Вступивший в силу 1 января с.г. За­кон Укра­ины «О за­щите персональных данных» от 1 июня 2010 года № 2297-VI (Закон о персональных данных, Закон) ставит под вопрос правомерность бизнеса компаний, обрабатывающих персональные данные (ПД) в целях продвижения на украинском рынке своих товаров или услуг с помощью рекламы или маркетинга.

Как известно, Закон распространяется на весьма широкий круг субъектов — как физических, так и юридических лиц, использующих в своей работе информацию о клиентах. Для компаний, которые активно применяют политику маркетинга (интернет-магазины, рекламные агентства, сall-центры, операторы мобильной связи), наиболее актуальным является вопрос соблюдения требований Закона относительно сбора, обработки и распространения ПД, а также ведения клиентских баз данных.

На Украине электронный маркетинг должным образом не урегулирован на законодательном уровне. В нашем законодательстве не отражены положения Ди­рективы 2002/58/EC Европейского парламента и Совета от 12 июня 2002 года о регулировании обработки персональных данных и защите неприкосновен­ности частной жизни в сфере электронных коммуникаций и Директивы 2009/136/EC Европейского парламента и Совета от 25 ноября 2009 года. При этом некоторые нормы украинского законодательства, регулирующие деятельность в сфере рекламы и использования ПД, применяются к регулированию электронного маркетинга. Таким образом, компаниям, использующим электронный маркетинг и желающим оставаться в рамках правового поля, следует обратить внимание на следующие смежные сферы деятельности и их законодательное регулирование на Украине.

Реклама в нормах

В Законе Украины «О рекламе» от 11 июля 2003 года № 270/96-ВР (Закон № 270) нет положений, которые напрямую относятся к электронному маркетингу или интернет-рекламе. К рекламе, распространяемой через электронный маркетинг, так же, как и к рекламе, размещенной в сети Интернет, применяются нормы, регулирующие рекламную деятельность. В соответствии со статьей 1 Закона № 270 реклама — это информация о лице или товаре, распространяемая в любой форме и любым способом, предназначенная сформировать или поддержать осведомленность потребителей рекламы и их интерес относительно таких лиц или товаров. Рекламные средства — это средства, используемые для доведения рекламы до ее ­потребителей.

В данном случае e-mail выступает в качестве рекламного средства, используемого для донесения рекламной информации (текст или графическая информация, аудиоматериалы, видеоматериалы рекламного характера) потребителям. Таким образом, данный закон устанавливает общие требования относительно рекламы, распространяемой через электронный маркетинг.

Компаниям, использующим электронный маркетинг в своей деятельности, следует обратить внимание на запрет недобросовестной рекламы и на требования об идентификации (скрытая реклама запрещена).

Лица, которые нарушают законодательство о рекламе, могут привлекаться к дисциплинарной, гражданско-правовой, административной и уголовной ответственности (статья 27 Закона № 270).

Защитим персональные данные

Общие принципы защиты персональных данных были и ранее закреплены в украинском законодательстве, но только сейчас наше общество столкнулось с необходимостью исправить сложившуюся негативную практику в области защиты ПД. Причиной послужило принятие Закона о персональных данных и ратификация Конвенции о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года (Конвенция), а также Дополнительного протокола к Конвенции от 8 ноября 2001 года (Протокол). Закон, Конвенция и Протокол вступили в силу 1 января 2011 года.

Главные вопросы, которые волнуют участников отношений в сфере ПД, это: 1) что включает в себя понятие «персональные данные»; и 2) что является охраняемым объектом в соответствии с Законом.

Определение понятия ПД в Законе совпадает с определением этого термина в Директиве 95/46/ЕС Европейского парламента и Совета от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных. ПД частного лица — это сведения или совокупность сведений о физическом лице, которые идентифицируют или могут идентифицировать данное физическое лицо. Следовательно, любые сведения (телефонные номера, электронные адреса или списки контактов, содержащие только имена или отчества без фамилий) могут быть ПД, если это данные о лице, которые идентифицируют или могут прямо или косвенно идентифицировать его. Таким образом, базы с такой информацией — это базы персональных данных.

Объектом защиты являются только те персональные данные физических лиц, которые обрабатываются в базах ПД (статья 5 Закона). В соответствии с Законом база ПД — это совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек. Например, к числу баз ПД можно отнести базы клиентов — физических лиц, базы партнеров — физических лиц или другие базы, по сведениям которых можно идентифицировать физические лица. Если база данных содержит информацию о юридических лицах и не включает ПД физических лиц, такая база не подпадает под действие Закона и регистрации не подлежит.

