Персональные данные клиентов в системе лояльности: как их хранить и не получить штраф

Что такое персональные данные

Закон определяет персональные данные как любую информацию, которая относится к физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Вот что это может быть: ФИО, дата рождения, номер телефона, место жительства, адрес электронной почты, место работы, должность, образование, данные паспорта, никнейм в социальных сетях или ссылка на личный аккаунт, файлы cookie, цвет глаз, рост…

Нет точных границ, какие данные законодательно относятся к персональным. В юридической практике данные обычно работают в связке — как несколько фактов о человеке, по которым можно определить личность. 

Компании собирают и обрабатывают персональные данные клиентов для разных целей: разделить базу клиентов на сегменты, доставлять товары на дом, отправлять смс-рассылки, предоставить скидку на день рождения, зарегистрировать в системе лояльности. 

Персональные данные в системе лояльности — с чего начать сбор

Посмотрим, какие есть требования к сбору персональных данных клиентов.

Как пользоваться системой лояльности: 7 шагов к прибыли

Чтобы их собирать и обрабатывать, нужно сначала получить согласие. 

Допустим, для регистрации в вашей бонусной программе клиент должен предоставить имя, телефон, дату рождения и пол:

• Валентина;
• 8 (123) 456-78-90;
• 06 июля 1997 года;
• женский.

Эта информация персональная, потому что по связке данных можно идентифицировать личность, хотя бы косвенно. Нужно обязательно запросить согласие на обработку (п. 1 ч. 1 ст. 6 закона 152-ФЗ). 

По отдельности эти данные о личности клиента ничего бы не говорили. Когда компания собирает отзывы для публикации на сайте и просит указать только имя — согласие на обработку персональных данных брать не нужно, человека нельзя идентифицировать:

«Вежливый персонал, вкусная еда. Домашний сыр просто бомба».

Ангелина

Как собирать согласия на обработку 

Законодательством правила сбора не установлены. Запрашивайте согласие в письменном или электронном виде — как удобнее вам. Вот несколько способов.

• Распечатайте анкету. Клиент заполнит ее от руки и поставит галочку напротив пункта «Я даю согласие на обработку персональных данных». 
• Сделайте чекбокс на сайте. Чекбокс в интерфейсе сайта — это маленький квадратик, нажав на который пользователь может поставить галочку. Подойдет, если в вашей компании есть возможность оформить карту лояльности в интернете. После заполнения заявки клиент ставит галочку в чекбоксе — этим дает согласие на обработку. 
• Отправляйте код по смс. Допустим, после процедур в салоне красоты клиента рассчитывают на кассе и предлагают зарегистрироваться в бонусной программе. Администратор просит назвать личные данные, вписывает их в форму заявки на рабочем компьютере. Затем говорит посетителю, что нужно подтвердить согласие на передачу данных. Система отправляет смс на телефон, который назвал клиент. Администратор просит назвать цифры кода и отмечает в системе, что клиент согласен.
• Запрашивайте согласие через e-mail. На сайте клиент заполняет форму заявки и указывает электронную почту. Система просит подтвердить согласие в письме, клиент переходит в него и кликает на нужную ссылку.

Что должно быть в согласии 

Если коротко — клиенту нужно объяснить, почему вы взяли его персональные данные и что будете с ними делать. Требования к тексту согласия прописаны в ст. 9 закона 152-ФЗ. Вот что может быть указано в согласии на обработку:

• Наименование вашей компании или фамилия, имя и отчество того, кто получает согласие, адрес и ИНН.
• Цель обработки персональных данных. В нашем случае — это участие в программе лояльности. 
• Перечень персональных данных, на обработку которых человек дает согласие. Для оформления карты лояльности обычно запрашивают имя, телефон, дату рождения, пол, адрес электронной почты.
• Перечень действий с персональными данными, на совершение которых клиент дает согласие: сбор, систематизация, накопление, хранение, использование, блокирование, уничтожение и так далее.
• Срок, в течение которого действует согласие. Если говорить о бонусной системе, согласие действует все время, пока покупатель участвует в программе. 
• Перечень лиц или компаний, которым вы можете передавать данные.
• Подпись клиента.

Как составить положение о системе лояльности

Чтобы начать дарить посетителю бонусные баллы, недостаточно просто вбить его персональные данные в систему. Магазин, предприятие услуг или заведение общепита должны ознакомить клиента с условиями программы — но не только на словах. 

Нужно составить положение о системе лояльности. Это документ, с помощью которого клиент может ознакомиться с условиями предоставления бонусов и понять, как работает ваша система лояльности. Например, какую сумму заказов нужно накопить на карте, чтобы скидка стала не 5 %, а 10 %. Документ нужно будет предъявить посетителю, если он потребует.

