать этому закону. Менеджеры крупных компаний (особенно с гос. участием) получат возможность осваивать бюджеты и на судьбу таких компаний закон не повлияет. А вот компаниям поменьше будет посложнее. Что им делать в ситуации, когда любые затраты (как временные, так и финансовые) ложатся на них тяжким бременем? Ничего не останется как развивать коррупционную составляющую нашего государства.

Ситуацию можно обрисовать так: представьте, что приняли закон о контроле за чистотой речи. И кару страшную за мат в уборной. Конечно, народ взбунтуется, если совсем прижмет. Закон, соответственно, изменят. Ой, мы ошиблись чуть-чуть. В общественном месте ни ни, в уборной - пожалуйста.

У меня возникает встречный вопрос о том, как будут работать сами государственные органы. Уж они то и есть основные держатели персональных данных. Государству и обществу нужно иметь двустороннюю связь.

Пока мой совет компаниям следующий. Внимательно изучить закон, подготовить правовую форму и брать письменное согласие у субъектов персональных данных, где это возможно.

Андрей Кондратенко, генеральный директор компании Ruslead LLC. (CPA Network)
Весь наш бизнес построен на сборе персональных данных и дальнейшей их обработке. Фактически мы являемся биржей, которая в автоматическом режиме соединяет рекламодателя и площадки для создания лидов. Более того, данные, которые потенциальные клиенты добровольно сообщают системе при каждом контакте, накапливаются, образуя базу знаний о пользователях их предпочтениях, интересах и поведении. CPA Network знает о пользователях все, что они ей сообщили за время всех контактов на всех площадках.

Для нас соответствие закону о персональных данных необходимо как воздух, поэтому мы очень внимательно следим за развитием ситуации вокруг создания новой версии закона, а также планируем принять участие в процессе формирования отраслевого стандарта организации безопасной обработки персональных данных.