Как мы выяснили, что сервисам email-рассылок грозит блокировка
Большинство рассылок осуществляется с помощью специальных сервисов либо ручным трудом маркетологов из агентств email-маркетинга. Компании загружают туда свои базы клиентов и получают подписчиков через предоставляемые онлайн-виджеты.
Ситуация немного изменилась 1 сентября 2015 года, когда российских юридических лиц, государственные органы и индивидуальных предпринимателей обязали хранить персональные данные на территории России (со вступлением в силу закона № 242-ФЗ от 21 июля 2014 года, который также называют «Законом о запрете хранения персональных данных за рубежом»). Несоблюдение карается проверкой Роскомнадзора, штрафами до 700 тысяч рублей и блокировкой сайта.
Согласно тому же закону, вводится реестр нарушителей прав субъектов персональных данных, куда компании и их сайты вносятся по жалобе физического лица (недовольного клиента или конкурента), при этом сайты также блокируются. Причиной жалобы может быть пресловутое отсутствие на сайте согласия на обработку персональных данных, политики обработки персональных данных или игнорирование запроса физического лица.
Мы, сервис мониторинга безопасности и защиты сайтов SiteSecure, помогли компании «Б-152» оценить, насколько сервисы email-рассылок и некоторые агентства email-маркетинга выполняют требования этого закона.
Анализировалось 6 агентств email-маркетинга (Out of Cloud, EmailMatrix, DigВog, Future Bit, Cetera, EmailSoldiers) и 35 сервисов email-рассылок (Mailigen, SailPlay, GetResponse, «Печкин-mail.ru», UniSender, SmartResponder, «Просто.Email», ePochta Mailer, ExpertSender.ru, MailTrig, Mailerlite, SendPulse, eSputnik, Mailganer, Maliver, StandartSend, MailJet, Marketion, Estismail, M@ilo Post, Cogasystem, ListPR, MaestroMail, SeoMail, Myvideomail, Feedgee, MarketPro, Box-Mail, Mailer24, LiveResponder, Mail 365, MailList, Inbox Marketing, Intelligent Emails, Sendsay).
Анализировались следующие параметры:
- Наличие на сайте информации о владельце (юридическом лице или индивидуальном предпринимателе);
- Присутствие в реестре операторов персональных данных;
- Наличие в записи реестра операторов персональных данных информации о месторасположении баз персональных данных;
- Наличие согласия об обработке персональных данных или публичной оферты на сайте, при которой согласие может не потребоваться;
- Наличие в общем доступе политики об обработке персональных данных.
Намеренно не проверялось местонахождение сервисов email-рассылок, так как сайт может находится на серверах в РФ, а личный кабинет и сами почтовые сервера за рубежом, и их местоположение определить оперативно было сложно.
Проверка наличия на сайте информации о владельце: юридическом лице или индивидуальном предпринимателе
- У 13 сервисов email-рассылок эту информацию определить не удалось. Данных нет на сайте, а при проверке через WHOIS в качестве владельца определяется Private Person.
- Два рассылочных сервиса принадлежат иностранным юридическим лицам.
- У остальных 26 сервисов и агентств email-маркетинга удалось установить владельцев, являющихся индивидуальными предпринимателями или юридическими лицами.
В случае с неопределенными юрлицами и ИП клиентам будет сложно потребовать у сервисов компенсации, предусмотренной законом.
Присутствие в реестре операторов персональных данных
По данному параметру анализировались только 26 компаний из предыдущего пункта, чью принадлежность удалось установить. Для проверки ИНН юридического лица или индивидуального предпринимателя вводился в форму поиска по реестру операторов персональных данных.
11 анализируемых сервисов и агентств внесены в реестр операторов персональных данных на 27 октября 2015 года, еще 3 на момент написания текста только подали уведомление об обработке персональных данных в Роскомнадзор для включения в реестр. Оставшиеся 12 в реестре не были найдены.
