Главная » Директ-маркетинг: что это?

Законен ли прямой маркетинг?

Сегодня в гостях у altmarketing.ru Руслан Пермяков, эксперт по защите информации, технический директор ООО Системы информационной безопасности. Руслан живет в Новосибирске,  является независимым экспертом решений информационной безопасности, ведет интересный блог о безопасности http://r-a-permyakov.blogspot.com . С Русланом мы познакомились на семинаре, на котором  он как раз и разъяснял «подводные камни» закона о защите персональных данных. У нас уже накопилось много вопросов от подписчиков по правомерности директ-маркетинга. Как известно, если хочешь получить компетентные ответы на вопросы – задай их профессионалу.  Мы обратились к Руслану, эксперту и специалисту  в области защиты информации.

- Руслан, добрый день! Прежде чем завалить вас вопросами, расскажите несколько слов о себе, что хотите. Какое у вас образование, как давно начали заниматься защитой информации, чем занимаетесь в свободное время?

-Я окончил Новосибирский Государственный Технический Университет, факультет Автоматики и вычислительной техники. Защитой информации занимаюсь с 1995 года, когда в НГТУ начали подготовку к открытию специальности “Защита информации”. Фактически я принимал непосредственное участие в этом процессе.

Чем занимаюсь в свободное время… Когда читаешь чужие интервью, всегда удивляешься, насколько многогранными бывают люди! У меня здесь все попроще. Я в таких случаях интересуюсь, что такое хобби? Занятие, которое не связанно с получением денег? Тогда основное мое хобби – преподавание в ВУЗах. Если серьезно, то интересуюсь  новинками IT, новыми гаджетами. Еще у нас, в Новосибирском Академгородке молодые ученые создали клуб Softskils, для развития надпрофессиональных навыков, таких как искусство презентации, управление временем и т.п. Я принимаю в работе клуба участие, когда нахожусь в городе. Ну и, когда остается время, занимаюсь автотуризмом и геокэшингом. О таком традиционном развлечении, как чтение книг, в последнее время как-то не принято говорить. С моей точки зрения – зря.

-Основой прямого маркетинга является база данных потребителей, которая подразумевает собрание контактных данных клиентов. Насколько правомерна  такая деятельность с точки зрения Федерального закона «О персональных данных»?

– К сожалению, тема прямого маркетинга сегодня, скажем так, не является простой. Иногда его путают со спамом. И основная проблема, с моей точки зрения, кроется здесь.  Если говорить о Законе о персональных данных, то есть статья 15 положения которой принципиально не отличаются от духа Закона – обработка Персональных данных (ПД) возможна только при наличии согласия субъекта ПД. Форма согласия законодателем не установленная. Т. е. это может быть галочка на сайте при подписке на рассылку или отметка в анкете, которая заполняется при прямом общении с человеком.

К сожалению, мы здесь находимся в зоне риска – в случае если контролирующий орган (Роскомнадзор) примет решение, что доказательств получения согласия не достаточно, то обработку данных придется прекратить. Иными словами необходимо будет уничтожить базу данных. Здесь надо внимательно смотреть на правоприменительную практику и ждать изменений в законодательстве.

Если говорить о возможных перспективах, то я сейчас вижу два направления в законодательных инициативах. С одной стороны можно говорить о некой либерализации законодательства в области защиты информации, в том числе и персональных данных. Примером может служить новый закон о лицензировании, или законодательная инициатива Резника, который предполагает конклюдное согласие. Что, конечно же, существенно упростит жизнь большинства операторов. С другой стороны, мы слышим о том, что необходимо правовое регулирование Интерент. Последние новости в этой области – проект закона по борьбе со спамом. Во что это все выльется, покажет будущее.

- Руслан, возможно, кому-то не совсем понятна терминология закона. Если можно – «на пальцах», что подразумевается под терминами «персональные данные», «субъект персональных данных», «оператор персональных данных», «обработка персональных данных»?

– В законе даны определения:

1) персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

Определение понятия “субъект” в законе не дано, но по смыслу это любой человек – гражданин РФ. «На пальцах» это выглядит следующим образом. Персональные данные (ПД) – любая информация о конкретном человеке: рост, вес, любимый цвет одежды, где он находился тогда-то, где любит бывать и т. п. Фактически все, что описывает вашу жизнь это персональные данные. Сейчас сбор этих самых данных  может осуществляться элементарно.  Оператором у нас является любое юридическое лицо и орган власти, включая ПБЮЛ. А обработкой у нас является все, что можно в принципе сделать с данными. Т. е. как только вы вносите в базу данных ФИО, начинается обработка и заканчивается она в момент подписания акта об уничтожении ПД.

-Какие  доказательства согласия субъекта ПД удовлетворят Роскомнадзор?

