Колонка экспертов
25 августа 2021

Как бизнесу собирать согласия на обработку персональных данных у клиентов

Если вы используете в своей работе персональные данные клиентов, например у вас есть программа лояльности или email-рассылки, — по закону вы обязаны собирать согласие на обработку этих данных.

Наш старший юрист Ульяна Жаркова и юрист Кира Лукашина рассказали изданию «Бизнес-Секреты», в каких случаях необходимо собирать согласия на обработку персональных данных и как это правильно делать.

В статье коллеги дают примеры согласия на обработку данных, разбирают антипримеры из практики и объясняют, чем грозит компании нарушение Закона о персональных данных.

В конце статьи — шаблон клиентского согласия об обработке персональных данных: адаптируйте его под себя и используйте в своей работе.

Содержание

Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, email, паспортные данные, дата рождения, адрес, cookie-файлы и так далее.

Ст. 3 закона 152-ФЗ «О персональных данных»

Собирать согласия на обработку персональных данных нужно всем компаниям, которые работают напрямую с покупателями-физлицами.

Условия обработки персональных данных — п. 1 ч. 1 ст. 6 закона 152-ФЗ «О персональных данных»

Чтобы понять, нужно ли брать согласие у клиента на получение и обработку данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?

Если ответ «да», вам надо запрашивать согласие на обработку этих данных.

Например, клиент оставил вам свой email или телефон в заявке на обратный звонок, значит, он передал вам свои персональные данные. С согласия клиента можно эти данные использовать: перезвонить и предложить оформить заказ, отправить пуш-уведомление о скидках на старую коллекцию, отправить email-рассылку с подборкой книг в интернет-магазине и так далее.

Если вы собираете данные в таком формате, что клиента невозможно идентифицировать, вам не нужно брать согласие на обработку его данных.

Допустим, компания проводит анонимный опрос или публикует отзывы под вымышленными именами или без указания конкретных данных: «отзыв Алисы К.», «отзыв нашего покупателя из Химок», «отзыв многодетной мамы».

Еще сбор согласий не нужен в особых случаях, которые прописаны в законе. Например, закон не требует получать согласие от клиента, если его данные нужны для исполнения договора, который он уже заключил.

Не нужно брать согласие на обработку адреса, если клиент заказал у вас товар и оформил доставку на дом, потому что заключен договор купли-продажи и для его исполнения вам необходим адрес доставки.

Кира Лукашина

Кира Лукашина, юрист Mindbox

Мы выделили три частых ситуации, когда бизнес собирает клиентские данные и нужно получить согласие на их обработку:

  1. Компания собирает на сайте cookie-файлы.
  2. На сайте компании клиент может оставить контактную информацию.
  3. Компания собирает данные офлайн.

Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.

Раньше вопрос, считать ли cookie-файлы персональными данными, был спорным, но сейчас Роскомнадзор и суды широко трактуют понятие «персональные данные» и относят к ним cookie.

Сейчас Роскомнадзор и суды относят cookie к персональным данным — к такой позиции пришел суд в решении по спору между Роскомнадзором и МГТС по делу № А40-14902/2016-84-126

Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie.

Плашка с запросом согласия на сайте Mindbox
Плашка с запросом согласия на сайте Mindbox

Клиент оставил свои данные на сайте. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов.

Сбор клиентской информации компании организуют в разных формах: оформление заказа, регистрация в личном кабинете, поле для ввода номера телефона, на который перезванивает менеджер, подписка на рассылку компании, попапы со специальными предложениями или просьбой оставить отзыв об услуге или товаре.

При заполнении такой формы клиент передает вам свои персональные данные, поэтому вы должны получить его согласие.

Компания собирает информацию о клиенте офлайн. Бизнес может использовать разные маркетинговые инструменты для офлайн-сбора информации о клиенте: анкетирование, опрос, регистрация в программе лояльности на кассе в момент покупки.

Сбором информации считают любой случай, когда вы просите клиента оставить свои данные на бумаге или даже просто назвать их продавцу, который их потом где-то запишет.

2 дек
18:00
Зарегистрируйтесь, чтобы не пропустить. Мы пришлём напоминание и ссылку на запись.
Регистрируясь, вы соглашаетесь на передачу данных.

Вы можете собирать согласия у клиентов любым способом и в любой форме — в законе нет установленных шаблонов и правил. Исключение: бизнес, который работает с особенно важными данными, например с данными о здоровье или национальной принадлежности. Для этих категорий в законе прописаны повышенные требования, но к большинству компаний они не относятся.

Ст. 10 закона 152-ФЗ «О персональных данных»

Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных, и 3 года после.

В таблице — популярные способы сбора согласий.

