152-ФЗ и персональные данные гостей: как собирать и работать с ними по закону
Рубрика
Законы и новости
Редактор
Виктория Царенкова
Автор
Елизавета Ермоленко
Дата публикации
2/4/2021
Оформляя доставку или регистрируясь в приложении, гости оставляют вам свои личные данные, например, телефон и адрес. Просто собирать эти сведения нельзя, нужно выполнить ряд требований закона по обработке и хранению персональных данных. Если их нарушить, можно получить штраф. Рассказываем, как правильно организовать приём заказов (в том числе через мессенджеры и директ Инстаграма), рассылать рекламу и хранить персональные данные, полученные от гостей.
В каких ситуациях гости передают вам персональные данные
Примерами таких ситуаций могут быть:
- Гости заказывают доставку еды из вашего заведения — напрямую через ваш сайт, ваш аккаунт в Инстаграме, группу во «ВКонтакте» или через агрегаторы типа «Яндекс.Еда». При этом они оставляют свой телефон, имя и адрес.
- У вас есть программа лояльности, мобильное приложение, скидочная карта для гостей. И гости при регистрации оставляют там свои данные.
- У вас есть сайт с личным кабинетом гостя.
- Вы используете сервисы типа Яндекс.Метрики или Google Аналитики и запрашиваете телефон или почту пользователя.
Во всех этих случаях вы собираете персональные данные людей, а значит, попадаете под действие Федерального закона №152-ФЗ от 27.07.2006 г. «О персональных данных» (далее — 152-ФЗ).
Какие данные гостей относятся к персональным
В законе нет чёткого списка, что считать персональными данными (далее — ПД), поэтому бывает сложно определить, что является ими, а что — нет. В 2021 году Роскомнадзор планирует опубликовать матрицу персональных данных. А пока мы пользуемся определением из 152-ФЗ:
«Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)». Проще говоря, это любая информация о человеке, по которой его можно узнать.
К персональным данным однозначно относятся:
- фамилия, имя, отчество;
- электронная почта;
- телефон;
- год, месяц, дата, место рождения;
- фотография;
- ссылка на профиль в соцсетях;
- список заказанных товаров или услуг;
- файлы сookies;
- данные о местоположении;
- IP-адрес.
Если вы обрабатываете данные такого рода (т.е. собираете, храните, изменяете, удаляете и т.п.), значит, являетесь оператором персональных данных и должны соблюдать требования закона 152-ФЗ.
Особый случай — получение данных через сервисы аналитики
Если вы используете сервисы типа Яндекс.Метрики или Google Аналитики на своих сайтах, нужно проверить, не собирают ли они персональные данные пользователя.
Сервисы аналитики могут собирать различные сведения, например, количество посетителей или кликов на странице, время, проведённое на странице и т.д.
Сами по себе эти данные не являются персональными. Но если вместе с ними вы запрашиваете у пользователя номер телефона или почту, человека уже можно идентифицировать. Поэтому рекомендуем и в этом случае запрашивать согласие на обработку персональных данных и публиковать политику конфиденциальности.
6 необходимых действий для работы с данными гостей
Чтобы соблюдать требования 152-ФЗ по работе с персональными данными, вам надо:
- Уведомить Роскомнадзор о начале обработки персональных данных.
- Получать согласие каждого гостя на обработку его личных данных.
- Опубликовать политику конфиденциальности.
- Хранить обрабатываемые персональные данные на территории России.
- Назначить лицо, ответственное за обработку персональных данных.
- Удалить персональные данные лица, которому они принадлежат и которое обратилось с просьбой исключить его из рассылки или других ваших баз, где содержатся персональные данные. Срок на это – 7 рабочих дней с момента обращения этого лица.
Остальные действия мы подробнее рассмотрим дальше.
Уведомление в Роскомнадзор
Чтобы уведомить Роскомнадзор, вам нужно на его сайте заполнить форму. В ней вы приводите свои реквизиты, указываете цели обработки персональных данных, на основании чего будете их обрабатывать и т.д.
На самом деле, эту форму вы должны заполнять и по другим основаниям, не только при сборе ПД от гостей. Она обязательна для всех ИП и ООО, у которых есть сотрудники, поскольку работодатель собирает и хранит личные данные работников.
Если вы ещё этого не сделали, заполните эту форму сейчас. Вы можете сразу указать все основания для обработки персональных данных — и 152-ФЗ, и Трудовой кодекс, и пункт устава ООО, согласно которому вы являетесь оператором персональных данных в конкретной ситуации. Эти данные надо указать в графе «Правовое основание обработки персональных данных».
