Вопрос хранения персональных данных клиентов заботит любую компанию, особенно если речь идет о передаче данной информации в электронном виде. Если вы являетесь владельцем интернет-магазина, блога с комментариями или e-mail—рассылки, на вас распространяется действие закона о защите персональных данных. А еще к вам в любой момент может обратиться Роскомнадзор и поинтересоваться, насколько надежно хранится у вас эта информация.

При отсутствии должной защиты данные могут стать добычей интернет-взломщиков, которые регулярно пополняют базы для последующей перепродажи спамерам и прочим «любителям» холодных безадресных рассылок. Ваша же компания получит большой штраф, размер которого может достигать 300 тысяч рублей, а также значительный «репутационный» скандал. Если вас беспокоит не только потеря значительной суммы, но и реноме, обязательно читайте эту статью до конца.

Какие данные клиентов считаются персональными

В соответствии с российским законодательством каждая организация, которая занимается сбором персональных данных клиентов (сокращенно ПДн), вне зависимости от ее волеизъявления, является оператором ПДн. В этом статусе у компании появляются официальные обязательства по осуществлению определенных процедур. Самостоятельно нести такую ответственность желают и могут далеко не все фирмы.

Что такое CRM-маркетинг

И как он помогает бизнесу развиваться

Подробнее

Данное решение вполне обоснованно, поскольку практическая деятельность показывает абсолютную новизну и почти нулевое использование в реальных обстоятельствах правил об использовании личных данных. Вопросы и проблемы возникают даже у специалистов.

Личные данные включают сведения о человеке и информацию о его работе, таких как:

• Ф. И. О.;
• дата рождения;
• номер телефона;
• место жительства;
• e-mail;
• ссылки на аккаунты в соцсетях;
• наименование работодателя;
• название должности.

Нюансы работы с персональными данными клиентов в российских реалиях

Что же считается персональными данными? Точного определения пока не существует. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций и Министерство цифрового развития, связи и массовых коммуникаций так и не обозначали границы данного понятия. Исходя из законодательных актов и материалов судебного делопроизводства, можно сформулировать, что личные данные представляют собой информацию «в связках». То есть по отдельности Ф. И. О., номер телефона и e-mail считаются простой информацией. Но, допустим, те же Ф. И. О. и телефонный номер в паре, а сочетание адреса, Ф. И. О. и должности представляют собой уже персональную информацию. Примеры «связок»:

Такую информацию Роскомнадзор считает персональной.

Закон не расценивает персональной информацию, выложенную самим человеком по доброй воле в открытый доступ. Ф. И. О. и номера телефонов, взятые из справочников типа «Желтые страницы», соцсетей и других подобных источников – это не персональные данные. Исключение – социальная сеть «ВКонтакте», данные пользователей которой Роскомнадзор запретил собирать и обрабатывать.

Эти сведения считаются персональными, и в теории данная организация должна подготовить для Роскомнадзора отчет по своей деятельности. Если использовать для сбора данных все социальные сети, кроме «ВКонтакте», то отчитываться перед контролирующим органом не нужно.

При заключении договора все указываемые потребителем сведения тоже считаются персональными. Если они удаляются сразу после завершения работ по договору, то отчет для Роскомнадзора не потребуется. Чтобы не нарушать закон, данные должны быть уничтожены без промедления.

Личные данные Шаров собирает с целью оформления договора, но после завершения сделки продолжает их хранить. Следовательно, Роскомнадзор потребует с него отчет, поскольку закон определяет срок хранения персональных данных клиентов. Если Владимир отчитываться не хочет, то он обязан удалять информацию о своих покупателях после окончания контракта.

На какие категории разделяют персональные данные клиентов

Постановление № 1119 Правительства РФ гласит, что персональные данные граждан делятся на три группы, исходя из которых определяется степень их защиты:

1. Религиозные, философские, политические взгляды, а также информация о личной и интимной жизни человека, сведения о гражданстве к специальной категории.
2. Фото, отпечатки пальцев, рост, вес, другие физические параметры и биологические сведения относятся к биометрической категории.
3. Персональные данные, выложенные самими гражданами в открытый доступ, например, анкеты в соцсетях, относятся к общей категории.

