К нам пришёл ФАС или Что бывает за несогласованную рассылку рекламных смс

При лидогенерации важно фиксировать согласия пользователя:

• на использование его персональных данных;
• на получение им рекламных сообщений.

И хранить эти согласия нужно весь период, пока длятся коммуникации с пользователем, но не менее года. Дело в том, что срок привлечения к ответственности за правонарушение по части использования персональных данных составляет именно один год. В идеале — три, но любые персональные данные необходимо удалить по требованию пользователя.

Если не проконтролировать фиксацию согласия, можно столкнуться с ситуацией, в которую весной 2021 года попали мы.

Крупный бренд не хранил архив с системными данными о подтверждениях, что пользователи, которые предоставили на сайте свои номера телефонов, готовы получать рекламные рассылки.

Пользователь получил промосмс, согласия на получение которого он не давал. Спустя месяц ему пришло повторное сообщение.

Сначала пользователь обратился к оператору связи, где ему ответили, что якобы согласие на рассылки он дал устно, когда посещал офис компании.

Такой ответ пользователя не устроил, и он обратился с жалобой в Федеральную Антимонопольную Службу, которая возбудила и рассмотрела дело об административном правонарушении.

Доказательств, что согласие есть, отправитель смс предоставить не смог.

Ответственность понесли все: заказчик — бренд, от имени которого было отправлено смс, исполнитель — CRM-агентство, подрядчик — платформа отправки смс-рассылки.

Причин, почему рассылка может уйти тем, кто не давал согласия, может быть несколько.

Самая невинная — невнимательность. Например, есть чекбокс о согласии на получение рассылки, но не проверили, подтянулись ли системные данные (логи) о наличии согласия. Они могут отсутствовать из-за того, что не настроена интеграция с почтовым сервером.

А, может быть, подрядчик купил базу данных или использовал агрегаторы, генерирующие номера телефонов.

В любом случае по закону на рекламораспространителе лежит обязанность доказать наличие согласия, и по умолчанию предполагается, что согласия нет. И даже если оно было получено, возможна ситуация, что доказательства его получения окажутся для ФАС недостаточными с точки зрения того, действительно ли пользователь согласен на получение рассылок: например, чекбокс был проставлен заранее, а пользователь говорит, что не заметил его.

Но результат один — ответственность. В России штраф за такое нарушение — от 100 до 500 тысяч рублей для юридического лица.

Итак, если вы не храните детализированные данные о согласии получателя на смс-рассылку, храните их некорректно или изначально неправильно собираете, может произойти следующее:

• Пользователь получает проморассылку по смс, на которую по его уверению не давал согласия.
• В Федеральную антимонопольную службу поступает жалоба от пользователя.
• ФАС проводит проверку и выясняет, есть правонарушение или нет.
• Если оно выявляется, возбуждается дело об административном нарушении.
• Начинается разбирательство. Если вам повезёт и нарушение первое, ФАС может вынести предупреждение. В противном случае грозит штраф от 100 до 500 тысяч рублей.

Рассмотрим, как эта ситуация может развиваться:

• Клиент сначала может обратиться к оператору сотовой связи с жалобой, что он не предоставлял своих данных и не соглашался на рассылку. И к оператору него резонный вопрос: «Почему мне приходят такие смс?».
• У операторов сотовой связи есть договорённости с смс-провайдерами — сервисами, с помощью которых проходят массовые смс-рассылки. Так оператор сотовой связи, который получил жалобу, переадресовал вопрос о наличии согласия провайдеру.
• Далее система рассылки обращается к нам как к рекламораспространителю: необходимо подтвердить согласие получателя.
• Мы просим подтверждение у нашего клиента — заказчика рекламы. Выясняется, что письменного согласия нет или оно хранится некорректно.
• Советуемся с платформой — платформа рекомендует нашему заказчику подготовить официальный ответ для ФАС. Заказчик сообщает, что абонент дал устное согласие.
• А через три месяца затишья смс-платформа сообщает, что пришёл запрос от УФАС о нарушении законодательства о рекламе. Мы следующие 🙂
• Ещё через месяц после этого запрос приходит нам.

Первое официальное обращение мы получили на email в феврале 2021 года. Спустя неделю пришло такое же письмо на почтовый адрес. Мы до сих пор проводим оплаты по счетам и договариваемся по зонам ответственности — больше года прошло с момента нарушения.

Фактически ФАС требовала конкретное согласие на получение рассылок. Отправили пакет документов и держали коммуникацию по электронной почте.

ФАС запросила у нас:

• доказательства согласия на рассылку;
• сведения о компании.

Запрашиваемую информацию нужно предоставлять до указанной в запросе даты.

Что мы предоставили в качестве аргументов:

• Договор с конечным заказчиком, в котором прописано, что базу данных пользователей предоставляет Заказчик. И согласия на получение рекламных сообщений он собирает самостоятельно.
• Доказательства, что задача на данную рассылку и сама рассылка остановлены: это была разовая рассылка, и после её завершения, мы отключили её для пользователя.
• Исходный файл с базой для рассылки, в котором содержится номер телефона истца и галочка в графе «согласие на рассылку». Файл использовался как доказательство, что именно заказчик подтвердил согласие пользователя.

Спойлер: на самом деле штрафуют всё равно всех участников со стороны предоставления услуги: заказчика, исполнителя, агрегатора почтовых рассылок.

Мы ответили на все запросы вовремя, что в нашем случае благоприятно повлияло на решение: в предписании об устранении нарушения нас обязали исправиться и не допускать такого в дальнейшем.

Нужно брать у пользователя минимум два вида согласий:

• на обработку персональных данных;
• на согласие получать рекламные рассылки.

Сами согласия и системные файлы с информацией, когда эти согласия были получены, должны храниться в базе данных с контактами пользователя.

В идеале — перестраховываться и сохранять согласие на каждый канал отдельно, будь то рассылка в вайбере, или обычные смс. Обычно эта механика встроена в чекбоксы согласия. Пользователю нужно поставить галочку и подтвердить, что он готов получать рекламные материалы.

С юридической точки зрения — это суперважно.

Оба чекбокса пользователь видит пустыми: предварительных галочек в них быть не должно!

Помимо номера телефона, по которому обратился клиент, должно быть чётко видно, что проставлено согласие, и указаны:

• время и дата, когда пользователь подтвердил согласие на рассылку;
• IP-адрес пользователя;
• идентификатор устройства.

Информация фиксируется в любой из систем, куда передаются персональные данные пользователя: платформа рассылок, CRM-система и т. д.

Имя и фамилию клиента в этом случае хранить необязательно. Важно соотнести получателя и его чёткое и явно выраженное согласие на получение рекламы. Более того, сбор лишних персональных данных, которые не нужны для цели их сбора, также нежелателен.

К лидогенерации и сбору персональных данных нужно относиться максимально внимательно.

Что делать, чтобы не попасть на штраф:

• Раз в квартал проводить аудит интеграции: всё ли верно настроено, действительно ли данные систематизированы, хранятся в нужном виде и их можно в любой момент достать.
• Проверить, хорошо ли работает интеграция с системами, куда передаются и где хранятся персональные данные пользователей. Нужно настроить интеграцию так, чтобы при передаче персональных данных фиксировались все данные о взаимодействии с чекбоксами, которые будут содержать IP и ID пользователя и сами персональные данные: в нашем случае — номер телефона.
• Используйте только те базы данные, которые вы собирали сами с соблюдением всех вышеперечисленных правил.
• Следите за изменениями в законодательстве.
• Будьте осторожны, используя номера других стран. Если абонент зарегистрирован в другой стране, при рассылке подчиняться придётся её законам.