Пройдите опрос о продвижении бизнеса. В ответ делимся гайдом

Пройдите опрос о продвижении бизнеса. В ответ делимся гайдом

Участвовать
Идеи для бизнесаБизнес с нуляМаркетплейсыВопросы–ответыЖизнь вне работыСправочник
Идеи для бизнесаБизнес с нуляМаркетплейсыВопросы–ответыЖизнь вне работыСправочник

Как работать с персональными данными клиентов и собирать согласия на их обработку в 2023 году


Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, может понадобиться согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок


Статья участника сообщества и нашей редакции

Ульяна Жаркова

Ульяна Жаркова

Старший юрист Mindbox

Кира Лукашина

Кира Лукашина

Юрист Mindbox

Эта статья понравилась редакции Бизнес-секретов, поэтому мы помогли автору сделать ее еще лучше

Написать статью

Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, может понадобиться согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок


Статья участника сообщества и нашей редакции

Ульяна Жаркова

Ульяна Жаркова

Старший юрист Mindbox

Кира Лукашина

Кира Лукашина

Юрист Mindbox

Эта статья понравилась редакции Бизнес-секретов, поэтому мы помогли автору сделать ее еще лучше

Написать статью

Если работаете с клиентами, наверняка спрашиваете их персональные данные — например, ФИО, адрес проживания, номер телефона, дату рождения. Такие данные обычно нужны, чтобы отправить заказ, прислать клиенту в день рождения промокод на скидку или составить договор оказания услуг.

В некоторых случаях нужно получить согласие на обработку личных данных. Частый пример — клиента просят поставить галочку в чекбоксе, что согласен получать email-рассылку. Если без спроса отправить рекламную рассылку, можно получить штраф.

Разобрались с экспертами, как бизнесу работать с персональными данными клиентов — в каких случаях необходимо собирать согласия на их обработку и как это правильно делать.

Когда необходимо собирать согласия на обработку персональных данных

Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, e-mail, паспортные данные, дата рождения, адрес, cookie-файлы и так далее.

Бизнес может обрабатывать — то есть получать, использовать или передавать такие данные клиентов — только с их согласия. Однако есть ситуации, когда оно не нужно:

  • для исполнения договора с клиентом — например, курьеру нужен номер телефона получателя, чтобы узнать, куда доставить заказ;
  • по закону — например, если персональные данные клиента содержатся в документах бухгалтерского и налогового учета, которые вы обязаны хранить в течение определенного срока;
  • по требованию официального лица — например, если пришел следователь и просит данные ваших клиентов для расследования дела, придется их передать.

Посмотрим, как это работает на примере.

Клиент заказывает у Ивана товар с доставкой на дом. Для этого ему нужно указать адрес — иначе не получится исполнить договор. Значит, согласие на обработку данных об адресе не нужно.

Еще Иван хочет отправлять клиенту СМС с рекламными рассылками и промокодом на следующий заказ. Это не обязательно для исполнения договора, поэтому необходимо получить согласие клиента.

Некоторые юристы советуют подстраховаться и всегда получать согласие на обработку персональных данных — когда нужно и когда нет. Но это не спасает бизнес от рисков: за ошибки в форме согласия можно также получить штраф.

Поэтому рекомендуем проконсультироваться с юристом, в каких случаях вашему бизнесу нужно согласие, а когда нет.

«Чтобы понять, нужно ли брать согласие у клиента на получение и обработку данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?

Если ответ „да“, надо запрашивать согласие на обработку этих данных.

Например, клиент оставил вам свой e-mail или телефон в заявке на обратный звонок, значит, он передал вам свои персональные данные. С согласия клиента можно эти данные использовать: перезвонить и предложить оформить заказ, отправить пуш-уведомление о скидках на старую коллекцию, отправить email-рассылку с подборкой книг в интернет-магазине и так далее.
Если вы собираете данные в таком формате, что клиента невозможно идентифицировать, вам не нужно брать согласие на обработку его данных.

Допустим, компания проводит анонимный опрос или публикует отзывы под вымышленными именами или без указания конкретных данных: „отзыв Алисы К.“, „отзыв нашего покупателя из Химок“, „отзыв многодетной мамы“.

Еще сбор согласий не нужен в особых случаях, которые прописаны в законе. Например, закон не требует получать согласие от клиента, если его данные нужны для исполнения договора, который он уже заключил.