Остальные сведения, не входящие в три основные разряда, – это другие группы.

Бесплатный плагин для геотаргетинга

Увеличивайте конверсию в 1,7 раз — плагин “Стадный инстинкт”

Подробнее

Существуют типы по количеству людей, данные которых хранятся одновременно:

• менее 100 000 субъектов;
• более 100 000 субъектов.

Исходя из принятых классификаций, определяется и необходимый уровень защиты личных данных.

Почему персональные данные клиента нужно защищать

Персональные данные находятся под угрозой, когда возникает риск их утери или обнародования. Наиболее часто возникают такие ситуации, как:

• сбой операционных систем, их незащищенность от действий лиц со злым умыслом;
• проблемы в функционировании программного обеспечения, которое защищает ПДн;
• человеческие ошибки, например, забыли закрыть доступ, не выключили компьютер, упустили проблемную ситуацию.

Хранение персональных данных клиентов в зависимости от способа сбора

От системы сбора персональных данных зависят способы их хранения. Информация классифицируется ручным способом посредством Интернета или сканов клиентской документации.

Данные посредством Сети могут собираться с помощью виджета Envybox под названием «Захватчик клиентов».

Когда человек заносит личные сведения в формы заказов и подписок на сайте, его персональные данные попадают в Интернет. Вся информация из онлайн-форм сохраняется на сервере. Защиту этих материалов обеспечивает провайдер. Поэтому оптимальным местом нахождения базы личной информации считается сервер в России.

Данные собираются вручную, например, в различных салонах красоты, посредством заполнения клиентами анкет, где они указывают свои имена и контакты для получения рекламных сообщений. Там же подписывается согласие на обработку ПДн. Личные сведения работники заносят в базу, которая оформляется в Excel-таблице или в системе CRM.

Когда организации для работы требуется сканирование документов, например, паспортов клиентов, то эти оттиски тоже необходимо где-то хранить, обычно для этого используется облачное хранилище или в локальной сети, а также на жестком диске ПК или съемном носителе.

Если персональные данные зафиксированы в бумажном варианте в виде согласия абонентов на их обработку, а также договоры, копии паспорта, страхового свидетельства и т. д., их хранят в закрытом хранилище. Это могут быть шкаф или сейф, которые располагаются в запираемом помещении. Право доступа к документам дается только определенной категории сотрудников.

Как интегрировать CRM с Google Analytics

И получить +30% заявок — EnvyCRM

Подробнее

Хранение персональных данных клиентов в организации на бумажном носителе осуществляется в папках, которые делятся на несколько групп в зависимости от цели сохранения. Нужно учитывать, что ПДн работников и покупателей не находятся рядом. Сведения о клиентах также могут подразделяться на группы. В идеале для хранения каждой группы должно быть организовано отдельное место.

Правила сбора и хранения персональных данных клиента

При хранении персональных данных клиентов вы можете уклониться от требований российского законодательства, либо следовать всем правилам.

• Чтобы избежать ответственности, надо либо удалить со своего интернет-ресурса форму для внесения контактов, либо оставить в ней строку указания адреса электронной почты для рассылки или строку номера телефона для сбора заказов. В этом случае Роскомнадзор не заинтересуется данной организацией и ее сайтом.
• Чтобы сделать все по закону, следует выполнить следующее:

1. Зарегистрировать оператора ПДн на сайте Роскомнадзора. Для этого надо отправить заявление в электронном и письменном виде. Это очень просто: вбейте необходимую информацию в электронную форму и получите заявление – заполните его и отправьте. Затем распечатайте бумажный вариант, который надо отправить в ближайшее отделение Роскомнадзора посредством Почты России.
2. Готовые документы сохраните – предъявите их при проверке сотрудникам Роскомнадзора.
3. Необходимо обязательно предупредить своих пользователей о том, что вы храните их персональные данные, поэтому они должны согласиться с вашей политикой конфиденциальности. Ссылку следует размещать в удобном месте: внизу страницы, в шапке либо она должна появляться сразу при регистрации на вашем веб-ресурсе – главное, чтобы клиент ознакомился с информацией до того, как он отправит личные сведения.

