Глава 1.
Законодательные ограничения распространения нежелательной почты
Теперь непосредственно к содержанию: вам предстоит начать с самого скучного, но самого «градообразующего» раздела книги — законодательства.

Законы такая штука, которая должна оградить добросовестное от недобросовестного и последнее наказать в случае, если… Однако на деле — закон есть, но его исполнение в части email-рассылок весьма сомнительное, несмотря на прописанные на бумаге правильные слова.

Но стоит сказать, что в части смс-рассылок «дамоклов меч» наказания продвинулся куда более существенно, чем в части имейл.

Штрафы стали серьезными, и количество «левых» смс разительно сошло на нет.

Мировая практика преследования спама пошла заметно дальше, к сожалению, чем наша судебная система — как исполнительная, так и доказательная.

В мире существуют энтузиасты, которые, подобно мистеру Фреклину из произведения А. Конан Дойля, преследуют спамеров путем частных судебных исков и, надо сказать, зачастую неплохо на этом зарабатывают. Так, например, один из спам-хантеров — Найджел Фитерстон — получил вознаграждение от удовлетворенного судебного иска в размере двухсот пятьдесяти тысяч долларов, только за то, что получал от компании Universal Direct рекламные письма, хоть и призывающие разбогатеть, но нежелательные для истца. К слову, Найджел мог бы требовать гораздо большую сумму, поскольку в штате Вашингтон есть жесткий закон о борьбе со спамом, согласно которому за каждое спамерское письмо отправитель обязан выплатить адресату $500.

Было доказано, что Фитерстон получил 58 тысяч писем, однако сам истец запросил всего 250 тысяч долларов, хотя мог требовать 29 миллионов.

Почитайте, что написано на этих нескольких страницах, или сразу переходите к «Причинам попадания в спам» на странице. Хотя нет, лучше все-таки прочитайте:

Закон о рекламе
Федеральный закон «О рекламе» от 13.03.2006 N 38-ФЗ (последняя редакция)

Статья 18. Реклама, распространяемая по сетям электросвязи

1. Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.
http://www.consultant.ru/document/cons_doc_LAW_58968/
Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)


Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Если вы занимаетесь рассылками и не являетесь Сервисом рассылок, вам так или иначе необходимо подать документы на регистрацию вашей компании как оператора персональных данных, во избежание неприятных последствий, поскольку:

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.



В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это любая информация, относящаяся к физическому лицу, то к ПД относятся:

  • ссылка на профиль в социальных сетях.
  • ФИО (вместе и даже по отдельности);
  • дата рождения;
  • адрес;
  • телефон;
  • email;
  • фотография;
  • ссылка на персональный сайт;
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и тому подобное, например, форму подписки на рассылку.

Однако Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Это, конечно, здорово, но не очень приятно, когда требование об уплате штрафа придет именно вам, правда?

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

Как вы думаете, если им будет пофиг, накроет ли их гневом Роскомнадзора, если нарушения будут выявлены? Я сомневаюсь. А вот вас, например, если вы небольшой интернет-магазин — вполне.

Избежать гнева Роскомнадзора все-таки можно, если следовать следующему плану
1. Если на сайте есть формы сбора информации о пользователе (подписки в том числе), разместить чекбокс «Даю свое согласие на обработку персональных данных» со ссылкой на Положение об этом на сайте.

2. Само Положение должно описывать условия обработки ПД.

3. Положение должно содержать условия обработки ПД согласно статье 9 Федерального закона № 152-ФЗ:

  • ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПД;
  • цель обработки ПД;
  • перечень ПД, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
  • срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПД.

4. Скорректируйте документ относительно вашей деятельности, задач и потребностей.

5. Следующий документ, который должен присутствовать на сайте — «Политика в отношении обработки персональных данных» (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ). В данном случае рекомендации по его составлению дает сам Роскомнадзор (http://rkn.gov.ru/personal-data/p908/).

6. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но, даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Скорее всего, вы хотите узнать случаи, когда вы ничего не должны государству, и уведомление Роскомнадзора не требуется при обработке ПД.

