Персональные данные: защитить нельзя продать



Опубликовано в журнале "Маркетинг в России и за рубежом" №5 год - 2012


Вагнер К.Р.,
PR-менеджер компании Subscribe.ru

ЖеребенковаН.В.,
PR-директор компании Subscribe.ru


С началом проверок исполнения весьма спорного Федерального закона № 152-ФЗ «О персональных данных» первыми в поле внимания Роскомнадзора попали купонные сервисы. В дальнейшем проверки коснутся компаний, владеющих еще большей информацией о клиентах. Как встретить ревизоров во всеоружии и обернуть трудоемкую подготовку в свою пользу – читайте в этой статье.

Казалось, он так и останется на бумаге. Принятый 27 июля 2006 г. Федеральный закон № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) долгое время не вызывал у игроков рынка ничего, кроме иронии и скепсиса. Тем неожиданнее стало требование Роскомнадзора, которое он выдвинул этим летом в отношении знаменитых купонных сервисов: Группон, КупиКупон, Биглион и некоторых других. Их попросили отчитаться о мерах по защите личной информации подписчиков. Формальным поводом к проверке послужили объявления в Сети о продаже баз данных, которые в общем-то уже не редкость.

О результатах проверки пока ничего не известно, но уже есть все основания предполагать, что это – только начало. Купонаторы оказались первыми в силу своей популярности, но они далеко не рекордсмены по сбору информации о клиентах. Операторами персональных данных, подпадающими под действие Закона, являются все компании, чей бизнес так или иначе связан с идентификацией потребителя, и среди них есть и более «осведомленные» сферы деятельности:
– медицина (государственные и частные лечебные учреждения);
– кредитно-финансовые учреждения;
– сфера страхования;
– операторы сотовой связи;
– компании туриндустрии;
– агентства по подбору персонала;
– риелторские компании;
– авиационные пассажирские перевозки.

Сегодня в России таких компаний более 5 млн. Кто следующий?

Нарушение Закона о персональных данных чревато дисциплинарной, гражданской, административной, уголовной ответственностью:
– штрафы до 300 тыс. руб.;
– конфискация средств защиты информации;
– приостановление деятельности предприятия;
– исправительные работы;
– лишение свободы и т. д.

Штраф накладывается за зафиксированное нарушение, что вовсе не исключает возможность повторного взыскания штрафа. Это как если бы вы ехали на автобусе без билета, и на каждой остановке заходил контролер и штрафовал вас за безбилетный проезд. Так и здесь – выдается предписание о немедленном устранении нарушений, например, в течение 3 дней. После проверка приходит снова, и вас снова штрафуют – и так до бесконечности, пока вы не выполните все требования Закона о персональных данных, что недешево и небыстро.

Более того, соответствие Закону контролируют не только госорганы, но и грамотные пользователи. При утечке информации любой пользователь сможет подать гражданский иск, где сумма морального ущерба будет исчисляться фантастическими суммами. Так, год назад был подан иск по жалобе одной из посетительниц сайта, которая нашла на нем личные данные шести человек. Роскомнадзор в процессе выступал в интересах неопределенного круга лиц и требовал уничтожить персональные данные, которые к тому моменту были размещены на сайте. Сведения эти публиковались для поиска родственников, а сам сайт представляет собой крупнейший российский генеалогический ресурс. Дело закончилось мировой.

Но это, вероятно, первое и последнее дело с подобным исходом.

Существует как минимум четыре способа, отличающиеся степенью риска в отношении базы данных в частности и бизнеса в целом.

1. Уничтожить базу данных. За что маркетологи не скажут вам «спасибо».

Клиентская база – источник повторных продаж: маркетинговые инвестиции в 5 раз меньше, чем в новых клиентов, а доходы от старых клиентов в 2 раза выше, чем от новых.

2. Сделать так, чтобы информация в базе данных была обезличена в понимании Закона о персональных данных. Это значит, что собранная информация должна содержать минимум данных, чтобы субъекта невозможно было идентифицировать. Но, например, такая мелочь, как личное обращение к клиенту, является одним из условий успешной e-mail-рассылки – надежного маркетингового инструмента, и что вы будете делать с обезличенной базой?

3. Занизить категорию обрабатываемых персональных данных. В зависимости от полноты информации и вероятной степени ущерба для клиента данные подразделяются на категории:
– категория 1 (медицинские, социальные);
– категория 2 (идентификационные и еще);
– категория 3 (идентификационные);
– категория 4 (обезличенные, общедоступные).

Имея возможность самостоятельно определять категорию обрабатываемых данных, компании могут намеренно занижать ее, чтобы освободить себя от дополнительных хлопот с аттестацией и сертификацией оборудования и защитой информации. Но при первой же проверке Роскомнадзора, ФСТЭК или ФСБ подлог без труда будет раскрыт.

