Все статьи

Работа с персональными данными клиентов. О чём нужно помнить?

Теги статьи Фармацевт и закон

849

15.05.2023

С каждым годом вопросы защиты персональных данных становятся всё более актуальными. Требования к работе с ними постоянно расширяются и конкретизируются, ужесточаются санкции за нарушение регламентов. В статье мы расскажем, какие меры должна предпринять аптека для правильной работы с персональными данными покупателей.

Все важные моменты статьи в одной мини-презентации

  • Правила работы с персональными данными

  • Ситуации предоставления персональных данных

    Клиенты могут оставлять свои персональные данные аптеке в разных ситуациях, включая оформление скидочных карт, подписку на информирование об акциях и заказ товаров в интернет-магазине. Это позволяет аптеке эффективно взаимодействовать с клиентами и предлагать им персонализированные услуги.

  • Оператором персональных данных является организация или физическое лицо

    Они собирают, систематизируют, хранят, используют или передают персональные данные клиентов или сотрудников. Согласно Федеральному закону № 152-ФЗ «О персональных данных», оператором становится любое учреждение, начавшее работу с персональными данными.

  • Доступ к документу о защите персональных данных

    Согласно законодательству, клиенты должны иметь неограниченный доступ к документу о защите персональных данных, что должно быть обеспечено размещением данной информации на стенде в аптеке или на её сайте.

  • Сбор согласия

    Для сбора согласия на обработку персональных данных можно использовать бумажные анкеты, отправку кода по SMS или звонок, чекбокс при регистрации или оформлении заказа. Важно, чтобы клиент мог отметить пункт о согласии на обработку данных.

  • Срок действия согласия и передача данных

    Документ согласия должен указывать срок действия разрешения на обработку данных и перечень организаций, которым аптека может передавать информацию клиента. Это помогает избежать вопросов со стороны контролирующих органов и защищает интересы покупателя.

Содержание

Документы

Как правило, аптеки собирают персональные данные клиентов для работы с бонусными системами, например скидочными картами.

Что такое «персональные данные клиентов»?

В соответствии со ст. 3 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 года, персональные данные (ПД) — это любая информация, относящаяся к физическому лицу. При этом законом не определены точные границы того, какую именно информацию относят к персональной. Как показывает юридическая практика, такие данные обычно представляют собой связку нескольких фактов о человеке, которые позволяют идентифицировать его как отдельную личность.

Приведём примерный список наиболее используемых персональных данных, которые могут потребоваться аптеке при работе с клиентами:

  • фамилия, имя, отчество;
  • дата рождения, возраст;
  • адрес места жительства или регистрации;
  • номер контактного телефона;
  • адрес электронной почты и так далее.

Человек может оставить свои данные аптеке в разных ситуациях. К ним относится оформление бонусной или скидочной карты, подписка на информирование об акциях, участие в опросах или конкурсах, заказ товаров в интернет-магазине.

Оператор персональных данных — кто он?

Как только аптека начинает собирать, систематизировать, накапливать, хранить, использовать или передавать персональные данные клиентов или сотрудников, она становится оператором персональных данных. Этот момент прописан в п. 2 ст. 3 Федерального закона № 152-ФЗ «О персональных данных».

Оператор персональных данных — компании и физические лица, которые собирают, хранят и обрабатывают персональные данные.

Принципы обработки персональных данных и условия работы с ними подробно описаны в п. 5 и п. 6 Федерального закона № 152-ФЗ «О персональных данных». Работа с ними должна выполняться в соответствии с действующим законодательством. Например, для обработки сведений необходимо предварительно получить согласие субъекта персональных данных. Его отсутствие чревато неблагоприятными последствиями в виде судебных исков. Человек может выразить своё согласие в любой форме, которая позволила бы подтвердить факт его предоставления (если нет иных законодательных требований). Ниже мы рассмотрим этот момент более детально.

При работе с персональными данными об этом необходимо уведомить Роскомнадзор — лучше всего это делать до начала сбора сведений. Отправить уведомление в контролирующий орган нужно только один раз — информируя о самом факте работы.

Подать уведомление можно одним из трёх способов:

  • направить электронное уведомление через портал Госуслуг;
  • направить заполненное по форме бумажное заявление в Роскомнадзор;
  • заполнить уведомление и подписать его Усиленной квалифицированной электронной подписью на сайте Роскомнадзора.

Важный момент! Уведомлять Роскомнадзор нужно только в случае сбора и обработки данных с помощью автоматизированных систем, например компьютера. О рукописном журнале учёта отчитываться не нужно.

Организация процесса работы

При подготовке к работе с персональными данными клиентов аптеки можно выполнить следующие действия:

  1. Приказом назначить ответственного за организацию обработки персональных данных.
  2. Издать локальный акт, который зафиксирует политику аптеки в сфере персональных данных, и ознакомить с ним сотрудников.
  3. Определить организационные, технические и правовые меры для обеспечения безопасности собранных сведений.
  4. Проинформировать Роскомнадзор о намерении обрабатывать персональные данные.
  5. Определить автоматизированных носителей личной информации о клиентах.
  6. Разработать схемы регистрации и учёта действий, которые будут совершаться с полученными сведениями.

В соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» Оператор должен предоставлять клиентам неограниченный доступ к документу о защите персональных данных. Как правило, это положение размещается на стенде для покупателей или публикуется на сайте аптеки.

Персональные данные в системе лояльности — с чего начать сбор?