Если у компании, использующей электронный маркетинг, ­клиенты — юридические лица, но сообщения отправляются на корпоративные электронные ящики сотрудников таких клиентов и ведется база корпоративных электронных адресов физических лиц — сотрудников, такая база будет подпадать под действие Закона и подлежать ­регистрации. Напоминаем, что 21 июня 2011 года вступило в силу Положение о государственном реестре баз ПД и о порядке его ведения. Так как меры административной и уголовной ответственности за нарушение законодательства в сфере защиты ПД (в том числе за отсутствие регистрации баз ПД) вводятся с 1 января 2012 года, у компаний есть срок до 31 декабря 2011 года для регистрации своих баз.

Ключевая норма Закона — распространение ПД без согласия субъекта этих данных запрещено. Предусмотрено, что согласие субъекта ПД может быть предоставлено в форме любого документируемого (в том числе письменного) волеизъявления физического лица на обработку данных.

Признаки спама

Украинское законодательство не устанавливает никаких требований к содержанию электронного сообщения, направляемого с целью маркетинга. Кроме этого, не запрещено сокрытие личности отправителя и не требуется включать в сообщение адрес, по которому получатель может направить требование о прекращении направления ему сообщений.

В соответствии с Правилами предоставления телекоммуникационных услуг, утвержденными постановлением Кабинета Министров Украины от 9 августа 2005 года № 720, спам — это электронное сообщение, предварительно не заказанное получателем, и к которому применим хотя бы один из следующих признаков:

— сообщение является массовым;

— в сообщении не приведены достоверные сведения о полном названии, личном почтовом или электронном адресе отправителя или заказчика сообщения;

— потребитель не может прекратить последующее получение сообщений путем информирования об этом заказчика или отправителя.

Основным признаком спама является отсутствие предварительного согласия на получение сообщения со стороны получателя. При этом для квалификации сообщения в качестве спама необходимо также наличие хотя бы одного из перечисленных выше признаков. Если компания осуществляет прямой маркетинг путем направления не заказанных получателем сообщений, такая практика будет законной, если это сообщение не было отправлено с помощью массовой рассылки, содержит полное название или имя отправителя/заказчика и его личный почтовый/электронный адрес и предоставляет получателю возможность отказаться от последующего получения сообщений (принцип «opt-out»). Представляется, что данная схема недостаточно защищает от нежеланных сообщений. Слабая ­сторона принципа «оpt-out» заключается в том, что компании могут продолжать направлять не заказанные получателем сообщения до момента получения отказа от них.

Законодательство о защите ПД также содержит нормы, которые могут применяться к несанкционированным сообщениям, если при этом используются ПД получателей таких сообщений. Закон о защите персональных данных запрещает обработку данных о физическом лице без его согласия. В то же время электронный маркетинг включает в себя обработку ПД клиентов и, как правило, создание базы таких данных (содержащей, например, электронные адреса лиц, которым направляются e-mail).

Для того чтобы направить маркетинг-сообщение конкретному физическому лицу, отправитель обязан предварительно получить согласие этого лица на обработку его ПД и, соответственно, на участие в акциях электронного маркетинга. Если разрешение не запрашивается и сообщение направляется «вслепую», без адресации конкретному лицу, это, скорее всего, является массовой рассылкой, которая при отсутствии согласия на нее получателя является обыкновенным спамом. В таком случае отправитель спама не только нарушает нормы вышеуказанных Правил, но также и Закон о защите персональных данных.

Позади Европы всей

Что касается ответственности, то в пункте 434 Правил установлено, что потребитель (абонент) телекоммуникационных услуг не может заказывать и предлагать рассылку спама, а также самостоятельно рассылать его. Согласно пункту 16 Правил, их нарушение является основанием для сокращения или прекращения предоставления абоненту телекоммуникационных услуг. За рассылку спама также предусмотрена уголовная ответственность (статьи 182 и 3631 Уголовного кодекса). На сегодняшний день практика последовательного применения судами статей 182 и 3631 УК отсутствует.

Необходимо отметить, что европейское законодательство устанавливает более строгий режим относительно незапрашиваемых сообщений. Директива 2002/58/EC устанавливает главное правило — необходимость получения предварительного разрешения на получение сообщения (статья 13). Таким образом, спамом можно считать любое не санкционированное получателем сообщение, направленное в целях прямого маркетинга.

