Дисконтные и бонусные системы нарушают закон "О персональных данных"
Группа правоведов-экспериментаторов решила проверить, как выполняются требования нового закона «О персональных данных» (ПД) в части прав граждан на получение информации. Согласно закону, субъект имеет право получить по запросу информацию о том, какие его ПД обрабатываются, с какой целью и какими способами. Что же ответили российские предприятия на отправленные им запросы?
Как и ожидалось, значительная часть штатных юристов предприятий оказалась неготовой к новым вызовам времени и капризных клиентов.
Уже год как вступивший в силу, но ещё не начавший работать закон номер 152-ФЗ «О персональных данных» - это не только возможность дополнительных поборов с бизнесменов. Это также дополнительные права для граждан. В частности, субъект персональных данных (так в этом законе именуется человек) имеет право узнать, какие его персональные данные используются, в каких целях, какими способами, какой срок хранятся.
Компания InfoWatch, российский центр компетенции в области защиты персональных данных, решила проверить, как соблюдаются эти требования закона различными предприятиями. В качестве первого объекта исследования были выбраны 23 дисконтно-бонусные системы.
Подобные системы представляются важными потому, что имеют большой охват населения, и к ним относится большая часть проблем, которые призван решить упоминавшийся закон. Казалось бы, отделы кадров предприятий имеют охват гораздо шире. А в банках хранятся персональные данные более чувствительные. Но работа указанных структур уже давно регулируется Трудовым кодексом и нормативными актами о банковской тайне соответственно. А вот дисконтные системы остаются своеобразным белым пятном на белоснежных одеждах прав человека (именно к правам человека относится право на защиту персональных данных).
В эксперименте участвовали пять добровольцев - сотрудников InfoWatch, от имени которых операторам персональных данных были отправлены письменные запросы. Форма такого запроса, составленная юристом, приводится ниже.
Результаты исследования показаны в таблице.
Карточка
Товарный знак,
название предприятия
Адрес для запроса
Результат
Арбат-Престиж
ОАО «Арбат Престиж»
109147 Москва, ул.Воронцовская, д.49/28, стр.1
Ответ по существу
Рамстор
ООО «Рамэнка»
125171 Москва, Ленинградское шоссе, д.16, корп.9
Запрос не доставлен. Почта сообщила «организация не значится»
METRO
ООО «МЕТРО Кэш энд Керри»
Москва, Ленинградское шоссе, д.71 г
Ответа нет
Пятёрочка
X5 Retail Group
109029 Москва, ул. Средняя Калитниковская, д.28, стр.4
Ответа нет
Ригла
ООО «Ригла»
115201 Москва, Каширское ш., д. 22, корп. 4, стр. 1
Ответа нет
Ион
«Цифровой центр ИОН»
105122 Москва, Щелковское шоссе, д.2 а
Ответа нет
Озон
ООО «Интернет Решения»
127083 Москва, ул. 8 Марта, д.14
Ответ по существу
Магнолия
ООО «МПМ "Магнолия"»
123298 Москва, ул. Берзарина, д. 16
Ответа нет
Самохвал
ООО «Самохвал»
109029 Москва, Автомобильный проезд, д.8
Отказ предоставить информацию
Кораблик
ООО «Кораблик-Р»
117639 Москва, Чертановская ул., д.1-В, корп.1
Получен ответ по существу (но без подписи)
Серебряный мир
ООО «Серебряный мир Ювелирпром-БТДММ»
127299 Б.Академическая ул., д.5, эт.2
Ответ по существу
М.Видео
ОАО «Компания "М.видео"»
107066 Москва, ул. Нижняя Красносельская, д.40/12, корп.20
Ответ по существу; но срок не соблюдён
Колбасофф
ООО Управляющая компания «АРПИКОМ»
127055 Москва, ул. Бутырский вал, д.68/70, стр.1, 4 этаж, оф.45
Ответ по существу, но с неполной информацией
Почётный гость
ООО «Росинтер ресторанс»
111024 Москва, Душинская ул., д.7
Ответа нет
Малина
ООО «Лоялти Партнерс Восток»
105005, Moscow, PO Box 121.