Ну, железобетонное доказательство – письменная форма, в том числе «галочка» в анкете, разрешающая обработку ПД или письменный договор с соответствующим разделом.  Все остальные моменты сейчас спорны, но наиболее вероятно успешные следующие:

– разработка сайта с учетом того, что пользователь не сможет пользоваться услугами сайта без того, что поставит галочку на обработку ПД при регистрации. с такими чекбоксами мы сталкиваемся при регистрации на различного рода форумах в разделе “я прочитал правила”.

– Собственноручное заполнение анкеты, в заголовке которой указано что-то типа: “анкета для автоматической обработки в информационной системе обработки персональных данных”.

- Этого достаточно? Как раз многие маркетологи хватаются за голову по поводу формы согласия… Страшно представить, если следовать букве закона, то согласие «засчитывается», если субъект предоставил серьезный перечень дополнительных пунктов – от данных паспорта до срока действия согласия, условий его отзыва и прав субъекта данных. Здесь чек-боксом в анкете «я согласен с обработкой своих данных», боюсь, не отделаешься.

 

Относительно согласия есть три варианта:

1. Согласие требуется в письменной форме в обязательном порядке. Эта форма регулируется как раз п.4 ст.9 ч.1. Согласие требуется для обработки специальных категорий, биометрических данных, трансграничной  передачи и автоматизированной обработки. Здесь «галочкой» действительно не обойдешься.

2. Согласие на обработку, форма которого не установлена законом, – обработка остальных категорий  персональных. Это как раз случай прямого маркетинга. Здесь форма и поля не определены. Основные требование, что бы субъект понимал, что будет происходить с его данными. Здесь как раз чек-бокс сработает.

3. Не требуется согласия. Для большинства компаний это возможно в случае исполнения требований ФЗ, например Кодекса законов о труде, Налогового кодекса и т.п. Так же согласие не требуется, если с субъектом заключен договор, одной из сторон которого является субъект. Теоретически один из выходов для директ-маркетинга – это заключение договора на информационное обслуживание.

-Руслан, если говорить о ПД корпоративного рынка, то здесь есть какие-либо особенности? Ведь с одной стороны, информация о компаниях является общедоступной,  но как быть с ПД контактных лиц – тоже получать согласие?

 

ПД первых лиц являются общедоступными: их можно узнать из выписки ЕГРЮЛ плюс реклама, вебсайт и т. п. Относительно согласия в законе позиция Законодателя определена достаточно четко, поскольку выделена в отдельную статью. При этом форма согласия может быть в т. ч. и в форме заключения договора. Но согласие обязательно. При этом в законе не рассматривается источник получения данных. Здесь мы очень близко подходим к проблеме определения отличий спама от адресной рассылки. В Москве началось движение, направленное на преследование спамеров. Думаю, Законодатель ключевым отличием спама от адресной рассылки установит наличие запроса на получение информации. Здесь просматривается несколько интересных бизнес-идей.

- Разве общедоступность ПД не является основанием для согласия?

В этом-то и особенность 152-ФЗ. Общедоступность снимает только задачу обеспечения конфиденциальности. Согласно статьи 6 закона, обработка может осуществляться только при условии получения согласия субъекта, за исключением случаев, указанных в этой статье. Там нет ссылки на общедоступность ПД. Кроме того статья 15 закона об использовании ПД «в целях продвижения товаров, работ, услуг на рынке» требует наличие предварительного согласия. Форма согласия законодателем не урегулирована.

 

 

-Но как умудриться получить согласие физического лица, не используя его контактные данные – имя, адрес, телефон и т.д., которые являются ПД? Выходит, для получения согласия придется нарушить закон?

 

Согласно статье 9 часть 5 на первый контакт, целью которого является получение согласия субъекта, согласия не требуется: «Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется».

 

 

-Кстати, на Западе информация об именах и адресах физических лиц не относится к ПД и, в основном, общедоступна. У нас данные  физлиц, например, для получения того же согласия, практически негде взять, не нарушая закон…Да, действующее законодательство просто вяжет руки российскому директ-маркетингу, прямо какое-то недоразумение…

 

То, что Российское законодательство сегодня самое  жесткое, общепризнанный факт. Прямое применение Закона парализует не только директ-маркетинг, но и вообще малый и средний бизнес. В этом и заключается роль хорошего эксперта по информационной безопасности, с одной стороны обеспечить исполнение Закона, с другой стороны внести как можно меньшие изменения в бизнес-модель предприятия.

 

- В ст.19 ч.4 закона, указано, что компания обязана принять меры по обеспечению безопасности ПД. О каких мерах идет речь?

-Эти меры регламентируются руководящими документами. В общем случае это соответствующие приказы ФСТЭК и ФСБ, а так же “приказ трех” Роскомнадзора, ФСТЭе и ФСБ его номер 55-86-20. Меры в этом случае определяются на основании построенных частных моделей угроз и нарушителя. Практически всегда они включают в себя средства антивирусной защиты, усиленную идентификацию пользователя (это когда при входе в систему нужно предъявить еще и карточку), защищенное сетевое взаимодействие (VPN), а так же защиту от сетевых вторжений. Более предметно надо смотреть конкретную систему. В последнее время появились отраслевые стандарты, например Центробанка РФ, Фонда обязательного медицинского страхования. Там все прописано.

