
С каждым годом вопросы защиты персональных данных становятся всё более актуальными. Требования к работе с ними постоянно расширяются и конкретизируются, ужесточаются санкции за нарушение регламентов. В статье мы расскажем, какие меры должна предпринять аптека для правильной работы с персональными данными покупателей.
Содержание
- Что такое «персональные данные клиентов»?
- Оператор персональных данных — кто он?
- Организация процесса работы
- Персональные данные в системе лояльности — с чего начать сбор?
- Как собирать согласия на обработку
- Что должно содержать согласии на обработку
- За что аптеку могут оштрафовать при сборе персональных данных
Документы
Как правило, аптеки собирают персональные данные клиентов для работы с бонусными системами, например скидочными картами.
Что такое «персональные данные клиентов»?
В соответствии со ст. 3 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 года, персональные данные (ПД) — это любая информация, относящаяся к физическому лицу. При этом законом не определены точные границы того, какую именно информацию относят к персональной. Как показывает юридическая практика, такие данные обычно представляют собой связку нескольких фактов о человеке, которые позволяют идентифицировать его как отдельную личность.
Приведём примерный список наиболее используемых персональных данных, которые могут потребоваться аптеке при работе с клиентами:
- фамилия, имя, отчество;
- дата рождения, возраст;
- адрес места жительства или регистрации;
- номер контактного телефона;
- адрес электронной почты и так далее.
Человек может оставить свои данные аптеке в разных ситуациях. К ним относится оформление бонусной или скидочной карты, подписка на информирование об акциях, участие в опросах или конкурсах, заказ товаров в интернет-магазине.
Оператор персональных данных — кто он?
Как только аптека начинает собирать, систематизировать, накапливать, хранить, использовать или передавать персональные данные клиентов или сотрудников, она становится оператором персональных данных. Этот момент прописан в п. 2 ст. 3 Федерального закона № 152-ФЗ «О персональных данных».
Оператор персональных данных — компании и физические лица, которые собирают, хранят и обрабатывают персональные данные.
Принципы обработки персональных данных и условия работы с ними подробно описаны в п. 5 и п. 6 Федерального закона № 152-ФЗ «О персональных данных». Работа с ними должна выполняться в соответствии с действующим законодательством. Например, для обработки сведений необходимо предварительно получить согласие субъекта персональных данных. Его отсутствие чревато неблагоприятными последствиями в виде судебных исков. Человек может выразить своё согласие в любой форме, которая позволила бы подтвердить факт его предоставления (если нет иных законодательных требований). Ниже мы рассмотрим этот момент более детально.
При работе с персональными данными об этом необходимо уведомить Роскомнадзор — лучше всего это делать до начала сбора сведений. Отправить уведомление в контролирующий орган нужно только один раз — информируя о самом факте работы.
Подать уведомление можно одним из трёх способов:
- направить электронное уведомление через портал Госуслуг;
- направить заполненное по форме бумажное заявление в Роскомнадзор;
- заполнить уведомление и подписать его Усиленной квалифицированной электронной подписью на сайте Роскомнадзора.
Важный момент! Уведомлять Роскомнадзор нужно только в случае сбора и обработки данных с помощью автоматизированных систем, например компьютера. О рукописном журнале учёта отчитываться не нужно.
Организация процесса работы
При подготовке к работе с персональными данными клиентов аптеки можно выполнить следующие действия:
- Приказом назначить ответственного за организацию обработки персональных данных.
- Издать локальный акт, который зафиксирует политику аптеки в сфере персональных данных, и ознакомить с ним сотрудников.
- Определить организационные, технические и правовые меры для обеспечения безопасности собранных сведений.
- Проинформировать Роскомнадзор о намерении обрабатывать персональные данные.
- Определить автоматизированных носителей личной информации о клиентах.
- Разработать схемы регистрации и учёта действий, которые будут совершаться с полученными сведениями.
В соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» Оператор должен предоставлять клиентам неограниченный доступ к документу о защите персональных данных. Как правило, это положение размещается на стенде для покупателей или публикуется на сайте аптеки.
Персональные данные в системе лояльности — с чего начать сбор?
Прежде всего необходимо определить список сведений, которые клиент аптеки должен будет предоставить для участия в бонусной программе, регистрации на сайте и так далее. Как показывает практика, два и более видов персональных данных уже позволяет идентифицировать личность, пусть и косвенно. Таким образом аптека выступает оператором персональных данных, для сбора и обработки которых следует предварительно получить согласие клиентов.
При этом согласие на обработку персональных данных не требуется получать в том случае, если аптека публикует отзывы, в которых нужно указать только имя. Приведём пример такого отзыва.
«Вежливый персонал, большой выбор лекарств и других товаров. Очень удобное расположение».
Ангелина
Как собирать согласия на обработку
Закон не определяет строгие правила или шаблоны для получения согласия у клиентов. К исключениям относится бизнес, работающий с информацией о здоровье или национальной принадлежности человека. Однако большинству аптек такие сведения не требуются.
Можно организовать сбор согласия в электронном или письменном виде — на усмотрение руководителя аптеки. Лучше всего обеспечить хранение согласия на протяжении всего периода их действия. Как правило это отрезок времени, на протяжении которого планируется производить обработку персональных данных клиентов аптеки, и 3 года после завершения.
Рассмотрим три наиболее популярных способа сбора согласия клиентов аптеки на обработку персональных данных.
Печатная анкета
Бумажная анкета открывает новые возможности для рекламы — выполненная в фирменном стиле аптеки, она может подчеркнуть сильные стороны бренда, проинформировать покупателей об акциях.
