Если хотите внедрить систему лояльности в магазине, кафе или салоне, недостаточно только сделать скидочные карты и начать начислять бонусы. Нужно соблюдать целый ряд юридических норм. Перед тем как собирать имена, телефоны и адреса электронной почты, нужно подготовить несколько документов. А еще уведомить Роскомнадзор, что вы собираетесь хранить данные. И обязательно получить согласие клиента. В статье читайте, что такое персональные данные, как их использовать в вашей системе лояльности и не нарушить закон.
Содержание
- Что такое персональные данные
- Персональные данные в системе лояльности — с чего начать сбор
- Как собирать согласия на обработку
- Что должно быть в согласии
- Как составить положение о системе лояльности
- Где разместить положение о системе лояльности
- Как уведомить Роскомнадзор
- За что могут оштрафовать при сборе персональных данных
- Проверяет ли Роскомнадзор компании, которые собирают персональные данные
Что такое персональные данные
Закон определяет персональные данные как любую информацию, которая относится к физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Вот что это может быть: ФИО, дата рождения, номер телефона, место жительства, адрес электронной почты, место работы, должность, образование, данные паспорта, никнейм в социальных сетях или ссылка на личный аккаунт, файлы cookie, цвет глаз, рост…
Нет точных границ, какие данные законодательно относятся к персональным. В юридической практике данные обычно работают в связке — как несколько фактов о человеке, по которым можно определить личность.
Обработка персональных данных — это действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных.
Компании собирают и обрабатывают персональные данные клиентов для разных целей: разделить базу клиентов на сегменты, доставлять товары на дом, отправлять смс-рассылки, предоставить скидку на день рождения, зарегистрировать в системе лояльности.
Персональные данные в системе лояльности — с чего начать сбор
Посмотрим, какие есть требования к сбору персональных данных клиентов.
Как пользоваться системой лояльности: 7 шагов к прибыли
Чтобы их собирать и обрабатывать, нужно сначала получить согласие.
Допустим, для регистрации в вашей бонусной программе клиент должен предоставить имя, телефон, дату рождения и пол:
- Валентина;
- 8 (123) 456-78-90;
- 06 июля 1997 года;
- женский.
Эта информация персональная, потому что по связке данных можно идентифицировать личность, хотя бы косвенно. Нужно обязательно запросить согласие на обработку (п. 1 ч. 1 ст. 6 закона 152-ФЗ).
По отдельности эти данные о личности клиента ничего бы не говорили. Когда компания собирает отзывы для публикации на сайте и просит указать только имя — согласие на обработку персональных данных брать не нужно, человека нельзя идентифицировать:
«Вежливый персонал, вкусная еда. Домашний сыр просто бомба».
Ангелина
Как собирать согласия на обработку
Законодательством правила сбора не установлены. Запрашивайте согласие в письменном или электронном виде — как удобнее вам. Вот несколько способов.
- Распечатайте анкету. Клиент заполнит ее от руки и поставит галочку напротив пункта «Я даю согласие на обработку персональных данных».
- Сделайте чекбокс на сайте. Чекбокс в интерфейсе сайта — это маленький квадратик, нажав на который пользователь может поставить галочку. Подойдет, если в вашей компании есть возможность оформить карту лояльности в интернете. После заполнения заявки клиент ставит галочку в чекбоксе — этим дает согласие на обработку.
- Отправляйте код по смс. Допустим, после процедур в салоне красоты клиента рассчитывают на кассе и предлагают зарегистрироваться в бонусной программе. Администратор просит назвать личные данные, вписывает их в форму заявки на рабочем компьютере. Затем говорит посетителю, что нужно подтвердить согласие на передачу данных. Система отправляет смс на телефон, который назвал клиент. Администратор просит назвать цифры кода и отмечает в системе, что клиент согласен.
- Запрашивайте согласие через e-mail. На сайте клиент заполняет форму заявки и указывает электронную почту. Система просит подтвердить согласие в письме, клиент переходит в него и кликает на нужную ссылку.
Храните согласия всё время, пока используете персональные данные. Если собирали бумажные анкеты — сохраните их в архиве. Если запрашивали в электронном виде — выгрузите действия клиента на сайте, это можно сделать через программу для системы лояльности. Согласия понадобятся, если контролирующие органы придут с проверкой или возникнет спорная ситуация с клиентом.
Что должно быть в согласии
Если коротко — клиенту нужно объяснить, почему вы взяли его персональные данные и что будете с ними делать. Требования к тексту согласия прописаны в ст. 9 закона 152-ФЗ. Вот что может быть указано в согласии на обработку:
- Наименование вашей компании или фамилия, имя и отчество того, кто получает согласие, адрес и ИНН.
- Цель обработки персональных данных. В нашем случае — это участие в программе лояльности.
- Перечень персональных данных, на обработку которых человек дает согласие. Для оформления карты лояльности обычно запрашивают имя, телефон, дату рождения, пол, адрес электронной почты.
- Перечень действий с персональными данными, на совершение которых клиент дает согласие: сбор, систематизация, накопление, хранение, использование, блокирование, уничтожение и так далее.
