Как работать с персональными данными клиентов в 2024 году

Если вы ведёте работу с клиентами, вероятно, вам приходится запрашивать их личные данные, такие как ФИО, адрес проживания, номер телефона и дату рождения. Эти сведения часто требуются для отправки заказа, направления клиенту промокода на скидку в день рождения или оформления договора на предоставление услуг.

В определённых ситуациях необходимо получить разрешение на обработку личных данных. Одним из распространённых примеров является просьба клиента поставить отметку в чекбоксе, выражая согласие на получение электронных рассылок. Несанкционированная отправка рекламных сообщений без предварительного согласия может повлечь за собой наложение штрафов.

Рассмотрим, как организациям вести работу с персональными данными клиентов, когда необходимо собирать согласия на их обработку и как это делать правильно.

Когда требуется получить согласие на обработку персональных данных

Персональные данные включают в себя любую информацию, по которой можно идентифицировать клиента: ФИО, номер телефона, адрес электронной почты, паспортные данные, дата рождения, место проживания, файлы cookie и другие аналогичные сведения.

Получение, использование и передача данных клиентов бизнесом осуществляются только при наличии их согласия. Однако существуют ситуации, когда согласие не требуется:

• в рамках исполнения договора с клиентом. Например, когда курьеру необходим номер телефона получателя для корректной доставки заказа;

• в соответствии с законодательством. Например, если персональные данные клиента включены в документы бухгалтерского и налогового учета, которые необходимо хранить в течение определенного периода;

• при запросе официального представителя. Например, в случае прихода следователя, который запрашивает данные клиентов в рамках расследования уголовного дела.

По этой причине рекомендуется получить консультацию у юриста относительно того, в каких случаях необходимо получать согласие для вашего бизнеса, а в каких – нет.

Существуют три распространённых сценария, когда бизнес взаимодействует с личными данными клиентов и должен запросить согласие на обработку:

1. Когда компания собирает cookie-файлы на своём веб-сайте.

2. Когда клиент оставляет контактную информацию на сайте компании для подписки на email-рассылку.

3. Когда компания получает данные офлайн с целью подключения клиента к программе лояльности.

Когда компания собирает cookie-файлы на своём веб-сайте. Большинство веб-сайтов применяют cookie-файлы для сбора информации о действиях пользователей. Эти файлы позволяют компании получать данные, такие как IP-адрес клиента или другие технические параметры устройства, что в последующем обеспечивает возможность идентификации пользователя.

Прежде вопрос о том, считают ли cookie-файлы персональными данными, вызывал споры, однако в настоящее время Роскомнадзор и суды широко трактуют понятие «персональные данные» и включают в него cookie-файлы.

Поэтому, если ваш веб-сайт использует cookie-файлы, необходимо отображать всплывающее окно с запросом на согласие. Оптимальным вариантом является установка таким способом, чтобы посетитель сайта не мог пользоваться им до момента согласия на обработку cookie.

Когда клиент оставляет контактную информацию на сайте компании для подписки на email-рассылку. Часто сайт компании не только служит визитной карточкой бизнеса, но и предоставляет возможность собирать контактные данные клиентов в рекламных целях. Если вы планируете отправлять клиентам электронные рассылки или предоставлять промокоды, для этого требуется их предварительное согласие.

Когда компания получает данные офлайн с целью подключения клиента к программе лояльности. Без разницы, в какой форме вы получаете данные от клиента – письменно или устно – важно получить его согласие на обработку персональных данных.

Как можно собирать согласия на обработку персональных данных

Вы имеете право собирать согласия от клиентов с использованием любого метода и в любой форме – в законодательстве отсутствуют установленные шаблоны и предписания.

Важно! Исключение: компании, оперирующие особо важными данными, такими как информация о здоровье или национальной принадлежности, подпадают под повышенные законные требования. На большинство ситуаций, однако, эти требования не распространяются.

Согласия могут быть получены в письменной или электронной форме в зависимости от предпочтения бизнеса. Рекомендуется сохранять согласия в течение всего периода их действия, который обычно совпадает с периодом обработки данных. Например, если данные собираются для выдачи пропуска в офис сотруднику, их следует хранить в течение всего периода трудоустройства данного человека.