Способы сбора согласий в офлайне Способы сбора согласий в онлайне
Печатная анкета, которую заполняет клиент Чекбокс с галочкой согласия в общей форме заявки
Подтверждение согласия через СМС-код или звонок С помощью двойного подтверждения (double opt-in) через e-mail или СМС

Рассмотрим каждый из способов.

Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде.

Бумажная анкета может отражать дух бренда, а не просто служить для сбора персональных данных
Бумажная анкета может отражать дух бренда, а не просто служить для сбора персональных данных
Бумажная анкета может отражать дух бренда, а не просто служить для сбора персональных данных

Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему у кассе для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок. Система автоматически отправляет клиенту код подтверждения.

Перед тем как подтвердить свое согласие на обработку данных, клиент должен ознакомиться с правилами программы лояльности и полным текстом согласия. Для этого можно отправить клиенту ссылку на эти документы в СМС.

Чекбокс с галочкой согласия в общей форме заявки. Клиент ставит галочку «согласен» в чекбоксе формы для сбора данных напротив ссылки на согласие и правила обработки персональных данных на сайте. Отправленная заявка с проставленной галочкой сохраняется на сайте. При необходимости ее можно выгрузить и использовать в качестве доказательства того, что клиент дал согласие.

Cайт Holodilnik.ru: пример правильного использования чекбокса с галочкой согласия
Cайт Holodilnik.ru: пример правильного использования чекбокса с галочкой согласия

Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.

Обычно double opt-in используют в двух каналах: e-mail и СМС
Обычно double opt-in используют в двух каналах: e-mail и СМС
Обычно double opt-in используют в двух каналах: e-mail и СМС

Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.

Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.

Что должно быть в согласии на обработку персональных данных

Чтобы подготовить правильную форму согласия, нужно проанализировать весь процесс сбора данных и с учетом этого лаконично и в понятной форме объяснить клиенту, что вы собираетесь делать с его данными. В законе прописаны обязательные требования к тексту согласия — изучите их при подготовке формы.

Что должно быть в согласии на обработку персональных данных — ст. 9 закона 152-ФЗ «О персональных данных»

Вот примерный перечень того, что нужно указать в согласии:

  • наименование вашей компании, как оператора, который получает согласие субъекта персональных данных, например ООО «АБВ», ИНН, адрес;
  • цели обработки персональных данных, например участие в программе лояльности, рекламные рассылки;
  • перечень персональных данных, на обработку которых человек дает согласие: ФИО, дата рождения, адрес, телефон, email и другие;
  • перечень действий с персональными данными, на совершение которых человек дает согласие, например сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение персональных данных;
  • конкретный перечень лиц, которым могут быть переданы данные, если вы собираетесь передавать их другим компаниям. Например, ООО «Ромашка», ИНН, адрес;
  • срок действия согласия: сколько времени нужно для достижения цели обработки данных, например «На срок участия покупателя в программе лояльности»;
  • способ, которым человек может отозвать согласие, например отправить письменный запрос в свободной форме на адрес вашей компании или заполнить специальную форму на сайте, отписаться через кнопку отписки в e-mail.

Закон запрещает собирать избыточные данные, не нужные для целей, которые вы заявляете в согласии. Например, если компания указывает, что собирает данные для рекламной email-рассылки, она не может требовать от клиента паспортные данные: это незаконно.

Топ-5 ошибок компаний при сборе персональных данных

Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети. Если вы видите, что на каком-то сайте собирают данные определенным образом, не стоит копировать такой пример, он может быть некорректным.

Мы собрали ряд примеров, как делать не надо, — они нарушают требования закона о сборе согласий на обработку данных.

В форме сбора данных нет запроса согласия на обработку. Даже если компания разместила на сайте политику обработки персональных данных в футере, она обязана запрашивать согласие при сборе данных в понятной клиенту форме.

Согласие клиента нужно получить в явной форме
Согласие клиента нужно получить в явной форме — в примере нет ни галочки, ни предупреждения, ни прямого вопроса

Чтобы не нарушить закон, в форму надо добавить явный запрос согласия, например поставить чекбокс или добавить подпись «Нажимая кнопку „Проконсультируйте меня“, вы даете согласие на обработку персональных данных» и прикрепить ссылку на это согласие.

Галочка в чекбоксе на согласие поставлена заранее. Если у вас в форме есть чекбокс, заполнение которого подтверждает согласие на обработку данных, нельзя автоматически делать его отмеченным. Клиент должен вручную поставить галочку, иначе это нарушение закона: согласия в явной форме не было.

Это же правило действует при согласии на получение рассылки и участие в программе лояльности: галочка не должна быть проставлена заранее. Если один из клиентов возмутится и напишет жалобу в ФАС, бизнес может получить штраф.