- Срок, в течение которого действует согласие. Если говорить о бонусной системе, согласие действует все время, пока покупатель участвует в программе.
- Перечень лиц или компаний, которым вы можете передавать данные.
- Подпись клиента.
Собирайте только те персональные данные, которые точно понадобятся для участия в программе лояльности. Например, для накопления бонусов не запрашивайте паспортные данные — это нецелесообразно и, скорее всего, насторожит клиента. Если сомневаетесь, как составить согласие — проконсультируйтесь с юристом.
Как составить положение о системе лояльности
Чтобы начать дарить посетителю бонусные баллы, недостаточно просто вбить его персональные данные в систему. Магазин, предприятие услуг или заведение общепита должны ознакомить клиента с условиями программы — но не только на словах.
Нужно составить положение о системе лояльности. Это документ, с помощью которого клиент может ознакомиться с условиями предоставления бонусов и понять, как работает ваша система лояльности. Например, какую сумму заказов нужно накопить на карте, чтобы скидка стала не 5 %, а 10 %. Документ нужно будет предъявить посетителю, если он потребует.
Ваши правила игры должны знать и клиенты, и сотрудники контролирующих органов. Положение нужно составить и для налоговой, чтобы обосновать, почему ваши продукты или услуги можно оплачивать не деньгами, а бонусами. Документ могут потребовать при проверках.
Не существует утвержденной формы по составлению положения. Даже название можно выбрать на свой вкус, главное, чтобы оно отражало суть документа: «Положение о системе лояльности», «Условия предоставления накопительной скидки», «Правила накопления и использования бонусов».
В документе пропишите все условия: как копить баллы или скидки, как оплачивать покупку баллами, какие товары или блюда не участвуют в акции и так далее.
Есть исключение. Составлять положение не нужно, если применяете только фиксированные скидки. В этом случае налоговой и клиентам всё понятно из чека: в нем прописана сумма оплаты без скидки и с учетом процентов скидки.
Пропишите в положении те условия и детали, которые соответствуют вашей программе скидок и бонусов.
Если применяете накопительные скидки
- На какую сумму нужно оплатить товары, блюда или услуги, чтобы процент скидки повысился. Допустим, ваши условия такие: сумма покупок составляет от 5 000 рублей — клиент получает скидку 5 %, а когда накопит сумму 25 000 рублей, скидка станет 10 %.
- Как покупателю узнавать, сколько осталось накопить покупок, чтобы перейти на новый процент скидки. Например, клиент будет смотреть сумму в личном кабинете на вашем сайте.
- Как узнать, что условия накопительной системы изменились. Например, вы отправляете новые условия на электронную почту или по смс.
- Какие товары, блюда или услуги не участвуют в программе лояльности. Может быть, в вашей кофейне не начисляют бонусы за ранние завтраки, потому что они и так продаются с фиксированной скидкой.
Если используете бонусную систему
- Сколько баллов получит клиент на свой бонусный счет — в зависимости от суммы покупки. Допустим, за каждые 100 рублей в чеке вы начисляете 10 баллов.
- Когда на бонусную карту приходят баллы: сразу после покупки или через время. Например, в вашем салоне красоты бонусы активируются через 2 недели после посещения.
- Чему равен один балл. Каждый балл — это 10 рублей. Либо сколько баллов на карте, столько рублей можно потратить.
- Какой процент покупки можно оплатить баллами. Например, клиент может оплатить бонусами до 50 % от чека.
- Как смотреть бонусный счет и узнавать об изменениях в программе лояльности. Может, у вас есть свое мобильное приложение с виртуальной картой.
Эксперты Контур.Маркета на примере продуктового магазина показывали шаблоны для скачивания в этой статье. Переходите, чтобы посмотреть, как можно заполнить информацию.
Где разместить положение о системе лояльности
Офлайн
Разместите документ в уголке потребителя. Это стенд, на котором обычно размещают контакты компании, режим работы, копию свидетельства о госрегистрации, книгу жалоб и предложений.
Онлайн
Опубликуйте документ на сайте своего ресторана, магазина или салона. Если у вас нет сайта, разместите правила в аккаунтах компании в соцсетях или в телеграм-канале.
Как уведомить Роскомнадзор
Теперь вы знаете, как запрашивать персональные данные клиента и согласие на их обработку. Но этого недостаточно, чтобы начать собирать базу с именами, номерами телефона и датами рождения. Нужно собрать пакет документов и подать заявление в Роскомнадзор.
Подготовьте документы
Закон не определяет список необходимых документов. Предприниматели и организации сами решают, как оформить положения и приказы, но этих документов должно быть достаточно для выполнения обязанностей оператора персональных данных (ст. 18 закона 152-ФЗ).
Вот 5 стандартных документов, которые обычно готовят компании, когда хотят собирать персональные данные:
- Политика обработки и защиты персональных данных. Это официальное название документа, но вы можете написать его по-разному, например политика конфиденциальности или политика защиты персональных данных.
