1 сентября для бизнеса начнут действовать новые нормы о сборе персональных данных клиентов — Госдума внесла их в закон о защите прав потребителя. Заголовки СМИ об этом «запрете» взволновали маркетологов — но безосновательно, считает IT-юрист, управляющий партнёр «Рунетлекс» Павел Мищенко.
На вебинаре EMAILMATRIX он объяснил, что эти поправки означают для бизнеса на самом деле. В этой статье — конспект выступления, а видеозапись можно получить по ссылке.
Что не изменится
Новая редакция статьи 16 закона устанавливает: продавец не вправе отказать в товаре или услуге потребителю, который не предоставил персональные данные (далее — ПД), если они не нужны для исполнения договора. Другими словами, бизнес не может делать предоставление дополнительных данных условием сделки.
Однако профильный закон о ПД (принят в 2006 году) и так гласит: «Обработка ПД должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД». Нельзя собирать избыточные данные — это основополагающий принцип закона о ПД, который теперь продублирован и в законе о защите прав потребителей.
Например, для доставки пиццы нужны номер телефона и адрес, а для аренды самоката — номер телефона и ФИО. Если на сайте пиццерии технически нельзя сделать заказ без указания емейла, семейного положения и вкусовых предпочтений, а сервис проката требует фотографии всех заполненных страниц паспорта — это нарушения. Были таковыми до новых поправок и остаются ими.
С юридической точки зрения в законодательстве ничего не изменилось. Продолжает действовать принцип «Не бери то, что не нужно для исполнения договора».
Что всё-таки изменится
Раньше обращение с ПД регулировалось в основном профильными законами — а теперь и законом прав потребителей. Похоже, накопилось достаточно случаев сбора избыточных данных в интернет-магазинах и на маркетплейсах, чтобы власти решили урегулировать этот аспект.
Покупатели смогут запрашивать цель сбора любых ПД, и продавцы будут обязаны ответить за 7 дней или, при устном обращении, немедленно. Контролировать это будет Роспотребнадзор — ведомство, которое в целом занимается потребительскими вопросами. Вероятно, оно и раньше получало подобные жалобы, но не могло ничего предпринять — и вот получило инструмент.
Реальные последствия для бизнеса — появляются ещё один контролирующий орган (Роспотребнадзор) и ещё один возможный штраф. За одно нарушение с юрлица взыщут от 30 до 50 тысяч рублей — дополнительно к «старым» 60–100 тысячам по законодательству о ПД.
Что осталось за рамками поправок
Новые нормы касаются только потребителей, то есть тех, кто приобретает товары и услуги для личных нужд. Когда человек покупает в интернет-магазине лопату для дачи, поправки действуют. Когда он заказывает там же 20 лопат для своей фирмы по рытью канав — уже нет.
Соответственно, новшества вообще не затрагивают компании, работающие в B2B. Но на них по-прежнему распространяется закон о ПД.
Что делать с рассылками
Поправки никак не влияют на емейл- и другие рассылки. Правила остаются прежними:
- Нельзя делать предоставление адреса и согласие на рассылку обязательным условием сделки.
- Нельзя предустанавливать галочки в чек-боксах: пользователь должен сам дать активное согласие.
- Нельзя прятать согласие в другие документы: практика показывает, что за это штрафуют.
- Нужны отдельные согласия на обработку ПД и на получение рассылки. Это два самостоятельных действия, которые контролируют разные органы: соответственно Роскомнадзор и антимонопольная служба. Штрафы ФАС ощутимей.
Если пользователь написал, что не хочет получать рассылку, — отключите и сообщите ему об этом. По опыту, люди сначала стараются по-хорошему договориться с компанией и только при неудаче идут жаловаться государству. Для бизнеса это закончится объяснениями с ФАС и штрафом в 100–500 тысяч рублей.
Всё, что нужно делать с рассылками с точки зрения этих законов, — это правильно брать согласие и вовремя отключать, если пользователь просит.
Встречается мнение, что подстановка имени в письмо делает рассылку нерекламной, ведь реклама адресуется неопределённому кругу лиц. ФАС опровергла это ещё несколько лет назад в решении по одной из жалоб. Ведомство считает, что сама природа емейл-рассылок предусматривает возможность отправлять разным адресатам «однообразные предложения с несколько отличающимися условиями» и изменение под конкретного получателя «не может свидетельствовать о нерекламном характере таких сообщений».
Что будет дальше
Весна отметилась серией критических нарушений закона о ПД: в открытый доступ попали данные клиентов нескольких крупных компаний. При этом административный штраф первой из них — «Яндексу» — составил 60 тысяч рублей. Сумма несопоставима с масштабом утечки и чувствительностью слитых ПД. И хотя этой цифрой «Яндекс» не отделается (есть коллективные иски от самих пользователей), стало понятно, что государство плохо регулирует этот вопрос.
Минцифры готовит законопроект об оборотных штрафах по европейскому образцу. Согласно ему, наказание за утечку ПД клиентов составит 1% от годового оборота компании. Это очень болезненно.
Проще работать с ПД не станет. Государство хоть и с опозданием, но будет реагировать на новые проблемы: ужесточать штрафы, повышать требования к прозрачности.
Что в этом хорошего
У потребителей есть законное право вернуть магазину просроченный товар и получить назад заплаченные деньги. Фактическое исполнение раньше было плохим (как сейчас с ПД): покупатель униженно доказывал просрочку, 20 минут ждал чека да ещё мог напороться на хамство.
Однажды «Вкусвилл» объявил, что без проблем вернёт деньги за товары, — не только за некачественные, но и за те, что не понравились по вкусу. Магазин добавил к законодательной норме свою и заметно повысил лояльность клиентов.
Сегодня у бизнеса есть такая же возможность получить конкурентное преимущество за счёт работы с ПД. Настройте прозрачное управление согласиями для пользователей — и используйте это как маркетинговый ход.
На Западе так уже делают:
Ответы на вопросы
— То есть раньше сферу ПД контролировал Роскомнадзор, а сейчас ещё и Роспотребнадзор?
— Роспотребнадзор будет частично контролировать работу с ПД пользователей, покупающих товары для себя. Его задача — чтобы продавцы не отказывали в заключении договоров без избыточных данных.
— Кто будет определять критерии обоснованности? И как доказывать, что не обосновали?
— Как и в других ситуациях, каждая сторона должна доказать свою позицию. Чем лучше бизнес обоснует необходимость данных для исполнения договора, тем вероятнее, что его признают невиновным. Пользователь может пожаловаться на пиццерию из-за требования телефона, но та объяснит, что без него не может выполнить обязательства, так как в 20% случаев люди не реагируют на звонок в дверь.
Думаю, и Роспотребнадзор, и Роскомнадзор будут оценивать обоснованность сбора данных довольно объективно.
— Нужно ли будет редактировать текущие политики работы с ПД и вносить туда обоснования сбора?
— Цели сбора ПД и так должны быть в политике и в согласии пользователя. Но на фоне поправок стоит проверить свои документы: прочитать свежим взглядом, попробовать переписать как на примере. Серьёзных требований к оформлению политики конфиденциальности нет, это локальный документ. Чем она понятнее и точнее, тем меньше вопросов будет у потребителей и контролирующих органов.
Вот пример такой политики конфиденциальности из нашей практики.
Подпишитесь на рассылку EMAILMATRIX, чтобы узнавать о следующих вебинарах. О чём вы хотите услышать на них? Пишите в комментариях!