Подробный порядок работы с данными пользователей должен быть закреплен в соответствующих документах вашей компании. В них следует расписать способы защиты, вид и место хранения персональной информации, список лиц, которые могут с ней работать, дату уничтожения.

Лучшие шаблоны быстрых ответов в Онлайн-чате Envybox

Не упустите ни одного клиента

Подробнее

Что вам грозит за несоблюдение требований по хранению персональных данных клиентов

Контролирующий орган обычно проводит плановые проверки, но могут возникнуть и непредвиденные ситуации, допустим, поступили обращения от покупателей или конкурирующих организаций. Роскомнадзор в этом случае проверит обращение, все документы, просмотрит пользовательское соглашение и уведомления на сайте.

При несоответствиях требованиям закона налагаются штрафные санкции:

• для физических лиц – 5 000 рублей;
• для работников компании в случае невыполнения должностных обязанностей – 25 000 рублей;
• для индивидуальных предпринимателей – 100 000 рублей;
• для юридических лиц – 300 000 рублей.

При этом штрафы могут суммироваться. Допустим, четыре работника не выполнили свои обязательства по отношению к персональным данным клиентов, значит, они получат суммарный штраф в размере 100 000 рублей.

Автоматическое выставление счетов в EnvyCRM

Больше оплат от Ваших клиентов

Подробнее

Ответы на вопросы о хранении персональных данных клиентов

• • Серверы с данными находятся за границей. Нужно ли подавать уведомление? Следует ли переносить данные на российские серверы?

    Необходимо в обязательном порядке сформулировать соглашение и подать уведомление. Вопрос о переносе данных на российский сервер нигде однозначно не раскрыт. В этом случае нужно обратиться в раздел «Разъяснения» на сайте Министерства цифрового развития, связи и массовых коммуникаций или выяснить в Роскомнадзоре.

  • Я храню и обрабатываю cookie-файлы. Я оператор?

    В Роскомнадзоре не раскрывают вопрос относительно cookie-файлов. Поэтому за разъяснениями рекомендуем обратиться в этот орган. Для перестраховки бизнесмены размещают на сайте всплывающее окно с сообщением о согласии посетителей на хранение cookie.

  • Я собираю геоданные пользователей. Я оператор?

    К персональным данным относятся все материалы о человеке и его работе, которые собираются в «связках». Поэтому геоданные будут относиться к ПДн, если они предоставлены вместе с другими данными, например, с Ф. И. О. и номером телефона. Для сбора только геоданных необязательно становится оператором.

• А что делать, если сбор персональных данных идет через мессенджеры?

  В данной ситуации хранение ПД клиентов осуществляется на сервере компаний-операторов. Однако ответственность за сохранность ПДн остается на владельце организации, ведущей деятельность и сбор личной информации в мессенджерах.

  Необходимо контролировать защиту данных пользователей и понимать, обосновано ли в чат-центре хранение персональных данных клиентов. Закон этого не запрещает.

• Как работать без третьей стороны при сборе ПД в мессенджерах?

  Для этого потребуется переподключение on-premise, или in-house. При нем данные будут отправляться не в чат-центр, а сразу на сервер компании. Бизнесмены могут организовать данный процесс самостоятельно.

Озвучивание Utm-меток в Обратном звонке на сайте

Как отследить конверсию и увеличить заявки?

Подробнее

Это надежный и несложный способ хранения ПДн одним лицом. Однако потребуются материальные затраты, чтобы создать, настроить, установить софт и сопутствующее оборудование. Поэтому такой способ сбора персональных данных без третьей стороны рационально использовать в случае большого потока входящей информации и зависимости бизнеса от покупателей. Именно клиенты обычно жалуются на утечку личных сведений.