Это возможно, когда:

- ПД относятся к субъектам, которых связывают с оператором трудовые отношения;

- ПД получены оператором при заключении договора, но не распространяются и не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;

- являются общедоступными ПД (это самая что ни на есть формулировка-с-двойным-дном. В свое время спамеры именно так прикрывали свою спамерскую сущность — «ваш адрес был найден в открытых источниках». Но у них ничего не вышло);

- включают только ФИО субъектов ПД;

- нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;

- включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;

- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Есть еще «вишенка на торте», когда для обработки персональных данных не нужно согласие субъекта персональных данных :)

Согласно ч. 2 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:
Это возможно, когда:

- осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

- необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии (Реадмиссия — это такая штуковина в виде согласия государства на прием обратно на территорию своих граждан, а также в некоторых случаях иностранцев, прежде находившихся или проживавших в этом государстве, которые подлежат депортации из другого государства);

- осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

- осуществляется для статистических или иных научных целей (при условии обязательного обезличивания персональных данных);

- необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

- осуществляется в целях профессиональной деятельности журналиста, либо в целях научной, литературной или иной творческой деятельности при условии, что не нарушаются права и свободы субъекта персональных данных;

- осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Ну а теперь вкратце, чтобы переварить все вышесказанное:
Персональными данными является любая информация о физическом лице, в том числе:

- Адрес электронной почты, содержащий в себе фамилию и/или название компании;

- Номер банковской карты, а также, в определенных случаях, код CVC;

- В некоторых случаях номер мобильного телефона (так называемые «конфиденциальные персональные данные»).

Например:

- Электронный адрес: sergey.ivanov@mail.com – является персональными данными;

- Электронный адрес: sergey@mail.com – не является персональными данными.

http://www.consultant.ru/document/cons_doc_LAW_61801/

В том числе данный раздел подготовлен с использованием материалов размещенных на сайте СКБ Контур. (https://kontur.ru/articles/4816)

Однако важно знать, что даже если информация, относящаяся к субъекту персональных данных, не позволяет идентифицировать физическое лицо, при определенных обстоятельствах такая информация может являться персональными данными.

Пользовательское соглашение и антиспам политика
Еще раз для укрепления материала (это на самом деле очень важно).

Перечень документов, которые помогут вам правильно организовать подписку на сайте:

  • «Пользовательское соглашение». При регистрации или подписке на сайте посетитель должен отметить, что согласен на обработку персональных данных, которая регламентируется Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных «Политикой конфиденциальности»;
  • Исходя из предыдущего пункта, ссылка на документ «Политика конфиденциальности» должна быть рядом со ссылкой на «Пользовательское соглашение»;
  • Не помешает ссылка и еще на один документ — «Политика в отношении обработки персональных данных»;
  • «Форма отписки». Достаточно, если она располагается в конце сообщения, главное здесь — понятная форма без дополнительных действий. Наиболее удобный вариант — автоматическая отписка при переходе по соответствующей ссылке из письма.
Ответственность за ненадлежащее исполнение правил и норм по организации e-mail и SMS-рассылок

Согласно части 1 статьи 14.3 КоАП РФ за несоблюдение законодательства возможно наложение административных штрафов:

1. на граждан от 2 000 р. до 2 500 р.;

2. на должностные лица от 4 000 р. до 20 000 р.;

3. на юридические лица от 100 000 р. до 500 000 р.

Так же, как и email-рассылка, SMS-рассылка возможна только при предварительном согласии (ст 18 ФЗ о Рекламе).

Согласно части 1 статьи 14.3 КоАП РФ за несоблюдение законодательства возможно наложение административных штрафов:

1. на граждан от 2 000 р. до 2 500 р.;

2. на должностные лица от 4 000 р. до 20 000 р.;

3. на юридические лица от 100 000 р. до 500 000 р.

Так же, как и email-рассылка, SMS-рассылка возможна только при предварительном согласии (ст 18 ФЗ о Рекламе).

