Как работать с персональными данными клиентов

Интернет-магазин собирает персональные данные покупателя: адрес доставки, имя получателя, день рождения, чтобы вовремя отправить SMS и промокод в подарок, и еще много всего. Эти самые данные надо уметь обрабатывать — иначе придет Роскомнадзор с проверками и штрафами. Рассказываем, как не привлечь его внимание, если вы только-только начали дело в онлайне.

Что такое «персональные данные клиентов»?

Это основная проблема. В 152-ФЗ нет информации о том, какие именно данные клиентов считаются персональными. Попробуем оттолкнуться от определения:

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

То есть персональные данные — это любые данные, которые позволяют идентифицировать конкретного человека, даже косвенно. Например:

• Анна Сергеевна Иванова 01.02.1992 — это персональные данные конкретного человека.

• Ноготочки 92 — просто никнейм, под которым может скрываться кто угодно.

Чаще всего персональными данными считаются:

• фамилия, имя и отчество;

• дата рождения;

• место регистрации и проживания;

• место работы и должность;

• номер телефона, адрес электронной почты, аккаунты в соцсетях;

• данные паспорта и других документов;

• биометрические данные: отпечатки пальцев, запись голоса, фотографии, на которых можно узнать человека, и так далее.

Cookie тоже считаются персональными данными, потому что с их помощью можно узнать IP-адрес, язык, которым пользуется человек, локацию, технические параметры устройства. Этого более чем достаточно для идентификации.

Как работать с персональными данными клиентов

Общие правила такие:

1. Собирать только те данные, которые нам действительно нужны. Например, не нужно просить у клиентов дату рождения, если вы не собираетесь делать им праздничные скидки или хотя бы просто отправлять открытку на почту.

2. Собирать данные только с письменного согласия — о том, как его получить, поговорим ниже. 

3. Хранить данные на российских серверах. Не только ради безопасности — за нарушение могут выписать штраф, и большой.

4. Разместить политику обработки данных и другие документы в открытом доступе. 

5. Не передавать данные третьим лицам без согласия клиента.

6. Менять или уничтожать данные по запросу клиента.

Бывают случаи, когда собирать согласия не нужно. Самый частый — если данные необходимы вам, чтобы выполнить свою работу: если спрашиваете адрес, чтобы доставить заказ, или почту, чтобы отправить чек. Но даже в таких случаях все равно крайне важна безопасность.

Облачные кассы АТОЛ Онлайн обеспечивают высокий уровень безопасности данных благодаря шифрованию и использованию защищенных серверов. Сами кассы находятся ЦОД, который соответствует уровню Tier III. Так что никто не заберет ни ваши данные, ни данные ваших клиентов.

Но нельзя просто сказать: «с завтрашнего дня мы собираем информацию о своих клиентах». Нужна подготовка, кипа документов и место в реестре операторов. Разберем все подробно и по шагам.

Найдите ответственного

Им может стать любой сотрудник или сам предприниматель. Можно назначить и человека, который не относится к вашей компании — но ответственность за его ошибки все равно придется нести вам. 

У ответственного три задачи:

1. Следить, чтобы компания соблюдала правила обработки и защиты персональных данных.

2. Следить за изменениями в законе и доносить до сотрудников информацию о них.

3. Регистрировать обращения Роскомнадзора и клиентов. 

Чтобы назначить человека на эту роль, надо подготовить приказ, подписанный руководителем. Форму можно посмотреть тут.

Подайте уведомление в Роскомнадзор

Это обязательно надо сделать до того, как вы начнете собирать данные клиентов. В уведомлении нужно указать:

• информацию о компании — наименование и адрес компании-оператора или ФИО и адрес ИП или представителя;

• какие данные хотите собирать и зачем — аргументы должны быть убедительными, собирать информацию на всякий случай нельзя;

• откуда планируете брать персональные данные;

• когда хотите начать;

• как планируете защищать.

Подавать уведомление можно по форме из приказа Роскомнадзора от 22.08.2022 № 180, опубликованного на сайте Минюста. На сайте РКН есть удобный шаблон:

Спустя 30 дней РКН обработает заявку и внесет вас в реестр операторов персональных данных.

Если планируете изменить список собираемых данных или вовсе перестать их собирать — тоже надо уведомить Роскомнадзор.

Не подавать уведомление можно в двух случаях:

• если вы работаете без средств автоматизации — то есть записываете информацию ручкой на бумаге;

• если вы собираете данные в государственных защищенных системах, например, в ЕГАИС.

Подготовьте документы

В список входят: политика обработки персональных данных, положение о защите этих самых данных и форма согласия. Разберем каждый из них подробно.

Политика обработки персональных данных

Это основной документ, который должен быть у интернет-магазина по закону. Форма документа может быть любой. Главное — указать:

• кто вы: наименование и адрес компании или имя и адрес ИП;

• зачем собираете данные;

• какие данные собираете;

• сколько планируете обрабатывать данные;
  как будете их обрабатывать и защищать.

Важное правило. Политика должна находиться в общем доступе, на виду, чтобы любой клиент — или проверяющий Роскомнадзора — смог быстро ее найти на вашем сайте или в приложении.

