Что нужно знать маркетологу о работе с персональными данными

Разбиваем мифы и даём подробную инструкцию, как всё сделать правильно.

Интернет переполнен статьями о персональных данных, но статей для маркетологов на эту тему не так много. И это странно, ведь именно маркетинг работает с персональными данными пользователей: собирает данные новых клиентов и коммуницирует с клиентской базой.

Как это делать правильно, не создавая рисков для компании? Как организовать обработку персональных данных в полном соответствии закону? Какие самые популярные заблуждения о персональных данных встречаются среди маркетологов? Алина Щукина, юрист CRM-агентства Out of Cloud отвечает на эти вопросы, изучив последние изменения в законодательстве и судебную практику касательно ПД.

Число жалоб граждан и юридических лиц на незаконную обработку персональных данных за первое полугодие 2019 г. выросло на 44% и превысило 25 000. С одной стороны, это можно объяснить ростом интернет-торговли и тем, что многие услуги стали доступными онлайн. Но чаще всего причиной жалоб становятся ошибки в организации сбора и обработки персональных данных. Цена такой ошибки может стоить компании от 15 тысяч до 18 миллионов рублей.

Итак, начнем с самых популярных мифов про персональные данные, которые встречаются среди маркетологов.

Миф 1. Email-адрес — это не персональные данные

Персональные данные — любая информация, относящаяся прямо или косвенно к определенному человеку. К таким данным относятся имя, фамилия, email, номер телефона, адрес, номер паспорта, СНИЛС.

Однозначной трактовки относительно email-адреса закон не дает, в случае судебного разбирательства каждый адрес будет рассмотрен отдельно. Но как показывает практика, ПД может быть признан как обычный email-адрес ivanovivan1985@ttt.ru, так и его креативная версия: superman_ivanov@yan.ru.

Миф 2. Данные из открытых источников — это не персональные данные

ПД из открытых источников (соцсетей типа «ВКонтакте», «Одноклассники», «МойМир», Instragram, Twitter; интернет-порталов «Авито» и Авто.ру), несмотря на их общедоступность, тоже попадают под действие Закона о персональных данных и требуют согласия на их обработку от пользователя. Обогащать клиентские базы такими данными незаконно.

Миф 3. Хранить персональные данные не означает их обрабатывать

Термин «обработка персональных данных» в принципе включает в себя все, что можно с этими данными делать: собирать, записывать, систематизировать, использовать, передавать, удалять. Поэтому отговорка «мы ничего не делаем с данными, только собираем» плохо сработает для проверяющих органов.

Если компания собирает данные пользователей через форму заказа в интернет-магазине, форму обратной связи или через подписку на получение рассылок, она уже их обрабатывает и является оператором персональных данных.

Миф 4. Если передаешь обработку персональных данных агентству, то снимаешь с себя всю ответственность

Компания может передавать право на обработку ПД третьим лицам, например, агентствам, которые проводят рекламные кампании. Но важно помнить, что при этом компания остается оператором ПД и продолжает нести ответственность за их сохранность и безопасность. Тут действует правило: кто определяет цель — тот и оператор персональных данных.

Часто происходит путаница и нарушение закона по следующему сценарию: крупная международная компания хранит данные своих клиентов в облаке, но оператором в соглашении об обработке ПД выступает агентство, которое проводит рассылки. При этом договор на аренду облачного сервера заключен между компанией и дата-центром напрямую. Клиентские данные используются для рекламных целей компании, а не агентства. Это пример серьезного нарушения, потому что компания все это время является оператором ПД, но обрабатывает их без соответствующих разрешений и документов.

Агентство не может стать оператором ПД другой компании, потому что именно компания определяет какие данные следует обрабатывать: имя, фамилию, email, адрес, телефон — и что можно с этими данными делать: хранить или использовать для каких-либо коммуникаций. Компания отвечает за уничтожение, изменение и дополнение персональных данных. Она несет ответственность перед пользователями за любые действия третьих лиц, кому передаются персональные данные.

Агентство в этом случае выступает обработчиком, который должен обеспечить конфиденциальность и безопасность ПД. Обработчик должен соблюдать правила ФЗ 152, но он освобождается от ответственности за несоблюдение в той части, где эта обязанность переходит на оператора. Например, обработчик не обязан получать согласие пользователей на обработку ПД и не обязан проверять, что такое согласие есть у компании — оператора ПД.

Интересно, что в законе однозначно не прописано, должен обработчик быть зарегистрирован в качестве оператора или нет. Но анализируя судебную практику, можно сделать вывод, что это необходимо. Поэтому стоит проверить, есть ли агентство, с которым работает ваша компания, в реестре операторов ПД на сайте Роскомнадзора.

Миф 5. Для того чтобы стать оператором персональных данных, нужно потратить уйму денег и времени

На самом деле это не так. Да, неюристу разобраться в требованиях законодательства и инструкциях бывает непросто. Тут на помощь приходят юридические компании и маркетинговые агентства, специализирующиеся на работе с персональными данными. Они проводят аудит текущей ситуации и корректно составляют все документы.

Но все правильно оформить можно и самостоятельно, если следовать нашей инструкции.

Шаг 1. Внести компанию в реестр операторов персональных данных.

Для этого нужно заполнить уведомление через онлайн-форму на сайте Роскомнадзора и выслать бумажное уведомление по почте. Через 30 дней следует проверить, появилась ли компания в реестре на том же сайте. Тут действует уведомительный, а не разрешительный порядок, поэтому дату начала обработки персональных данных можно указать задним числом.

Шаг 2. Добавить согласие на обработку персональных данных во все формы сбора контактной информации на сайте и в приложении.

Не забудьте также включить пункт «Согласие на обработку данных» в бумажные анкеты и опросники, если вы собираете данные офлайн.

Шаг 3. Подготовить и разместить политику обработки данных в общедоступном месте.

Пример универсальной политики можно найти на сайте Out of Cloud в разделе «Материалы». Советуем обратить внимание на раздел «Цели сбора персональных данных» в этом документе. Это ключевое положение политики, пусть оно включает в себя все разрешенные законодательством действия, даже если вы только планируете эти активности. Получить новое согласие пользователей на дополнительные действия будет сложнее. Укажите в этом документе срок, наименование и контакты оператора и третьих лиц, кому могут быть переданы права на обработку персональных данных.

Шаг 4. Подготовить политику информационной безопасности, в которой будет прописано, как компания защищает данные с технической точки зрения.

На сайте размещать эту политику не нужно, но в случае проверки Роскомнадзора она потребуется.

Шаг 5. Собрать согласие на рассылку с пользователей.

Этот пункт попадает под действие Закона о рекламе. Тут важно, чтобы клиент дал активное согласие на получение рекламных сообщений. Например, поставить галочку или подтвердить свое согласие переходом по ссылке.

Предустановленная галочка в согласии на рассылку, которая встречается на многих сайтах, не будет являться доказательством того, что клиент добровольно согласился получать рассылку от компании.