Собрать эту политику нужно обязательно. Укажите, какие данные вы храните и в каких целях собираете. Напишите, что обеспечиваете конфиденциальность.
Роскомнадзор выкладывал рекомендации, как составить политику конфиденциальности
Разместите политику в открытом доступе, где все желающие смогут ее прочитать. Добавьте ее на сайт вашей компании или прямо в форму регистрации, когда запрашиваете данные для регистрации бонусной карты. Можно подглядеть в политики других компаний и составить свою на их основе: вот, например, политика конфиденциальности на сайте екатеринбургского кафе Engels. Если сомневаетесь, обратитесь за помощью к юристу.
- Положение о работе с персональными данными. Можно объединить с первой политикой. Пропишите правила, как ваши сотрудники будут хранить, обрабатывать и использовать информацию. Не забывайте, что работа с данными должна соответствовать закону 152-ФЗ.
- Положение о неразглашении персональных данных. Его подписывают ваши работники, которые имеют доступ к данным клиентов. Этим сотрудники подтверждают, что не могут передавать информацию третьим лицам.
- Приказы и инструкции для ответственных сотрудников. У кого есть доступ к персональным данным? Где вы храните их? Как брать их из базы? Пропишите в приказе.
- Согласие на обработку персональных данных. С этим документом мы уже знакомились выше. Условия согласия можно не делать отдельно, достаточно прописать в политике конфиденциальности.
Документов, которые можно включить в уведомление для Роскомнадзора, больше 30 штук. Собирать их все необязательно, но чем их будет больше — тем меньше сомнений будет у Роскомнадзора. Вот какие еще документы можно подготовить:
- перечень должностей и третьих лиц, допущенных к обработке персональных данных;
- перечень обрабатываемых персональных данных;
- перечень применяемых средств защиты информации;
- приказ о назначении лиц, ответственных за обработку и защиту персональных данных;
- положение об обеспечении безопасности персональных данных;
- регламент по определению уровней защищенности персональных данных в информационных системах;
- модель угроз безопасности данных при их обработке в информационных системах;
- протокол определения ущерба;
- регламент по учету, хранению и уничтожению носителей персональных данных;
- регламент по реагированию на запросы клиентов или органов власти;
- регламент по резервному копированию персональных данных;
- регламент по проведению контрольных мероприятий по информационной безопасности;
- регламент по обезличиванию персональных данных и другое.
Подайте уведомление в Роскомнадзор
Заполните форму на сайте Роскомнадзора и подпишите электронной подписью. Еще можно подать заявление через Госуслуги или распечатать и отправить уведомление в региональное управление Роскомнадзора. Укажите сведения о компании и цель обработки персональных данных (ст. 22 закона 152-ФЗ).
Ждите ответ в течение 30 дней. Роскомнадзор после проверки внесет компанию в реестр операторов персональных данных и вы сможете законно хранить информацию о клиентах в базе. Если когда-то вы закроете систему лояльности и перестанете хранить данные, нужно будет тоже сообщить Роскомнадзору.
За что могут оштрафовать при сборе персональных данных
Вот за какие нарушения могут наказать:
- Вы обрабатываете данные не с теми целями, которые указали при сборе. Например, клиент оставил номер телефона для регистрации карты лояльности, но не соглашался получать рекламу. Вы добавили его номер в базу рекламных рассылок и начали отправлять смс с акционными предложениями.
Штраф за первое нарушение составит для должностных лиц — от 10 000 до 20 000 рублей; для юридических лиц — от 60 000 до 100 000 рублей. Если случай повторится — должностное лицо оштрафуют на сумму от 20 000 до 50 000 рублей; ИП — от 50 000 до 100 000 рублей; юрлицо — от 100 000 до 300 000 рублей (ч. 1 и 1.11 ст. 13.11 КоАП РФ).
- Вы не взяли у клиента согласие на обработку данных. Золотое правило — пока клиент не дал согласие, вы не можете собирать его данные (ст. 9 закона 152-ФЗ). Если человек указал свой адрес электронной почты на странице в соцсети, вы не можете добавить его в базу рассылок без разрешения (ст. 10.1 закона 152-ФЗ).
За первое нарушение грозит административный штраф: на должностных лиц — от 20 000 до 40 000 рублей; на юридических лиц — от 30 000 до 150 000 рублей. За повторное: на должностных лиц — от 40 000 до 100 000 рублей; на ИП — от 100 000 до 300 000 рублей; на юридических лиц — от 300 000 до 500 000 рублей (Ч. 2 и 2.1 ст. 13.11 КоАП РФ).
Точный размер штрафа за нарушения определяет контролирующий орган — в каждом случае индивидуально. «Злостный» нарушитель, который неоднократно пользовался персональными данными в корыстных целях, получит штраф больше, чем предприниматель, который допустил ошибку впервые по неопытности.
Проверяет ли Роскомнадзор компании, которые собирают персональные данные
Если поступит жалоба от клиента или другой компании — в организацию придут с проверкой. А еще нарушения могут заметить сами сотрудники Роскомнадзора — например, когда мониторят сайты.
