Что произошло и почему это важно для любой компании, занимающейся мобильным маркетингом
С 1 июля 2011 года в «полную силу» начал действовать федеральный закон Российской Федерации от 27 июля 2006 года № 152 «О персональных данных». В реальности это закон начал действовать с 26 января 2007 года, но вот срок приведения систем персональных данных в соответствие с законом отодвинули на 1 января 2011-го, а потом на 1 июля 2011 года.
Этот закон касается практически каждой компании – поскольку везде есть сотрудники, а, значит, в кадровой службе есть трудовые книжки и прочая информация, которая относится к персональным данным. Также в компаниях хранятся очень большие массивы персональных данных – клиентов и контрагентов компании, информация о поставщиках и их сотрудниках и прочее. Закон о персональных данных регламентирует сбор, хранение, использование и уничтожение таких данных.
Мы же коснемся вопросов сбора, хранения и использования персональных данных клиентов компании для целей рекламы и информирования путем SMS, MMS и E-mail рассылкой. Специфика данной деятельности компании заключается в том, что, помимо сбора, хранения и использования персональных данных клиентов, происходит передача данных компании-подрядчику (по рассылке SMS, MMS, E-mail).
Что такое персональные данные? Какие варианты работы с персональными данными?
Один из важнейших вопросов: что же такое персональные данные? Что будет отнесено к таковым, а что не будет?
В ст. 3 п. 1 дается формулировка:
«Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
Таким образом, можно сделать вывод: данные являются персональными, когда на их основании можно определить конкретное физическое лицо. То есть просто номера мобильных телефонов в вашей базе данных не будут являться персональными данными, а вот номер и ФИО уже будут.
Так же, согласно ст. 15 п. 1, обязанность доказывать получение согласия на обработку персональных данных возлагается не на абонента, а на оператора. Опять не сказано, в каком виде должно быть получено согласие субъекта – письменное, устное, электронное или еще какое-либо. Это обстоятельство немного облегчает жизнь компаниям, но все же мы рекомендуем брать письменное согласие клиента на обработку его персональных данных и возможность информировать его о различных акциях компании по SMS, MMS и E-mail.
Основной момент для компаний, работающих с подрядчиками по директ-рассылкам, – это то, что договор с такими подрядчиками должен включать в себя существенным условием обеспечение конфиденциальности и безопасности передаваемых персональных данных (ст. 6 п. 4). Советуем прямо сейчас проверить, обладают ли ваши подрядчики статусом оператора персональных данных (ОПД).
Как мы убедились выше, практически любая компания является ОПД. Необходимо ли уведомлять уполномоченные органы об этом и получать официальное подтверждение? Да, если у вас есть CRM, в которой вы храните данные своих клиентов и рассылаете им информационные сообщения. Нет, если база клиентов у вас существует в виде бумажных анкет и секретарь набивает номера телефонов в excel-файл перед пересылкой подрядчику по рассылке (ст. 22 п. 2.8).
На какие пункты компаниям нужно обратить особое внимание, чтобы не получить штраф?
Итак, что же делать компаниям, которые в своей деятельности используют рассылки клиентам через каналы SMS, MMS, E-mail?
По нашему мнению есть три пути:
1. Обезличивание данных и неавтоматизированная обработка данных.
2. Стать оператором персональных данных.
3. Ничего не менять в своей текущей деятельности.
Вариант 1:
В законе предусмотрена возможность обезличивания персональных данных (ст. 3 п. 8), в нашем примере это список безымянных телефонов или номеров дисконтных карт и телефонов. Это простая возможность избежать издержек, связанных с использованием данных, но данный вариант не подходит для большинства компаний, имеющих CRM или подобные системы.
Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций можно не уведомлять о начале работы с персональными данными в случае неавтоматизированной обработки (ст. 22 п. 2.8). В нашем случае это наличие бумажных анкет и сотрудника, который работает с этими данными. Этот вариант может подойти для небольших компаний.
Вариант 2:
Для того чтобы стать оператором персональных данных, необходимо послать заявку в управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, это можно сделать на сайте http://www.rsoc.ru/personal-data/register/
Вариант 3:
Ничего не менять в своей текущей деятельности – самый рискованный вариант на наш взгляд. Поскольку с 1 июля уполномоченный орган уже начал проверки различных компаний (конечно же, начали с крупных и очень крупных) и есть сведения о штрафах и предписаниях, выписанных некоторым компаниям.
Что же в будущем?
В российских компаниях достаточно широко распространена точка зрения, согласно которой регулирование в области персональных данных настолько запутанное, что наиболее правильным решением будет отсидеться в стороне и дождаться, пока ситуация станет понятной. Но мы считаем, что не стоит ждать, что закон отменят или что проверка минует организацию.
Бояться проверок не стоит, надо знать права и обязанности – свои и проверяющих. А они четко зафиксированы в ФЗ № 294 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
А также стоит ознакомиться с самим ФЗ № 152 и Гражданским кодексом – тогда многие вопросы, кажущиеся трудными, решаются очень легко.
Автор:
Александр Сильченко, руководитель отдела по работе с клиентами компании StreamSMS, Alexander@streamsms.ru
Подробности
ООО «Северо-Западная компания «Инфосвязь» (торговые марки: StreamSMS, Stream Telecom) является поставщиком мобильных услуг связи (SMS/MMS рассылка, прием SMS, e-mail-маркетинг, HLR-запросы) для более 1 тыс. различных компаний, включая: российские банки входящие в ТОП-10, крупные розничные сети, системные интеграторы и другие компании. Компания имеет все необходимые лицензии, является оператором персональных данных (ОПД) в соответствии с ФЗ № 152.
Контакты
ООО «Северо-Западная Компания "Инфосвязь"» (www.streamSMS.ru)
info@streamsms.ru
Санкт-Петербург: (812) 326-10-75 (ежедневно без выходных с 10:00 до 19:00 МСК)
Москва: (495) 6-444-631 (ежедневно без выходных с 10:00 до 19:00 МСК)
Регионы: 8-800-333-10-75 (бесплатная линия, ежедневно без выходных с 10:00 до 19:00 МСК)