Персональные данные клиентов

Какие сведения обязательно нужно проверить бизнесменам на сайте, в CRM и договорах с клиентами, чтобы избежать проблем с Роскомнадзором?

Какие сведения на сайте считаются персональными данными

Некоторые предприниматели до сих пор считают, что они не работают с персональными данными клиентов, ведь у них есть на сайте только форма заявки для потенциальных покупателей. При заказе товаров или услуги клиент заполняет полностью ФИО, свой номер телефона, адрес электронной почты, дату рождения – для начисления баллов или подарков в день рождения. По мнению бизнесменов, без указания паспорта, ИНН нельзя идентифицировать человека, а значит такие сведения не признаются персональными данными (по тексту – ПД).

Однако если информация на сайте прямо или косвенно позволяет идентифицировать клиента, то эти сведения относятся к ПД (ст.3 Федерального закона от 27.07.2006 г. №152-ФЗ, определение ВС от 21.07.2023 г. №305-ЭС23-12160).

ЮРИСТ - Юридическая консультация (26) ЮРИСТ - Юридическая консультация (26)
К таким сведениям относится не только информация, которую вводит пользователь сайта, то и та техническая информация, которую сайт получает автоматически. Например, IP-адрес, сookie, технические параметры устройств, история действий на сайте – время и способ доступа к сайту.

Широко используемые файлы cookies также могут приравниваться к ПД, исходя из их фактической возможности идентификации пользователя. Например, файлы cookies связаны с IP-адресом, аккаунтом, используются в маркетинговых либо рекламных целях. Тогда они тоже относятся к ПД.

Таким образом, в подавляющем большинстве случаев, бизнесмены собирают и обрабатывают ПД клиентов.

Что должен проверить бизнесмен на сайте

1 шаг. Определить набор сведений, которые собираются на сайте.

Например, ФИО, адрес, телефон клиента.

Ненужную информацию, которая не относится к цели обработки ПД, запрашивать не нужно.

Например, если не предполагается никаких льгот, подарков ко дню рождения клиента, то эти сведения избыточны.

2 шаг. Разработать и разместить на сайте политику обработки ПД.

Важно!
Если на сайте используются файлы cookies, которые «распознают» пользователя, то необходимо разместить на сайте политику их использования.

Самый удобный способ – в виде всплывающего баннера, который сразу открывается при посещении пользователем страницы сайта и предупреждает пользователя о том, что используются cookie.

Например, большинство сайтов компании использует программные средства «Яндекс Метрика», «Google Аналитика» и предупреждает пользователей, что в настройках браузера можно установить или запретить обработку файлов cookie.

Политика обработки ПД должна содержать (ст.18.1 Федерального закона от 27.07.2006 г. №152-ФЗ):

  • цели сбора;
  • cпособы, сроки обработки и хранения данных;
  • методику защиты;
  • порядок актуализации, изменения и уничтожения;
  • отзыв согласия на обработку данных.

Этот документ должен быть разработан под сайт компании, учитывая формы заявок, CRM, наличие рассылок.

Чаще всего, раздел с ней публикуется в нижней части страницы сайта.

3 шаг. Оформить отдельным документом согласие на обработку ПД.

Такое согласие нужно оформлять отдельным документом.

4 шаг. Убедиться в том, что сбор, запись, систематизация и хранение ПД осуществляется на серверах, которые физически расположены в России. 

Первичная обработка ПД в любом случае должна быть локализована на российском сервере и впоследствии при соблюдении требований передаваться на зарубежные сервера (ст.12 Федерального закона от 27.07.2006 г. №152-ФЗ).

Каким способом получать согласие на обработку ПД

На сайтах удобнее всего использовать онлайн-форму.

1 способ. С помощью чекбокса.

Чекбокс представляет собой небольшой квадрат на экране, который пользователь либо отмечает галочкой, либо оставляет пустым. 

2 способ. СМС-код, звонок, сообщение в мессенджеры.

3 способ. Пользователь во всплывающем окне оставляет свои контактные данные, а далее оператор присылает ему сообщение с ссылкой.

Согласие может быть подтверждено и в ответном письме, направленном на электронную почту клиента.

Что должен проверить бизнесмен в CRM и в договорах с клиентами

Большинство бизнесменов используют CRM - систему управления взаимоотношениями с клиентами. 

Это программное обеспечение, благодаря которому компании могут автоматизировать процессы взаимодействия с клиентами на всех этапах. Например, CRM для продаж основан на управлении лидами, собирает, хранит и группирует информация о клиентах. 

Примером таких систем является Битрикс24, ПланФакт.

В CRM можно подключать телефонию, мессенджеры в одной базе. 

Бизнесмен должен проверить данные, которые собираются CRM.

Например, ФИО, должность, адрес, телефон клиента, историю заказов, сведения об оплатах, переписку.

Содержащаяся информация в CRM, как правило, относится к ПД.

Бизнесмен должен настроить доступ прав к системе ответственным сотрудникам компании. 

Ведь ответственность за сбор, хранение, обработку ПД возлагается на пользователя CRM, а не на разработчика этой системы. А компании, которая использует CRM в своей деятельности, признаются оператором ПД.

Таким образом, если в CRM хранится база физических лиц, то это обработка ПД.

Бизнесмен как оператор ПД должен иметь пакет документов:

  • приказ о списке работников компании, имеющих доступ в систему;

  • разработанная политика по обработке ПД;

  • перечень информационных систем ПД, если используются несколько программных обеспечений;

  • меры защиты ПД;

Сюда относятся как технические средства, так и разграничение доступа пользователей системы.

  • договор поручения обработки ПД, если CRM «в облаке».

Важно знать, что если компания использует облачную версию программы CRM, то по факту происходит передача информации третьему лицу.

Такая передача оформляется отдельным договором. Например, в Битрикс24 оформляется поручение на обработку ПД ( https://www.bitrix24.ru/about/dpa_pers.php).

В договорах с клиентами должен быть раздел об обработке ПД или отдельное приложение к договору. В разделе необходимо четко описать, какие данные клиента используются, для каких целей, как хранятся, каким образом обеспечивается защита информации, в какие сроки и каким способом можно отозвать согласие на обработку ПД.

Важно!

Если бизнесмены принимают заявки от граждан, ведут базу клиентов, используют сайт, CRM, мессенджеры, в которых хранят данные клиентов, то они работают с ПД и должны соблюдать установленные правила по сбору, хранению и передачи информации.

Для этого необходимо установить, где начинается первичная обработка ПД, назначить ответственного сотрудника компании для отчетов в Роскомнадзор.