Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, может понадобиться согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок
Статья участника сообщества и нашей редакции
Ульяна Жаркова
Старший юрист Mindbox
Кира Лукашина
Юрист Mindbox
Эта статья понравилась редакции Бизнес-секретов, поэтому мы помогли автору сделать ее еще лучше
Написать статьюКогда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, может понадобиться согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок
Статья участника сообщества и нашей редакции
Ульяна Жаркова
Старший юрист Mindbox
Кира Лукашина
Юрист Mindbox
Эта статья понравилась редакции Бизнес-секретов, поэтому мы помогли автору сделать ее еще лучше
Написать статьюЕсли работаете с клиентами, наверняка спрашиваете их персональные данные — например, ФИО, адрес проживания, номер телефона, дату рождения. Такие данные обычно нужны, чтобы отправить заказ, прислать клиенту в день рождения промокод на скидку или составить договор оказания услуг.
В некоторых случаях нужно получить согласие на обработку личных данных. Частый пример — клиента просят поставить галочку в чекбоксе, что согласен получать email-рассылку. Если без спроса отправить рекламную рассылку, можно получить штраф.
Разобрались с экспертами, как бизнесу работать с персональными данными клиентов — в каких случаях необходимо собирать согласия на их обработку и как это правильно делать.
Когда необходимо собирать согласия на обработку персональных данных
Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, e-mail, паспортные данные, дата рождения, адрес, cookie-файлы и так далее.
Бизнес может обрабатывать — то есть получать, использовать или передавать такие данные клиентов — только с их согласия. Однако есть ситуации, когда оно не нужно:
- для исполнения договора с клиентом — например, курьеру нужен номер телефона получателя, чтобы узнать, куда доставить заказ;
- по закону — например, если персональные данные клиента содержатся в документах бухгалтерского и налогового учета, которые вы обязаны хранить в течение определенного срока;
- по требованию официального лица — например, если пришел следователь и просит данные ваших клиентов для расследования дела, придется их передать.
Посмотрим, как это работает на примере.
Клиент заказывает у Ивана товар с доставкой на дом. Для этого ему нужно указать адрес — иначе не получится исполнить договор. Значит, согласие на обработку данных об адресе не нужно.
Еще Иван хочет отправлять клиенту СМС с рекламными рассылками и промокодом на следующий заказ. Это не обязательно для исполнения договора, поэтому необходимо получить согласие клиента.
Некоторые юристы советуют подстраховаться и всегда получать согласие на обработку персональных данных — когда нужно и когда нет. Но это не спасает бизнес от рисков: за ошибки в форме согласия можно также получить штраф.
Поэтому рекомендуем проконсультироваться с юристом, в каких случаях вашему бизнесу нужно согласие, а когда нет.
«Чтобы понять, нужно ли брать согласие у клиента на получение и обработку данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?
Если ответ „да“, надо запрашивать согласие на обработку этих данных.
Например, клиент оставил вам свой e-mail или телефон в заявке на обратный звонок, значит, он передал вам свои персональные данные. С согласия клиента можно эти данные использовать: перезвонить и предложить оформить заказ, отправить пуш-уведомление о скидках на старую коллекцию, отправить email-рассылку с подборкой книг в интернет-магазине и так далее.
Если вы собираете данные в таком формате, что клиента невозможно идентифицировать, вам не нужно брать согласие на обработку его данных.
Допустим, компания проводит анонимный опрос или публикует отзывы под вымышленными именами или без указания конкретных данных: „отзыв Алисы К.“, „отзыв нашего покупателя из Химок“, „отзыв многодетной мамы“.
Еще сбор согласий не нужен в особых случаях, которые прописаны в законе. Например, закон не требует получать согласие от клиента, если его данные нужны для исполнения договора, который он уже заключил.
Не нужно брать согласие на обработку адреса, если клиент заказал у вас товар и оформил доставку на дом, потому что заключен договор купли-продажи и для его исполнения вам необходим адрес доставки».