Можно с уверенностью утверждать, что в регулировании электронного маркетинга Украина значительно отстает от права ЕС. По причине отсутствия надлежащего регулирования этого вида маркетинга компаниям, использующим электронный маркетинг и желающим оставаться в рамках правового поля, следует руководствоваться законодательством в сфере рекламы и защиты ПД. При этом в целях гармонизации законодательства Украины с правовыми актами ЕС необходимо в ближайшее время найти решения вышеуказанным вопросам на законодательном уровне.

КИРИЧЕНКО Оксана — юрист ЮФ «Салком», г. Киев

---

Требования

Несанкционированное вторжение

Многие отраслевые компании в качестве прямого маркетинга используют рассылку электронных сообщений существующим или потенциальным клиентам — как физическим, так и юридическим лицам (например, с использованием персонального корпоративного e-mail сотрудника). Прямой маркетинг (direct marketing) путем направления электронных сообщений включает в себя обработку персональных данных клиентов и, как правило, создание баз данных.

Массовые рекламные рассылки, не санкционированные получателем, сообщения без достаточной информации об отправителе или не предоставляющие возможности отказаться от них, не следует рассматривать как адекватный метод маркетинга. Такой маркетинг не отвечает общепринятой деловой практике на территории Европейского Союза, где этот вопрос эффективно урегулирован на законодательном уровне. В соответствии с Директивой 2002/58/EC Европейского парламента и Совета от 12 июня 2002 года о регулировании обработки персональных данных и защите неприкосновенности частной жизни в сфере электронных коммуникаций распространение не санкционированных получателем сообщений в целях маркетинга (spam) является незаконным.

---

Мнения

Мир вышел на тропу борьбы

Евгений ПЕТРЕНКО,
юрист международного правового центра EUCON

После ­принятия в 2001 году Кон­вен­ции Совета Европы по киберпреступнос­ти, а также выхода директив Евро­пейского парламента и Совета, которые касались обработки персональных данных и охраны тайны частной жизни в электронной сфере, многие страны Евро­пы, а также США, Китай и Австра­лия приняли и ратифицировали свои собственные законы против спама.

Так, в Великобритании ­действует закон, объявляющий преступлением спам — электронные почтовые рассылки и рассылки sms. Согласно закону, преду­смотрена ответственность в виде штрафа до 5 тысяч фунтов стерлингов при рассмотрении дела в суде магистратов. При рассмотрении дела судом присяжных сумма штрафа не ограничена. При этом тюремное заключение для спамеров не предусматривается.

В Италии антиспамовый закон более суров. Согласно ему, за распространение «навязанных» рассылок коммерческого характера предусмотрен штраф в размере до 100 тысяч долларов США и тюремное заключение до трех лет.

Суть голландского закона против спама в том, что ни одно рекламное письмо не может быть отправлено без предварительного согласия получателя. Те, чьи права были нарушены, могут отправить жалобу через специальный веб-сайт, который является базой для анализа жалоб и принятия решений по последующим действиям. Независимый департамент связи и почты является ответственным за расчеты и может наложить штраф до 450 000 евро за одно нарушение.

Один из наиболее известных законов против спама — федеральный закон США, согласно которому коммерческая рассылка должна быть помечена, включать адрес отправителя и давать получателю возможность отписаться. Также закон запрещает сбор адресов электронной почты путем просмотра веб-узлов и автоматический подбор адресов методом подстановки. Однако в данном законе отсутствует требование предварительного согласия пользователя на получение рассылки. Кроме федерального закона, который предусматривает штрафные санкции и тюремное заключение за данный вид преступления, в США есть закон, позволяющий пользователю, пострадавшему от спама, взыскать со спамера возмещение «реального ущерба».

Спам без привлечения

Александра ДЕРКАЧ,
партнер ПГ «Маэстро и Партнеры»

За нарушение законодательства о защите персональных данных (ПД) с 1 января 2012 года устанавливается административная и уголовная ответственность в соответствии с Законом Украины № 3454-VI от 2 июня 2011 года. Принятие соответствующих изменений в Кодекс Украины об административных правонарушениях и Уголовный кодекс Украины предопределено сотрудничеством Государственной службы Украины по вопросам защиты персональных данных с Европейским Союзом и Советом Европы. Основной ­задачей является усиление системы защиты ­персональных данных и приведение ее в соответствие с европейскими стандартами. Однако, к сожалению, практика принятия законов в нашем государстве идет от «хвоста к голове»: устанавливаются нормы ответственности, хотя до сих пор нет четкого понимания ­определения и состава персональных данных.