При оформлении заказа нельзя принуждать клиента к подписке на рассылки или участию в программе лояльности
При оформлении заказа нельзя принуждать клиента к подписке на рассылки или участию в программе лояльности

В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны. Если в согласии вы не перечислили партнеров, которым раскрываете персональные данные клиентов, значит, у вас отсутствует согласие на передачу клиентских данных — вы не сможете это делать.

Необходимо перечислить все компании, которым вы планируете передавать персональные данные клиентов
Необходимо перечислить все компании, которым вы планируете передавать персональные данные клиентов

В согласии не указано, на что именно соглашается клиент. Если нет ссылки на полный текст согласия, это нарушение закона.

В этой форме согласия отсутствуют обязательные реквизиты: нет ссылки на текст согласия
В этой форме согласия отсутствуют обязательные реквизиты: нет ссылки на текст согласия

В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных. По закону список персональных данных, на обработку которых клиент дает согласие, должен быть четко определен — надо прописать, какие именно данные вы собираете и зачем.

Нельзя писать «включая, но не ограничиваясь» в согласии на обработку персональных данных. Список сведений должен быть точным
Нельзя писать «включая, но не ограничиваясь» в согласии на обработку персональных данных. Список сведений должен быть точным

Как накажут бизнес, который не соблюдает правила обработки персональных данных

Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведение проверки.

Раньше при выявлении нарушений Роскомнадзор часто ограничивался предупреждением. Компания могла исправить нарушения и спокойно работать дальше. Но с учетом изменений в законе и тенденций в правоприменительной практике мы ожидаем, что Роскомнадзор будет штрафовать бизнес сразу, без предупреждения.

Размер штрафа зависит от вида нарушения.

Вид нарушения Штраф Пример из жизни Основание
Обработка данных с иными целями, чем заявлены при сборе, либо в не предусмот­ренных законом случаях

Первое нарушение — от 60 до 100 тысяч рублей

Повторное — от 100 до 300 тысяч рублей

Клиент оставил e-mail для оформления заказа, а вы добавили его адрес в базу данных, чтобы потом сделать рекламную email-рассылку Ч. 1 и 1.11 ст. 13.11 КоАП РФ
Не взяли согласие у клиента на обработку данных или форма согласия не соответствует закону

Первое нарушение — от 30 до 150 тысяч рублей

Повторное — от 300 до 500 тысяч рублей

Вы передаете данные покупателя маркетинговому агентству. Но согласие на обработку персональных данных, где была указана возможность их передачи третьим лицам, у покупателя вы не брали.

Значит, передача данных маркетинговому агентству незаконна

Ч. 2 и 2.1 ст. 13.11 КоАП РФ

Штрафы могут быть наложены за каждый факт нарушения. Размер штрафов зависит в том числе и от «злостности» нарушения. Например, если крупная компания неоднократно попадалась на незаконных практиках и умышленно идет на очередное нарушение в корыстных целях, скорее всего, штраф для нее будет больше, чем для ИП, который допустил нарушение по незнанию и сразу исправил свою ошибку. Точный размер штрафа определяет контролирующий орган в каждом случае индивидуально.

Чтобы избежать штрафов и недовольства клиентов, собирайте согласия и обрабатывайте персональные данные законно.

Чтобы помочь в этом, мы подготовили примерный шаблон клиентского согласия об обработке персональных данных. Скачайте его на свой гугл-диск и адаптируйте под свой бизнес.

Согласие на обработку персональных данных

Рекомендуем проконсультироваться с юристом, стандартная форма согласия может не учитывать особенности внутренних процессов в конкретной компании.

Главное

  1. Чтобы понять, нужно ли брать согласие у клиента на получение и обработку персональных данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно? Если ответ «да», вам надо запрашивать согласие на обработку этих данных.
  2. Самые частые случаи, когда требуется согласие на обработку персональных данных: компания собирает на сайте cookie-файлы, на сайте компании клиент может оставить контактную информацию, компания собирает данные офлайн.
  3. Собирать согласия у клиентов можно любым способом и в любой форме: в законе нет установленных шаблонов и правил. На усмотрение бизнеса возможен письменный или электронный формат.
  4. Хранить согласие нужно в течение всего срока его действия — обычно это период, в течение которого планируется обработка данных, — и 3 года после.
  5. В согласии на обработку данных должны быть следующие пункты: наименование вашей компании как оператора; цели обработки персональных данных; перечень персональных данных; перечень действий с персональными данными; конкретный перечень лиц, которым могут быть переданы данные; срок действия согласия; способ, которым человек может отозвать согласие.
  6. Если вы видите, что на каком-то сайте собирают данные определенным образом, не стоит копировать такой способ, он может быть некорректным.
  7. Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведения проверки. Размер штрафа зависит от вида нарушения и составляет от 30 до 500 тысяч рублей за каждый случай.