Не нужно брать согласие на обработку адреса, если клиент заказал у вас товар и оформил доставку на дом, потому что заключен договор купли-продажи и для его исполнения вам необходим адрес доставки».

Кира Лукашина

Кира Лукашина

Юрист Mindbox

Эксперты выделили три частых ситуации, когда бизнес работает с персональными данными клиентов и нужно получить согласие на их обработку:

  1. Компания собирает на сайте cookie-файлы.
  2. На сайте компании клиент может оставить контактную информацию, чтобы подписаться на email-рассылку.
  3. Компания узнает данные офлайн для подключения клиента к программе лояльности.

Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.

Раньше вопрос, считать ли cookie-файлы персональными данными, был спорным, но сейчас Роскомнадзор и суды широко трактуют понятие «персональные данные» и относят к ним cookie.

Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie. Идеально, если посетитель сайта не сможет им пользоваться, пока не согласится с обработкой cookie.

Плашка с запросом согласия на сайте Mindbox

Клиент оставил свои данные на сайте, чтобы получать email-рассылку. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов в рекламных целях. Если хотите отправлять клиенту по почте рассылку или промокоды, нужно его согласие.

Компания узнает информацию о клиенте офлайн для подключения клиента к программе лояльности. Неважно, как вы собираете данные клиента — на бумаге или клиент сообщает вам их устно, а вы сами эти данные где-то записываете, надо получать согласие на обработку персональных данных.

Способы сбора согласий на обработку персональных данных

Вы можете собирать согласия у клиентов любым способом и в любой форме — в законе нет установленных шаблонов и правил. Исключение: бизнес, который работает с особенно важными данными, например с данными о здоровье или национальной принадлежности. Для этих категорий в законе прописаны повышенные требования, но к большинству ситуаций они не относятся.

Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных. Например, если собираете данные для выдачи сотруднику пропуска в офис, их надо хранить, пока человек у вас работает.

В таблице — популярные способы сбора согласий.

Способы сбора согласий в офлайнеСпособы сбора согласий в онлайне
Печатная анкета, которую заполняет клиент

Подтверждение согласия через СМС-код или звонок
Чекбокс с галочкой согласия в общей форме заявки

С помощью двойного подтверждения (double opt-in) через e-mail или СМC

Рассмотрим каждый из способов.

Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде.

Бумажная анкета может отражать дух бренда, а не просто служить для сбора персональных данных

Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок. Система автоматически отправляет клиенту код подтверждения.

Перед тем как подтвердить свое согласие на обработку данных, клиент должен ознакомиться с правилами программы лояльности и полным текстом согласия. Для этого можно отправить клиенту ссылку на эти документы в СМС.

Чекбокс с галочкой согласия в общей форме заявки. Клиент ставит галочку «согласен» в чекбоксе формы для сбора данных напротив ссылки на согласие на сайте. Отправленная заявка с проставленной галочкой сохраняется на сайте. При необходимости ее можно выгрузить и использовать в качестве доказательства того, что клиент дал согласие.

Cайт Holodilnik.ru: пример правильного использования чекбокса с галочкой согласия

Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.

Обычно double opt-in используют в двух каналах: e-mail и СМС

Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.

Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.

Что нужно сделать перед тем, как начать собирать персональные данные

Если бизнесу понадобились персональные данные, например, чтобы отправить промокод на скидку, просто так их запросить нельзя. Сначала нужно определить ответственного, уведомить Роскомнадзор и подготовить документы.

Определить ответственного. Нужно выбрать сотрудника, который будет отвечать за обработку персональных данных. Если сотрудников нет, тогда им становится сам ИП.

Ответственный должен следить за изменениями в законе о персональных данных, контролировать, чтобы все сотрудники соблюдали эти законы, реагировать на запросы Роскомнадзора или клиентов.

Когда выберете ответственного сотрудника, надо подготовить об этом приказ.

Уведомить Роскомнадзор. До начала работы с персональным данными бизнес должен уведомить об этом Роскомнадзор. Это можно сделать тремя способами:

  • через сайт ведомства, если есть УКЭП;
  • через Госуслуги;
  • на бумаге в территориальном подразделении ведомства;

В течение 30 дней Роскомнадзор внесет компанию или ИП в реестр операторов. Если какие-то данные не указали, сотрудники ведомства могут их уточнить. После того, как бизнес добавили в реестр операторов, можно собирать и обрабатывать персональные данные.