Ответ по существу; но не соблюден срок ответа
Много.Ру
LAVTECH.COM CORP.
129010 Москва, Протопоповский пер., д.9, офис 230
Ответ по существу; но не соблюден срок ответа
Аэрофлот-бонус
ОАО «Аэрофлот»
125167 Москва, Ленинградский проспект, д.37, корп.9.
Ответ по существу; не соблюден срок ответа
Терволина
ООО «Консолидирование ресурсов»
123007 Москва, Хорошевское шоссе, д.76 «Г»
Получен ответ по существу
Красный Куб
Торговая компания "Красный Куб"
125493 Москва, ул. Нарвская, д.23
Получен отказ в предоставлении информации
Старый лекарь
ООО "Витим и Ко"
115201 Москва, Каширский проезд, д.5
Ответа нет
Фамилия
ТК "Фамилия"
115054 Москва, ул. Дубининская, 70. А/я 33
Ответа нет
Мультифото / NETPRINT.RU
ООО «Система-Р»
115054 Москва, Зацеский вал, д.2, стр.2
125438 Москва, Михалковская ул., д.63Б
Запрос не доставлен. Почта сообщила «организация не значится»
Л'Этуаль
ООО «Алькор и Ко»
117452 Москва, Симферопольский б-р, д.28 стр.2
Ответа нет
Итого
23
10 исполнили требования закона (полностью или частично)
13 не исполнили требований или не позволили клиентам осуществить свои права
В «Арбат-Престиже», «Озоне» и «Красном кубе» ответы были подписаны юристами, а в «Много.Ру», «Малине», «Терволине» и «Серебряном мире» подписал сам глава предприятия. От «Арпикома» подписалась менеджер по работе с клиентами. Самая примечательная подпись под ответом - в фирме «Кораблик-Р»: в лучших коллективистских традициях нашего славного прошлого ответ был подписан «администрация». «Аэрофлот-бонус» также постеснялся поставить свою фамилию.
По поводу вернувшихся писем. Такие операторы («Мультифото» и «Рамстор») получают у нас незачёт автоматом, поскольку указание фактического (или хотя бы юридического) адреса предприятия предусмотрено многими законами начиная от Гражданского кодекса и заканчивая тем же «О персональных данных». Предприятие, скрывающее свой адрес или указывающее неверный адрес, делает невозможным осуществление гражданином своих прав, то есть, нарушает эти права.
Возвращённое письмо. Нет такой организации
Теперь пройдёмся по некоторым фигурантам индивидуально.
«Арпиком» Форма и содержание ответа далеки от идеала. На вопрос о юридических последствиях обработки персональных данных ответа нет. На вопрос о способе обработки персональных данных вместо ожидаемых бюрократических оборотов типа «автоматизированная обработка с использованием средств вычислительной техники в пределах информационной системы предприятия» менеджер по работе с клиентами простодушно написала: «данные ведутся в таблице EXCEL». Несмотря на неформальный стиль без намёка на бюрократию и нормы документооборота, «Арпиком» получает твёрдое «удовлетворительно». Хотя знаний пока недостаточно, но люди добросовестно пытаются соблюдать закон.
«Лоялти Партнерс» («Малина») не выдержала установленного срока ответа, а в ответе не указала лиц, имеющих доступ к персональным данным. Зато к ответу прилагалась цветная копия лицензии ФСТЭК на защиту конфиденциальной информации. Без штанов, но в шляпе.
«Самохвал» получает «неуд» с минусом. Они не только не ответили на запрос, не выполнили своих обязанностей по закону, но сделали нечто противоположное. Нашему добровольцу, подписавшему запрос, звонили домой из службы безопасности этой фирмы. Свой домашний телефон человек не указывал ни в запросе, ни в анкете. Понятно, что для службы безопасности, имея фамилию и адрес, выяснить телефон несложно. Но это как раз и есть то самое посягательство на приватность, которому призван противостоять закон «О персональных данных». Сотрудник СБ долго пытался выяснить, из-за чего это вдруг клиенту приспичило реализовывать свои права. Клиент упорствовал и на большинство вопросов СБ коварно отвечал «без комментариев». В итоге блюститель безопасности «Самохвала» заявил, что такой подозрительной личности письменного ответа от них не будет. И не обманул.
