Как работать с персональными данными клиентов и собирать согласия на их обработку

Если вы используете в своей работе персональные данные клиентов, например у вас есть программа лояльности или email-рассылки, по закону вы обязаны собирать согласия на обработку этих данных.

Старший юрист Mindbox Ульяна Жаркова и юрист Mindbox Кира Лукашина рассказывают про порядок работы с персональными данными, объясняют, в каких случаях необходимо собирать согласия на их обработку и как это правильно делать.

В статье даем примеры согласий на обработку данных, разбираем ошибки из практики и объясняем, чем грозит компании нарушение закона о персональных данных.

В конце статьи — шаблон клиентского согласия на обработку персональных данных — адаптируйте его под себя и используйте в своей работе.

Мы выделили три частых ситуации, когда бизнес работает с персональными данными клиентов и нужно получить согласие на их обработку:

1. Компания собирает на сайте cookie-файлы.
2. На сайте компании клиент может оставить контактную информацию.
3. Компания собирает данные офлайн.

Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.

Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie.

Клиент оставил свои данные на сайте. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов.

Сбор клиентской информации компании организуют в разных формах: оформление заказа, регистрация в личном кабинете, поле для ввода номера телефона, на который перезванивает менеджер, подписка на рассылку компании, попапы со специальными предложениями или просьбой оставить отзыв об услуге или товаре.

При заполнении такой формы клиент передает вам свои персональные данные, поэтому вы должны получить его согласие.

Компания собирает информацию о клиенте офлайн. Бизнес может использовать разные маркетинговые инструменты для офлайн-сбора информации о клиенте: анкетирование, опрос, регистрация в программе лояльности на кассе в момент покупки.

Сбором информации считают любой случай, когда вы просите клиента оставить свои данные на бумаге или даже просто назвать их продавцу, который их потом где-то запишет.

Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных, и 3 года после.

В таблице — популярные способы сбора согласий.

Рассмотрим каждый из способов.

Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде.

Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему у кассе для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок. Система автоматически отправляет клиенту код подтверждения.

Перед тем как подтвердить свое согласие на обработку данных, клиент должен ознакомиться с правилами программы лояльности и полным текстом согласия. Для этого можно отправить клиенту ссылку на эти документы в СМС.

Чекбокс с галочкой согласия в общей форме заявки. Клиент ставит галочку «согласен» в чекбоксе формы для сбора данных напротив ссылки на согласие и правила обработки персональных данных на сайте. Отправленная заявка с проставленной галочкой сохраняется на сайте. При необходимости ее можно выгрузить и использовать в качестве доказательства того, что клиент дал согласие.

Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.

Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.

Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.

Вот примерный перечень того, что нужно указать в согласии:

• наименование вашей компании, как оператора, который получает согласие субъекта персональных данных, например ООО «АБВ», ИНН, адрес;
• цели обработки персональных данных, например участие в программе лояльности, рекламные рассылки;
• перечень персональных данных, на обработку которых человек дает согласие: ФИО, дата рождения, адрес, телефон, email и другие;
• перечень действий с персональными данными, на совершение которых человек дает согласие, например сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение персональных данных;
• конкретный перечень лиц, которым могут быть переданы данные, если вы собираетесь передавать их другим компаниям. Например, ООО «Ромашка», ИНН, адрес;
• срок действия согласия: сколько времени нужно для достижения цели обработки данных, например «На срок участия покупателя в программе лояльности»;
• способ, которым человек может отозвать согласие, например отправить письменный запрос в свободной форме на адрес вашей компании или заполнить специальную форму на сайте, отписаться через кнопку отписки в e-mail.

Закон запрещает собирать избыточные данные, не нужные для целей, которые вы заявляете в согласии. Например, если компания указывает, что собирает данные для рекламной email-рассылки, она не может требовать от клиента паспортные данные: это незаконно.

Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети. Если вы видите, что на каком-то сайте собирают данные определенным образом, не стоит копировать такой пример, он может быть некорректным.