Возникает вопрос о возможности привлечения к ответственности компаний, которые направляют своим постоянным и потенциальным клиентам, не желающим получать подобные сообщения, электронную рассылку с пресс-релизами и другими рекламными сообщениями. К сожалению, такой возможности нет. Во-первых, как правило, такие компании ставят оговорку мелким шрифтом внизу уведомления о возможности прекращения получения такого рода писем путем отправления ответного уведомления. Во-вторых, электронный адрес, исходя из определения ПД, данного в Законе Украины «О защите персональных данных» № 2297-VI от 1 июня 2010 года, не относится к персональным данным, так как не позволяет конкретно идентифицировать лицо.

«Обезличенные» — вне подозрения

Тарас РОЗПУТЕНКО,
адвокат ЮФ «Гвоздий и Оберкович»

Закон Украины «О защите персональных данных» (Закон) поставил большую часть представителей бизнеса в ступор — в первую очередь предприятия, которые занимаются розничной торговлей. Для повышения своих продаж, а также для популяризации товаров большинство предприятий осуществляет рассылку информации о скидках, акциях и прочих поощрениях чаще всего с использованием мобильной связи. Однако с принятием Закона возник вопрос: распространяется ли его действие на ранее полученную персональную информацию, и если да, то каким образом осуществлять распространение информации и обработку персональных данных в новом правовом поле? Распространяется. А значит, необходимо получать согласие субъекта персональных данных на их обработку в письменном виде, с указанием целей обработки персональных данных.

Но в то же время Закон оперирует понятием «обезличенные персональные данные» — данные, которые не позволяют идентифицировать конкретную личность. На такие данные режим Закона не распространяется. Для примера, к обезличенным данным можно отнести номер того же мобильного (или стационарного) телефона, при условии, что такой номер не привязан в самой базе данных предприятия к конкретной идентифицированной личности. Фактически наличие номера телефона в базе свидетельствует о наличии совокупности цифр и не является персональными данными. И в случае рассылки магазинами и прочими предприятиями информации на телефонные номера она осуществляется по признаку целевой аудитории, а не по признаку идентифицированной личности.

Пока практика по применению Закона еще не сформирована, целесообразным для каждого конкретного случая является получение индивидуального разъяснения Государственной службы по вопросам защиты персональных данных. В ее компетенцию входит рассмотрение предложений, запросов, обращений, требований и жалоб физических и юридических лиц. Такое разъяснение позволит предприятию скорректировать свою деятельность и избежать правонарушения.

Ответственность под вопросом

Артем НАУМОВ,
юрист ЮФ ILF

Законом Укра­ины «О защите персональных ­данных» (Закон) не предусмотрен запрет какой-либо хозяй­ственной деятельности. По­этому компании, обрабатывающие персональные данные (ПД) в целях продвижения на украинском рынке своих товаров или услуг с помощью рекламы или маркетинга, могут продолжать свою деятельность. Необходимым условием в таком случае будет соблюдение всех норм указанного Закона. Хотя существуют большие сомнения относительно того, что компании, осуществляющие рекламную деятельность, начнут выполнять предписания Закона и будут получать согласие физических лиц на свои действия, связанные с обработкой ПД. Таким образом, следует ожидать ухода этих фирм в тень.

Исходя из положений Закона, потребуются получение разрешения от всех физических лиц на обработку их ПД и получение согласия на передачу таких данных третьим лицам (если такая передача будет осуществляться этой компанией). Кроме того, документированное согласие физических лиц должно будет включать также цели обработки и распространения, на которые такое согласие дается.

В случае неисполнения норм Закона компаниям, осуществляющим деятельность с ПД (в том числе рекламную), будет грозить ответственность, предусмотренная КУАП (5100 — 17 000 грн). Кроме того, Законом предусмотрена уголовная ответственность лиц, виновных в незаконной деятельности, связанной с обработкой (в том числе и с распространением) ПД.

При этом наличие реальной возможности привлечь их к ответственности за незаконные действия с персональными данными пока вызывает сомнения. На данный момент достаточно сложным видится процесс доказывания того, что именно конкретные лица распространили персональные данные определенного физического лица.