Сверхтекучий актив: как безопасно обрабатывать персональные данные в B2B‑продажах

Обрабатывать персональные данные клиентов необходимо, чтобы продавать и оказывать услуги, а также для целей маркетинга. Команда Контур.Компаса рассказывает, как работать с персональными данными клиентов, чтобы не потратить миллионы на штрафы.

Полина Романовских Юрист, эксперт по законодательству

Сведите к минимуму звонки нецелевым клиентам и репутационные риски: звоните только тем клиентам, которых может заинтересовать ваш продукт.

Попробовать бесплатно

Почему выгодно заботиться о данных клиентов

Обработка персональных данных (ПД) по закону убережёт от жалоб на компанию в Роскомнадзор. А ведомство уже придет к нарушителю. Привлечение к ответственности чревато большими штрафами — до 18 млн рублей. Если нарушение вскроется, его всё равно придётся устранять, иначе есть риск повторного административного преследования. Соблюдение правил позволит сохранить деньги и направить их на развитие бизнеса.

Правильная обработка ПД поможет избежать расходов в спорных ситуациях. Например, клиент считает, что компания нарушила ПД и просит взыскать моральный вред через суд. При этом фирма закон соблюдает: разработала политику обработки ПД, берет согласия клиентов, когда это нужно. Доказать свою правоту в суде в таком случае можно: вероятнее всего, судья примет решение в пользу компании и откажет клиенту. Если же в суд предоставить нечего, можно не только потерять деньги на возмещение морального вреда и судебных расходов, но и получить удар по репутации.

Обработка ПД по правилам положительно влияет на имидж компании в глазах клиентов. Забота о персданных — часть сервиса, на который рассчитывают люди, обращаясь к вам. На фоне постоянных утечек данных клиентов у ряда компаний стремление работать по правилам смотрится выигрышно, а значит, поддерживает репутацию и повышает лояльность.

Какие данные считаются персональными

Вопросы персональных данных (ПД) регулирует Федеральный закон от 27.06 2006 № 152-ФЗ. В нём под персональными данными понимается информация, относящаяся к прямо или косвенно определённому или определяемому человеку (п. 1 ст. 3 152-ФЗ). Это значит, что с помощью персональных данных можно точно идентифицировать человека, к которому они относятся.

В законе нет конкретного перечня данных, которые считаются персональными. Ответ на этот вопрос можно найти в практике судов, а также некоторых актах госорганов. Так, в письме Минкомсвязи (теперь Минцифры) от 28.08.2020 № ЛБ-С-074-24059 персональными данными считаются:

• фамилия, имя, отчество;
• год, месяц, дата рождения;
• место рождения;
• адрес регистрации и проживания;
• номер телефона;
• семейное положение;
• социальное и имущественное положение;
• образование;
• профессия;
• должность;
• стаж работы;
• размер доходов.

Роскомнадзор на своём сайте пополняет этот список ещё несколькими категориями информации. Среди них есть документы, содержащие персональные данные:

• паспортные данные;
• место работы;
• ИНН;
• данные военного билета; 
• СНИЛС;
• данные медполиса;
• сведения о движимом и недвижимом имуществе;
• данные о ценных бумагах, кредитных обязательствах, вкладах;
• номера счетов в банках;
• сведения о судимости;
• данные о детях и других членах семьи.

Но не всё так однозначно. По некоторым категориям данных у госорганов и судов нет единого мнения. Например, это касается номера телефона. Суды считают, что только лишь по номеру телефона без дополнительной информации нельзя идентифицировать человека (решение Верхнепышминского городского суда Свердловской области от 18.08.2017 г. по делу № 2-1628/2017).

То же самое с адресом электронной почты. Минцифры считает, что его можно признать персональными данными, когда такая информация относится к определённому человеку (письмо Минцифры от 7 июля 2017 г. N П11-15054-ОГ).

При этом не все суды согласны с такой позицией. Так, в одном деле пассажир подал в суд на авиакомпанию. Истец сообщил перевозчику свою почту, когда оформлял билет, а тот передал её другой компании. Пассажир посчитал, что авиакомпания нарушила закон, ведь он не давал согласия на обработку персональных данных. Но суд в своём решении указал, что адрес электронной почты не относится к персданным, потому что не позволяет идентифицировать конкретного человека. В этой части требований пассажиру отказали (решение Заельцовского районного суда города Новосибирска от 27.06.2018 по делу № 2-1770/2018).

Помимо общих ПД есть несколько специальных категорий. Эти сведения глубже характеризуют личность человека, поэтому государство охраняет их более тщательно. К специальным категориям персданных относятся (ст. 10 152-ФЗ):

• раса и национальность;
• политические взгляды;
• религиозные и философские убеждения;
• состояние здоровья;
• интимная жизнь.

Сокращайте стоимость привлечения клиентов: получайте качественные и точные данные для высокоэффективных рекламных кампаний

Найти клиентов с Компасом →

Что такое обработка персональных данных

Обработка — это любые действия, которые можно совершить с персональными данными: сбор, систематизация, хранение, использование, передача, удаление и другое. Когда вы просите клиента заполнить анкету на сайте — собираете ПД, вносите их в Excel-табличку — систематизируете и храните, рассылаете по ней продающие письма или делаете холодные продажи — извлекаете и используете. И всё это будет обработкой ПД.

По общему правилу персональные данные можно обрабатывать только с согласия клиента. Форму согласия закон не устанавливает, она может быть любой, даже устной. Но лучше, чтобы материальное подтверждение согласия всё-таки было — это поможет в спорных ситуациях.

Если нет оснований-исключений, предусмотренных в том числе в ст. 6 152 ФЗ, то письменное согласие потребуется. 

