• +7 (499) 350-42-98
1 июля 2017 года ужесточается законодательство о персональных данных. Разбор ситуации
Главная / Блог / Разработка сайтов / 1 июля 2017 года ужесточается законодательство о персональных данных. Разбор ситуации
1 июля 2017 года ужесточается законодательство о персональных данных. Разбор ситуации

1 июля 2017 года ужесточается законодательство о персональных данных. Разбор ситуации

Илья Шагаев, генеральный директор CRM-агентства «ДМ Базис». Персональными данными занимается с 2006 года, входил в Консультативный совет при Роскомнадзоре, в рабочие группы различных ассоциаций по 152-ФЗ.

Приверженец подхода «закон о персональных данных — это не о безопасности баз данных, а о правильной работе с данными частного лица — потенциального клиента, покупателя, работника».

В законодательстве произошли большие изменения, но про них практически не говорят. Так что давно пора привлечь к этому внимание широкой общественности.

Законодательство нас часто пугает и порой кажется тайной даже для людей, знакомых с языком договоров, приложений и прочей формальной документации. Поэтому статья написана простым языком, в первую очередь — для представителей бизнес-аудитории, которые используют персональные данные (далее — ПДн) для рекламы и маркетинговых акций.

Как правило, юристы не любят законодательство о персональных данных — мутное, непонятное, примеры не проработаны. При появлении вопросов о ПДн им проще запретить, чем искать пути решения проблемы. Поэтому российскому бизнесу необходимо уметь ориентироваться в этих вопросах, хотя бы для правильной постановки задач юристам и правильного контроля.

В поисковиках мне удалось найти только три статьи на тему изменений в Законе N 152-ФЗ с 1 июля; во всех трёх грубейшие ошибки в трактовке законодательства и изменений. Правда же в том, что некоторые ужесточения не особо страшны, а вот на другие советуем обязательно обратить внимание.

Государство предприняло самый значимый шаг в законодательстве о ПДн со времени появления самого закона 152-ФЗ. С 1 июля 2017 года вступит в силу закон 13-ФЗ от 07.02.2017, вносящий поправки в КоАП. Ужесточается ответственность за нарушения, которые могут допустить операторы (читаем — бизнес) в работе с ПДн.

Если коротко, то штрафы выросли почти на порядок (до 75 тысяч рублей). Причём за нарушения, которые допустить очень легко и которые видны на каждом шагу. Проверяющим и надзорным органам в том числе.

А привлечь к ответственности стало существенно проще. Если раньше это можно было сделать через прокуратуру (которой этими вашими ПДн заниматься некогда), то сейчас возбудить дело об административном правонарушении может непосредственно регулятор — Роскомнадзор. Который, можете быть уверены, заниматься этим хочет и давно уже ждал изменений в КоАП.

Главное

  • «Кошмарить бизнес» за нарушения 152-ФЗ стало гораздо выгоднее. Штраф был до 10 000 рублей, стал до 75 000 рублей.

  • Привлекать к ответственности стало проще. Раньше была прокуратура, которой было не до того, чтобы этим заниматься, а стал Роскомнадзор — регулятор, в зоне ответственности которого и находится 152-ФЗ.

  • Бизнес, однако, расслаблен, и угрозы не заметил.

Давайте разберёмся, будут ли «кошмарить», за что конкретно и зачем это нужно. Где кошмар, а где нет?

Как было раньше и почему не волнуются сейчас

Небольшое сравнение законодательства и поведения операторов (бизнеса, компаний, юрлиц) «раньше и сейчас».

152-ФЗ «О персональных данных» появился в 2006 году. Всё прошло тихо, и люди всполошились не сразу. Довольно долгое время (год-два) к закону не было подзаконной нормативной базы на тему его применения.

Тем не менее, году в 2008—2009 благодаря появлению нормативки (от Роскомнадзора, ФСТЭК и ФСБ) и более активной работе СМИ некоторый мандраж наступил. Не знающих о законе почти не осталось, а отношение к нему было очень разным.

С операторами-клиентами в то время много общались мои сотрудники в рамках наших CRM-проектов (мы ведём крупные проекты, и клиенты были озадачены), я сам выступал и писал на эту тему, как раз в те годы я входил в Консультативный совет при РКН.

