Автомобильный маркетинг

Много лет рассказываю о том, как организовать сбор данных о клиентах, как их систематизировать и использовать впоследствии (технологии CRM  и организация программ лояльности). Давно у коллег начали появляться вопросы о том, как это законодательно оформлено. И вот мы постепенно начали получать ответы о том, “что нам за это будет”. Меня реально интересует информация о правоприменительной практике в области баз данных.

С подачи Два Капитана  (http://2k.livejournal.com) обратил внимание на статью в “Российской газете” Владислава Куликова “Личная тайна для служебного пользования”. Коммент коллеги (http://2k.livejournal.com/546807.html) полностью разделяю, но у меня, как специалиста по клиентским процессам, остается масса вопросов помимо недоумения 2k.

Все, что Вы хотели спросить о персональных данных. Комментарии к правительственному постановлению о конфиденциальных сведениях граждан. Статья оставляет по прочтении вопросов больше, чем было до этого. Во-первых, не понятно, что такое персональные данные, какие из них могут считаться конфиденциальными (мое имя, например, конфиденциальная информация? …я вам его не скажу).

Вот несколько цитат (постановление и комменты к нему надо читать полностью), …. правительственное постановление, в котором определено, где и как должны храниться конфиденциальные сведения о гражданах, не предназначенные для передачи в чужие руки. … Мы иногда даже понятия не имеем, где хранится очередное досье на нас с вами. … базы данных на граждан собирают не только люди в погонах, а еще и масса самых различных организаций – как государственных, так и иных. Например, компании сотовой связи, поликлиники, банки, даже магазины. … Продавец посмотрит на компьютере и скажет: так и есть, третьего дня заказали книгу о вкусной и здоровой пище и три банки тушенки.

Теоретически ничего страшного в таком обилии досье нет, если все используется во благо. Скажем, в интернет-магазине не надо десять раз заполнять одни и те же бланки или вспоминать о старых болезнях у нового врача. Тем не менее были случаи, когда даже государственные базы данных, скажем, ГАИ или налоговой службы, оказывались на черном рынке. И любой бандит мог узнать про нас все. Или не в меру любознательный сосед, чего вам тоже бы не хотелось.

…Закон “О персональных данных”, который определил, кто и что должен про нас знать и какие базы накапливать. Более того, человек вправе требовать, чтобы нежелательные сведения были удалены из баз данных, даже из телефонных справочников. – Никто не может требовать от гражданина сведений больше, чем нужно для объявленной цели, и никто не сможет собирать персональные данные, если не сможет эти сведения защитить. Важный принцип, заложенный в законе: необходимо получить согласие гражданина на получение и обработку его персональных данных. В ряде случаев требуется даже его письменное согласие, – пояснили чиновники, разрабатывавшие закон.

Контролировать всех хранителей информации должна специальная организация. В законе ее назвали просто: “уполномоченный орган по защите прав субъектов персональных данных”. Глава государства назначил защищать наши с вами досье (точнее, досье на нас с вами) Россвязькомнадзор. Это ведомство ведет специальный реестр всех организаций, которые собирают наши с вами данные. В списке должны оказаться все – от ГАИ и налоговых до банков и магазинов, если последние хотят знать о клиентах чуточку больше.

Государственные органы, юридические и физические лица, не попавшие в реестр, не вправе обрабатывать персональные данные. … документ, который публикуется сегодня, подробно рассказывает о том, как именно надо обрабатывать личную информацию о гражданах подручными средствами.

…То есть без автоматических систем. Грубо говоря – в тетрадке. Или на компьютере, не соединенном в общую сеть.
…Согласно документу персональные данные надо отделять от других. Скажем, не писать на одном листе адрес и телефон человека и тут же какую-нибудь другую информацию.
…Лица, обрабатывающие базы данных, должны быть проинструктированы.
…В типовом документе, в который фирма записывает данные на гражданина, должно быть специальное место для подписи человека, мол, согласен, что про меня будут знать почти все.
…Каждый гражданин должен иметь возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных. То есть про себя прочитает, про других – нет.
…Процедура обработки данных должна быть такой, чтобы в любой момент можно было установить, кто и зачем брал информацию из базы.
…При хранении досье должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
…Хранитель базы данных должен определить ответственное лицо, которое в случае утечки или какого-либо прокола ответит головой. Строго по закону.

оригинал статьи: http://rg.ru/2008/09/24/dokument.html

Пока нет слов. Очевидно, что постановление – отрыжка международной Конвенции о приватной информации (кто знает, где текст Конвенции, киньте ссылочку). Очевидно, что выполнять все означенные требования не сможет ни одна организация и будет всегда подсудна. Также очевидно, что проверить условия выполнения требований постановления не сможет ни одна контролирующая организация, и тем более клиенты, о которых информация собирается…

Чем дальше в лес, тем толще партизаны…