30 марта 2015 г.

О рекламе, адресных рассылках и немалых штрафах

Дошли наконец руки до темы прямого обращения к потребителю с использованием средств связи с целью продвижения продуктов и услуг на рынке. Она несколько раз всплывала на разных мероприятиях, и реакция слушателей показала, что особо этим вопросом никто не заморачивался, а зря, как мне кажется. Деньги там серьезные лежат.
Итак, вопросы продвижения путем непосредственных контактов, т.е. телефонных звонков, смс-сообщений, сообщений электронной и обычной почты регламентируются двумя федеральными законами – «О рекламе» и «О персональных данных», а организация смс-рассылок – еще и законом «О связи».
Исходя из того, что написано в этих законах, есть существенная разница между рекламой и адресной рассылкой.
Реклама, в соответствии с законом «О рекламе», – информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке. Таким образом, исходя из указанной формулировки закона, адресное сообщение, направленное конкретному физическому лицу и содержащее идентифицирующие его признаки (фамилию, имя, отчество, или только фамилию, или только имя (имя и отчество), совпадающие с соответствующими данными адресата – т.е. его персональные данные), не относится к рекламе – круг лиц, которым оно направлено, конкретно определен.
В «Постатейном комментарии к Федеральному закону от 13.03.2006 № 38-ФЗ "О рекламе"», размещенном на сайте Федеральной антимонопольной службы (http://www.fas.gov.ru/clarifications/clarifications_30337.html#18), указывается, что под неопределенным кругом лиц понимаются те лица, которые не могут быть заранее определены в качестве получателя рекламной информации и конкретной стороны правоотношения, возникающего по поводу реализации объекта рекламирования. Такой признак рекламной информации, как предназначенность ее для неопределенного круга лиц, означает отсутствие в рекламе указания о некоем лице или лицах, для которых реклама создана и на восприятие которых реклама направлена.
Необходимо обратить внимание, что термин «реклама» в статье 15 закона «О персональных данных», требующей получения согласия на осуществление прямых контактов с потенциальным потребителем с помощью средств связи, не используется. По смыслу понятий, определенных в законах о рекламе и о персональных данных, следует различать рекламу, т.е. информацию, адресованную неопределенному кругу лиц, и адресную рассылку или адресное обращение, осуществляемые непосредственно определенным лицам с использованием средств связи в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем.
Т.е. смска «Здравствуйте! Получайте информацию, оплачивайте телефон…» - это реклама. А аналогичное сообщение «Михаил Юрьевич, вклад в …банке – отличный способ сохранить сбережения…» - уже нет.
Все это крайне важно, поскольку дальше начинается самое интересное. Нарушение законодательства о рекламе – сфера деятельности Федеральной антимонопольной службы (ФАС), а нарушение законодательства о персональных данных – вотчина Роскомнадзора. Статья 14.3 КоАП «Нарушение законодательства о рекламе» предполагает минимальный штраф для юрлиц в 100 тысяч рублей, а максимальный – в 500 тысяч. Причем ФАС выписывает штрафы самостоятельно, минуя прокуратуру и суд.
Приснопамятная статья 13.11 КоАП «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» в действующей редакции обходится гораздо более скромными наказаниями – на юрлицо, если кто забыл, штраф накладывается в размере от 5 до 10 тысяч рублей. Да еще получивший жалобу субъекта, павшего жертвой спама, Роскомнадзор должен убедиться в ее обоснованности, направить материалы в прокуратуру, которая материалы возбужденного административного дела (если возбудит) переправит (если посчитает нужным) в мировой суд, который, если посчитает вину доказанной, выпишет «пятерочку» (обычная практика). В новом законопроекте о внесении изменений в КоАП максимальный штраф за обработку персональных данных без согласия субъекта предполагается установить в 50 тысяч рублей. Как говорится, почувствуйте разницу!