Наличие в записи реестра операторов персональных данных информации о месторасположении баз персональных данных
Вступившие 1 сентября 2015 года требования обязывают отправить в Роскомнадзор уведомление об обработке персональных данных с указанием месторасположения баз персональных данных граждан Российской Федерации.
Для определения данного параметра анализировалась запись юридического лица или индивидуального предпринимателя в реестре операторов персональных данных, а именно наличие в разделе «Список информационных систем и их параметры» строки «Сведения о местонахождении базы данных: Россия», что подтверждает направление в Роскомнадзор такой информации. Анализировались только 14 сервисов и агентств, внесенных в реестр или подавших уведомление об обработке персональных данных.
Только у 5 участников данное требование законодательства было выполнено, у оставшихся 8 пункт не был указан.
Наличие согласия об обработке персональных данных или публичной оферты на сайте
В статье 6 Федерального закона № 152-ФЗ «О персональных данных» описаны все условия, при которых можно обрабатывать персональные данные, будь то адресаты в базах рассылок, зарегистрированные пользователи или люди, оставившие заявку на сайте агентства email-маркетинга.
Наиболее часто применяемые условия при сборе персональных данных — это обработка с согласия физического лица и обработка по договору, когда стороной договора или выгодоприобретателем по нему является физическое лицо (субъект персональных данных). Договор в интернете как правило представлен в виде публичной оферты. Сайты сервисов email-рассылок и агентств email-маркетинга анализировались на наличие в публичном доступе согласия на обработку персональных данных или публичных оферт, которыми выступали лицензионные договора, условия работы с сервисом и пользовательские соглашения.
Сбор и условия обработки персональных данных выполняют 22 участника данного анализа: на их сайтах размещены публичные оферты. При этом у 4 из них также есть и отдельные согласия на обработку персональных данных, размещенные в открытом доступе. На 19 сайтах не были найдены публичные оферты или согласия на обработку персональных данных.
Требование о выполнении условий обработки персональных данных является в законе ключевым, и Роскомнадзор проверяет его в первую очередь. За неправомерную обработку персональных данных (когда ни одно из условий обработки не выполняется) сайт ждет штраф до 500 тысяч рублей или блокировка.
Наличие в общем доступе политики об обработке персональных данных
Этот пункт является обязательным требованием в случае сбора персональных данных в интернете, согласно п.2 ст.18.1 Федерального закона № 152-ФЗ «О персональных данных». За несоблюдение в ближайших поправках будет введен штраф в 50 тысяч рублей. Также это может стать предлогом для физического лица подать жалобу в Роскомнадзор.
Проверялось наличие на сайтах политики обработки персональных данных под тем или иным названием и в публичном доступе, но главное с отсылкой к пунктам закона «О персональных данных».
Практически на каждом сервисе была обнаружена политика конфиденциальности, но она лишь частично отражала положения согласно российского законодательства в области персональных данных: в ней было указано только то, что данные надежно защищаются и соблюдается их конфиденциальность. В публичном доступе политика обработки персональных данных под тем или иным названиям была обнаружена только на 6 сайтах, у остальных такой политики или нужных положений и отсылок к закону нет.
Проверки Роскомнадзора включают гораздо больше, чем те пункты, которые рассмотрели мы. Помимо них проверяется наличие внутренней организационно-распорядительной документации, наличие соглашений с контрагентами, которые передают персональные данные своих сотрудников или клиентов на обработку или же, наоборот, получают их.
Проведенный анализ показал, что большая часть сервисов email-рассылок и агентств email-маркетинга не выполняет требований законодательства. Это создает в перспективе риски для компаний, их использующих.
В связи с чем мы, SiteSecure и Б-152, рекомендуем:
владельцам сервисов email-рассылок и агентств - подготовить необходимые документы по 152-ФЗ, которые проверяет Роскомнадзор, и зарегистрироваться в реестре операторов персональных данных
пользователям и клиентам сервисов email-рассылок и агентств email-маркетинга - узнавать, соответствуют ли они проверяемым в данном исследовании параметрам, чтобы защитить себя от неожиданной блокировки ресурса, на котором вы хотели провести важную рассылку.