Согласие гостя на обработку его данных
Вам необходимо получать согласие каждого гостя или клиента на обработку его личных данных.
Важно! Гость должен выразить согласие на обработку до того, как передаст вам свои данные, и сделать это в явной форме.
Для этого он должен поставить галочку-согласие в чек-боксе с текстом предупреждения, например, таким: «Нажимая кнопку, вы даёте согласие на обработку своих персональных данных». Галочку пользователь должен проставить сам, она не может быть проставлена автоматически.
Ещё вариант — отправить на телефон клиента код, который он должен ввести для оформления заказа.
Пример, как должна выглядеть форма с галочкой-согласием:
А вот так реализовано подтверждение согласия на сайте «Додо Пиццы»:
Кроме того, вы должны указать, с какой целью собираете данные, например, для «рассылка рекламы пользователю посредством отправки электронных писем». Нельзя собирать ПД просто так — это нарушение закона.
Так, к примеру, в пункте 5 политики конфиденциальности «Додо Пиццы» подробно расписаны цели сбора файлов cookie:
5. Технология “Cookie”, используемые компанией на Сайте
5.1. Компания вправе использовать технологию «cookie» для сохранения информации об ip-адресе Посетителей и Пользователей Сайта. «Cookie» не используются для сохранения конфиденциальной информации о Посетителях и Пользователях Сайта, и не направлены на установление личности Посетителя и Пользователей Сайта. Вся информация, которая собирается и анализируется, анонимна.
5.2. Использование технологии «cookie» представляет собой размещение на Сайте определенного набора символов (знаков), которые сохраняются на компьютере (далее - “устройство”, с которого был выполнен вход на Сайт) Посетителей и Пользователей Сайта, при доступе к определенным местам Сайта.
5.3. Цели применения Компанией технологии «cookie»:
5.3.1. аналитическая деятельность по исследованию предпочтений Посетителей и Пользователей Сайта;
5.3.2. статистика по активности Посетителей и Пользователей на Сайте;
5.3.3. повышение производительности и эффективности Сайта;
5.3.4. аналитика и исправление ошибок Сайта, улучшение работы всех ресурсов Сайта;
5.3.5. безопасность и целостность ресурсов Сайта;
5.3.6. показ рекламных объявлений наших сервисов на сторонних сайтах.
В полном тексте согласия нужно указать: кто и кому соглашается передать данные, какие сведения передаёт пользователь, для каких целей и в течение какого срока действует его согласие.
Для вашего удобства мы составили пример согласия на обработку данных — его можно скопировать и отредактировать для своего заведения.
Если у вашего заведения есть практика бронирования столиков по телефону, собрать предварительное согласие на обработку ПД будет сложнее. В этом случае можно ввести бронирование столиков через сайт, на котором легко разместить форму для сбора согласий.
Передача данных гостей службам доставки
Если вы занимаетесь доставкой еды и передаёте курьерским службам контактные данные своих клиентов, нужно получить согласие пользователей ещё и на передачу данных третьим лицам. Причём такие третьи лица обязательно должны быть указаны в форме согласия.
Но учитывайте следующее. Роскомнадзор считает нарушением такое согласие на передачу данных любому третьему лицу, и судебная практика подтверждает эту позицию.
Политика конфиденциальности
В политике конфиденциальности вы объясняете пользователям, для чего собираете персональные данные и как будете их защищать — доступом по паролю, антивирусными программами или другим способом. Поэтому она должна быть доступна везде, где есть форма сбора данных: на сайте, в соцсетях, приложении, а если гость заполняет бумажную анкету — то ещё и в распечатанном виде в заведении.
Мы подготовили шаблон политики конфиденциальности — можно использовать его или составить свой.
Обычно политику конфиденциальности размещают внизу сайта, как сделали в кофейне «Щегол»:
Регистрация гостя в мобильном приложении
Регистрируясь в приложении, гость должен:
- ознакомиться с политикой конфиденциальности,
- дать согласие на обработку персональных данных и получение рекламной рассылки,
- а также согласиться с условиями пользовательского соглашения (условия использования приложения).
Ссылки на эти документы лучше поместить на экране регистрации.
Бесплатно разработаем мобильное приложение — для вашего заведения или франшизы
В приложении от Quick Resto — функции предзаказа и доставки, отправка пуш-уведомлений, настройка акций и программ лояльности, а также дизайн в стиле вашего бренда.
Оформление доставки через соцсети и мессенджеры
Если у вас нет сайта и заказы вы принимаете через соцсети или мессенджеры, можно присылать клиентам ссылку на Google Диск, где размещены согласие на обработку данных и политика конфиденциальности.
