С 30 мая 2025 года будут введены новые штрафы для компаний за утечку персональных данных клиентов (вступит в силу федеральный закон № 420-ФЗ). Поэтому малому бизнесу, у которого есть программы лояльности, информационные рассылки и опросы своих клиентов, следует пересмотреть работу с их данными. О том, на что необходимо обратить внимание и какие ошибки устранить, консультант по защите персональных данных компании «Б-152» Дарья Давыдова рассказала порталу Biz360.ru.
Дарья Давыдова – консультант по защите персональных данных компании «Б-152». Имеет высшее юридическое образование, прошла курсы повышения квалификации «Юрист в сфере IT» от Moscow Digital School. Компания «Б-152» с 2011 года помогает своим клиентам защищать персональные данные по российским и международным законам, разрабатывает собственные программные продукты для конфиденциальности данных.
Предприниматели стараются получить как можно больше информации о своих клиентах. Им это необходимо, чтобы лучше понимать потребности аудитории и предлагать ей релевантные товары и услуги. Например, демографические данные помогают сегментировать аудиторию, анализ покупательского поведения позволяет оптимизировать ассортимент и выкладку товаров, а контактные данные нужны для удержания покупателей с помощью программы лояльности.
Что считается сбором персональных данных сверх необходимого:
-
Дата рождения, пол или гражданство для создания учётной записи на платформе онлайн-магазина или для участия в программе лояльности. Для данных целей обычно достаточно только номера контактного телефона и имени.
-
Личные данные или подробные сведения о купленных товарах и предпочтениях во время опроса после совершения покупки. Такая информация выходит за рамки необходимых данных для улучшения сервиса.
-
Приложения некоторых компаний или сервисов требуют доступ к контактам, календарю или геолокации для корректной работы, хотя зачастую это излишне.
Согласно ч. 5 ст. 5 федерального закона №152-ФЗ «О персональных данных», содержание и объём сведений должны соответствовать целям обработки, а сами данные – не являться избыточными по отношению к заявленным целям.
Роскомнадзор признаёт обработку избыточного объёма персональных данных нарушением требований законодательства и привлекает операторов к административной ответственности.
Даже если магазин не собирает избыточные данные, очень часто возникают нарушения, связанные с отсутствием оснований для обработки персональных данных.
Например, под формой регистрации на сайте магазина есть формулировка «Регистрируясь на сайте, вы принимаете условия Оферты/Пользовательского соглашения и соглашаетесь получать рекламные предложения магазина».
Включение согласия на обработку персональных данных в условия пользовательского соглашения/оферты недопустимо. Это нарушает принцип добровольности согласия, предусмотренный ч. 1 ст. 9 закона №152-ФЗ.
Необходимо создать отдельное согласие на рекламную рассылку и дать возможность покупателю согласиться или отказаться от получения таких материалов. Это можно сделать с помощью отдельного чек-бокса с согласием.
В соответствии с ч. 1 ст. 15 закона №152-ФЗ обработка персональных данных потребителя в рекламных целях допускается только при условии его предварительного согласия. При этом на оператора возлагается обязанность доказать факт получения согласия. В противном случае такая обработка будет признана осуществляемой без согласия, что является нарушением требований законодательства РФ.
Компании должны предусмотреть возможность получения отдельного согласия покупателей на обработку их сведений, будь то заполнение анкеты в офлайн-магазине или формы сбора в онлайн-магазине. Также необходимо разработать и обеспечить неограниченный доступ к политике оператора в отношении обработки персональных данных, предусмотренной ч. 2 ст. 18.1 закона №152-ФЗ.
Ещё одна распространённая проблема – слабая защита данных. Многие организации до сих пор игнорируют базовые меры защиты, такие как шифрование данных или двухфакторная аутентификация. Без них злоумышленники могут взломать пароли пользователей, получив доступ к их аккаунту.
Кроме того, целью киберпреступников часто становятся базы данных, которые содержат имена, адреса и реквизиты банковских карт клиентов. Так, в 2019 году злоумышленники получили доступ к личным кабинетам 500 тысяч пользователей маркетплейса Ozon, потому что площадка хранила пользовательскую информацию в незашифрованном виде.
Халатность по отношению к техническим мерам защиты персональных данных приведёт не только к репутационным потерям среди покупателей, но и к серьёзным штрафным санкциям. В случае утечки персональных данных штрафы могут варьироваться от 3 млн до 20 млн рублей в зависимости от объёма и категории данных, а также от 1% до 3% совокупного размера годовой выручки организации за повторное нарушение.
По требованию ч. 1 ст. 9 закона №152-ФЗ субъект персональных данных, то есть клиент, даёт согласие на обработку своих данных свободно, своей волей и в своем интересе. А само согласие должно быть конкретным, информированным и сознательным, а с 1 сентября 2022 года – ещё и предметным, однозначным.
Компании не могут требовать от клиентов предоставления своих персональных данных в обмен на доступ к их услугам или товарам, а также скрывать от покупателя информацию об объёме обрабатываемых данных, целях и способах обработки.
Другими словами, обрабатывать персональные данные можно только в том случае, если покупатели добровольно на это согласятся и до тех пор, пока такое согласие не будет отозвано или не будет достигнута цель обработки.
Система лояльности – это поощрение покупателей за их преданность бренду через различные бонусы и скидки. Для реализации такой системы компании нужны сведения о покупках клиента, его предпочтениях, а также его контактная информация.
Перед включением клиента в программу лояльности обеспечьте соответствующие правовые основания. Ими могут стать правила программы лояльности, являющиеся публичной офертой. На сайте или в приложении необходимо разместить гиперссылку на правила под формой регистрации в программе лояльности, а в офлайн-магазине – обеспечить возможность ознакомиться и согласиться с правилами перед заполнением анкеты участника.
Не рекомендуем хранить персональные данные покупателей дольше, чем это необходимо для целей обработки. Если человек больше не участвует в программе лояльности, сведения о нём нужно удалить из системы в течение 30 дней (в соответствие с требованиями ч. 4-5 ст. 21 закона №152-ФЗ).
Собирайте только тот объём персональных данных, который необходим для реализации программы лояльности. Если для участия достаточно только номера телефона, не запрашивайте иные сведения о покупателе (паспортные данные, адрес проживания, гражданство, семейное положение и т.д.).
Соблюдайте требования законодательства в сфере персональных данных. Так вы сможете защитить бизнес от штрафов и укрепить положительную репутацию среди покупателей.
Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал, страницу в «ВКонтакте» и канал на «Яндекс.Дзен».
