С каждым годом вопросы защиты персональных данных становятся всё более актуальными. Требования к работе с ними постоянно расширяются и конкретизируются, ужесточаются санкции за нарушение регламентов. В статье мы расскажем, какие меры должна предпринять аптека для правильной работы с персональными данными покупателей.
Содержание
- Что такое «персональные данные клиентов»?
- Оператор персональных данных — кто он?
- Организация процесса работы
- Персональные данные в системе лояльности — с чего начать сбор?
- Как собирать согласия на обработку
- Что должно содержать согласии на обработку
- За что аптеку могут оштрафовать при сборе персональных данных
Документы
Как правило, аптеки собирают персональные данные клиентов для работы с бонусными системами, например скидочными картами.
Что такое «персональные данные клиентов»?
В соответствии со ст. 3 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 года, персональные данные (ПД) — это любая информация, относящаяся к физическому лицу. При этом законом не определены точные границы того, какую именно информацию относят к персональной. Как показывает юридическая практика, такие данные обычно представляют собой связку нескольких фактов о человеке, которые позволяют идентифицировать его как отдельную личность.
Приведём примерный список наиболее используемых персональных данных, которые могут потребоваться аптеке при работе с клиентами:
- фамилия, имя, отчество;
- дата рождения, возраст;
- адрес места жительства или регистрации;
- номер контактного телефона;
- адрес электронной почты и так далее.
Человек может оставить свои данные аптеке в разных ситуациях. К ним относится оформление бонусной или скидочной карты, подписка на информирование об акциях, участие в опросах или конкурсах, заказ товаров в интернет-магазине.
Оператор персональных данных — кто он?
Как только аптека начинает собирать, систематизировать, накапливать, хранить, использовать или передавать персональные данные клиентов или сотрудников, она становится оператором персональных данных. Этот момент прописан в п. 2 ст. 3 Федерального закона № 152-ФЗ «О персональных данных».
Оператор персональных данных — компании и физические лица, которые собирают, хранят и обрабатывают персональные данные.
Принципы обработки персональных данных и условия работы с ними подробно описаны в п. 5 и п. 6 Федерального закона № 152-ФЗ «О персональных данных». Работа с ними должна выполняться в соответствии с действующим законодательством. Например, для обработки сведений необходимо предварительно получить согласие субъекта персональных данных. Его отсутствие чревато неблагоприятными последствиями в виде судебных исков. Человек может выразить своё согласие в любой форме, которая позволила бы подтвердить факт его предоставления (если нет иных законодательных требований). Ниже мы рассмотрим этот момент более детально.
При работе с персональными данными об этом необходимо уведомить Роскомнадзор — лучше всего это делать до начала сбора сведений. Отправить уведомление в контролирующий орган нужно только один раз — информируя о самом факте работы.
Подать уведомление можно одним из трёх способов:
- направить электронное уведомление через портал Госуслуг;
- направить заполненное по форме бумажное заявление в Роскомнадзор;
- заполнить уведомление и подписать его Усиленной квалифицированной электронной подписью на сайте Роскомнадзора.
Важный момент! Уведомлять Роскомнадзор нужно только в случае сбора и обработки данных с помощью автоматизированных систем, например компьютера. О рукописном журнале учёта отчитываться не нужно.
Организация процесса работы
При подготовке к работе с персональными данными клиентов аптеки можно выполнить следующие действия:
- Приказом назначить ответственного за организацию обработки персональных данных.
- Издать локальный акт, который зафиксирует политику аптеки в сфере персональных данных, и ознакомить с ним сотрудников.
- Определить организационные, технические и правовые меры для обеспечения безопасности собранных сведений.
- Проинформировать Роскомнадзор о намерении обрабатывать персональные данные.
- Определить автоматизированных носителей личной информации о клиентах.
- Разработать схемы регистрации и учёта действий, которые будут совершаться с полученными сведениями.
В соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» Оператор должен предоставлять клиентам неограниченный доступ к документу о защите персональных данных. Как правило, это положение размещается на стенде для покупателей или публикуется на сайте аптеки.
Персональные данные в системе лояльности — с чего начать сбор?
Прежде всего необходимо определить список сведений, которые клиент аптеки должен будет предоставить для участия в бонусной программе, регистрации на сайте и так далее. Как показывает практика, два и более видов персональных данных уже позволяет идентифицировать личность, пусть и косвенно. Таким образом аптека выступает оператором персональных данных, для сбора и обработки которых следует предварительно получить согласие клиентов.
При этом согласие на обработку персональных данных не требуется получать в том случае, если аптека публикует отзывы, в которых нужно указать только имя. Приведём пример такого отзыва.
«Вежливый персонал, большой выбор лекарств и других товаров. Очень удобное расположение».
Ангелина
Как собирать согласия на обработку
Закон не определяет строгие правила или шаблоны для получения согласия у клиентов. К исключениям относится бизнес, работающий с информацией о здоровье или национальной принадлежности человека. Однако большинству аптек такие сведения не требуются.