Мы собрали ряд примеров, как делать не надо, — они нарушают требования закона о сборе согласий на обработку данных.

В форме сбора данных нет запроса согласия на обработку. Даже если компания разместила на сайте политику обработки персональных данных в футере, она обязана запрашивать согласие при сборе данных в понятной клиенту форме.

Чтобы не нарушить закон, в форму надо добавить явный запрос согласия, например поставить чекбокс или добавить подпись «Нажимая кнопку „Проконсультируйте меня“, вы даете согласие на обработку персональных данных» и прикрепить ссылку на это согласие.

Галочка в чекбоксе на согласие поставлена заранее. Если у вас в форме есть чекбокс, заполнение которого подтверждает согласие на обработку данных, нельзя автоматически делать его отмеченным. Клиент должен вручную поставить галочку, иначе это нарушение закона: согласия в явной форме не было.

Это же правило действует при согласии на получение рассылки и участие в программе лояльности: галочка не должна быть проставлена заранее. Если один из клиентов возмутится и напишет жалобу в ФАС, бизнес может получить штраф.

В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны. Если в согласии вы не перечислили партнеров, которым раскрываете персональные данные клиентов, значит, у вас отсутствует согласие на передачу клиентских данных — вы не сможете это делать.

В согласии не указано, на что именно соглашается клиент. Если нет ссылки на полный текст согласия, это нарушение закона.

В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных. По закону список персональных данных, на обработку которых клиент дает согласие, должен быть четко определен — надо прописать, какие именно данные вы собираете и зачем.

Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведение проверки.

Раньше при выявлении нарушений Роскомнадзор часто ограничивался предупреждением. Компания могла исправить нарушения и спокойно работать дальше. Но с учетом изменений в законе и тенденций в правоприменительной практике мы ожидаем, что Роскомнадзор будет штрафовать бизнес сразу, без предупреждения.

Размер штрафа зависит от вида нарушения.

Штрафы могут быть наложены за каждый факт нарушения. Размер штрафов зависит в том числе и от «злостности» нарушения. Например, если крупная компания неоднократно попадалась на незаконных практиках и умышленно идет на очередное нарушение в корыстных целях, скорее всего, штраф для нее будет больше, чем для ИП, который допустил нарушение по незнанию и сразу исправил свою ошибку. Точный размер штрафа определяет контролирующий орган в каждом случае индивидуально.

Чтобы избежать штрафов и недовольства клиентов, собирайте согласия и обрабатывайте персональные данные законно.

Рекомендуем проконсультироваться с юристом, стандартная форма согласия может не учитывать особенности внутренних процессов в конкретной компании.

1. Чтобы понять, нужно ли брать согласие у клиента на получение и обработку персональных данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно? Если ответ «да», вам надо запрашивать согласие на обработку этих данных.
2. Самые частые случаи, когда требуется согласие на обработку персональных данных: компания собирает на сайте cookie-файлы, на сайте компании клиент может оставить контактную информацию, компания собирает данные офлайн.
3. Собирать согласия у клиентов можно любым способом и в любой форме: в законе нет установленных шаблонов и правил. На усмотрение бизнеса возможен письменный или электронный формат.
4. Хранить согласие нужно в течение всего срока его действия — обычно это период, в течение которого планируется обработка данных, — и 3 года после.
5. В согласии на обработку данных должны быть следующие пункты: наименование вашей компании как оператора; цели обработки персональных данных; перечень персональных данных; перечень действий с персональными данными; конкретный перечень лиц, которым могут быть переданы данные; срок действия согласия; способ, которым человек может отозвать согласие.
6. Если вы видите, что на каком-то сайте собирают данные определенным образом, не стоит копировать такой способ, он может быть некорректным.
7. Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведения проверки. Размер штрафа зависит от вида нарушения и составляет от 30 до 500 тысяч рублей за каждый случай.