«Мультифото»/«Система-Р» Показательный случай. Обладатель товарного знака «Мультифото» оказался единственным партизаном в нашем исследовании, тщательно скрывающим своё юридическое лицо. Не у всех операторов адрес был указан на самой карточке или на веб-сайте компании. В таких случаях приходилось брать его из справочника и затем уточнять по телефону. Вполне обыденный вопрос секретарю: «Какой у вас почтовый адрес?» вызывал столь же обыденный ответ. Но в одной из тестируемых организаций, работающей под маркой «Мультифото» этот вопрос вызвал неадекватную реакцию. Секретарша долго советовалась с кем-то, переспрашивала, зачем нужен адрес, и в конце концов отказалась его сообщить. Как и полное наименование предприятия. Это лишь распалило любопытство вашего покорного слуги. Как и подобает истинному правоведу-экспериментатору, он припёрся в ближайший торговый центр, где стоял пункт приёма и выдачи заказов «Мультифото». Две молодые сотрудницы сначала также пытались уйти в глухую оборону: «звоните в офис, ничего не знаем». Но после бомбардировки тяжёлыми юридическими терминами и стремительных ссылок на закон «О защите прав потребителей», Гражданский кодекс и Правила торговли (постановление Правительства РФ №55) не выдержали и отступили. На свет из-под прилавка был извлечён листок (который вообще-то должен висеть на стенде) с наименованием предприятия и юридическим адресом. На всякий случай, запрос был продублирован на альтернативный адрес, взятый из справочника. Оба запроса вернулись с почтовым квитком «организация не зарегистрирована». На взгляд юриста, подобное поведение предприятия (тем более, предприятия, которое обслуживает потребителей) не соответствует закону.
«Красный куб» соригинальничал. Вместо того, чтобы письменно ответить на поставленные вопросы, клиенту было предложено явиться в офис с паспортом в приёмные часы (каждую среду с 14:00 до 18:30) и узнать все нужные данные лично. Хотя статья 20 закона «О персональных данных» прямо предусматривает обязанность оператора «сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных» как при личном обращении, так и при получении письменного запроса. Настаивать на личной явке оператор не вправе, за что «Красный куб» получает от нас «неуд» и рекомендацию перечитать статьи 14 и 20 ещё раз.
Один из фигурантов нашего исследования (не будем его называть по имени из-за любителей халявы) даже начислил пославшему запрос клиенту некоторое количество призовых баллов на карточку. Надо полагать, за доставленное беспокойство. Или за хорошее знание закона. Или, может быть, в порядке построения общественных связей с прессой. Право, господа, это уже лишнее!
Итак, из 23 фигурантов выдержали экзамен только 10, из них лишь четверо - на «отлично». Общий результат (43%) отнюдь не радует.
Не исключено, что организации, получившие у нас двойку за знание закона «О персональных данных», будут пересдавать экзамен в порядке статьи 17 этого закона («Право на обжалование действий или бездействия оператора»).
А для прочих дисконтных систем, которые ныне не попали под раздачу, объявляется бесплатная юридическая консультация - как обрабатывать ПД. Личной явки с паспортом требовать не станем. Достаточно зайти в блог Infowatch.
Типовой текст запроса
В [название предприятия]
от гражданина [ФИО]
адрес: [адрес]
паспорт [номер, дата и место выдачи]
ЗАПРОС
Уважаемые господа.
Я являюсь вашим клиентом и держателем [дисконтной/бонусной] карточки "[название]" номер [номер и др.атрибуты]. Копия карточки прилагается.
В соответствии со статьёй 14 закона «О персональных данных», я имею право получить от вас сведения о наличии моих персональных данных, связанных с вышеуказанной картой.
Прошу вас предоставить мне следующую информацию:
1) перечень обрабатываемых вами моих персональных данных и источник их получения;
2) какими способами эти данные обрабатываются;
3) какие лица имеют доступ или могут получить доступ к моим персональным данным;
4) срок хранения моих персональных данных;
5) какие юридические последствия для меня может повлечь обработка моих персональных данных.