Можно организовать сбор согласия в электронном или письменном виде — на усмотрение руководителя аптеки. Лучше всего обеспечить хранение согласия на протяжении всего периода их действия. Как правило это отрезок времени, на протяжении которого планируется производить обработку персональных данных клиентов аптеки, и 3 года после завершения.
Рассмотрим три наиболее популярных способа сбора согласия клиентов аптеки на обработку персональных данных.
Печатная анкета
Бумажная анкета открывает новые возможности для рекламы — выполненная в фирменном стиле аптеки, она может подчеркнуть сильные стороны бренда, проинформировать покупателей об акциях.
И конечно, служить документом для сбора персональных данных и получения согласия клиента на обработку персональных данных. Анкета заполняется от руки. Можно предложить просто поставить галочку напротив пункта «Я даю согласие на обработку персональных данных» и оставить свою подпись.
Подтверждение согласия через SMS-код или звонок
Более современный метод предполагает подтверждение согласия при помощи звонка или отправки кода на личный номер телефона клиента. Для этого фармацевт вносит данные покупателя в программу лояльности и просит озвучить код, который система направляет для подтверждения.
Чтобы клиент мог ознакомиться с полным текстом согласия и правилами программы лояльности или другими сервисами аптеки, в SMS можно отправить ссылку на эти документы.
Check box с галочкой согласия на сайте
При регистрации на сайте или отправке формы заказа следует предусмотреть специальное поле с «флажком» — чекбокс — напротив ссылки на согласие и правила обработки персональных данных.
Важно! Нельзя автоматически проставлять это поле. Клиент должен сам нажать на него, выражая своё согласие.
Клиент не может отправить заявку, пока не поставит галочку в соответствующем поле. При получении его согласия заявка сохраняется на сайте. В дальнейшем её можно будет выгрузить и использовать как доказательство того, что согласие клиента было получено.
Что должно содержать согласии на обработку
Документ должен объяснить покупателю, с какой целью аптека собирает его персональные данные и как будет их использовать. Требования к тексту согласия указаны в ст. 9 Федерального закона № 152-ФЗ «О персональных данных».
Согласие на обработку персональных данных может содержать:
- наименование аптечной организации;
- цель обработки персональных данных (участие в бонусной системе, получение рассылок об акциях, отправка заказа, создание личного кабинета и так далее);
- список персональных данных, которые клиент аптеки позволяет обрабатывать (ФИО, дата рождения, телефон, адрес электронной почты, домашний адрес и так далее);
- список действий, которые покупатель позволяет совершать со своими персональными данными (сбор, накопление, систематизация, хранение, использование для рассылки сообщений, рекламных звонков и так далее);
- срок действия согласия;
- список организаций, которым аптека может передавать данные;
- на бумажном носителе — подпись клиента.
Собирать только те персональные данные, которые точно нужны для реализации целей аптеки. Например, при оформлении заказа на сайте аптеки, будет лишним спрашивать семейное положение покупателя и другую подобную информацию. Сбор таких данных может насторожить клиента и вызвать вопросы со стороны контролирующих органов.
За что аптеку могут оштрафовать при сборе персональных данных
Штрафов за неправильную работу с персональными данными довольно много.
Аптека может обрабатывать персональные данные с теми целями, которые не были указаны в соглашении. В этом случае предусмотрены административные штрафы:
- на должностные лица — от 10 000 до 20 000 рублей;
- на юридические лица — от 60 000 до 100 000 рублей.
Повторное нарушение чревато более высокими административными штрафами:
- на должностные лица — от 20 000 до 50 000 рублей;
- на ИП — от 50 000 до 100 000 рублей;
- на юридические лица — от 100 000 до 300 000 рублей.
Пример: покупатель оставил в анкете телефон для регистрации в системе лояльности, но не давал согласие на получение рекламной рассылки. Аптека добавила номер в базу для рассылок и стала рассылать SMS с акциями.
Аптека не взяла согласие клиента на обработку данных, но использует их в своей работе. В этом случае предусмотрены административные штрафы:
- на должностные лица — от 20 000 до 40 000 рублей;
- на юридические лица — от 30 000 до 150 000 рублей.
Повторное нарушение чревато более высокими административными штрафами:
- на должностные лица — от 40 000 до 100 000 рублей;
- на ИП — от 100 000 до 300 000 рублей;
- на юридические лица — от 300 000 до 500 000 рублей.
Пример: человек указал свой номер телефона и адрес электронной почты на странице в социальной сети. Представитель аптеки добавил эти контакты в базу для рассылок без получения разрешения со стороны владельца персональных данных.
Точный размер административного штрафа определяют контролирующие органы индивидуально для каждой организации.
Источники
- Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 года;
- Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 года, № 195-ФЗ;
- Персональные данные клиентов в системе лояльности: как их хранить и не получить штраф;
- Персональные данные: как аптеке избежать штрафов?