Кира Лукашина
Юрист Mindbox
Эксперты выделили три частых ситуации, когда бизнес работает с персональными данными клиентов и нужно получить согласие на их обработку:
- Компания собирает на сайте cookie-файлы.
- На сайте компании клиент может оставить контактную информацию, чтобы подписаться на email-рассылку.
- Компания узнает данные офлайн для подключения клиента к программе лояльности.
Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.
Раньше вопрос, считать ли cookie-файлы персональными данными, был спорным, но сейчас Роскомнадзор и суды широко трактуют понятие «персональные данные» и относят к ним cookie.
Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie. Идеально, если посетитель сайта не сможет им пользоваться, пока не согласится с обработкой cookie.
Клиент оставил свои данные на сайте, чтобы получать email-рассылку. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов в рекламных целях. Если хотите отправлять клиенту по почте рассылку или промокоды, нужно его согласие.
Компания узнает информацию о клиенте офлайн для подключения клиента к программе лояльности. Неважно, как вы собираете данные клиента — на бумаге или клиент сообщает вам их устно, а вы сами эти данные где-то записываете, надо получать согласие на обработку персональных данных.
Способы сбора согласий на обработку персональных данных
Вы можете собирать согласия у клиентов любым способом и в любой форме — в законе нет установленных шаблонов и правил. Исключение: бизнес, который работает с особенно важными данными, например с данными о здоровье или национальной принадлежности. Для этих категорий в законе прописаны повышенные требования, но к большинству ситуаций они не относятся.
Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных. Например, если собираете данные для выдачи сотруднику пропуска в офис, их надо хранить, пока человек у вас работает.
В таблице — популярные способы сбора согласий.
Рассмотрим каждый из способов.
Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде.
Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок. Система автоматически отправляет клиенту код подтверждения.
Перед тем как подтвердить свое согласие на обработку данных, клиент должен ознакомиться с правилами программы лояльности и полным текстом согласия. Для этого можно отправить клиенту ссылку на эти документы в СМС.
Чекбокс с галочкой согласия в общей форме заявки. Клиент ставит галочку «согласен» в чекбоксе формы для сбора данных напротив ссылки на согласие на сайте. Отправленная заявка с проставленной галочкой сохраняется на сайте. При необходимости ее можно выгрузить и использовать в качестве доказательства того, что клиент дал согласие.
Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.
Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.
Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.
Что нужно сделать перед тем, как начать собирать персональные данные
Если бизнесу понадобились персональные данные, например, чтобы отправить промокод на скидку, просто так их запросить нельзя. Сначала нужно определить ответственного, уведомить Роскомнадзор и подготовить документы.
Определить ответственного. Нужно выбрать сотрудника, который будет отвечать за обработку персональных данных. Если сотрудников нет, тогда им становится сам ИП.
Ответственный должен следить за изменениями в законе о персональных данных, контролировать, чтобы все сотрудники соблюдали эти законы, реагировать на запросы Роскомнадзора или клиентов.
Когда выберете ответственного сотрудника, надо подготовить об этом приказ.
Уведомить Роскомнадзор. До начала работы с персональным данными бизнес должен уведомить об этом Роскомнадзор. Это можно сделать тремя способами:
- через сайт ведомства, если есть УКЭП;
- через Госуслуги;
- на бумаге в территориальном подразделении ведомства;
В течение 30 дней Роскомнадзор внесет компанию или ИП в реестр операторов. Если какие-то данные не указали, сотрудники ведомства могут их уточнить. После того, как бизнес добавили в реестр операторов, можно собирать и обрабатывать персональные данные.
С 2022 года уведомлять Роскомнадзор не нужно только в двух случаях:
- Обрабатываете персональные данные без автоматизации — то есть записываете их вручную на бумаге.
- Обрабатываете персональные данные в государственных защищенных системах — например, ЕГАИС, «Работа в России», «Меркурий».