Популярные способы сбора согласий:

Печатная анкета. Здесь должен быть включён пункт, касающийся согласия на обработку персональных данных. Клиент заполняет анкету вручную, и она должна храниться в письменной форме.

Важно! Бумажная анкета может не только служить средством сбора персональных данных, но и выражать уникальный стиль бренда.

Подтверждение согласия через СМС-код или звонок. Продавец вводит данные клиента в электронную систему на основе его устных ответов для участия в программе лояльности. После этого продавец запрашивает у клиента подтверждение согласия на передачу данных с использованием СМС-кода или звонка. Автоматическая система отправляет клиенту код подтверждения.

Важно! Перед подтверждением своего согласия на обработку данных, клиент должен ознакомиться с правилами программы лояльности и полным текстом согласия. С этой целью можно направить клиенту ссылку на указанные документы через СМС.

Чекбокс с галочкой согласия в общей форме заявки. Клиент подтверждает своё согласие, устанавливая отметку в чекбоксе формы сбора данных, расположенной рядом со ссылкой на согласие на веб-сайте. Поданная заявка с отмеченной галочкой сохраняется, может быть выгружена при необходимости, и использоваться в качестве подтверждения предоставленного клиентом согласия.

Основное требование: независимо от формы получения согласия важно сохранить подтверждение того, что клиент выразил своё согласие на обработку своих персональных данных. Для этого необходимо хранить заполненные вручную анкеты или архивировать логии – технические файлы, отражающие действия клиента на сайте.

Важно! Согласия необходимо сохранять на случай проверки со стороны контролирующих органов или в случае возникновения жалобы от клиента.

Какие шаги следует предпринять перед началом сбора персональных данных

Прежде чем бизнес сможет запросить персональные данные, например, для отправки промокода на скидку, необходимо выполнить определенные шаги. Просто так запросить эти данные невозможно. Сначала нужно назначить ответственного, уведомить Роскомнадзор и подготовить соответствующие документы.

Назначить ответственного. Необходимо выбрать сотрудника, который будет отвечать за обработку персональных данных. Если в компании отсутствуют сотрудники, тогда за это должен нести ответственность сам индивидуальный предприниматель.

Ответственный за обработку персональных данных обязан отслеживать изменения в законодательстве, контролировать соблюдение этих законов всеми сотрудниками, а также оперативно реагировать на запросы как со стороны Роскомнадзора, так и со стороны клиентов.

Когда вы определите ответственного сотрудника, необходимо составить соответствующий приказ.

Уведомить Роскомнадзор. Перед тем как приступить к обработке персональных данных, бизнес обязан уведомить об этом Роскомнадзор. Есть три способа:

• через сайт ведомства, если доступен УКЭП;

• через портал Госуслуг;

• путём предоставления уведомления на бумаге в территориальном подразделении ведомства.

В течение 30 дней Роскомнадзор включит компанию или индивидуального предпринимателя в реестр операторов. В случае неполного предоставления данных, сотрудники ведомства могут запросить дополнительные сведения. После включения бизнеса в реестр операторов, можно приступать к сбору и обработке персональных данных.

С 2022 года уведомление Роскомнадзора об обработке персональных данных не требуется только в двух случаях:

1. При обработке персональных данных без автоматизации, то есть записи их вручную на бумаге.

2. При обработке персональных данных в государственных защищённых системах, таких как ЕГАИС, «Работа в России», «Меркурий».

Эти случаи встречаются редко. Большинство индивидуальных предпринимателей и компаний должны уведомить Роскомнадзор. Это требуется сделать однократно, но также необходимо сообщать о любых изменениях, включая:

• изменение информации, предоставленной Роскомнадзору ранее, таких как изменения в составе запрашиваемых персональных данных или ответственного за их обработку;

• прекращение сбора и обработки персональных данных, например, в случае закрытия ИП или компании.