Прежде всего необходимо определить список сведений, которые клиент аптеки должен будет предоставить для участия в бонусной программе, регистрации на сайте и так далее. Как показывает практика, два и более видов персональных данных уже позволяет идентифицировать личность, пусть и косвенно. Таким образом аптека выступает оператором персональных данных, для сбора и обработки которых следует предварительно получить согласие клиентов.

При этом согласие на обработку персональных данных не требуется получать в том случае, если аптека публикует отзывы, в которых нужно указать только имя. Приведём пример такого отзыва.

«Вежливый персонал, большой выбор лекарств и других товаров. Очень удобное расположение».

Ангелина

Как собирать согласия на обработку

Закон не определяет строгие правила или шаблоны для получения согласия у клиентов. К исключениям относится бизнес, работающий с информацией о здоровье или национальной принадлежности человека. Однако большинству аптек такие сведения не требуются.

Можно организовать сбор согласия в электронном или письменном виде — на усмотрение руководителя аптеки. Лучше всего обеспечить хранение согласия на протяжении всего периода их действия. Как правило это отрезок времени, на протяжении которого планируется производить обработку персональных данных клиентов аптеки, и 3 года после завершения.

Рассмотрим три наиболее популярных способа сбора согласия клиентов аптеки на обработку персональных данных.

Печатная анкета

Бумажная анкета открывает новые возможности для рекламы — выполненная в фирменном стиле аптеки, она может подчеркнуть сильные стороны бренда, проинформировать покупателей об акциях.

И конечно, служить документом для сбора персональных данных и получения согласия клиента на обработку персональных данных. Анкета заполняется от руки. Можно предложить просто поставить галочку напротив пункта «Я даю согласие на обработку персональных данных» и оставить свою подпись.

Подтверждение согласия через SMS-код или звонок

Более современный метод предполагает подтверждение согласия при помощи звонка или отправки кода на личный номер телефона клиента. Для этого фармацевт вносит данные покупателя в программу лояльности и просит озвучить код, который система направляет для подтверждения.

Чтобы клиент мог ознакомиться с полным текстом согласия и правилами программы лояльности или другими сервисами аптеки, в SMS можно отправить ссылку на эти документы.

Check box с галочкой согласия на сайте

При регистрации на сайте или отправке формы заказа следует предусмотреть специальное поле с «флажком» — чекбокс — напротив ссылки на согласие и правила обработки персональных данных.

Важно! Нельзя автоматически проставлять это поле. Клиент должен сам нажать на него, выражая своё согласие.

Клиент не может отправить заявку, пока не поставит галочку в соответствующем поле. При получении его согласия заявка сохраняется на сайте. В дальнейшем её можно будет выгрузить и использовать как доказательство того, что согласие клиента было получено.

Что должно содержать согласии на обработку

Документ должен объяснить покупателю, с какой целью аптека собирает его персональные данные и как будет их использовать. Требования к тексту согласия указаны в ст. 9 Федерального закона № 152-ФЗ «О персональных данных».

Согласие на обработку персональных данных может содержать:

  • наименование аптечной организации;
  • цель обработки персональных данных (участие в бонусной системе, получение рассылок об акциях, отправка заказа, создание личного кабинета и так далее);
  • список персональных данных, которые клиент аптеки позволяет обрабатывать (ФИО, дата рождения, телефон, адрес электронной почты, домашний адрес и так далее);
  • список действий, которые покупатель позволяет совершать со своими персональными данными (сбор, накопление, систематизация, хранение, использование для рассылки сообщений, рекламных звонков и так далее);
  • срок действия согласия;
  • список организаций, которым аптека может передавать данные;
  • на бумажном носителе — подпись клиента.

Собирать только те персональные данные, которые точно нужны для реализации целей аптеки. Например, при оформлении заказа на сайте аптеки, будет лишним спрашивать семейное положение покупателя и другую подобную информацию. Сбор таких данных может насторожить клиента и вызвать вопросы со стороны контролирующих органов.

За что аптеку могут оштрафовать при сборе персональных данных

Штрафов за неправильную работу с персональными данными довольно много.

Аптека может обрабатывать персональные данные с теми целями, которые не были указаны в соглашении. В этом случае предусмотрены административные штрафы:

  • на должностные лица — от 10 000 до 20 000 рублей;
  • на юридические лица — от 60 000 до 100 000 рублей.

Повторное нарушение чревато более высокими административными штрафами:

  • на должностные лица — от 20 000 до 50 000 рублей;
  • на ИП — от 50 000 до 100 000 рублей;
  • на юридические лица — от 100 000 до 300 000 рублей.

Пример: покупатель оставил в анкете телефон для регистрации в системе лояльности, но не давал согласие на получение рекламной рассылки. Аптека добавила номер в базу для рассылок и стала рассылать SMS с акциями.

Аптека не взяла согласие клиента на обработку данных, но использует их в своей работе. В этом случае предусмотрены административные штрафы:

  • на должностные лица — от 20 000 до 40 000 рублей;
  • на юридические лица — от 30 000 до 150 000 рублей.

Повторное нарушение чревато более высокими административными штрафами:

  • на должностные лица — от 40 000 до 100 000 рублей;
  • на ИП — от 100 000 до 300 000 рублей;
  • на юридические лица — от 300 000 до 500 000 рублей.

Пример: человек указал свой номер телефона и адрес электронной почты на странице в социальной сети. Представитель аптеки добавил эти контакты в базу для рассылок без получения разрешения со стороны владельца персональных данных.

Точный размер административного штрафа определяют контролирующие органы индивидуально для каждой организации.

Источники

Проверь знания по статье