Это редкие случаи — большинство ИП и компаний должны уведомить Роскомнадзор. Сделать это нужно только один раз, но надо сообщать об изменениях, если:
- изменились сведения, которые вы ранее предоставили в Роскомнадзор, например состав запрашиваемых персональных данных или ответственный за обработку персональных данных;
- прекращаете собирать и обрабатывать персональные данные, например при закрытии ИП или компании.
Сообщить об изменениях в работе нужно до 15 числа следующего месяца.
Еще с 2022 года бизнес обязан уведомлять об утечке персональных данных. Если такое случится, нужно:
- Отправить первичное уведомление в Роскомнадзор в течение 24 часов. В нем надо объяснить предполагаемую причину утечки и причиненный вред клиентам, рассказать, как планируете решать проблему. Сделать это можно на сайте ведомства в разделе «Инциденты».
- Провести внутреннюю проверку — почему так вышло и кто виноват в утечке.
- Отправить в Роскомнадзор результаты внутренней проверки в течение 72 часов. В этом документе надо указать установленную причину утечки, виновных и меры, которые приняли, чтобы ситуация не повторилась. Заполнить и отправить уведомление можно в том же разделе «Инциденты».
Если не сообщить Роскомнадзору об утечке вовремя или вообще не направить уведомления, могут оштрафовать: ИП — от 300 до 500 ₽, малые предприятия — от 1500 до 2500 ₽, средние и крупные компании — от 3000 до 5000 ₽.
Подготовить документы. Закон требует подготовить только политику обработки персональных данных. Но обычно бизнес помимо политики готовит еще и положение о защите данных. Кроме того, отдельно оформляют форму согласия на обработку персональных данных для удобства клиентов.
Посмотрим, что должно быть в каждом документе.
Как составить письменное согласие на обработку персональных данных
Посмотрим, как составить согласие на обработку персональных данных.
Сформулировать цель обработки персональных данных. Можно собирать персональные данные, которые точно нужны для работы. Закон запрещает собирать избыточные данные, не нужные для цели, которую вы заявляете в согласии.
В одном согласии укажите только одну цель. Нельзя брать одно согласие на обработку данных для нескольких целей. Также нельзя собирать согласия на обработку неограниченного перечня данных. Список собираемых персональных данных должен быть четко определен.
Чтобы отправить пиццу, бизнесу необходимо знать адрес и номер телефона, чтобы курьер мог позвонить. А вот информация о вкусовых предпочтениях, семье или работе не нужна.
Если пиццерия запустит программу лояльности, по которой дают скидку на день рождения, тогда можно будет запросить дату рождения. Но для этой цели понадобится отдельное согласие.
Если бизнес все-таки спрашивает необязательные данные, а клиент отказывается их передать — нельзя отказать ему в услуге.
Нет конкретного перечня личных данных, которые необходимы для каждой цели. Однако каждый запрос данных нужно обосновать. Клиент имеет право требовать объяснения, зачем бизнесу его данные. Тогда необходимо в течение семи дней ответить на обращение. Если клиент спросил лично, ответить нужно сразу.
Подготовить документ. Чтобы подготовить правильную форму согласия, нужно проанализировать весь процесс сбора данных и с учетом этого лаконично и в понятной форме объяснить клиенту, что вы собираетесь делать с его данными. В законе прописаны обязательные требования к тексту письменного согласия — изучите их при подготовке формы.
Вот примерный перечень того, что нужно указать в согласии:
- наименование вашей компании как оператора, который получает согласие субъекта персональных данных, например ООО «АБВ», адрес;
- ФИО, адрес субъекта, данные паспорта;
- цель обработки персональных данных, например участие в программе лояльности, рекламные рассылки;
- перечень персональных данных, на обработку которых человек дает согласие: ФИО, дата рождения, адрес, телефон, e-mail и другие;
- перечень действий с персональными данными, на совершение которых человек дает согласие, например сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение персональных данных;
- конкретный перечень лиц, которым могут быть переданы данные, если вы собираетесь передавать их другим компаниям. Например, ООО «Ромашка», ИНН, адрес;
- срок действия согласия: сколько времени нужно для достижения цели обработки данных, например «На срок участия покупателя в программе лояльности»;
- способ, которым человек может отозвать согласие, например отправить письменный запрос в свободной форме на адрес вашей компании или заполнить специальную форму на сайте, отписаться через кнопку отписки в e-mail.