По степени реакции на происходящее в законодательстве выделим четыре категории компаний

1. «Не знаем» (очень малочисленная категория).

2. «Знаем, но не обращаем внимания и считаем это всё полной ерундой. Ещё один неработающий закон: как применять — непонятно, и чем грозит — непонятно».

3. «Знаем, смотрим в ту сторону. Как применять — непонятно, чем грозит — непонятно… Немножко что-то сделаем, типа подготовились».

4. «Знаем и подготовимся по полной программе, насколько это можно в непонятном законодательстве».

Последняя категория позволила хорошо заработать интеграторам и компаниям, специализирующимся на информационной безопасности. Стоимость услуги по подготовке документации «на соответствие 152-ФЗ» могла превышать 2 млн рублей, хотя сама услуга была достаточно типовая.

К 2012 году рынок понял, что «реальной опасности» законы о ПДн не представляют — штрафы мизерные, вчинить их довольно сложно, требования умозрительные, проверки редкие и так далее. Операторы из категорий 3 и 4 плавно перетекли в категорию 2; а категория 4 при этом почувствовала себя обманутой — сначала услуги по подготовке подешевели до 600−500 тысяч, потом до 300 тысяч, а после появились сайты, предлагающие типовой пакет документов за 20−30 тысяч рублей.

Что мы имеем сейчас? Пассивность и нежелание бизнеса обращать внимание на изменения. Несмотря на то, что с изменениями «поймать штраф» до 30 тысяч рублей теперь легко может каждый второй интернет-магазин, а в более запущенных случаях и до 75 тысяч рублей, а в инфопространстве тишина и покой! К моему большому удивлению, ничего не обсуждается, подготовка не ведётся — это отчётливо видно по тем же интернет-сайтам, где штрафы можно просто поставить на поток.

Очевидно, что первая волна 2009−2012 годов, всколыхнувшая операторское сообщество, качнула маятник в другую сторону — от волнений тогда до равнодушия сейчас. Прошедшее время показало, что «выиграли» те, кто не готовился — категория 2. Они и время, и деньги сэкономили, и ничего им за это не было. Не обращать внимания, переждать, а потом оно само уляжется — тактика сработала.

И сейчас уже опытный бизнес, как будто бы поднаторевший на ниве ПДн, не воспринимает серьёзно нынешние изменения, поскольку «всё уже знаем, не пугайте, ничего за это не будет».

Но когда изменения в КоАП уже внесены, риски стали значительно выше.

Изменения в 152-ФЗ. Как стало сейчас, и почему риски операторов увеличились

Как я уже упомянул в начале статьи, буду говорить о примерах, актуальных для наиболее многочисленной группы операторов — тех, кто использует персональные данные частных лиц в целях продвижения товаров, работ и услуг. Это — бизнес, использующий CRM-проекты, программы лояльности, интернет-магазины, финансовые сервисы, такси, мобильные приложения и так далее.

Несмотря на десятилетнюю историю законодательства в сфере ПДн, читают закон и нормативные акты к нему очень плохо и воспринимать их не хотят. Поэтому изменения заслуживают более глубокого анализа, сравнения с самим законом и нормативкой в целом.

Терминологию упрощу, а штрафы приведены в отношении юридических лиц. Хотя в изменениях в КоАП ещё есть штрафы в отношении граждан, должностных лиц.

Теперь протоколы об административных правонарушениях будет составлять Роскомнадзор. Это ключевой регулятор в сфере ПДн, и он давно ждал изменений в КоАП. Потому что возбуждать дела через прокуратуру и в итоге выставлять штраф в 5−10 тысяч рублей очень муторно. А ускорить процесс, проведя всё самостоятельно, и выставить в десять раз больше — гораздо интереснее.

Интерес ведомства значим ещё и потому, что РКН желал увеличения штрафов, определяемых КоАП, до 500 тысяч рублей. Хорошо, что этого не случилось (пока), иначе риски бизнеса взлетели бы до небес. Но и увеличение от 5−10 тысяч рублей до 50−75 тысяч рублей, согласитесь, тоже неплохо.