Как только клиент выразил намерение заказать у вас еду или напитки, отправьте ему ссылку на согласие и политику конфиденциальности. Это надо сделать до того, как клиент пришлёт вам свои данные.
Получить согласие можно через Google Форму. Вот пример, как это может быть реализовано:
Хранение персональных данных и ответственный за их обработку
Большинство данных передаются в цифровом виде, поэтому хранить их можно именно так. Если ваши гости заполнили бумажную анкету (например, для скидочной карты), их тоже можно оцифровать или хранить в бумажном виде.
И в том, и в другом случае место хранения должно находиться в России:
- бумажные носители должны храниться по адресу, зарегистрированному в РФ,
- цифровые — на серверах, находящихся в России.
Поэтому внимательно читайте договор на услуги хостинга и с облачными сервисами типа Google Диск, Dropbox и Яндекс.Диск. Если сервера такой компании окажутся за границей, вы нарушите закон 152-ФЗ.
Ответственный за обработку персональных данных
Вам надо оформить и подписать приказ о назначении ответственного за обработку ПД. Индивидуальные предприниматели могут назначить ответственным самого себя или кого-то из своих сотрудников.
Формулировка для приказа может звучать так: «Приказываю назначить ответственным за обработку персональных данных в соответствии с Федеральным законом №152-ФЗ от 27.07.2006 г. «О персональных данных» управляющего баром Семёнова Максима Сергеевича. Приказ вступает в силу со дня его подписания».
Как законно отправлять рекламную рассылку
Если вы хотите отправлять своим посетителям рекламу, нужно запросить их согласие на это.
Например, это может быть реализовано так:
- В форму подписки на рассылку на сайте включите текст: «Нажимая кнопку “Подписаться”, я даю согласие на обработку персональных данных и получение рекламы».
То есть в итоге у вас на сайте должно быть два текста согласий: на передачу ПД и на получение рекламной рассылки.
- Добавьте рядом с текстом чек-бокс, в котором клиент самостоятельно проставляет галочку-согласие. Пока он этого не сделал, вы не имеете права отправлять ему рекламу.
Фиксируйте факт того, что пользователь согласился на передачу ПД и получение рекламы. Это можно сделать с помощью простых log-файлов — они фиксируют действия пользователей на сайте. Проконсультируйтесь с вашим системным администратором, чтобы логгирование велось и такие данные собирались на вашем сайте.
Проблема с согласием на получение рассылки
Рекламная рассылка регулируется не только законом о персональных данных, но и законом о рекламе. Его соблюдение контролирует федеральная антимонопольная служба (ФАС).
ФАС не считает «галочку-согласие» на сайте достаточным доказательством того, что пользователь согласен получать рекламу. Проблема в том, что таким способом невозможно точно определить, кто именно согласился получать вашу рекламу.
Как её решить
Добавьте возможность идентифицировать пользователя, например, по номеру телефона.
Для этого создайте в форме подписки на рассылку поле для указания номера телефона с текстом: «На указанный вами номер телефона придёт код подтверждения. Если вы действительно согласны получать рекламную рассылку, введите код подтверждения». Включите пользователя в базу для рассылки рекламы уже после введения кода. Так у вас будут доказательства, что вы не нарушили нормы закона.
Второй момент — исключите из договора с клиентом или оферты пункт, согласно которому гость, заключая договор, соглашается получать рекламную рассылку. Обязательно давайте гостю возможность купить ваш продукт без обязанности подписаться на рассылку.
Штрафы за нарушение работы с персональными данными
Соблюдение 152-ФЗ контролируют Роскомнадзор, ФСТЭК (Федеральная служба по техническому и экспортному контролю), ФСБ: они проводят плановые и внеплановые проверки.
За нарушение закона о персональных данных наступает административная ответственность в виде штрафа или предупреждения, причём для юридических лиц штрафы выше, чем для индивидуальных предпринимателей.
Есть две статьи КоАП РФ, по которым привлекают к ответственности:
- За нарушение законодательства РФ в области персональных данных (обработку ПД без письменного согласия субъекта, отсутствие политики конфиденциальности и т.д.) — по статье 13.11.
- За рассылку рекламы без согласия получателя — по статье 14.3.
Штраф можно заменить на предупреждение, если:
- ИП или ООО относится к субъектам малого или среднего бизнеса.
- Административное правонарушение совершено впервые.
- Нарушение не привело к имущественному вреду, вреду здоровью людей, окружающей среде, культурным объектам.
Рубрика
Законы и новости
Редактор
Виктория Царенкова
Автор
Елизавета Ермоленко
Дата публикации
2/4/2021
Хотите стать экспертом публикаций, автором статей или рассказать о своём кейсе?