С 2022 года уведомлять Роскомнадзор не нужно только в двух случаях:

  1. Обрабатываете персональные данные без автоматизации — то есть записываете их вручную на бумаге.
  2. Обрабатываете персональные данные в государственных защищенных системах — например, ЕГАИС, «Работа в России», «Меркурий».

Это редкие случаи — большинство ИП и компаний должны уведомить Роскомнадзор. Сделать это нужно только один раз, но надо сообщать об изменениях, если:

  • изменились сведения, которые вы ранее предоставили в Роскомнадзор, например состав запрашиваемых персональных данных или ответственный за обработку персональных данных;
  • прекращаете собирать и обрабатывать персональные данные, например при закрытии ИП или компании.

Сообщить об изменениях в работе нужно до 15 числа следующего месяца.

Еще с 2022 года бизнес обязан уведомлять об утечке персональных данных. Если такое случится, нужно:

  1. Отправить первичное уведомление в Роскомнадзор в течение 24 часов. В нем надо объяснить предполагаемую причину утечки и причиненный вред клиентам, рассказать, как планируете решать проблему. Сделать это можно на сайте ведомства в разделе «Инциденты».
  2. Провести внутреннюю проверку — почему так вышло и кто виноват в утечке.
  3. Отправить в Роскомнадзор результаты внутренней проверки в течение 72 часов. В этом документе надо указать установленную причину утечки, виновных и меры, которые приняли, чтобы ситуация не повторилась. Заполнить и отправить уведомление можно в том же разделе «Инциденты».

Если не сообщить Роскомнадзору об утечке вовремя или вообще не направить уведомления, могут оштрафовать: ИП — от 300 до 500 ₽, малые предприятия — от 1500 до 2500 ₽, средние и крупные компании — от 3000 до 5000 ₽.

Подготовить документы. Закон требует подготовить только политику обработки персональных данных. Но обычно бизнес помимо политики готовит еще и положение о защите данных. Кроме того, отдельно оформляют форму согласия на обработку персональных данных для удобства клиентов.

Посмотрим, что должно быть в каждом документе.

Название документаДля чего он нуженЧто важно прописать
Политика обработки персональных данныхЭтот документ может называться и по-другому, например, политика конфиденциальности. Главное — в нем написать, какая компания или ИП будут собирать данные, зачем и что с ними будут делать.

Этот документ нужно обязательно разместить в общем доступе на своем сайте, в мобильном приложении, в офисе.
— чьи данные собираете;

— зачем собираете персональные данные;

— какие данные собираете;

— как и сколько времени будете обрабатывать данные;

— как будете уничтожать данные.
Положение о защите данныхЭто правила, по которым сотрудники будут хранить, обрабатывать и использовать информацию. Также нужно прописать, какие возможны угрозы утечки данных и как их предусмотрели.

Публиковать документ на сайте не нужно.

Но с ним нужно ознакомить всех сотрудников, которые будут иметь доступ к персональным данным клиентов.
— как защищаете персональные данные;

— кто из штата имеет доступ к персональным данным;

— как защищены информационные системы, в которых храните и обрабатываете данные;

— как контролируете безопасность.
Форма согласия на обработку персональных данныхСогласие нужно, если у вас нет других оснований для обработки данных посетителей сайта, мобильного приложения или офиса.

Есть случаи, когда нужно получать только письменное согласие. Например, при обработке биометрических или специальных категорий данных.

В остальных случаях согласия можно собирать в той форме, которая позволит подтвердить факт получения.
— реквизиты оператора;

— реквизиты лица, обрабатывающего данные по поручению;

— цель обработки персональных данных;

— список персональных данных;

— срок действия согласия;

— порядок отзыва согласия;

— подпись клиента.

Как составить письменное согласие на обработку персональных данных

Посмотрим, как составить согласие на обработку персональных данных.

Сформулировать цель обработки персональных данных. Можно собирать персональные данные, которые точно нужны для работы. Закон запрещает собирать избыточные данные, не нужные для цели, которую вы заявляете в согласии.

В одном согласии укажите только одну цель. Нельзя брать одно согласие на обработку данных для нескольких целей. Также нельзя собирать согласия на обработку неограниченного перечня данных. Список собираемых персональных данных должен быть четко определен.

