Персональные данные и маркетинг

Дорогие коллеги!

Хочу спросить мнение профессионалов по поводу законодательства о персональных данных. Такие вопросы уже поднимались на форуме (архив смотрел), но, во-первых, это было давно, а во-вторых, к окончательному мнению так и не пришли. Поэтому позволю поднять вопросы еще раз.

Общий вопрос: Как может работать служба маркетинга и при этом полностью соблюдать законодательство о персональных данных? Более конкретно: Данная служба рассылает информационные материалы, приглашения на мероприятия и т.п. (по почте, имейлу, телефону), используя собственную базу данных адресатов. База данных составляется на основании визиток, которые получают сотрудники компании, справочников типа «кто есть кто» и материалов, получаемых по специальному заказу от специализированных маркетинговых агентств, а также электронных регистраций, которые приходят с сайта компании, и бумажных регистраций, заполняемых гостями на мероприятиях компании.

Если придерживаться закона, то выходит, что необходимо согласие каждого субъекта, который попадает в обработку таким образом. При этом закон предусматривает, что письменное согласие необходимо только в строго определенных случаях, которые неприменимы к указанной ситуации. В то же время, хотя письменного согласия и не нужно, бремя доказывания наличия согласия лежит на операторе. А письменное согласие по закону должно включать в себя паспортные данные, которые большинство потенциальных адресатов давать не захотят по разным причинам (лень, боязнь распространения и т.п.).

Теперь по порядку.

1. Визитки. Понятно, что никакого письменного согласия на использование человек давать не будет, тем более с паспортными данными. Как доказать то, что, отдав визитку, человек дал согласие? Или факт дачи визитки презюмирует согласие? Или более того, сам факт НАЛИЧИЯ напечатанной визитки предусматривает, что человек не против предоставить свои данные для обработки в бизнес-целях? И можно ли считать такие данные общедоступными?

2. Анкеты, имейлы, электронные формы и т.п.. Правильно ли я понимаю, что если закон не требует письменного согласия, то указывать паспортные данные не обязательно, даже если по факту это согласие письменное? Иными словами, подтверждение в анкете – это не то «письменное согласие», для которого закон требует наличия паспортных данных, а что-то вроде «облегченного» письменного согласия?

3. Использование данных справочников, а также данных, получаемых от внешних маркетинговых агентств. Если в справочнике (или в материале агентства) напрямую не указано, что согласие субъектов получено, будет ли правомерным использование организацией данных этих справочников/материалов? Будет ли презюмироваться «добросовестность» издателей справочника / авторов материала, как предусматривает ГК? И не станут ли такие данные общедоступными, даже если на самом деле при составлении справочника согласие не было получено?

4. Электронные регистрации. Можно ли презюмировать, что данные, полученные от регистраций с вэб-сайта, получены с согласия субъекта? При том, что теоретически зарегистрировать субъекта может любое лицо с любого компьютера, не обязательно сам субъект? Или надо каждый раз писать такому субъекту и переспрашивать согласие? Или даже если писать нельзя (так как это обработка без согласия) – что, просто отказаться от такой формы регистрации?

5. Необходимость уведомления органа. Я уверен, что такие базы данных контактов существуют почти во всех компаниях, даже если и в очень примитивной форме (файл Excel, сборники визиток). Что же, большинство российских компаний должны зарегистрироваться в соответствующем органе как операторы?

6. Наконец, последнее. Может, вопрос и наивный, но – насколько рабочий имейл, адрес, телефон является персональными данными? Ведь цель и смысл закона в том, чтобы оградить ЛИЧНУЮ и ЧАСТНУЮ жизнь...

Особенно, конечно, интересуют практические размышления и практика рынка.

Всем спасибо заранее!!!

Уважаемые друзья - позволю себе поднять темку. Как не странно, она до сих пор свежа и интересна ))). Буду рад обсуждению, мнениям по любому из поставленных вопосов. Спасибо заранее!

Независимо от рода деятельности Вашей организации, если вы осуществляете обработку персональных данных (в данном случае при использовании компьютеров, автоматизированных систем, и т.п.), Вы являетесь оператором ПДн, а Ваш Форум (портал) – точнее его база данных и формы, в которые вводятся данные – информационной системой персональных данных (ИСПДн).
Вам необходимо, как и всем другим операторам ПДн, привести свою систему в соответствие требованиям законодательства.
Для этого необходимо провести классификацию ИСПДн, в которой указать: что все данные от пользователей являются обезличенными и общедоступными и присвоить класс К4. При этом собирать минимум информации о пользователях (например, Фамилию и имя, почтовый адрес, страну).
Провести необходимые мероприятия по защите вашей ИСПДн, для ИСПДн К4 мероприятия определяются Вами.
Провести оценку соответствия, проводится по решению оператора.

Другой вопрос – это ПДн Ваших сотрудников, которые обрабатываются в отделе кадров и бухгалтерии. Такие ИСПДн есть в каждой организации и класс их может варьироваться от К3 до К1. Здесь совсем другие требования по защите. Прежде всего - установка сертифицированных ФСТЭК и ФСБ средств защиты информации, а также аттестация этих ИСПДн по требованиям безопасности информации. Все это имеет право делать только организация, получившая лицензию на данный вид деятельности.

реклама удалена

Сообщение отредактировал Santic: 25 November 2009 - 16:37