И в подходах к определению суммы штрафа позиции двух ведомств сильно разнятся. Чтобы долго не объяснять, иллюстрация.
Мировой суд г. Перми в сентябре 2014 года признал ООО «Билдинг» виновным в нарушении законодательства о рекламе и назначил штрафы на общую сумму в 3,2 млн рублей. Ранее Управление ФАС по Кемеровской области признало пермское ООО «Билдинг» нарушившим закон «О рекламе» в части незаконной рассылки рекламных сообщений гражданам. По итогам рассмотрения каждого из 12-ти дел Кемеровское УФАС России привлекло общество к административной ответственности в виде штрафа в 100 тысяч рублей. Однако компания штрафов не оплатила. За неоплату административного штрафа предусмотрена ответственность, размер которой составляет двукратный размер неоплаченного штрафа. По каждому факту неоплаты штрафа Кемеровское УФАС России составило 12 протоколов, и направило их в Мировой суд. Рассмотрев 10 из них, мировой судья г. Перми признал ООО «Билдинг» виновным и постановил помимо штрафов, назначенных антимонопольным органом, дополнительно выплатить двойную сумму по каждому из них. Таким образом, общая сумма штрафа составила 3 миллиона 200 тысяч рублей. Т.е. одно нарушение в отношении одного субъекта – один штраф.
А вот совсем свежий пример. Московское областное управление ФАС оштрафовало ОАО «МегаФон» на 300 тыс. руб. за распространение спама в форме смс-сообщений. Овчинка выделки стоит. По этой же ссылке сообщается, что, по оценкам J’son & Partners Consulting, объем рынка смс-рассылок в России в 2013 году составил $101 млн, прогноз на​ 2016 год — $137 млн.
У Роскомнадзора подход другой. И штрафы пониже, и перспективы пожиже. В марте 2014 года начальник отдела по защите прав субъектов персональных данных, надзора в сфере массовых коммуникаций и информационных технологий управления Роскомнадзора по Псковской области Эдуард Кожокарь, отвечая на вопрос руководителя управления территориального управления федеральной службы по надзору в сфере защиты прав потребителей насколько легитимна СМС-реклама, поступающая к абонентам без их согласия и могут ли сотовые операторы передавать номера абонентов для массовых рассылок, сообщил, что номер телефона не является собственностью абонента, поэтому говорить о нарушениях распространения персональных данных не приходится, а речь может идти только о нарушениях законодательства о рекламе и переправил вопрос правомерности в УФАС.
И еще нюанс. В соответствии с Федеральным законом от 21.07.2014 № 272-ФЗ, в закон «О связи» внесены нормы, жестко регламентирующие спамерские смс-рассылки, деликатно названные в законе «рассылками по сети подвижной радиотелефонной связи».
Теперь спамить могут только операторы связи (рекламораспространители) по договору с рекламодателем, а вот к ответственности за рассылки без согласия получателей могут привлечь и тех, и других. По рекламодателей я уже писал выше. А дальше – про рекламораспространителей. Удмуртское управление ФАС признало компанию «Мегафон» нарушившей антимонопольное законодательство из-за СМС-рассылки рекламы других фирм своим абонентам, подписавшим согласие на получение информации об услугах оператора. В ходе рассмотрения дела УФАС выяснило, что на мобильный номер заявителя поступило рекламное сообщение «Деньги на дом от ООО "Домашние деньги" … Звонок бесплатный». Рассылала рекламу компания ОАО "Мегафон", ссылаясь на то, что согласно договору на оказание услуг связи, абонент согласился получать рекламу. Однако УФАС установило, что заявитель соглашался на СМС-оповещение только об услугах оператора связи.
И последний рецепт. Привлекая коммерческий колл-центр для рекламы своей продукции, не забудьте убедиться, что у вас есть не только согласие конкретного получателя на использование средств связи для продвижения ему вашей продукции, но и его согласие на передачу персональных данных иным лицам, колл-центру – в частности. И не забудьте все грамотно прописать в документах.

