Работа с персональными данными клиентов. О чём нужно помнить?

Как правило, аптеки собирают персональные данные клиентов для работы с бонусными системами, например скидочными картами.

Что такое «персональные данные клиентов»?

В соответствии со ст. 3 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 года, персональные данные (ПД) — это любая информация, относящаяся к физическому лицу. При этом законом не определены точные границы того, какую именно информацию относят к персональной. Как показывает юридическая практика, такие данные обычно представляют собой связку нескольких фактов о человеке, которые позволяют идентифицировать его как отдельную личность.

Приведём примерный список наиболее используемых персональных данных, которые могут потребоваться аптеке при работе с клиентами:

• фамилия, имя, отчество;
• дата рождения, возраст;
• адрес места жительства или регистрации;
• номер контактного телефона;
• адрес электронной почты и так далее.

Человек может оставить свои данные аптеке в разных ситуациях. К ним относится оформление бонусной или скидочной карты, подписка на информирование об акциях, участие в опросах или конкурсах, заказ товаров в интернет-магазине.

Оператор персональных данных — кто он?

Как только аптека начинает собирать, систематизировать, накапливать, хранить, использовать или передавать персональные данные клиентов или сотрудников, она становится оператором персональных данных. Этот момент прописан в п. 2 ст. 3 Федерального закона № 152-ФЗ «О персональных данных».

Оператор персональных данных — компании и физические лица, которые собирают, хранят и обрабатывают персональные данные.

Принципы обработки персональных данных и условия работы с ними подробно описаны в п. 5 и п. 6 Федерального закона № 152-ФЗ «О персональных данных». Работа с ними должна выполняться в соответствии с действующим законодательством. Например, для обработки сведений необходимо предварительно получить согласие субъекта персональных данных. Его отсутствие чревато неблагоприятными последствиями в виде судебных исков. Человек может выразить своё согласие в любой форме, которая позволила бы подтвердить факт его предоставления (если нет иных законодательных требований). Ниже мы рассмотрим этот момент более детально.

При работе с персональными данными об этом необходимо уведомить Роскомнадзор — лучше всего это делать до начала сбора сведений. Отправить уведомление в контролирующий орган нужно только один раз — информируя о самом факте работы.

Подать уведомление можно одним из трёх способов:

• направить электронное уведомление через портал Госуслуг;
• направить заполненное по форме бумажное заявление в Роскомнадзор;
• заполнить уведомление и подписать его Усиленной квалифицированной электронной подписью на сайте Роскомнадзора.

Организация процесса работы

При подготовке к работе с персональными данными клиентов аптеки можно выполнить следующие действия:

1. Приказом назначить ответственного за организацию обработки персональных данных.
2. Издать локальный акт, который зафиксирует политику аптеки в сфере персональных данных, и ознакомить с ним сотрудников.
3. Определить организационные, технические и правовые меры для обеспечения безопасности собранных сведений.
4. Проинформировать Роскомнадзор о намерении обрабатывать персональные данные.
5. Определить автоматизированных носителей личной информации о клиентах.
6. Разработать схемы регистрации и учёта действий, которые будут совершаться с полученными сведениями.

В соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» Оператор должен предоставлять клиентам неограниченный доступ к документу о защите персональных данных. Как правило, это положение размещается на стенде для покупателей или публикуется на сайте аптеки.

Персональные данные в системе лояльности — с чего начать сбор?

Прежде всего необходимо определить список сведений, которые клиент аптеки должен будет предоставить для участия в бонусной программе, регистрации на сайте и так далее. Как показывает практика, два и более видов персональных данных уже позволяет идентифицировать личность, пусть и косвенно. Таким образом аптека выступает оператором персональных данных, для сбора и обработки которых следует предварительно получить согласие клиентов.

При этом согласие на обработку персональных данных не требуется получать в том случае, если аптека публикует отзывы, в которых нужно указать только имя. Приведём пример такого отзыва.

Как собирать согласия на обработку

Закон не определяет строгие правила или шаблоны для получения согласия у клиентов. К исключениям относится бизнес, работающий с информацией о здоровье или национальной принадлежности человека. Однако большинству аптек такие сведения не требуются.