- На Западе широко практикуется обмен базами данных и их аренда,  которые регламентируются законом. Насколько правомерна такая деятельность у нас?

- Правомерна, только сложности связанные с соблюдением закона не позволяют говорить о целесообразности. Варианты обхода закона традиционные: при продаже базы, продавать можно с юридическим лицом, при аренде оформлять как заявку оператору или задание обработчику.

-Руслан, и последний вопрос: маркетолог для программ директ-маркетинга собирает или планирует собирать контактные данные потенциальных потребителей и существующих клиентов. Какие главные шаги нужно сделать, чтобы выполнить требования законодательства?

Для начала, нужно разработать положение о защите ПД, инструкцию для маркетолога, определиться с целями обработки ПД, зарегистрироваться в Роскомнадзоре в качестве оператора ПД. Определиться с согласием субъекта ПД. В случае прямого маркетинга это является наиболее тонким моментом.

Однозначного решения здесь получить невозможно.  Все зависит от способа сбора информации. Например, вы используете общедоступную информацию, взятую из Интернет. Хотя бы из тематических конференций. В этом случае будут использоваться общедоступные персональные данные. Тогда есть два варианта – один гарантированно законный, другой не дает 100% гарантии. В первом варианте вы посылаете предложение подписаться на рекламную рассылку, пользователь выражает свое согласие, подписываясь на рассылку. Во втором случае вы посылаете письмо с предложением отписаться от рассылки. В этом случае, естественно количество подписчиков будет больше, но подтверждение наличия согласия может вызвать проблемы. Существенно облегчить положение может приписка в каждом письме о способе отписки. Самый простой случай подписка через сайт – тут все просто, достаточно предупредить о получении материалов рекламного характера и автоматизированной обработке ПД.

В случае покупки/аренды базы данных необходимо первым письмом сделать рассылку, уведомляющую подписчика, что его ПД получены от такой-то компании и будет проводиться обработка ПД. Во всех случаях естественно нужно определиться целями обработки ПД, при этом надо учитывать, что после достижения целей ПД должны быть уничтожены.

- Руслан, большое спасибо, что нашли время ответить на наши вопросы. Что бы вы хотели пожелать читателям altmarketing.ru?

– Успехов в бизнесе, хороших партнеров и идей. И пусть за вашими рекламными компаниями будет интересно смотреть.

————————-

Интервью провела Наталия Андреева - консультант-эксперт по прямому маркетингу.

При перепечатке ссылка на altmarketing.ru обязательна!


ПОЛУЧИ БЕСПЛАТНОЕ PDF-РУКОВОДСТВО
"101 идея, как удвоить ваши показатели прямого отклика"


Секреты от профессионала директ-маркетинга Ивана Левинзона>>


Понравился пост? ПРОГОЛОСУЙ - Ваш голос важен для нас!

Затвитить пост!

Спасибо, что поделились с друзьями!

Получай свежие публикации через RSS |Е-mail |Твиттер

1 звезда2 звезды3 звезды4 звезды5 звезд (Еще не оценили)
Loading...Loading...

2 комментария »

  • Ирина пишет:

    Я работаю ком/директором в Агентстве Недвижимости ДОМ.КОМ 5 лет. Рынок недвижимости с каждым годом становится все более конкурентным и жестким. Клиенты, наоборот более грамотные и требовательные. Поэтому мы, как законопослушное агентство постоянно следим за всеми нововведениями и изменениями, ведем открытый финансовый учет, все риэлторы официально трудоустроены, в банке зарплатный проэкт, з/плата на банковские карты, зарегистрировали товарный знак, Российский домен. Согласно ФЗ Закона N 152, мы в агентские договоры добавили пункт о согласии клиента об использовании и обработке ПД. При подписании договоров у наших клиентов не возникает сомнений или волнений по этому поводу. А вот для нашей работы, чтобы проверить чистоту квартиры и получить поквартирную карточку, или другие данные эта информация просто необходима. НО УВЫ! В рассмотрении любого вопроса всегда есть две точки зрения МОЯ и опять МОЯ……… Как бы Мы с Вами не дискутировали, голосовать нас не позовут, а решение примут.

  • sesc пишет:

    интервью занятное получилось. Более всего удивил ответ на вопрос – На Западе широко практикуется обмен базами данных и их аренда, которые регламентируются законом. Насколько правомерна такая деятельность у нас?

    Оказывается и у нас это правомерно. Не знал.

    Спасибо.

Оставить комментарий или два

Добавьте свой комментарий или трэкбэк . Вы также можете подписаться на комментарии по RSS.

Будьте вежливы. Не ругайтесь. Оффтоп тоже не приветствуем. Спам убивается моментально.

Вы можете использовать эти тэги:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Я не робот.