Ответ на настоящий запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренный законом срок.
С уважением [подпись, дата]
Как и ожидалось, значительная часть штатных юристов предприятий оказалась неготовой к новым вызовам времени и капризных клиентов.
Уже год как вступивший в силу, но ещё не начавший работать закон номер 152-ФЗ «О персональных данных» - это не только возможность дополнительных поборов с бизнесменов. Это также дополнительные права для граждан. В частности, субъект персональных данных (так в этом законе именуется человек) имеет право узнать, какие его персональные данные используются, в каких целях, какими способами, какой срок хранятся.
Компания InfoWatch, российский центр компетенции в области защиты персональных данных, решила проверить, как соблюдаются эти требования закона различными предприятиями. В качестве первого объекта исследования были выбраны 23 дисконтно-бонусные системы.
Подобные системы представляются важными потому, что имеют большой охват населения, и к ним относится большая часть проблем, которые призван решить упоминавшийся закон. Казалось бы, отделы кадров предприятий имеют охват гораздо шире. А в банках хранятся персональные данные более чувствительные. Но работа указанных структур уже давно регулируется Трудовым кодексом и нормативными актами о банковской тайне соответственно. А вот дисконтные системы остаются своеобразным белым пятном на белоснежных одеждах прав человека (именно к правам человека относится право на защиту персональных данных).
В эксперименте участвовали пять добровольцев - сотрудников InfoWatch, от имени которых операторам персональных данных были отправлены письменные запросы. Форма такого запроса, составленная юристом, приводится ниже.
Результаты исследования показаны в таблице.
Карточка
Товарный знак,
название предприятия
Адрес для запроса
Результат
Арбат-Престиж
ОАО «Арбат Престиж»
109147 Москва, ул.Воронцовская, д.49/28, стр.1
Ответ по существу
Рамстор
ООО «Рамэнка»
125171 Москва, Ленинградское шоссе, д.16, корп.9
Запрос не доставлен. Почта сообщила «организация не значится»
METRO
ООО «МЕТРО Кэш энд Керри»
Москва, Ленинградское шоссе, д.71 г
Ответа нет
Пятёрочка
X5 Retail Group
109029 Москва, ул. Средняя Калитниковская, д.28, стр.4
Ответа нет
Ригла
ООО «Ригла»
115201 Москва, Каширское ш., д. 22, корп. 4, стр. 1
Ответа нет
Ион
«Цифровой центр ИОН»
105122 Москва, Щелковское шоссе, д.2 а
Ответа нет
Озон
ООО «Интернет Решения»
127083 Москва, ул. 8 Марта, д.14
Ответ по существу
Магнолия
ООО «МПМ "Магнолия"»
123298 Москва, ул. Берзарина, д. 16
Ответа нет
Самохвал
ООО «Самохвал»
109029 Москва, Автомобильный проезд, д.8
Отказ предоставить информацию
Кораблик
ООО «Кораблик-Р»
117639 Москва, Чертановская ул., д.1-В, корп.1
Получен ответ по существу (но без подписи)
Серебряный мир
ООО «Серебряный мир Ювелирпром-БТДММ»
127299 Б.Академическая ул., д.5, эт.2
Ответ по существу
М.Видео
ОАО «Компания "М.видео"»
107066 Москва, ул. Нижняя Красносельская, д.40/12, корп.20
Ответ по существу; но срок не соблюдён
Колбасофф
ООО Управляющая компания «АРПИКОМ»
127055 Москва, ул. Бутырский вал, д.68/70, стр.1, 4 этаж, оф.45
Ответ по существу, но с неполной информацией
Почётный гость
ООО «Росинтер ресторанс»
111024 Москва, Душинская ул., д.7
Ответа нет
Малина
ООО «Лоялти Партнерс Восток»
105005, Moscow, PO Box 121.
Ответ по существу; но не соблюден срок ответа
Много.Ру
LAVTECH.COM CORP.