Можно организовать сбор согласия в электронном или письменном виде — на усмотрение руководителя аптеки. Лучше всего обеспечить хранение согласия на протяжении всего периода их действия. Как правило это отрезок времени, на протяжении которого планируется производить обработку персональных данных клиентов аптеки, и 3 года после завершения.

Рассмотрим три наиболее популярных способа сбора согласия клиентов аптеки на обработку персональных данных.

Печатная анкета

Бумажная анкета открывает новые возможности для рекламы — выполненная в фирменном стиле аптеки, она может подчеркнуть сильные стороны бренда, проинформировать покупателей об акциях.

И конечно, служить документом для сбора персональных данных и получения согласия клиента на обработку персональных данных. Анкета заполняется от руки. Можно предложить просто поставить галочку напротив пункта «Я даю согласие на обработку персональных данных» и оставить свою подпись.

Подтверждение согласия через SMS-код или звонок

Более современный метод предполагает подтверждение согласия при помощи звонка или отправки кода на личный номер телефона клиента. Для этого фармацевт вносит данные покупателя в программу лояльности и просит озвучить код, который система направляет для подтверждения.

Чтобы клиент мог ознакомиться с полным текстом согласия и правилами программы лояльности или другими сервисами аптеки, в SMS можно отправить ссылку на эти документы.

Check box с галочкой согласия на сайте

При регистрации на сайте или отправке формы заказа следует предусмотреть специальное поле с «флажком» — чекбокс — напротив ссылки на согласие и правила обработки персональных данных.

Клиент не может отправить заявку, пока не поставит галочку в соответствующем поле. При получении его согласия заявка сохраняется на сайте. В дальнейшем её можно будет выгрузить и использовать как доказательство того, что согласие клиента было получено.

Что должно содержать согласии на обработку

Документ должен объяснить покупателю, с какой целью аптека собирает его персональные данные и как будет их использовать. Требования к тексту согласия указаны в ст. 9 Федерального закона № 152-ФЗ «О персональных данных».

Согласие на обработку персональных данных может содержать:

• наименование аптечной организации;
• цель обработки персональных данных (участие в бонусной системе, получение рассылок об акциях, отправка заказа, создание личного кабинета и так далее);
• список персональных данных, которые клиент аптеки позволяет обрабатывать (ФИО, дата рождения, телефон, адрес электронной почты, домашний адрес и так далее);
• список действий, которые покупатель позволяет совершать со своими персональными данными (сбор, накопление, систематизация, хранение, использование для рассылки сообщений, рекламных звонков и так далее);
• срок действия согласия;
• список организаций, которым аптека может передавать данные;
• на бумажном носителе — подпись клиента.

Собирать только те персональные данные, которые точно нужны для реализации целей аптеки. Например, при оформлении заказа на сайте аптеки, будет лишним спрашивать семейное положение покупателя и другую подобную информацию. Сбор таких данных может насторожить клиента и вызвать вопросы со стороны контролирующих органов.

За что аптеку могут оштрафовать при сборе персональных данных

Штрафов за неправильную работу с персональными данными довольно много.

Аптека может обрабатывать персональные данные с теми целями, которые не были указаны в соглашении. В этом случае предусмотрены административные штрафы:

• на должностные лица — от 10 000 до 20 000 рублей;
• на юридические лица — от 60 000 до 100 000 рублей.

Повторное нарушение чревато более высокими административными штрафами:

• на должностные лица — от 20 000 до 50 000 рублей;
• на ИП — от 50 000 до 100 000 рублей;
• на юридические лица — от 100 000 до 300 000 рублей.

Аптека не взяла согласие клиента на обработку данных, но использует их в своей работе. В этом случае предусмотрены административные штрафы:

• на должностные лица — от 20 000 до 40 000 рублей;
• на юридические лица — от 30 000 до 150 000 рублей.

Повторное нарушение чревато более высокими административными штрафами:

• на должностные лица — от 40 000 до 100 000 рублей;
• на ИП — от 100 000 до 300 000 рублей;
• на юридические лица — от 300 000 до 500 000 рублей.

Точный размер административного штрафа определяют контролирующие органы индивидуально для каждой организации.