Доказательства получения согласия пользователя на получение рассылок
Важно понимать, что при судебных разбирательствах не является доказательством:

- устное согласие абонента, рекомендации знакомых и т.д.;

- информация из открытых источников;

- технический сбой или ошибка оператора (неправильно записали данные).

Также нельзя обязывать клиента автоматически получать рекламные сообщения путем соглашения на договор-оферту, должно быть обязательно предусмотрено право выбора. Лучше всего отдельно спрашивать о желании клиента получать рекламный контент. Кстати, показания сотрудников рекламодателя не являются доказательством в суде, т.к. у них есть прямая заинтересованность, поэтому старайтесь изначально организовать процесс правильно, максимально исключая человеческий фактор.
На основе вышеизложенного рекомендуем следующее:

- назначить приказом ответственное лицо;

- выработать регламент формирования и ведения клиентской базы;

- вести запись при получении согласия на рекламную рассылку по телефону;

- регулярно проводить проверку клиентской базы на основе статистической выборки;

- при работе с брендами получать согласие именно на бренд, а не просто заключать соглашение с юрлицом-владельцем бренда.

Порядок обращения граждан в ФАС

http://fas.gov.ru/citizens/treatment/


Роскомнадзор

http://rsoc.ru/treatments/ask-question/
http://rkn.gov.ru/treatments/ask-question/
It is necessary to choose a visual aid that is appropriate for the material and audience.
С 01 июля 2017 года в закон № 54-ФЗ от 22.05.2003 г. были внесены существенные изменения законом № 290-ФЗ от 03.07.2016 г., которые затронули все продажи через интернет. В соответствии с этими изменения в законе было введено новое понятие «электронные средства платежа», под которое подпадают любые платежи, осуществленные в сети Интернет физическими лицами (банковские карты, «Яндекс.деньги», «Вебмани» и т.д.). В соответствии с вышеуказанными изменениями продавец обязан в момент совершения покупки электронными средствами платежа предоставить клиенту кассовый чек, а также отправить данные о продаже в налоговую инспекцию. Некоторые платежные агрегаторы предоставляют функцию аренды кассовой техники и отправки электронного чека клиенту и в налоговую инспекцию, но далеко не все. При работе, например, с платежным агрегатором «Яндекс.деньги» продавец вынужден самостоятельно приобретать контрольно-кассовую технику (ККТ), подключать ее и интегрировать с платежной системой.
Штрафы:

Ст.14.5 КОАП РФ

  1. Неприменение контрольно-кассовой техники в установленных законодательством Российской Федерации о применении контрольно-кассовой техники случаях — влечет наложение административного штрафа на должностных лиц в размере от одной четвертой до одной второй размера суммы расчета, осуществленного без применения контрольно-кассовой техники, но не менее десяти тысяч рублей; на юридических лиц — от трех четвертых до одного размера суммы расчета, осуществленного с использованием наличных денежных средств и (или) электронных средств платежа без применения контрольно-кассовой техники, но не менее тридцати тысяч рублей.
  2. Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи в случае, если сумма расчетов, осуществленных без применения контрольно-кассовой техники, составила, в том числе в совокупности, один миллион рублей и более, — влечет в отношении должностных лиц дисквалификацию на срок от одного года до двух лет; в отношении индивидуальных предпринимателей и юридических лиц — административное приостановление деятельности на срок до девяноста суток.
  3. Применение контрольно-кассовой техники, которая не соответствует установленным требованиям, либо применение контрольно-кассовой техники с нарушением установленных законодательством Российской Федерации о применении контрольно-кассовой техники порядка регистрации контрольно-кассовой техники, порядка, сроков и условий ее перерегистрации, порядка и условий ее применения — влечет предупреждение или наложение административного штрафа на должностных лиц в размере от полутора тысяч до трех тысяч рублей; на юридических лиц — предупреждение или наложение административного штрафа в размере от пяти тысяч до десяти тысяч рублей.