10 марта 2015 г.

Персональные данные в облаках: уйти нельзя остаться

Прошедшая неделя была заполнена бесконечным количеством публикаций о грядущей катастрофе системы бронирования авиабилетов в России после 1 сентября и вступления в силу норм закона 242-ФЗ о территориальности баз персональных данных россиян. Отличались эти публикации одной характерной чертой – подхватив первое сообщение на эту тему, СМИ и интернет-ресурсы даже не пытались разобраться в сути проблемы, перепечатывая чужие публикации в собственной интерпретации и все дальше уходя от реальной оценки ситуации.
Детальный ее анализ сделал А. Лукацкий, опираясь на Варшавскую и Чикагскую конвенции. Я с его выводами не согласен, поскольку не вижу в этих документах никакого прямого разрешения сразу передавать персональные данные пассажиров в глобальные системы бронирования без организации их хранения на территории конкретного государства, но, в данном случае, речь пойдет совсем о другом.
Российским авиакомпаниям решить проблему соответствия закону можно довольно просто, и это вовсе не требует миллионных затрат и создания российской посконной и домотканой системы бронирования. Надо просто создать базу данных своих пассажиров на российских серверах (а она в любом случае создается в соответствии с законом «О транспортной безопасности» и без 242-ФЗ), а из нее «пробрасывать» заявку на бронирование билетов в глобальные системы.
Однако существует огромное количество иных ситуаций, когда простые и дешевые решения для выполнения новых требований законодательства вовсе не являются очевидными. И это создает реальную угрозу бизнесу, в первую очередь, транснациональному и зарубежному, который ведется на территории нашей страны. На угрозы, порожденные рисками, разный бизнес реагирует по-разному. Отбросив промежуточные варианты, остановимся на двух полярных – избежание государственного или регуляторного риска, т.е. полный отказ от бизнеса не территории страны с неясными правилами, и снижение риска до приемлемой величины, установленной правилами менеджмента. Именно этими двумя путями и идет большинство зарубежных компаний, чья деятельность на территории России или с российскими резидентами связана с обработкой персональных данных.
Наглядный пример такого подхода – прямо противоположные решения относительно хостинга и облачных вычислений в России, принятые компаниями T-Systems CIS, «дочкой» Deutsche Telekom, и Orange Business Services, тоже «дочкой» телекома, но французского. Полностью закрыть бизнес, убоявшись несоответствия закону, или активно его развивать, глядя на замешкавшихся конкурентов и найдя решения, позволяющие это соответствие обеспечить – решения, принимаемые отнюдь не технарями и не с их подачи, а топ-менеджментом, в первую очередь – финансовым, на основании выводов, сделанных юристами. Не нашли юристы способов разруливания ситуации, устраивавших, в первую очередь, пугливых клиентов, – и нет бизнеса. Но свято место пусто не бывает, и на освободившиеся «площади» приходит конкурент, правовая служба которого эти самые пути решения проблемы определившая.
На самом деле никакого запрета на обработку персональных данных россиян за пределами Российской Федерации закон не содержит. Вводимые с 1 сентября ограничения касаются только периода сбора персональных данных, как первичного, так и приводящего к их изменению, уточнению или обновлению. Именно поэтому я написал выше, что авиакомпаниям надо создать российский буфер перед системами глобального бронирования, где будут храниться фамилии, имена и отчества их пассажиров, паспортные данные, сведения о дате рождения и совершенных полетах рейсами конкретной компании. После создания такой учетной записи никаких препятствий для обращения в систему бронирования закон не создает. Нет в нем запрета на передачу, предоставление, доступ и даже удаление и уничтожение данных за рубежом. То же самое касается и абсолютного большинства других случаев использования персональных данных в информационных системах за пределами России – будь то кадровый учет транснациональной корпорации, ведущей бизнес и в России, ERP или CRM система зарубежного владельца российской компании или банковская система международного банка с российской «дочкой».
Мы об этом долго и подробно разговаривали на встрече, организованной интернет-омбудсменом Дмитрием Мариничевым. Довольно детально моя позиция изложена на форуме, созданном по результатам дискуссии здесь.
Так что оснований для паники я не вижу. А вот детальная правовая проработка проблемы, подготовка соответствующих договоров и рекомендаций для клиентов, обеспечивающих соответствие закону со стороны иностранных компаний, которые решат продолжить работу в России, просто необходимы. Те компании, которые всерьез решили работать на российском рынке, этим занимаются, в том числе, - наши клиенты, которым мы в этом активно помогаем. И потратить дополнительные деньги на создание «буферной зоны» придется. Но не так много, как обычно об этом говорят.