129010 Москва, Протопоповский пер., д.9, офис 230
Ответ по существу; но не соблюден срок ответа
Аэрофлот-бонус
ОАО «Аэрофлот»
125167 Москва, Ленинградский проспект, д.37, корп.9.
Ответ по существу; не соблюден срок ответа
Терволина
ООО «Консолидирование ресурсов»
123007 Москва, Хорошевское шоссе, д.76 «Г»
Получен ответ по существу
Красный Куб
Торговая компания "Красный Куб"
125493 Москва, ул. Нарвская, д.23
Получен отказ в предоставлении информации
Старый лекарь
ООО "Витим и Ко"
115201 Москва, Каширский проезд, д.5
Ответа нет
Фамилия
ТК "Фамилия"
115054 Москва, ул. Дубининская, 70. А/я 33
Ответа нет
Мультифото / NETPRINT.RU
ООО «Система-Р»
115054 Москва, Зацеский вал, д.2, стр.2
125438 Москва, Михалковская ул., д.63Б
Запрос не доставлен. Почта сообщила «организация не значится»
Л'Этуаль
ООО «Алькор и Ко»
117452 Москва, Симферопольский б-р, д.28 стр.2
Ответа нет
Итого
23
10 исполнили требования закона (полностью или частично)
13 не исполнили требований или не позволили клиентам осуществить свои права
В «Арбат-Престиже», «Озоне» и «Красном кубе» ответы были подписаны юристами, а в «Много.Ру», «Малине», «Терволине» и «Серебряном мире» подписал сам глава предприятия. От «Арпикома» подписалась менеджер по работе с клиентами. Самая примечательная подпись под ответом - в фирме «Кораблик-Р»: в лучших коллективистских традициях нашего славного прошлого ответ был подписан «администрация». «Аэрофлот-бонус» также постеснялся поставить свою фамилию.
По поводу вернувшихся писем. Такие операторы («Мультифото» и «Рамстор») получают у нас незачёт автоматом, поскольку указание фактического (или хотя бы юридического) адреса предприятия предусмотрено многими законами начиная от Гражданского кодекса и заканчивая тем же «О персональных данных». Предприятие, скрывающее свой адрес или указывающее неверный адрес, делает невозможным осуществление гражданином своих прав, то есть, нарушает эти права.
Возвращённое письмо. Нет такой организации
Теперь пройдёмся по некоторым фигурантам индивидуально.
«Арпиком» Форма и содержание ответа далеки от идеала. На вопрос о юридических последствиях обработки персональных данных ответа нет. На вопрос о способе обработки персональных данных вместо ожидаемых бюрократических оборотов типа «автоматизированная обработка с использованием средств вычислительной техники в пределах информационной системы предприятия» менеджер по работе с клиентами простодушно написала: «данные ведутся в таблице EXCEL». Несмотря на неформальный стиль без намёка на бюрократию и нормы документооборота, «Арпиком» получает твёрдое «удовлетворительно». Хотя знаний пока недостаточно, но люди добросовестно пытаются соблюдать закон.
«Лоялти Партнерс» («Малина») не выдержала установленного срока ответа, а в ответе не указала лиц, имеющих доступ к персональным данным. Зато к ответу прилагалась цветная копия лицензии ФСТЭК на защиту конфиденциальной информации. Без штанов, но в шляпе.
«Самохвал» получает «неуд» с минусом. Они не только не ответили на запрос, не выполнили своих обязанностей по закону, но сделали нечто противоположное. Нашему добровольцу, подписавшему запрос, звонили домой из службы безопасности этой фирмы. Свой домашний телефон человек не указывал ни в запросе, ни в анкете. Понятно, что для службы безопасности, имея фамилию и адрес, выяснить телефон несложно. Но это как раз и есть то самое посягательство на приватность, которому призван противостоять закон «О персональных данных». Сотрудник СБ долго пытался выяснить, из-за чего это вдруг клиенту приспичило реализовывать свои права. Клиент упорствовал и на большинство вопросов СБ коварно отвечал «без комментариев». В итоге блюститель безопасности «Самохвала» заявил, что такой подозрительной личности письменного ответа от них не будет. И не обманул.