Чтобы отправить пиццу, бизнесу необходимо знать адрес и номер телефона, чтобы курьер мог позвонить. А вот информация о вкусовых предпочтениях, семье или работе не нужна.

Если пиццерия запустит программу лояльности, по которой дают скидку на день рождения, тогда можно будет запросить дату рождения. Но для этой цели понадобится отдельное согласие.

Если бизнес все-таки спрашивает необязательные данные, а клиент отказывается их передать — нельзя отказать ему в услуге.

Нет конкретного перечня личных данных, которые необходимы для каждой цели. Однако каждый запрос данных нужно обосновать. Клиент имеет право требовать объяснения, зачем бизнесу его данные. Тогда необходимо в течение семи дней ответить на обращение. Если клиент спросил лично, ответить нужно сразу.

Подготовить документ. Чтобы подготовить правильную форму согласия, нужно проанализировать весь процесс сбора данных и с учетом этого лаконично и в понятной форме объяснить клиенту, что вы собираетесь делать с его данными. В законе прописаны обязательные требования к тексту письменного согласия — изучите их при подготовке формы.

Вот примерный перечень того, что нужно указать в согласии:

  • наименование вашей компании как оператора, который получает согласие субъекта персональных данных, например ООО «АБВ», адрес;
  • ФИО, адрес субъекта, данные паспорта;
  • цель обработки персональных данных, например участие в программе лояльности, рекламные рассылки;
  • перечень персональных данных, на обработку которых человек дает согласие: ФИО, дата рождения, адрес, телефон, e-mail и другие;
  • перечень действий с персональными данными, на совершение которых человек дает согласие, например сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение персональных данных;
  • конкретный перечень лиц, которым могут быть переданы данные, если вы собираетесь передавать их другим компаниям. Например, ООО «Ромашка», ИНН, адрес;
  • срок действия согласия: сколько времени нужно для достижения цели обработки данных, например «На срок участия покупателя в программе лояльности»;
  • способ, которым человек может отозвать согласие, например отправить письменный запрос в свободной форме на адрес вашей компании или заполнить специальную форму на сайте, отписаться через кнопку отписки в e-mail.

Закон не обязывает писать документы на непонятном юридическом языке. У вас есть возможность сделать документы понятными для клиентов и тем самым завоевать их лояльность. Вот что на этот счет говорит юрист:

«Правила по работе с персональными данными стали строже для бизнеса. И многие предприниматели и компании относятся к этому негативно. Однако правильная работа с персональными данными может стать конкурентным преимуществом.

Приведу пример: раньше по закону все продуктовые магазины должны были вернуть деньги за товар или обменять, если он испортился. Но только ВкусВилл заявил: магазин вернет деньги, если товар испорчен или не нравится его вкус. При этом не надо никаких чеков и заявлений. Таким шагом они завоевали лояльную аудиторию. Сейчас так уже делают многие компании, но пять лет назад ВкусВилл стал первым.

Сейчас у бизнеса есть возможность завоевать лояльность аудитории, если они сделают работу с персональными данными прозрачной и удобной. Такая забота поможет выделиться на фоне конкурентов. Покажу ниже удачный вариант документа».

Павел Мищенко

Павел Мищенко

Юрист, управляющий партнер Runetlex

Компания сделала политику обработки персональных данных в виде сервиса. Клиенты могут отметить, какие сведения готовы передать

Что делать, если клиент хочет отозвать согласие

Клиент может отозвать согласие на обработку данных в любое время. В этом случае бизнес должен их уничтожить. Как это делать, зависит от способа обработки:

  • если данные обрабатывались только вручную, нужно выписать акт об их уничтожении;
  • если данные обрабатывались автоматически, нужно выписать акт об их уничтожении и сделать выгрузку из журнала регистрации событий в информационной системе персональных данных.

Хранить акт и выгрузку из журнала нужно в течение трех лет с момента уничтожения персональных данных.

После отзыва согласия бизнес больше не может использовать данные клиента. Например, нельзя отправить такому клиенту промокод на электронную почту. Однако вы можете продолжать использовать персональные данные, если есть другие основания для этого. Например, для исполнения договора, который заключили с этим клиентом, или для выполнения требований закона.

Также надо уничтожить персональные данные даже без отзыва клиента, если достигли цели, для которой их запрашивали. Это нужно сделать в течение 30 дней.

