Разбиваем мифы и даём подробную инструкцию, как всё сделать правильно.
Интернет переполнен статьями о персональных данных, но статей для маркетологов на эту тему не так много. И это странно, ведь именно маркетинг работает с персональными данными пользователей: собирает данные новых клиентов и коммуницирует с клиентской базой.
Как это делать правильно, не создавая рисков для компании? Как организовать обработку персональных данных в полном соответствии закону? Какие самые популярные заблуждения о персональных данных встречаются среди маркетологов? Алина Щукина, юрист CRM-агентства Out of Cloud отвечает на эти вопросы, изучив последние изменения в законодательстве и судебную практику касательно ПД.
Число жалоб граждан и юридических лиц на незаконную обработку персональных данных за первое полугодие 2019 г. выросло на 44% и превысило 25 000. С одной стороны, это можно объяснить ростом интернет-торговли и тем, что многие услуги стали доступными онлайн. Но чаще всего причиной жалоб становятся ошибки в организации сбора и обработки персональных данных. Цена такой ошибки может стоить компании от 15 тысяч до 18 миллионов рублей.
Итак, начнем с самых популярных мифов про персональные данные, которые встречаются среди маркетологов.
Миф 1. Email-адрес — это не персональные данные
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному человеку. К таким данным относятся имя, фамилия, email, номер телефона, адрес, номер паспорта, СНИЛС.
Однозначной трактовки относительно email-адреса закон не дает, в случае судебного разбирательства каждый адрес будет рассмотрен отдельно. Но как показывает практика, ПД может быть признан как обычный email-адрес [email protected], так и его креативная версия: [email protected].
Миф 2. Данные из открытых источников — это не персональные данные
ПД из открытых источников (соцсетей типа «ВКонтакте», «Одноклассники», «МойМир», Instragram, Twitter; интернет-порталов «Авито» и Авто.ру), несмотря на их общедоступность, тоже попадают под действие Закона о персональных данных и требуют согласия на их обработку от пользователя. Обогащать клиентские базы такими данными незаконно.
Миф 3. Хранить персональные данные не означает их обрабатывать
Термин «обработка персональных данных» в принципе включает в себя все, что можно с этими данными делать: собирать, записывать, систематизировать, использовать, передавать, удалять. Поэтому отговорка «мы ничего не делаем с данными, только собираем» плохо сработает для проверяющих органов.
Если компания собирает данные пользователей через форму заказа в интернет-магазине, форму обратной связи или через подписку на получение рассылок, она уже их обрабатывает и является оператором персональных данных.
Миф 4. Если передаешь обработку персональных данных агентству, то снимаешь с себя всю ответственность
Компания может передавать право на обработку ПД третьим лицам, например, агентствам, которые проводят рекламные кампании. Но важно помнить, что при этом компания остается оператором ПД и продолжает нести ответственность за их сохранность и безопасность. Тут действует правило: кто определяет цель — тот и оператор персональных данных.
Часто происходит путаница и нарушение закона по следующему сценарию: крупная международная компания хранит данные своих клиентов в облаке, но оператором в соглашении об обработке ПД выступает агентство, которое проводит рассылки. При этом договор на аренду облачного сервера заключен между компанией и дата-центром напрямую. Клиентские данные используются для рекламных целей компании, а не агентства. Это пример серьезного нарушения, потому что компания все это время является оператором ПД, но обрабатывает их без соответствующих разрешений и документов.
Агентство не может стать оператором ПД другой компании, потому что именно компания определяет какие данные следует обрабатывать: имя, фамилию, email, адрес, телефон — и что можно с этими данными делать: хранить или использовать для каких-либо коммуникаций. Компания отвечает за уничтожение, изменение и дополнение персональных данных. Она несет ответственность перед пользователями за любые действия третьих лиц, кому передаются персональные данные.
Агентство в этом случае выступает обработчиком, который должен обеспечить конфиденциальность и безопасность ПД. Обработчик должен соблюдать правила ФЗ 152, но он освобождается от ответственности за несоблюдение в той части, где эта обязанность переходит на оператора. Например, обработчик не обязан получать согласие пользователей на обработку ПД и не обязан проверять, что такое согласие есть у компании — оператора ПД.
Интересно, что в законе однозначно не прописано, должен обработчик быть зарегистрирован в качестве оператора или нет. Но анализируя судебную практику, можно сделать вывод, что это необходимо. Поэтому стоит проверить, есть ли агентство, с которым работает ваша компания, в реестре операторов ПД на сайте Роскомнадзора.
Миф 5. Для того чтобы стать оператором персональных данных, нужно потратить уйму денег и времени
На самом деле это не так. Да, неюристу разобраться в требованиях законодательства и инструкциях бывает непросто. Тут на помощь приходят юридические компании и маркетинговые агентства, специализирующиеся на работе с персональными данными. Они проводят аудит текущей ситуации и корректно составляют все документы.
Но все правильно оформить можно и самостоятельно, если следовать нашей инструкции.
На всякий случай напомним: чтобы стать оператором персональных данных, компания должна соответствовать требованиям Роскомнадзора — это должно быть юрлицо, зарегистрированное в России. Данные должны храниться на территории России. В компании должны быть соответствующие специалисты и оборудование для безопасного хранения данных.
Инструкция: как организовать обработку персональных данных в компании
Шаг 1. Внести компанию в реестр операторов персональных данных.
Для этого нужно заполнить уведомление через онлайн-форму на сайте Роскомнадзора и выслать бумажное уведомление по почте. Через 30 дней следует проверить, появилась ли компания в реестре на том же сайте. Тут действует уведомительный, а не разрешительный порядок, поэтому дату начала обработки персональных данных можно указать задним числом.
Шаг 2. Добавить согласие на обработку персональных данных во все формы сбора контактной информации на сайте и в приложении.
Не забудьте также включить пункт «Согласие на обработку данных» в бумажные анкеты и опросники, если вы собираете данные офлайн.
Шаг 3. Подготовить и разместить политику обработки данных в общедоступном месте.
Пример универсальной политики можно найти на сайте Out of Cloud в разделе «Материалы». Советуем обратить внимание на раздел «Цели сбора персональных данных» в этом документе. Это ключевое положение политики, пусть оно включает в себя все разрешенные законодательством действия, даже если вы только планируете эти активности. Получить новое согласие пользователей на дополнительные действия будет сложнее. Укажите в этом документе срок, наименование и контакты оператора и третьих лиц, кому могут быть переданы права на обработку персональных данных.
Шаг 4. Подготовить политику информационной безопасности, в которой будет прописано, как компания защищает данные с технической точки зрения.
На сайте размещать эту политику не нужно, но в случае проверки Роскомнадзора она потребуется.
Шаг 5. Собрать согласие на рассылку с пользователей.
Этот пункт попадает под действие Закона о рекламе. Тут важно, чтобы клиент дал активное согласие на получение рекламных сообщений. Например, поставить галочку или подтвердить свое согласие переходом по ссылке.
Предустановленная галочка в согласии на рассылку, которая встречается на многих сайтах, не будет являться доказательством того, что клиент добровольно согласился получать рассылку от компании.
Отличная статья! Спасибо за Ваш труд.
Пожалуйста за наш труд!)