Положение о защите персональных данных

Это документ для сотрудников. В нем важно собрать правила, по которым компания будет работать с персональными данными:

• кто имеет к ним доступ;

• как защищаются данные и сервера;

• где хранятся данные;

• как сотрудники могут использовать информацию.

Также добавьте положение о неразглашении, которое подпишут все сотрудники — это станет еще одной мерой безопасности.

Соглашение на обработку персональных данных

Это документ для клиентов. В большинстве случаев его можно добавить в политику, а согласие сделать простой галочкой в форме регистрации.

Далее разберем этот документ более подробно. 

Как собирать согласия на обработку

Это те самые письменные согласия, которые должны давать ваши клиенты. 

К счастью, сегодня не нужно при регистрации выдавать каждому покупателю форму, в которой он распишет, что «Иванов Андрей Андреевич, 1992 года рождения, даю свое согласие на то, что ИП Кузнецов…». Достаточно сделать один типовой документ и галочку в форме регистрации. Например, у нас это выглядит так:

Что должно быть в согласии:

• информация об операторе персональных данных;

• информация о лице, ответственном за обработку персональных данных;

• перечень собираемых данных;

• цель сбора и обработки;

• перечень действий, которые с этими данными будут совершать;

• срок, в течение которого действует согласие;

• порядок отзыва согласия;

• подпись клиента.

Часто именно при сборе согласий на обработку данных предприниматели допускают ошибки (некоторые — намеренно нарушают). Разберем подробнее.

Первое — не указана полная информация о том, на что соглашается покупатель.

Например, вы открыли магазин, но так и не определились, какие именно данные и для чего собираете. Чтобы соблюсти требования закона и обезопасить себя, пишете: «Покупатель дает согласие на обработку всех размещаемых на сайте данных» или «В том числе, но не ограничиваясь перечисленными данными: фамилия, имя, дата рождения».

На первый взгляд, все в порядке: покупатель дал согласие, все тонкости прописаны. Но по закону список должен быть определен четко. Даже если у вас он состоит из 50 категорий данных — нужно расписать.

Другой пример. Вы указываете, что данные будут передаваться третьим лицам, но не пишете каким. Это также запрещено, надо прописать список всех компаний, которым будет передаваться информация. Без формулировок вроде «включая, но не ограничиваясь».

Второе — вовсе нет согласия, а вместо него стоит «Продолжая пользоваться сервисом, я даю свое согласие на обработку персональных данных согласно закону №152-ФЗ». Это незаконно все по той же причине: надо расписать подробно, какие данные собираете и обрабатываете именно вы. 152-ФЗ не учитывает случай какого-то конкретного магазина.

Третье — галочка проставлена заранее. Даже если вы приложили документ и верно все расписали, нельзя давать согласие за клиента. Он должен сам поставить галочку в чекбоксе, без автозаполнения.

Как хранить персональные данные

Во-первых, на российских серверах. Согласно ФЗ-152 «О персональных данных», «оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». Есть исключения, но интернет-магазины под них, как правило, не попадают. Так что, работа с иностранным провайдером, скорее всего, выходит за рамки закона.

Во-вторых, так, чтобы данные никуда не утекли. На практике нужно:

• Подготовить ПО для защиты данных. На рынке есть множество качественного обеспечения, которое защищает корпоративные сети от утечек. 

• Обязать сотрудников подписать договоры, по которым они не имеют права передавать сведения третьим лицам.

• Прописать инструкции для ответственных за обработку персональных данных и всех сотрудников, которые с этими данными как-либо сталкиваются. В них указать правила работы, уровень доступа и прочее.

В-третьих, нельзя передавать данные третьим лицам, если пользователь не дал на это письменное согласие.

В-четвертых. Если клиент попросил удалить данные — это надо сделать. Также данные уничтожаются, если клиент отозвал согласие на обработку.

В-пятых, нельзя объединять данные, которые собирались с разными целями. Например, обзванивать клиентов и предлагать пылесос, если собирали их данные только для того, чтобы курьер уточнил адрес доставки.

Наконец. Если произошла утечка — сразу уведомите об этом Роскомнадзор. В уведомлении расскажите об инциденте, о причинах утечки, о возможном вреде для клиентов, о мерах, которые вы предприняли, чтобы этот вред устранить.

Что важно запомнить

• В законе нет четкого списка персональных данных. Но, как правило, под ними подразумевают ФИО, возраст, данные паспорта, место работы и должность и так далее.

• Cookie тоже входят в этот список, потому что по ним можно установить IP-адрес, технические характеристики устройства, расположение пользователя. 

• Любой магазин, который собирает подобную информацию, считается оператором персональных данных и должен работать в соответствии с 152-ФЗ.

• В частности, нужно подать уведомление в РКН, написать Политику обработки персональных данных и Соглашение для клиентов. 

• Оператор не имеет права работать с любыми персональными данными — нужно четко понимать, какая информация вам нужна и зачем. Собирать данные «на всякий случай» запрещено законом.

• Хранить данные нужно на российских серверах. И уделять особое внимание безопасности.