И конечно, служить документом для сбора персональных данных и получения согласия клиента на обработку персональных данных. Анкета заполняется от руки. Можно предложить просто поставить галочку напротив пункта «Я даю согласие на обработку персональных данных» и оставить свою подпись.
Подтверждение согласия через SMS-код или звонок
Более современный метод предполагает подтверждение согласия при помощи звонка или отправки кода на личный номер телефона клиента. Для этого фармацевт вносит данные покупателя в программу лояльности и просит озвучить код, который система направляет для подтверждения.
Чтобы клиент мог ознакомиться с полным текстом согласия и правилами программы лояльности или другими сервисами аптеки, в SMS можно отправить ссылку на эти документы.
Check box с галочкой согласия на сайте
При регистрации на сайте или отправке формы заказа следует предусмотреть специальное поле с «флажком» — чекбокс — напротив ссылки на согласие и правила обработки персональных данных.
Важно! Нельзя автоматически проставлять это поле. Клиент должен сам нажать на него, выражая своё согласие.
Клиент не может отправить заявку, пока не поставит галочку в соответствующем поле. При получении его согласия заявка сохраняется на сайте. В дальнейшем её можно будет выгрузить и использовать как доказательство того, что согласие клиента было получено.
Что должно содержать согласии на обработку
Документ должен объяснить покупателю, с какой целью аптека собирает его персональные данные и как будет их использовать. Требования к тексту согласия указаны в ст. 9 Федерального закона № 152-ФЗ «О персональных данных».
Согласие на обработку персональных данных может содержать:
- наименование аптечной организации;
- цель обработки персональных данных (участие в бонусной системе, получение рассылок об акциях, отправка заказа, создание личного кабинета и так далее);
- список персональных данных, которые клиент аптеки позволяет обрабатывать (ФИО, дата рождения, телефон, адрес электронной почты, домашний адрес и так далее);
- список действий, которые покупатель позволяет совершать со своими персональными данными (сбор, накопление, систематизация, хранение, использование для рассылки сообщений, рекламных звонков и так далее);
- срок действия согласия;
- список организаций, которым аптека может передавать данные;
- на бумажном носителе — подпись клиента.
Собирать только те персональные данные, которые точно нужны для реализации целей аптеки. Например, при оформлении заказа на сайте аптеки, будет лишним спрашивать семейное положение покупателя и другую подобную информацию. Сбор таких данных может насторожить клиента и вызвать вопросы со стороны контролирующих органов.
За что аптеку могут оштрафовать при сборе персональных данных
Штрафов за неправильную работу с персональными данными довольно много.
Аптека может обрабатывать персональные данные с теми целями, которые не были указаны в соглашении. В этом случае предусмотрены административные штрафы:
- на должностные лица — от 10 000 до 20 000 рублей;
- на юридические лица — от 60 000 до 100 000 рублей.
Повторное нарушение чревато более высокими административными штрафами:
- на должностные лица — от 20 000 до 50 000 рублей;
- на ИП — от 50 000 до 100 000 рублей;
- на юридические лица — от 100 000 до 300 000 рублей.
Пример: покупатель оставил в анкете телефон для регистрации в системе лояльности, но не давал согласие на получение рекламной рассылки. Аптека добавила номер в базу для рассылок и стала рассылать SMS с акциями.
Аптека не взяла согласие клиента на обработку данных, но использует их в своей работе. В этом случае предусмотрены административные штрафы:
- на должностные лица — от 20 000 до 40 000 рублей;
- на юридические лица — от 30 000 до 150 000 рублей.
Повторное нарушение чревато более высокими административными штрафами:
- на должностные лица — от 40 000 до 100 000 рублей;
- на ИП — от 100 000 до 300 000 рублей;
- на юридические лица — от 300 000 до 500 000 рублей.
Пример: человек указал свой номер телефона и адрес электронной почты на странице в социальной сети. Представитель аптеки добавил эти контакты в базу для рассылок без получения разрешения со стороны владельца персональных данных.
Точный размер административного штрафа определяют контролирующие органы индивидуально для каждой организации.
Источники
- Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 года;
- Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 года, № 195-ФЗ;
- Персональные данные клиентов в системе лояльности: как их хранить и не получить штраф;
- Персональные данные: как аптеке избежать штрафов?
Проверь знания по статье
Другие статьи по теме «Фармацевт и закон»
Смотреть всеКомментарии
Количество комментариев 11
Ольга С. Мелздрав Нижний Новгород
спасибо!
Оксана Щ. Эркафарм
хорошее дополнение к знаниям
Елена Д. ГУП Башфармация
Благодарю за информацию
Антонина К. Мелодия здоровья
Спасибо
Виталина К.
Эксперт комьюнити Аптека ИП
спасибо за информацию
Елена М. С.О.Ц. аптека (БЕЛГОРОД)
Спасибо
Наталья Ш. Планета здоровья
спасибо.
Людмила Ж. Эркафарм
Спасибо!
Сафия Т. ОБЛАСТНОЙ АПТЕЧНЫЙ СКЛАД (ОРЕНБУРГ)
Спасибо
Лариса С. РИТМ (БРЯНСК)
Спасибо. Аптека в современном мире должна иметь в штате еще и юриста!!!
Наталья Б.
Эксперт комьюнити ООО "Бережная аптека Апрель"
Спасибо за полезную информацию.
Сайт предназначен для фармацевтов и провизоров
Авторизуйтесь, чтобы оставить комментарий.