Летом 2017 года начали действовать новые поправки к закону «О персональных данных» № 152-ФЗ от 27.07.06, которые регламентируют процессы использования личной информации клиентов. Новая редакция законодательства ужесточает меры ответственности компаний с этом секторе и предусматривает более высокие штрафы за нарушение правил работы с данными физлиц.
Если раньше в случае подобных нарушений компания могла ограничится штрафом в 10 000 рублей или вовсе уйти от ответственности, то сейчас ситуация изменилась кардинально. Число жалоб клиентов перевалило за критическую отметку, это привело к усилению контроля со стороны надзорных органов и кратному увеличению размера штрафов. Сегодня в рамках жалобы одного физлица компания может получить обязательств на общую сумму до 295 000 рублей.
Напомним, что к персональным данным относятся такие сведения о физлице, так ФИО, возраст и пол, адрес проживания, семейное положение, образование, место работы и должность, уровень дохода и проч.
В зоне активности
Новые поправки не остались незамеченными, потребители с энтузиазмом цитировали новости в соцсетях и обсуждали возможности привлечения компаний к административной ответственности. Статистика показала, что у многих людей слова превратились в реальные действия. По данным Роскомнадзора только за 1 полугодие 2017 потребители направили в ведомство 14 387 жалоб на действия компаний, которые некорректно обрабатывали их персональные данные. По факту каждого обращения была инициирована проверка.
Такую активность потребителей можно понять: люди устали от навязчивых рекламных предложений, которых за последнее время появилось так много, что это стало вызывать раздражение. Однако такое поведение клиентов представляет опасность для бизнеса, поскольку любая компания, работающая с персональными данными (ПНд), рискует получить поток жалоб и крупные штрафы, даже если допустила нарушение законодательства неумышленно. В зоне риска — ритейлеры и торговые сети, активно работающие с розницей и клиентскими базами внушительного объема: от нескольких десятков до нескольких сотен тысяч записей. А также интернет-магазины b2c-сегмента, сайты-интеграторы услуг, банки, небанковские кредитно-финансовые организации, операторы связи.
Рисковый маркетинг
Одно из самых распространенных нарушений — неправомерное использование персональных данных клиентов в ходе маркетинговых кампаний. Это могут быть различные программы лояльности, email- и sms-рассылки, «холодные» звонки с предложением услуг, телемаркетинг.
Согласно нормам КоАП РФ, прописанным 4 и 5 частях кодекса, нарушением признается неправильное реагирование компании на запрос физлица, связанный с предоставлением информации об обработке его ПДн (штраф 10 000–40 000 рублей), а также несвоевременное реагирование на запрос об изменении, уточнении, удалении или блокировке ПДн (штраф 10 000–45 000 рублей). Но это только малая часть предусмотренных санкций. Процессы обработки персональных данных также подпадают под действие закона о рекламе, исполнение которого контролирует ФАС. №38-ФЗ устанавливает: «распространение рекламы по сетям электросвязи… допускается только при условии предварительного согласия абонента или адресата на ее получение». Чтобы соблюсти это требование, компания должна получить отдельное согласие физлица на обработку его ПНд. Соответственно, данный пункт не может быть включен в текст договора или публичной оферты, для него необходима отдельная форма или специальная «галочка», которую клиент должен поставить. Но на практике это не дает стопроцентной гарантии.
— Даже когда потребитель дал свое согласие, по его первому требованию поставщик рекламы должен прекратить звонки и рассылки, — комментирует Максим Лагутин, сооснователь компании Б-152, специализирующейся на защите персональных данных.— Если это требование не выполнено или выполнено несвоевременно, возникает повод для жалобы в ФАС, и клиенты сегодня все чаще этим поводом пользуются, тем более что на сайте ведомства есть удобная форма для обращений».
Когда в дело вступает ФАС, размер штрафа возрастает до нескольких сотен тысяч рублей. Чтобы «попасть» на такую сумму, компании достаточно пропустить всего одно письмо с запросом от клиента.
Меры профилактики
Штрафные санкции могут стать серьезным финансовым бременем для бюджета компании и повлиять на репутацию. Чтобы этого не произошло, стоит принять профилактические меры, снизив риск неумышленного нарушения законодательства. Здесь есть три основных этапа.
1. Документы
Внимательно просмотрите все b2c-договоры компании, клиентские анкеты, публичные оферты, правила действия программ лояльности, тексты согласия на обработку ПДн. Убедитесь, что все формулировки четкие, соответствуют закону о персональных данных и закону о рекламе. Создайте отдельную форму, в которой клиент дает согласие на обработку ПДн и получение рекламной информации. Предусмотрите алгоритм отказа потребителя от получения писем и рассылок.
2. Внутренний регламент
Создайте внутри организации четкий алгоритм обработки персональных данных, пропишите конкретные шаги: как компания использует ПДн и реагирует на запросы физлиц, предусмотренные законодательством. Эту информацию можно разместить в общем доступе. Разработайте инструкцию для реагирования на обращения клиентов. Подготовьте шаблоны ответов на каждый вид запроса. Создайте отдельный email или форму на сайте для таких писем.
3. Персонал
Ознакомьте сотрудников с законодательством и новым регламентом. Назначьте ответственного за работу с обращениями клиентов. Предупредите персонал о штрафах в случае некорректных действий в отношении персональных данных физлиц.
Компания Б-152 специализируется на защите персональных данных и занимается приведением бизнес-процессов организаций в соответствие требованиям закона №152-ФЗ «О персональных данных» с 2011 года. Компания Б-152 предлагает онлайн-сервис подготовки документов, а также консультационную поддержку и верификацию заполненных документов. Для крупных операторов персональных данных компания предлагает индивидуальные решения «под ключ».