С начала 2022 года предприятия обязаны уведомлять об утечке персональных данных. В случае возникновения такой ситуации следует выполнить следующие шаги:

1. В течение 24 часов отправить первичное уведомление в Роскомнадзор, объяснив предполагаемую причину утечки, ущерб, причинённый клиентам, и изложив план по решению проблемы. Это можно сделать через раздел «Инциденты» на сайте ведомства.

2. Провести внутреннюю проверку для выяснения причин и определения ответственных за утечку данных.

3. В течение 72 часов отправить в Роскомнадзор результаты внутренней проверки, в которых указать установленную причину утечки, определить виновных и описать принятые меры для предотвращения повторения ситуации. Для этого следует заполнить и отправить уведомление через тот же раздел «Инциденты».

Отсутствие своевременного уведомления Роскомнадзора о случае утечки или вовсе его отсутствие может повлечь за собой наложение штрафов: для индивидуальных предпринимателей – от 300 до 500 рублей, для малых предприятий – от 1500 до 2500 рублей, для средних и крупных компаний – от 3000 до 5000 рублей.

Подготовить соответствующие документы. Согласно законодательству, необходимо разработать лишь политику обработки персональных данных. Тем не менее, в практике бизнеса часто создают не только политику, но также документ «Положение о защите данных». Кроме того, отдельно оформляется форма согласия на обработку персональных данных для удобства клиентов.

Что должно быть в каждом документе:

Как правильно оформить письменное разрешение на обработку персональных данных

Определите цель обработки персональных данных, собирая только те сведения, которые необходимы для её достижения. Законодательство запрещает сбор избыточных данных, не относящихся к заявленной цели в согласии.

Каждое согласие должно охватывать только одну конкретную цель. Недопустимо использовать одно согласие на обработку данных для нескольких различных целей. Также запрещено собирать согласия на обработку данных для неограниченного перечня сведений. Список персональных данных, подлежащих сбору, должен быть ясно определен.

Важно! Если компания запрашивает необязательные данные, а клиент отклоняет предоставление таких сведений, ему нельзя отказать в оказании услуги.

Отсутствует конкретный перечень персональных данных, необходимых для каждой цели. Тем не менее, каждый запрос на сбор данных должен быть обоснован. Клиент вправе требовать разъяснений относительно целей, для которых бизнес нуждается в его данных. В случае таких запросов необходимо предоставить ответ в течение семи дней. При личном запросе клиента ответ должен быть предоставлен незамедлительно.

Составьте документ. Для правильного оформления формы согласия необходимо провести анализ всего процесса сбора данных и, учитывая этот анализ, ясно и лаконично объяснить клиенту предполагаемые действия с его данными. При подготовке формы следует соблюдать обязательные требования к тексту письменного согласия, которые установлены законодательством. Ознакомьтесь с ними перед созданием документа.

Вот приблизительный перечень того, что необходимо включить в текст согласия:

• наименование вашей компании в качестве оператора, получающего согласие субъекта персональных данных;

• ФИО, адрес и паспортные данные субъекта;

• цель обработки персональных данных, такие как участие в программе лояльности или получение рекламных рассылок;

• перечень персональных данных, на обработку которых субъект даёт согласие, включая ФИО, дату рождения, адрес, телефон, e-mail и другие;

• перечень действий с персональными данными, на совершение которых субъект даёт согласие. Например, сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение персональных данных;

• конкретные лица, которым могут быть переданы данные, если предполагается передача информации другим компаниям;

• срок действия согласия, указывающий, сколько времени необходимо для достижения цели обработки данных;

• способ отзыва согласия со стороны субъекта.

Как поступить, если клиент желает отозвать своё согласие

Клиент вправе отозвать согласие на обработку данных в любое время. В таком случае бизнес обязан произвести уничтожение данных. Способ зависит от метода обработки:

• если данные обрабатывались вручную, требуется составить акт об их уничтожении;

• если обработка данных производилась автоматически, необходимо создать акт об их уничтожении и выполнить выгрузку из журнала регистрации событий в информационной системе персональных данных.

После отзыва согласия бизнес лишается возможности использовать данные клиента. Например, запрещено отправлять этому клиенту промокоды на электронную почту. Вместе с тем, существуют другие законные основания, позволяющие продолжить использование персональных данных, такие как исполнение договора, заключённого с клиентом, или соблюдение требований закона.