Закон не обязывает писать документы на непонятном юридическом языке. У вас есть возможность сделать документы понятными для клиентов и тем самым завоевать их лояльность. Вот что на этот счет говорит юрист:
«Правила по работе с персональными данными стали строже для бизнеса. И многие предприниматели и компании относятся к этому негативно. Однако правильная работа с персональными данными может стать конкурентным преимуществом.
Приведу пример: раньше по закону все продуктовые магазины должны были вернуть деньги за товар или обменять, если он испортился. Но только ВкусВилл заявил: магазин вернет деньги, если товар испорчен или не нравится его вкус. При этом не надо никаких чеков и заявлений. Таким шагом они завоевали лояльную аудиторию. Сейчас так уже делают многие компании, но пять лет назад ВкусВилл стал первым.
Сейчас у бизнеса есть возможность завоевать лояльность аудитории, если они сделают работу с персональными данными прозрачной и удобной. Такая забота поможет выделиться на фоне конкурентов. Покажу ниже удачный вариант документа».
Павел Мищенко
Юрист, управляющий партнер Runetlex
Что делать, если клиент хочет отозвать согласие
Клиент может отозвать согласие на обработку данных в любое время. В этом случае бизнес должен их уничтожить. Как это делать, зависит от способа обработки:
- если данные обрабатывались только вручную, нужно выписать акт об их уничтожении;
- если данные обрабатывались автоматически, нужно выписать акт об их уничтожении и сделать выгрузку из журнала регистрации событий в информационной системе персональных данных.
Хранить акт и выгрузку из журнала нужно в течение трех лет с момента уничтожения персональных данных.
После отзыва согласия бизнес больше не может использовать данные клиента. Например, нельзя отправить такому клиенту промокод на электронную почту. Однако вы можете продолжать использовать персональные данные, если есть другие основания для этого. Например, для исполнения договора, который заключили с этим клиентом, или для выполнения требований закона.
Также надо уничтожить персональные данные даже без отзыва клиента, если достигли цели, для которой их запрашивали. Это нужно сделать в течение 30 дней.
Если данные хранились на бумаге, проще всего уничтожить через шредер. Если на компьютере, надо форматировать диск, удалить из базы данных. Как именно надо уничтожить, закон не поясняет. Главное — чтобы никто не смог восстановить данные в будущем.
Топ-5 ошибок компаний при сборе персональных данных
Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети. Если вы видите, что на каком-то сайте собирают данные, не стоит копировать методику, она может быть некорректной.
Мы собрали ряд примеров, как делать не надо, — они нарушают требования закона о сборе согласий на обработку данных.
❌ В форме сбора данных нет запроса согласия на обработку. Даже если компания разместила на сайте политику обработки персональных данных в футере, она обязана запрашивать согласие при сборе данных в понятной клиенту форме.
Чтобы не нарушить закон, в форму надо добавить явный запрос согласия, например поставить чекбокс или добавить подпись «Нажимая кнопку „Проконсультируйте меня“, вы даете согласие на обработку персональных данных» и прикрепить ссылку на это согласие.
❌ Галочка в чекбоксе на согласие поставлена заранее. Если у вас в форме есть чекбокс, заполнение которого подтверждает согласие на обработку данных, нельзя автоматически делать его отмеченным. Клиент должен самостоятельно поставить галочку, иначе это нарушение закона: согласия в явной форме не было.