Если данные хранились на бумаге, проще всего уничтожить через шредер. Если на компьютере, надо форматировать диск, удалить из базы данных. Как именно надо уничтожить, закон не поясняет. Главное — чтобы никто не смог восстановить данные в будущем.

Топ-5 ошибок компаний при сборе персональных данных

Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети. Если вы видите, что на каком-то сайте собирают данные, не стоит копировать методику, она может быть некорректной.

Мы собрали ряд примеров, как делать не надо, — они нарушают требования закона о сборе согласий на обработку данных.

В форме сбора данных нет запроса согласия на обработку. Даже если компания разместила на сайте политику обработки персональных данных в футере, она обязана запрашивать согласие при сборе данных в понятной клиенту форме.

Согласие клиента нужно получить в явной форме — в примере нет ни галочки, ни предупреждения, ни прямого вопроса

Чтобы не нарушить закон, в форму надо добавить явный запрос согласия, например поставить чекбокс или добавить подпись «Нажимая кнопку „Проконсультируйте меня“, вы даете согласие на обработку персональных данных» и прикрепить ссылку на это согласие.

Галочка в чекбоксе на согласие поставлена заранее. Если у вас в форме есть чекбокс, заполнение которого подтверждает согласие на обработку данных, нельзя автоматически делать его отмеченным. Клиент должен самостоятельно поставить галочку, иначе это нарушение закона: согласия в явной форме не было.

Это же правило действует при согласии на получение рассылки и участие в программе лояльности: галочка не должна быть проставлена заранее. Если один из клиентов возмутится и напишет жалобу в надзорный орган, бизнес может получить штраф.

При оформлении заказа нельзя принуждать клиента к подписке на рассылки или участию в программе лояльности

В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны. Если в согласии вы не перечислили партнеров, которым раскрываете персональные данные клиентов, значит, у вас отсутствует согласие на передачу клиентских данных — вы не сможете это делать.

Необходимо перечислить все компании, которым вы планируете передавать персональные данные клиентов

В согласии не указано, на что именно соглашается клиент. Если нет ссылки на полный текст согласия, это нарушение закона.

В этой форме согласия отсутствуют обязательные реквизиты: нет ссылки на текст согласия

В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных. По закону список персональных данных, на обработку которых клиент дает согласие, должен быть четко определен — надо прописать, какие именно данные вы собираете и зачем.

Нельзя писать «включая, но не ограничиваясь» в согласии на обработку персональных данных. Список сведений должен быть точным

Как накажут бизнес, который не соблюдает правила обработки персональных данных

Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведение проверки.

Размер штрафа зависит от вида нарушения и вида бизнеса. Например, для малого бизнеса действуют пониженные штрафы.

Какое правило нарушилиШтрафОснование
Обрабатывали данные с иными целями, чем указаны в согласииЗа первое нарушение:

для ИП — от 10 000 до 20 000 ₽;

для малых предприятий — от 30 000 до 50 000 ₽ ;

для средних и крупных компаний — от 60 000 до 100 000 ₽.

За повторное нарушение:

для ИП и малых предприятий — от 50 000 до 100 000 ₽;

для средних и крупных компаний — от 100 000 до 300 000 ₽.
ч. 1 и 1.1 ст. 13.11. КоАП РФ
Использовали данные клиента без согласия, когда оно необходимо. Или форма согласия не соответствует законуЗа первое нарушение:

для ИП — от 20 000 до 40 000 ₽;

для малых предприятий — от 15 000 до 75 000 ₽;

для средних и крупных компаний: от 30 000 до 150 000 ₽.

За повторное нарушение:

для ИП и малых предприятий — от 100 000 до 300 000 ₽;

для средних и крупных компаний — от 300 000 до 500 000 ₽.
Ч. 2 и 2.1 ст. 13.11 КоАП РФ
Не уничтожили персональные данные по требованию клиентаЗа первое нарушение:

для ИП и малых предприятий — от 20 000 до 40 000 ₽;

для средних и крупных компаний — от 50 000 до 90 000 ₽.