Необходимо уничтожить персональные данные, даже если клиент не отозвал своё согласие, при достижении цели, ради которой они были запрошены. Это требуется выполнить в течение 30 дней.

Если данные были в бумажном виде, оптимальным способом уничтожения является использование шредера. В случае электронных данных на компьютере, необходимо провести форматирование диска и удаление из базы данных. Подробности процесса уничтожения не уточнены законом, однако важно, чтобы невозможно было в будущем восстановить эти данные.

Топ-5 ошибок компаний при сборе данных

Многие компании в России часто пробуют собирать данные, но делают это некорректно, что иногда можно обнаружить в сети. При обнаружении подобных практик на каком-то сайте не рекомендуется копировать такую методику, так как она может быть неправомерной.

Несколько примеров неправильных методов, которые нарушают законные требования по сбору согласий на обработку данных.

• В форме сбора данных нет запроса согласия на обработку.

Несмотря на наличие политики обработки персональных данных в футере сайта, компания обязана запрашивать согласие при сборе данных в форме, понятной для клиента.

Для соблюдения законодательства, в форме следует внедрить явный запрос на согласие. Например, добавив чекбокс или включив утверждение «Нажимая кнопку „Перезвоните мне“, вы даёте согласие на обработку персональных данных», с прикреплением ссылки на соответствующее согласие.

• Галочка в чекбоксе на согласие поставлена заранее.

Если в форме присутствует чекбокс, который подтверждает согласие на обработку данных, не допускайте его автоматической отметки. Необходимо обеспечить возможность клиенту самостоятельно установить галочку. Иначе, это нарушение закона, поскольку согласие не было выражено явным образом.

Такое же правило применяется и к согласию на получение рассылки или участие в программе лояльности: галочка не должна быть установлена заранее. В случае возражений со стороны клиента и подачи жалобы в контролирующий орган, бизнес может быть подвергнут штрафу.

• В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны.

Если в тексте согласия отсутствует перечень партнёров, которым предоставляются персональные данные клиентов, это означает отсутствие согласия на передачу таких данных. Таким образом, передача данных клиентов партнёрам не допускается.

• В согласии не указано, на что именно соглашается клиент.

Отсутствие ссылки на полный текст согласия является нарушением закона.

• В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных.

Согласно закону, перечень персональных данных, на обработку которых клиент предоставляет согласие, должен быть определён конкретно. Необходимо детально указать, какие данные собираются, и с какой целью.

Как накажут бизнес, который не соблюдает правила обработки персональных данных

Игнорирование требований по сбору персональных данных представляет риск для компаний и индивидуальных предпринимателей. Ваш бизнес может стать объектом проверки в результате клиентских жалоб или конкурентных обращений.

Роскомнадзор также может обнаружить нарушения на вашем сайте в ходе мониторинга, и для этого не обязательно проводить официальную проверку.

Величина штрафа регулируется характером нарушения и видом бизнеса. Например, для малого бизнеса установлены более низкие штрафы.

Каждое нарушение может подразумевать наложение штрафа, и его величина зависит, в том числе, от степени «злостности» совершённого нарушения.

К примеру, если крупная компания систематически замечена в незаконных практиках и намеренно допускает новые нарушения в целях личной выгоды. Вероятнее всего, размер штрафа для нее будет выше, чем для индивидуального предпринимателя, который допустил нарушение по незнанию и незамедлительно исправил свою ошибку.

Важно! Размер штрафа устанавливается контролирующим органом в каждом конкретном случае индивидуально.

Заключение

Несоблюдение требований к сбору персональных данных представляет риск для компаний и индивидуальных предпринимателей. Ваш бизнес может быть проверен по жалобе клиента или конкурента, а также сотрудниками Роскомнадзора в рамках мониторинга нарушений на сайте. Размер штрафа зависит от характера совершенного нарушения.

Для того чтобы избежать негативных последствий в виде штрафов и недовольства клиентов, при сборе и обработке персональных данных следует соблюдать законодательные нормы и стандарты.