«Мультифото»/«Система-Р» Показательный случай. Обладатель товарного знака «Мультифото» оказался единственным партизаном в нашем исследовании, тщательно скрывающим своё юридическое лицо. Не у всех операторов адрес был указан на самой карточке или на веб-сайте компании. В таких случаях приходилось брать его из справочника и затем уточнять по телефону. Вполне обыденный вопрос секретарю: «Какой у вас почтовый адрес?» вызывал столь же обыденный ответ. Но в одной из тестируемых организаций, работающей под маркой «Мультифото» этот вопрос вызвал неадекватную реакцию. Секретарша долго советовалась с кем-то, переспрашивала, зачем нужен адрес, и в конце концов отказалась его сообщить. Как и полное наименование предприятия. Это лишь распалило любопытство вашего покорного слуги. Как и подобает истинному правоведу-экспериментатору, он припёрся в ближайший торговый центр, где стоял пункт приёма и выдачи заказов «Мультифото». Две молодые сотрудницы сначала также пытались уйти в глухую оборону: «звоните в офис, ничего не знаем». Но после бомбардировки тяжёлыми юридическими терминами и стремительных ссылок на закон «О защите прав потребителей», Гражданский кодекс и Правила торговли (постановление Правительства РФ №55) не выдержали и отступили. На свет из-под прилавка был извлечён листок (который вообще-то должен висеть на стенде) с наименованием предприятия и юридическим адресом. На всякий случай, запрос был продублирован на альтернативный адрес, взятый из справочника. Оба запроса вернулись с почтовым квитком «организация не зарегистрирована». На взгляд юриста, подобное поведение предприятия (тем более, предприятия, которое обслуживает потребителей) не соответствует закону.
«Красный куб» соригинальничал. Вместо того, чтобы письменно ответить на поставленные вопросы, клиенту было предложено явиться в офис с паспортом в приёмные часы (каждую среду с 14:00 до 18:30) и узнать все нужные данные лично. Хотя статья 20 закона «О персональных данных» прямо предусматривает обязанность оператора «сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных» как при личном обращении, так и при получении письменного запроса. Настаивать на личной явке оператор не вправе, за что «Красный куб» получает от нас «неуд» и рекомендацию перечитать статьи 14 и 20 ещё раз.
Один из фигурантов нашего исследования (не будем его называть по имени из-за любителей халявы) даже начислил пославшему запрос клиенту некоторое количество призовых баллов на карточку. Надо полагать, за доставленное беспокойство. Или за хорошее знание закона. Или, может быть, в порядке построения общественных связей с прессой. Право, господа, это уже лишнее!
Итак, из 23 фигурантов выдержали экзамен только 10, из них лишь четверо - на «отлично». Общий результат (43%) отнюдь не радует.
Не исключено, что организации, получившие у нас двойку за знание закона «О персональных данных», будут пересдавать экзамен в порядке статьи 17 этого закона («Право на обжалование действий или бездействия оператора»).
А для прочих дисконтных систем, которые ныне не попали под раздачу, объявляется бесплатная юридическая консультация - как обрабатывать ПД. Личной явки с паспортом требовать не станем. Достаточно зайти в блог Infowatch.
Типовой текст запроса
В [название предприятия]
от гражданина [ФИО]
адрес: [адрес]
паспорт [номер, дата и место выдачи]
ЗАПРОС
Уважаемые господа.
Я являюсь вашим клиентом и держателем [дисконтной/бонусной] карточки "[название]" номер [номер и др.атрибуты]. Копия карточки прилагается.
В соответствии со статьёй 14 закона «О персональных данных», я имею право получить от вас сведения о наличии моих персональных данных, связанных с вышеуказанной картой.
Прошу вас предоставить мне следующую информацию:
1) перечень обрабатываемых вами моих персональных данных и источник их получения;
2) какими способами эти данные обрабатываются;
3) какие лица имеют доступ или могут получить доступ к моим персональным данным;
4) срок хранения моих персональных данных;
5) какие юридические последствия для меня может повлечь обработка моих персональных данных.
Ответ на настоящий запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренный законом срок.
С уважением [подпись, дата]