Итак, КоАП с 1 июля 2017 года, статья 13.11. Семь пунктов, нас касаются первые шесть. Седьмой — про операторов, являющихся государственным или муниципальным органом, и это не про нашу тему.

Шесть пунктов

1. Обработка ПДн в случаях, не предусмотренных законодательством РФ, или обработка ПДн, несовместимых с целями обработки. Штраф от 30 до 50 тысяч рублей

В зоне риска:

  • Операторы, не указавшие цели обработки или указавшие их неграмотно. Встречается сплошь и рядом.

  • Операторы, собирающие данные, связь которых с целью обработки очень натянута или вообще необъяснима. Самый частый пример — сбор в анкетах программ лояльности паспортных данных. Это частое требование юристов, плохо читавших закон, и которое теперь может привести к штрафам.

  • Сюда же может быть отнесена принудительная регистрация в личном кабинете интернет-магазина при покупке. Если цель — продажа товара (доставка по указанному адресу), то запрашиваемая для регистрации информация (и сама регистрация) — избыточна и несовместима с целями.

2. Обработка ПДн без письменного согласия в случаях, когда оно должно быть по закону. Штраф от 15 до 75 тысяч рублей

Может показаться странным, но тут риск невелик. Дело в том, что перечень случаев, когда нужно письменное согласие (в терминах 152-ФЗ), ограничен, и продвижение товаров и услуг к нему не относится. А то, что многие называют сбором письменных согласий (в виде анкет), — это неверное понимание и трактовка законодательства. Недавно мне попалась на глаза одна из немногих разъяснительных статей по изменениям с 1 июля — и даже в экспертной статье неверно объясняются принципы письменного согласия. И вообще прелестно выглядит в другой статье рекомендация «получать письменное согласие у каждого подписчика на сайте».

3. Невыполнение оператором обязанности по обеспечению доступа к политике обработки ПДн. Штраф от 15 до 30 тысяч рублей

Вот здесь как раз группа риска огромна.

Любой сбор данных, относящихся к категориям ПДн в формах на сайтах, должен сопровождаться указаниями на политику обработки этих данных. То есть, программа минимум — на любом сайте необходимо реализовать такой документ. И совсем хорошо, когда из формы сбора данных дана ссылка на него. Отсутствие этого документа — повод для штрафа.

Вот примеры того, как обычно бывает:

Ни ссылок из анкет, ни самой политики обработки персональных данных в открытом доступе на сайтах этих интернет-магазинах нет. Кстати, за примерами далеко ходить не надо — это первые два магазина, где я пытался совершить нужную мне покупку. Это обычная ситуация, но получить с магазина от 30 до 50 тысяч рублей штрафа с 1 июля будет просто.

А вот так должно быть:

Активная ссылка ведет на политику обработки данных — так должно быть в идеале.

Годится, если на сайте просто где-то в футере есть ссылка на политику обработки данных или политику конфиденциальности. Пользовательское соглашение, в котором прописаны пункты о соответствии 152-ФЗ, тоже подходит.

4. Невыполнение оператором обязанности по предоставлению частному лицу информации об обработке его ПДн. Штраф от 20 до 40 тысяч рублей

Зона риска:

  • С одной стороны, сам порядок запроса субъектом информации об обработке его ПДн довольно сложен (он прописан в 152-ФЗ). И редкий субъект его выполнит

  • С другой, обязанность о предоставлении информации об обработке ПДн возникает при получении данных через третье лицо. Например, в партнёрских программах, различных кросс-промо, сменах подрядчиков в маркетинговых кампаниях и так далее.

В самом 152-ФЗ прописано, когда и как необходимо уведомлять субъекта.

5. Невыполнение в установленные сроки требования (частного лица, его представителя, уполномоченного органа) о блокировании-уничтожении-изменении ПДн. Штраф от 25 до 45 тысяч рублей

Зона риска:

  • Как упомянул выше, порядок запроса со стороны субъекта довольно сложен, поэтому таких запросов ещё очень мало. В этом смысле пункт оператору особо не угрожает

  • Будут ли при трактовке этого пункта сюда относить, например, отказ от email-рассылки или SMS, это вопрос…

Это заслуживает отдельного изучения. Формально никакого «упрощённого» порядка отзыва субъектом своего согласия на обработку данных законодательство не предусматривает. Но не рекомендовал бы пренебрегать остановкой коммуникаций с покупателем, если он попросил не беспокоить его. Кстати, в этом случае можно поиметь ещё и претензии ФАС в соответствии с законом «О рекламе».