Законодательный акт «О хранении персональных данных» был изменен, принципы его стали более строгими. Чтобы знать, как хранить личные данные пользователей и при этом делать все по правилам, следует разобраться в законе, научиться разделять категории данных и понимать уровни их защиты.

Персональные данные клиентов – словосочетание, которое пугает многих владельцев интернет-магазинов своей официозностью и той тревожной аурой, которую навевает на него 152-ФЗ «О персональных данных». Так, за неправильное хранение, за разглашение, передачу положены грабительские штрафы.

Штрафы действительно предусмотрены, но не вся та информация, которая хранится на сайтах интернет-магазинов, является персональными данными клиентов. О заблуждениях, правилах обработки и хранения ПД мы поговорим далее.

Что такое CRM-маркетинг

И как он помогает бизнесу развиваться

Подробнее

Что нужно знать о персональных данных клиентов организации

Для более глубокого понимания давайте рассмотрим конкретную ситуацию. У интернет-магазина есть свои клиенты, ПД которых хранятся в «облаке» сторонней организации. Также эту базу использует в работе маркетинговое агентство. Здесь всего один оператор ПД. Им является непосредственно интернет-магазин, который ставит конкретную задачу исполнителю, то есть агентству. А вот обработчиков ПД в данном случае будет два: это организация, в облаке которой находится база данных интернет-магазина, и маркетинговое агентство.

Так как сейчас мы не представляем своей жизни без интернета, то свои ПД (электронные адреса, ФИО, номера телефонов, ИНН и др.) мы оставляем, посещая различные сайты. Также во всех организациях, с которыми нам приходится взаимодействовать в течение жизни, ведется обработка наших ПД (образовательные учреждения, банки и пр.). Но как и где именно это происходит?

Важное о защите персональных данных клиентов

Защитить ПД конкретного человека можно с помощью его обезличивания. То есть когда человек, например, обращается в банк с заявкой на выдачу кредита, ему присваивается идентификационный номер. За счет того, что сам по себе набор цифр не является информацией, относящейся к ПД, лицо, которое таким образом зашифровано, невозможно определить.

Так ли страшны штрафы за нарушение обязательств о неразглашении персональных данных клиентов

Данная тема давно обросла слухами, и эта информация, к сожалению, не всегда оказывается достоверной.

Бесплатный плагин для геотаргетинга

Увеличивайте конверсию в 1,7 раз — плагин “Стадный инстинкт”

Подробнее

Основные правила, регулирующие обработку ПД, остаются без изменений с момента вступления в силу поправок в КоАП РФ, которыми была ужесточена ответственность за нарушение законодательных норм. Суммы штрафов стали более существенными — до 75 000 руб., кроме этого введены новые составы правонарушений.

Конечно, штрафы, предусмотренные для юридических лиц, гораздо серьезнее, чем для физических. 75 000 руб. — это максимальный размер штрафа, установленный для компаний за совершение одного из семи нарушений. В других случаях он составляет от 30 000 до 50 000 руб.

Те, кто не вникает в суть данного вопроса и делает заключения на основании поверхностных знаний, как правило, заблуждаются сами и дезинформируют других. Давайте более серьезно подойдем к данной теме и ознакомимся с самыми распространенными мифами о ПД.

5 заблуждений об обработке и хранении персональных данных клиентов

Если не вникать в суть вопроса, то так оно и есть.

Обратимся к норме Закона (ч.1 ст.3 ФЗ «О ПД»): «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Но если перенести эту формулировку в реалии жизни, то персональными будут признаны только те данные, по которым легко можно идентифицировать человека.

Например, по адресу электронной почты или телефонному номеру вам вряд ли удастся установить конкретное лицо.

Отсюда и вывод: если по имеющимся сведениям нельзя вычислить безошибочно гражданина, то они не являются ПД.