4. Соответствовать требованиям Закона о персональных данных. На взгляд законодателей, безопасность персональных данных может гарантировать:
– добровольное письменное согласие клиента на использование его данных;
– внутренний документ в компании, который регламентирует работу с персональными данными;
– сотрудник, работающий с персональными данными, имеющий специальное образование в области технической защиты информации;
– наличие (класс 1–3) лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации.

Сегодня из 5 млн российских компаний – операторов персональных данных требованиям Закона соответствуют лишь 230 тыс. Остальные являются формальными нарушителями, что и понятно: работа над соответствием – это трудоемкий и дорогой процесс. По оценкам одного известного банка, приведение деятельности к стандартам может стоить от 1,5 млн руб. и занять 3 года.

Тем не менее эту процедуру уже начали проводить те, кто всегда находится под пристальным вниманием регулирующих органов, – банки, страховые и авиакомпании.

Но маркетинговая активность поставила эти компании перед очередной проблемой. Организация масштабных программ лояльности порой требует передачи клиентской базы сторонним подрядчикам – дело в том, что технические возможности собственного аппаратно-программного комплекса часто ограниченны и не позволяют работать с большими объемами писем к клиентам.

Итак, если компания, которой база передана для работы, в свою очередь, не соответствует
требованиям Закона о персональных данных, все усилия по защите данных внутри компании можно считать напрасными: вы – нарушитель.

В настоящий момент на рынке решений, которые обеспечивают рассылку е-mail-сообщений по клиентской базе данных, не так много компаний, заявляющих о наличии аттестованных продуктов, а среди полнофункциональных и способных рассылать в краткие сроки большие объемы писем (а в отношении крупных компаний счет идет на миллионы), пожалуй, всего один. Это сервис, разработанный петербургской компанией Subscribe.Ru (ЗАО «Интернет-Проекты»).

Инструмент, получивший название SubscribePRO, имеет аттестат соответствия требованиям по информационной безопасности № СПАЯ.141011 АК1 в системе сертификации ФСТЭК России РОСС RU.0001.01 БИОО.

Обмен информацией между клиентом и SubscribePRO проходит по защищенным VPN-тоннелям. Необходимые для полноценной работы данные хранятся в информационной системе, прошедшей проверку и аттестацию, на серверах, расположенных в России и принадлежащих российской компании. Это значит, что они подчиняются российскому законодательству, чем не могут похвастаться другие крупные сервисы электронного маркетинга.

Компании с повышенными требованиями к безопасности могут шифровать свои базы с невозможностью доступа к ним даже при получении доступа в аккаунт.

Для усиления безопасности возможно также использование биометрической AGSES-карты, которая обеспечивает безусловную взаимную аутентификацию доступа и подтверждение операций.

Таким образом, Закон о персональных данных, с одной стороны, поставил под угрозу работу маркетологов, связанную с рассылкой по клиентской базе, а с другой, напротив, подтолкнул компании к использованию мощных профессиональных инструментов рассылок, способных решать ранее недоступные задачи:
– рассылать письма автоматически в заданное время;
– делать это со скоростью более 4 млн писем/час;
– сегментировать базу данных на группы получателей;
– по имени обращаться к каждому клиенту;
– поддерживать фирменный стиль в оформлении писем;
– получать статистику доставки писем и откликов на них;
– не попадать в SPAM-листы.

В случае с Законом о персональных данных выходит, что обойти законодательство будет гораздо дороже, чем ему соответствовать, – и речь здесь идет не только о времени и деньгах, но и о репутации компании, которая сама по себе является весьма серьезным маркетинговым инструментом. При работе с профессиональным подрядчиком опасность утечки информации при рассылке можно с уверенностью исключить.

Еще один Федеральный закон, принятый в пользу маркетологов, – от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе», в той его части, которая обязывает банки «информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления». Если раньше этим инструментом повышения лояльности пользовались лишь некоторые банки, то с 1 января 2013 г., когда п. 4 ст. 9
этого Закона должен вступить в силу, – обязаны будут все.

Ведущие финансовые организации страны уже начали проведение тендеров среди рассылочных компаний. Они понимают, с какими объемами работы придется столкнуться, и использование аттестованного подрядчика в этом случае – наименее затратный и наиболее эффективный способ решения проблемы.

Используемые источники
[Электронный ресурс]. URL: base.consultant.ru/cons/cgi/online.cgi?req=doc;base=law; n=117587?utm_campaign=pop_base&utm_source=google.adwords&utm_medium=cpc&utm_content=pop_base&utm_term=pop_base&gclid=CKGYhuzrr7ICFcwtmAoduSIAuQ


02.10.2017

Также по этой теме:


Ранее просмотренные страницы

Список просмотренных товаров пуст
Список сравниваемых товаров пуст
Список избранного пуст
Ваша корзина пуста
Яндекс.Метрика