Закон не запрещает брать согласие клиента на обработку ПД в электронном виде (ч. 4 ст. 9 152-ФЗ). Например, можно сделать онлайн-форму со ссылкой на текст согласия и чек-боксом для галочки, если компания работает с клиентами онлайн. Но такой способ не является надежным, если только клиент не подписывает форму квалифицированной электронной подписью. В противном случае почти невозможно идентифицировать личность человека, который поставил галочку в чек-боксе.

Есть случаи, когда согласие на обработку ПД можно не запрашивать. Если данные клиента нужны для исполнения гражданского договора — купли-продажи, оказания услуг или выполнения работ, — согласие можно не брать. Например, онлайн-магазин одежды при оформлении заказа запрашивает у клиента фамилию, имя и адрес. Информация необходима, чтобы отправить заказ почтой: без неё у компании не получится выполнить обязательства по договору купли-продажи. Поэтому обрабатывать эти данные можно без согласия покупателя. Но если онлайн-магазин захочет передать ПД клиента сети кафе, согласие нужно: это действие никак не влияет на исполнение сделки с клиентом.

Как понять, что предприниматель стал оператором ПД

Оператор ПД — это тот, кто обрабатывает персональные данные. Как только бизнес начал собирать информацию о клиентах, он становится оператором ПД. Этот статус предприниматель получает без регистраций и уведомлений, а просто в силу факта обработки ПД.

По закону до того, как начать обрабатывать данные, бизнес должен зарегистрироваться как оператор ПД в реестре Роскомнадзора (ст. 22 152-ФЗ). Уведомление ведомства не наделяет предпринимателя статусом оператора: он будет им и без регистрации, если обрабатывает данные.

Чтобы зарегистрироваться в реестре, понадобится только один документ — заявление. Подать его можно тремя способами:

• отправить письмом по почте;
• заполнить форму на сайте Роскомнадзора и подписать её электронной подписью;
• отправить файл через подтверждённую запись на «Госуслугах».

В заявлении нужно указать:

• данные об организации или ИП;
• цели обработки ПД;
• данные, которые планируете собирать;
• категории лиц, о которых будут собирать ПД;
• перечень действий с ПД;
• способы обработки: автоматизированный или на бумаге;
• ответственного за обработку;
• меры по безопасности данных.

Формы для всех трёх вариантов подачи есть на сайте ведомства. В течение 30 дней Роскомнадзор включит предпринимателя в реестр.

Есть всего три случая, когда оператору разрешается не регистрироваться в реестре:

• он обрабатывает данные только на бумаге;
• он обрабатывает данные из государственных информационных систем;
• он обрабатывает данные для транспортной безопасности.

Во всех остальных случаях уведомление Роскомнадзора обязательно — подавляющая часть бизнеса должна это делать.

Делайте выборки компаний по своим интересам. Выгружайте в формате для CRM и Excel, загружайте в рекламные кабинеты.

Попробовать бесплатно

Как бизнесу обрабатывать персональные данные правильно: инструкция

Разработайте политику обработки ПД. Политика обработки ПД — это главный документ в организации для управления персональными данными — и клиентов, и сотрудников. Укажите в нём перечень обрабатываемых данных, цели, сроки, способы обработки, порядок уничтожения. Установленной формы нет, составить документ помогут рекомендации Роскомнадзора.

Политику разместите на сайте компании. Если принимаете клиентов лично, распечатайте документ и будьте готовы показать его по требованию.

Назначьте главного по ПД. В компании должен быть ответственный за работу с персональными данными. Он должен отвечать за их учёт, определить состав мероприятий по защите персональных данных на предприятии. Он же знакомит с внутренними документами по ПД тех, кто непосредственно с ними работает. Ответственным может быть директор, юрист или другой сотрудник. Назначьте его приказом от имени организации.

Зарегистрируйтесь в реестре операторов ПД. Подайте уведомление об обработке данных до того, как начнёте их собирать. В законе конкретных сроков нет, главное, чтобы обработка началась после регистрации, иначе можно получить штраф.

Подготовьте форму согласия на обработку ПД. Документ понадобится, если вы собираете специальные категории ПД, биометрию, передаёте данные за границу или клиенты приходят к вам лично. Для последних пункт о согласии на обработку можно включить в текст договора.

Ориентируйтесь на требования к письменному согласию, которые указаны в ч. 4 ст. 9 152-ФЗ. Если работаете онлайн, не забудьте разместить в приложении или на сайте кнопку согласия с обработкой ПД со ссылкой на политику. Не факт, что клиенты будут её читать, но так вы застрахуете себя от претензий Роскомнадзора. Информацию о полученных согласиях нужно хранить на случай споров.

Храните ПД клиентов в России. Хранить и использовать ПД клиентов можно только на территории России. Пользуйтесь для этого услугами российских хостинг-провайдеров. Если компания иностранная, убедитесь, что данные будут храниться на российских серверах. Нарушение этого правила карается самыми большими миллионными штрафами.

Работайте с общедоступными проверенными источниками. Не доверяйте сомнительным источникам данных — они могут быть украдены. К услугам продавцов многочисленные государственные реестры, сайты компаний, сайты с вакансиями, где компании оставляют свои контакты. Для поиска по большим массивам государственной и общественной информации есть удобные сервисы поиска — например, Контур.Компас.

Что будет, если не соблюдать закон о персональных данных

Нарушение правил обработки персональных данных грозит оператору ответственностью. Она бывает трёх видов: административная, уголовная, гражданско-правовая. Рассмотрим подробнее каждый в таблице.

Составляйте выборку потенциальных клиентов, выгружайте бесплатно данные 50 организаций в первый месяц и 20 организаций в последующие