01.10.2010

Закон о персданных и закон о рекламе

В ФЗ-152, в его 15-й статье есть запрет на использование ПДн при рекламе товаров и услуг без предварительного согласия субъекта ПДн. На курсе по ПДн я обычно даю ряд простых рекомендаций по решению данной проблемы - либо включать согласие на получение рекламы в текст договора/анкеты/формы с субъектом ПДн (многие подписывают их не глядя), либо убирать персонификацию из сообщения, тем самым лишая сообщение признака идентифицируемости субъекта и тем самым выводя его из под действия ФЗ-152. Иными словами, вместо "Уважаемый Алексей Викторович!" писать "Уважаемый клиент!".

Но вот на последнем курсе представительница одного из банков рассказала, что ФАС последний сценарий забраковала, посчитав его нарушением федерального закона "О рекламе" (ФЗ-38). Согласно последнему неперсонифицированная рассылка - это реклама, т.е. "информация, распространяемая любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке". А раз так, то на рассылку рекламы требуется предварительного согласие ее получателя. На замечание банка в сторону ФАС, что персонификация нарушает ФЗ-152, а обезличивание - ФЗ-38, ФАС ничего вразумительного ответить не смог ;-(  Вот такая нелицеприятная ситуация.

От себя могу заметить, что ФАС следует сложившейся у них практике применения закона "О рекламе". Единственным сценарием выхода из сложившейся ситуации является только получение согласия субъекта ПДн на рассылку ему сообщений рекламного характера. К счастью, данное согласие не должно включать 7 обязательных элементов, присущих письменной форме согласия, а значит можно ограничиться обычным чекбоксом "Я согласен на получение сообщений рекламного характера".

В качестве направления дальнейшего исследования можно покопать в части неотнесения к рекламе "информации, раскрытие или распространение которой либо доведение до потребителя которой является обязательным в соответствии с федеральным законом". И если, например, сообщение о появлении нового, например, вклада в банке, является рекламой в чистом виде, то сообщение об изменении тарифов по текущим вкладам рекламой может и не являться, т.к. скорее всего подпадает под обязательные требования об уведомлении потребителей об изменении существенных условий договора и т.д., т.е. под требования федерального законодательства (ГК РФ, ФЗ "О защите прав потребителей" и т.п.).

14 коммент.:

rblaze комментирует...

Это же прекрасная ситуация! Если бы еще все эти чортовы спамеры из банков и т.д. прочитали закон и перестали слать свой хлам...

avetjan комментирует...

Вообще, запрещено не использование имени без согласия, а использование ЛЮБЫХ персональных данных, в том числе и адреса и адреса электронной почты.
Так что как ни крути - спамеров обложили со всех сторон. И это отрадно.

Алексей Лукацкий комментирует...

Ну во-первых, спамеров еще поймать надо. Закон наказывает только тех, кто не скрывается от него ;-(

А во-вторых сам по себе email к ПДн не относится - по нему нельзя идентифицировать субъекта

avetjan комментирует...

Можно соотнести e-mail и конкретного субъекта, которому он принадлежит при помощи доступных и обозримых средств. Он является ПДн по причине несомненной соотнесенности с субъектом - на него обращаются не чтобы письмо просто попало на некий сервер, а для того чтобы было прочитано _конкретным_ поддающимся определению субъектом.

officerinfosec комментирует...

из одного банка постоянно приходят смс типа "Только сегодня и только сейчас взяв кредит, процент ниже и всё такое" Получается нарушение? Т.к. без моего согласия?

Алексей Лукацкий комментирует...

avetjan: Соотнесите, пожалуйста, pupsik@mail.ru с каким-либо субъектом ПДн? Особенно учитывая, что при регистрации указания реальных ФИО и другой идентификационной информации не требуется.

cat комментирует...

Леша, с ПнД все куда забавнее - до законотворцев только недавно дошло, что современные методики сбора специфической информации об индивиде, как-то предпочтения, спектр интересов, склонности к заболеваниям и особенности психики, дают куда более важные т.н. "персональные" данные, чем фото, адрес и номер паспорта...Прежде всего речь идет о поисковых движках, которые обуты в хорошие анализаторы и построители корреляции, включая NN, т.е. профилирование сетевого жителя. И никакими НПА это не регламентировать.

avetjan комментирует...

Возможность идентификации и существующая соотнесенность с субъектом - два родственных свойства персональных данных, но далеко не тождественных.

Соотнесенность - категория относящаяся не отдельно к данным или отдельно к субъекту, а к помыслам оператора, в которых он эти данные и этого субъекта соотносит. И только в силу этого данные становятся персональными, а банк - их оператором. Здесь нет места абстрактным адресам или субъектам, если я буду знать что pupsik@mail.ru это ваш e-mail, то только в силу этого он станет вашими персональными данными, а не в силу возможности вас идентифицировать - я уже это сделал.

Термин соотнесенность используется в дефиниции Евроконвенции, являющейся для нас источником права. Использование термина "идентификация" в нашей дефиниции - существенный недостаток, приводящий вот к таким вот заблуждениям относительно духа и смысла закона.

Так что или "неопределенному кругу лиц" и реклама, или "определенным лицам" и использование ПДн. Решать банкам.

avetjan комментирует...

Поправочка: в Евроконвенции используется оборот "касающуюся конкретного" что в нашем случае равнозначно "соотнесенная".

Алексей Лукацкий комментирует...

Т.е. вы можете соотнести pupkin@mail.ru с конкретным физлицом? Вы Господь Бог?

avetjan комментирует...

Перечитайте еще раз внимательно 2ой абзац.

Мне глубоко все равно чей это e-mail, и тем не менее, если я _УЖЕ ЗНАЮ_ что он принадлежит некоему субъекту Сидорову, который как-то обращался в банк и имел неосторожность дать этим шакалам свой e-mail, то это мыло уже персональные данные Сидорова.

Потому что "персональные данные - означают информацию, _касающуюся конкретного_ или могущего быть идентифицированным лица".
Это ЛЮБАЯ информация, а не только та, которая его прямо идентифицирует.

Алексей Лукацкий комментирует...

Так вот вы о чем ;-) Но я то о другом. Мы говорили о настоящих спамерах, а не о тех, кто хочет заниматься рекламой и не хочет нарушать закон. Когда у вас есть ФИО и другая идентификационная информация, то мыло конечно будет относиться к ПДн. Но у спамеров-то такой информации нет - они рассылают информацию веером. И никаких ПДн не используют.

ЕвгенийКР комментирует...

самые крупные спамеры - это сотовые операторы, шлют всякую дребень ночью и днем с рекламой, вдернуть их по полной )

Алексей Лукацкий комментирует...

Так вдерни. Никто не мешает тебе в суд подать.