Это же правило действует при согласии на получение рассылки и участие в программе лояльности: галочка не должна быть проставлена заранее. Если один из клиентов возмутится и напишет жалобу в надзорный орган, бизнес может получить штраф.
❌ В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны. Если в согласии вы не перечислили партнеров, которым раскрываете персональные данные клиентов, значит, у вас отсутствует согласие на передачу клиентских данных — вы не сможете это делать.
❌ В согласии не указано, на что именно соглашается клиент. Если нет ссылки на полный текст согласия, это нарушение закона.
❌ В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных. По закону список персональных данных, на обработку которых клиент дает согласие, должен быть четко определен — надо прописать, какие именно данные вы собираете и зачем.
Как накажут бизнес, который не соблюдает правила обработки персональных данных
Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведение проверки.
Размер штрафа зависит от вида нарушения и вида бизнеса. Например, для малого бизнеса действуют пониженные штрафы.
Штрафы могут быть наложены за каждый факт нарушения. Размер штрафов зависит в том числе и от «злостности» нарушения. Например, если крупная компания неоднократно попадалась на незаконных практиках и умышленно идет на очередное нарушение в корыстных целях, скорее всего, штраф для нее будет больше, чем для ИП, который допустил нарушение по незнанию и сразу исправил свою ошибку. Точный размер штрафа определяет контролирующий орган в каждом случае индивидуально.
Чтобы избежать штрафов и недовольства клиентов, собирайте согласия и обрабатывайте персональные данные законно.
Чтобы помочь в этом, мы подготовили примерный шаблон клиентского согласия об обработке персональных данных. Скачайте его на свой гугл-диск и адаптируйте под свой бизнес.
Рекомендуем проконсультироваться с юристом, стандартная форма согласия может не учитывать особенности внутренних процессов в конкретной компании.
Главное
- Чтобы понять, нужно ли брать согласие у клиента на получение и обработку персональных данных, нужно ответить на два вопроса: «Оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?» и «Есть ли у вас другие основания для обработки персональных данных, кроме согласия?»
Если на первый вопрос вы ответили «да», а на второй — «нет», вам надо запрашивать согласие на обработку этих данных. - Самые частые случаи, когда требуется согласие на обработку персональных данных: компания собирает на сайте cookie-файлы, на сайте компании клиент может оставить контактную информацию для получения рекламной рассылки.
- Чтобы начать собирать персональную информацию у клиентов, надо уведомить об этом Роскомнадзор, подготовить документы и назначить ответственного сотрудника.
- Обязательно разместите политику обработки персональных данных на всех страницах сбора персональных данных на сайте.
- Если по закону вы не обязаны получать именно письменное согласие, то собирать согласия у клиентов можете любым способом и в любой форме.
Если же вы должны получить именно письменное согласие, то сделать это можно на бумаге или в электронном виде с усиленной квалифицированной подписью клиента. - Хранить согласие нужно в течение всего срока его действия — обычно это период, в течение которого планируется обработка данных, — и 3 года после.
- В согласии на обработку данных должны быть следующие пункты: наименование и адрес вашей компании как оператора; ФИО, адрес, паспортные данные клиента, который передает вам свои данные, цель обработки персональных данных; перечень персональных данных; перечень действий с персональными данными; конкретный перечень лиц, которым могут быть переданы данные; срок действия согласия; способ, которым человек может отозвать согласие.
- Собирать у клиентов избыточную информацию нельзя. Можно собирать только те данные, которые точно нужны для работы.
- Если клиент отозвал согласие на обработку данных, нужно уничтожить их и вынести об этом акт, если у вас нет других оснований для обработки этих данных.
- Если вы видите, что на каком-то сайте собирают данные определенным образом, не стоит копировать такой способ, он может быть некорректным.
- Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведения проверки. Размер штрафа зависит от вида нарушения.
Подскажите, а как подтвердить согласие на обработку персональных данных, если клиент позвонил по телефону на сайте?
Здравствуйте.
Сделать запись звонка с согласия клиента.