В случае если анкета обратной связи не предусматривает указание кроме телефонного номера и адреса электронной почты иных сведений, по которым можно без труда определить конкретного пользователя, то данная информация не считается ПД. Даже если в ней указывается имя человека, это также не превратит ее в ПД, так как по нему нельзя идентифицировать физическое лицо.

Для наступления юридических последствий на основании нормы закона не достаточно указание имени. Кроме него необходимы фамилия и отчество.

Лид-магнит: примеры

Инструмент получения контактов пользователей

Подробнее

Та же ситуация и с данными об IP адресе, cookie и др., которые автоматически собираются во время посещения нами различных сайтов. Все это не относится к ПД без прохождения полной идентификации личности.

Вновь обратимся к ФЗ «О персональных данных». На основании ч.2 ст.3 «Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».

Но имеются исключения из этого правила, о чем свидетельствует норма, прописанная в ч.3 ст.6 вышеуказанного закона: «Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора».

Их мы не считаем операторами ПД по причине того, что они не устанавливают цель, состав и действия, совершаемые с ПД.

К ним в реальности относятся организации, которые получают определенный заказ от клиента на обработку, хранение ПД или выполнение иной задачи. Ими могут быть, к примеру, консалтинговые или сервисные компании.

Не торопитесь сразу относить себя к числу операторов ПД. Может быть такое, что вы получили эти данные от оператора, а не от самого субъекта ПД.

Партнерские продажи

Как высплывающие окна увеличивают их в два раза

Подробнее

На самом деле в ФЗ «О Персональных данных» мы можем увидеть норму, которая вводит обязанность публикации Политики конфиденциальности. А именно, это прописано в ч.2 ст.18.1.: «Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети».

Но опять же стоит помнить о некоторых исключениях:

1. Как уже было оговорено в заблуждении № 1, не все данные о физ. лице относятся к персональным.
2. Эти правила распространяются исключительно на лицо, которое выполняет обработку ПД по поручению оператора (вернитесь к заблуждению № 2).
3. В ФЗ «О Персональных данных» нет норм, закрепляющих за частными лицами или ИП обязанность издавать документы и локальные нормативные акты, регулирующие вопросы обработки ПД. Пп.2 ч.1 ст.18.1 гласит, что это должны выполнять только юридические лица.

Несомненно, первым и обязательным условием для обработки ПД является согласие на это самого субъекта ПД. Об этом четко говорится в пп.1 ч.1 ст.6 ФЗ «О Персональных данных». Но всегда ли для его получения стоит оформлять письменное разрешение с подписью субъекта ПД? Существует несколько правил:

• Согласие не требуется лицу, выполняющему свои действия на основании поручения оператора ПД.
• Получение отдельного согласия не потребуется, если оператор производит свои действия по обработке ПД;
• В рамках исполнения договора с субъектом ПД;
• Самим субъектом ПД либо по его просьбе доступ к ПД открыт неограниченному кругу лиц.

То есть если вы заключаете пользовательское соглашение, то вам будет достаточно уведомить пользователя об обработке его ПД.

• Согласие может быть предоставлено оператору в другой форме.

Иными словами, если ФЗ не содержит ссылки на получение только письменного согласия, то существует несколько альтернативных форм, в которых оно может быть дано: переход по ссылке, направленной пользователю на электронную почту в момент регистрации в аккаунте, введение специального кода, отправленного в смс-сообщении.

Как интегрировать CRM с Google Analytics

И получить +30% заявок — EnvyCRM

Подробнее

• Письменное согласие может быть подписано электронной подписью в случае наличия последней.

Исходя из этой нормы, большинство консультантов рекомендуют все же информировать Роскомнадзор.

Как указано в ч.1 ст.22 ФЗ, «Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных».

Но не стоит забывать про исключения, прописанные в той же статье. Существуют основания, наличие которых освобождает оператора от необходимости информировать Роскомнадзор.

Если вы все же встали на учет в Роскомнадзор, то будьте готовы к детальному анализу всех внутренних нормативных документов вашей компании и постарайтесь обеспечить их фактическое выполнение, иначе привлечения к административной или даже уголовной ответственности вам не избежать!