6. Невыполнение обязанностей по хранению материальных носителей ПДн. Штраф от 25 до 50 тысяч рублей

Зона риска:

  • Если вы храните свои бумажные архивы (анкеты, договоры с частными лицами, заявки-запросы) очень долго, убедитесь, что это хранение обеспечивает конфиденциальность. Простой склад по соседству вряд ли подходит, должно быть что-то более безопасное. Либо проработайте с юристами механику перевода архива в электронный вид.

На всякий случай подчеркну, что выше упрощены трактовки и термины и даны самые быстрые и очевидные рекомендации. Этого достаточно, чтобы в целом понять состав изменений и их трактовать.

Если углубляться, то интересных выводов будет ещё много. Как минимум три-четыре пункта из приведённых заслуживают отдельного рассмотрения.

Может, так нам и надо?

Напоследок выскажу такую крамольную мысль. Может, она и странно прозвучит из уст представителя операторов, но скажу. Тем более, она впрямую следует из хронологии событий и моих тезисов «почему сообщество расслаблено».

Давайте честно признаемся — бизнес относится к персональным данным частных лиц довольно халатно. Большие компании стараются выстроить правильную политику работы с ними, но даже крупный бизнес ещё далеко не весь обратил внимание на качественные принципы работы с ПДн. А уж средний и малый — тем более. Многие даже не понимают, что данные покупателей — это ценность, и что нужно уважать права частного лица при работе с его данными. И что сам закон не про информационную безопасность, а про соблюдение прав.

По-прежнему имеют место сливы баз данных «налево», неправомерное использование данных (то самое «не соответствующее целям»). Покупателей раздражает чрезмерная коммуникативная активность бизнеса, тем более когда от неё не удаётся отказаться с первого раза.

Всё это — неверные принципы и неверные бизнес-процессы работы с данными. Непонимание и неверные коммуникационные стратегии как основа, и огульное использование данных как следствие.

Как знать, может быть, огромной массе операторского сообщества и нужна увесистая дубина в виде повышенного внимания надзорного органа и применения штрафов?

Грамотный маркетинговый подход к CRM и лояльности — это то, что называется permission-marketing (разрешительный маркетинг). Правильно выстроенные CRM-процессы и процессы обработки данных могут и должны дружить с законодательными требованиями (в случаях, когда эти требования ясны, конечно).

И необходимо обратить внимание ещё на один важный момент. При увеличении штрафов и ускорении возможного наказания можно найти позитивный момент в изменениях — конкретизацию состава нарушений. В предыдущей редакции была очень общая формулировка «Нарушение установленного законом порядка…» и она могла трактоваться весьма широко. Сейчас же семь (шесть, касающихся бизнеса) пунктов достаточно конкретизированы и понятны. Это, на мой взгляд, хороший шаг государства навстречу прозрачности законодательства в этой сфере.

Помните известное «не умеешь — научим, не хочешь — заставим».

Источник:
http://www.cossa.ru/

Статью читали за все время 335 раз(а)

Елена Бредова Елена Бредова

Автор статьи «1 июля 2017 года ужесточается законодательство о персональных данных. Разбор ситуации»
Арт-директор «WOW Studio»
«Обожаю свою работу!»

Будь в курсе событий!


Что еще почитать

Есть у нас любимый клиент — дядя Саша, как он себя называет. И есть у нашего клиента 3 поселка (пока три). А также был у дяди Саши сайт, который практически ничего не продавал.

Узнать больше

Несомненно удобно, когда управление картой, точками на ней выведено в системе управления сайтом. Так мы и сделали для одного проекта для агенства недвижимости.

Узнать больше

Список наиболее часто используемых сниппетов для CMS MODx Evolution.

Узнать больше
Портфолио

Наши самые любимые работы

Деревянные дома Naturi
Студия вышивки EmbStudio
FLUKE-RF
Троицкое Поместье
Анна Иотко
Botanique No1 - FLOWER SHOP