За повторное нарушение:

для ИП и малых предприятий — от 50 000 до 100 000 ₽;

для средних и крупных компаний — от 300 000 до 500 000 ₽.
ч. 5 и 5.1 ст. 13.11. КоАП РФ
Не опубликовали на всех страницах сбора данных на сайте политику персональных данныхДля ИП и малых предприятий — от 10 000 до 20 000 ₽;

для средних и крупных компаний — от 30 000 до 60 000 ₽.
ч. 3 ст. 13.11. КоАП РФ
За утечку персональных данных из-за неправильного храненияДля ИП и малых предприятий — от 20 000 до 40 000 ₽;

для средних и крупных компаний — от 50 000 до 100 000 ₽.
ч. 6 ст. 13.11. КоАП РФ
Вовремя не подали уведомление в РоскомнадзорДля ИП — от 300 до 500 ₽;

для малых предприятий
— от 1500 до 2500 ₽;

для средних и крупных компаний — от 3000 до 5000 ₽.
Ст. 19.7. КоАП РФ

Штрафы могут быть наложены за каждый факт нарушения. Размер штрафов зависит в том числе и от «злостности» нарушения. Например, если крупная компания неоднократно попадалась на незаконных практиках и умышленно идет на очередное нарушение в корыстных целях, скорее всего, штраф для нее будет больше, чем для ИП, который допустил нарушение по незнанию и сразу исправил свою ошибку. Точный размер штрафа определяет контролирующий орган в каждом случае индивидуально.

Чтобы избежать штрафов и недовольства клиентов, собирайте согласия и обрабатывайте персональные данные законно.

Чтобы помочь в этом, мы подготовили примерный шаблон клиентского согласия об обработке персональных данных. Скачайте его на свой гугл-диск и адаптируйте под свой бизнес.

Рекомендуем проконсультироваться с юристом, стандартная форма согласия может не учитывать особенности внутренних процессов в конкретной компании.

Главное

  1. Чтобы понять, нужно ли брать согласие у клиента на получение и обработку персональных данных, нужно ответить на два вопроса: «Оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?» и «Есть ли у вас другие основания для обработки персональных данных, кроме согласия?»

    Если на первый вопрос вы ответили «да», а на второй — «нет», вам надо запрашивать согласие на обработку этих данных.
  2. Самые частые случаи, когда требуется согласие на обработку персональных данных: компания собирает на сайте cookie-файлы, на сайте компании клиент может оставить контактную информацию для получения рекламной рассылки.
  3. Чтобы начать собирать персональную информацию у клиентов, надо уведомить об этом Роскомнадзор, подготовить документы и назначить ответственного сотрудника.
  4. Обязательно разместите политику обработки персональных данных на всех страницах сбора персональных данных на сайте.
  5. Если по закону вы не обязаны получать именно письменное согласие, то собирать согласия у клиентов можете любым способом и в любой форме.

    Если же вы должны получить именно письменное согласие, то сделать это можно на бумаге или в электронном виде с усиленной квалифицированной подписью клиента.
  6. Хранить согласие нужно в течение всего срока его действия — обычно это период, в течение которого планируется обработка данных, — и 3 года после.
  7. В согласии на обработку данных должны быть следующие пункты: наименование и адрес вашей компании как оператора; ФИО, адрес, паспортные данные клиента, который передает вам свои данные, цель обработки персональных данных; перечень персональных данных; перечень действий с персональными данными; конкретный перечень лиц, которым могут быть переданы данные; срок действия согласия; способ, которым человек может отозвать согласие.
  8. Собирать у клиентов избыточную информацию нельзя. Можно собирать только те данные, которые точно нужны для работы.
  9. Если клиент отозвал согласие на обработку данных, нужно уничтожить их и вынести об этом акт, если у вас нет других оснований для обработки этих данных.
  10. Если вы видите, что на каком-то сайте собирают данные определенным образом, не стоит копировать такой способ, он может быть некорректным.
  11. Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведения проверки. Размер штрафа зависит от вида нарушения.
Расчетный счет для бизнеса

Предложение Тинькофф

Расчетный счет для бизнеса

  • Бесплатное открытие, онлайн. Реквизиты — в день заявки
  • Первые два месяца — бесплатное обслуживание
  • Любые платежи ИП и юрлицам внутри банка — 0 ₽
Узнать больше

АО «Тинькофф Банк», лицензия №2673

St3.14 St3.14

Подскажите, а как подтвердить согласие на обработку персональных данных, если клиент позвонил по телефону на сайте?

Эксперт Бизнес-секретов
Эксперт Бизнес-секретов

Здравствуйте.
Сделать запись звонка с согласия клиента.


Больше по теме