Ваши правила игры должны знать и клиенты, и сотрудники контролирующих органов. Положение нужно составить и для налоговой, чтобы обосновать, почему ваши продукты или услуги можно оплачивать не деньгами, а бонусами. Документ могут потребовать при проверках. 

Не существует утвержденной формы по составлению положения. Даже название можно выбрать на свой вкус, главное, чтобы оно отражало суть документа: «Положение о системе лояльности», «Условия предоставления накопительной скидки», «Правила накопления и использования бонусов». 

В документе пропишите все условия: как копить баллы или скидки, как оплачивать покупку баллами, какие товары или блюда не участвуют в акции и так далее.

Пропишите в положении те условия и детали, которые соответствуют вашей программе скидок и бонусов.

Если применяете накопительные скидки

• На какую сумму нужно оплатить товары, блюда или услуги, чтобы процент скидки повысился. Допустим, ваши условия такие: сумма покупок составляет от 5 000 рублей — клиент получает скидку 5 %, а когда накопит сумму 25 000 рублей, скидка станет 10 %.
• Как покупателю узнавать, сколько осталось накопить покупок, чтобы перейти на новый процент скидки. Например, клиент будет смотреть сумму в личном кабинете на вашем сайте.
• Как узнать, что условия накопительной системы изменились. Например, вы отправляете новые условия на электронную почту или по смс.
• Какие товары, блюда или услуги не участвуют в программе лояльности. Может быть, в вашей кофейне не начисляют бонусы за ранние завтраки, потому что они и так продаются с фиксированной скидкой.       

Если используете бонусную систему

• Сколько баллов получит клиент на свой бонусный счет — в зависимости от суммы покупки. Допустим, за каждые 100 рублей в чеке вы начисляете 10 баллов.
• Когда на бонусную карту приходят баллы: сразу после покупки или через время. Например, в вашем салоне красоты бонусы активируются через 2 недели после посещения.
• Чему равен один балл. Каждый балл — это 10 рублей. Либо сколько баллов на карте, столько рублей можно потратить.
• Какой процент покупки можно оплатить баллами. Например, клиент может оплатить бонусами до 50 % от чека.
• Как смотреть бонусный счет и узнавать об изменениях в программе лояльности. Может, у вас есть свое мобильное приложение с виртуальной картой.  

Эксперты Контур.Маркета на примере продуктового магазина показывали шаблоны для скачивания в этой статье. Переходите, чтобы посмотреть, как можно заполнить информацию. 

Где разместить положение о системе лояльности

Офлайн

Разместите документ в уголке потребителя. Это стенд, на котором обычно размещают контакты компании, режим работы, копию свидетельства о госрегистрации, книгу жалоб и предложений. 

Онлайн

Опубликуйте документ на сайте своего ресторана, магазина или салона. Если у вас нет сайта, разместите правила в аккаунтах компании в соцсетях или в телеграм-канале. 

Как уведомить Роскомнадзор

Теперь вы знаете, как запрашивать персональные данные клиента и согласие на их обработку. Но этого недостаточно, чтобы начать собирать базу с именами, номерами телефона и датами рождения. Нужно собрать пакет документов и подать заявление в Роскомнадзор.

Подготовьте документы

Закон не определяет список необходимых документов. Предприниматели и организации сами решают, как оформить положения и приказы, но этих документов должно быть достаточно для выполнения обязанностей оператора персональных данных (ст. 18 закона 152-ФЗ).

Вот 5 стандартных документов, которые обычно готовят компании, когда хотят собирать персональные данные:

1. Политика обработки и защиты персональных данных. Это официальное название документа, но вы можете написать его по-разному, например политика конфиденциальности или политика защиты персональных данных. 

Собрать эту политику нужно обязательно. Укажите, какие данные вы храните и в каких целях собираете. Напишите, что обеспечиваете конфиденциальность.

Роскомнадзор выкладывал рекомендации, как составить политику конфиденциальности 

Разместите политику в открытом доступе, где все желающие смогут ее прочитать. Добавьте ее на сайт вашей компании или прямо в форму регистрации, когда запрашиваете данные для регистрации бонусной карты. Можно подглядеть в политики других компаний и составить свою на их основе: вот, например, политика конфиденциальности на сайте екатеринбургского кафе Engels. Если сомневаетесь, обратитесь за помощью к юристу.

2. Положение о работе с персональными данными. Можно объединить с первой политикой. Пропишите правила, как ваши сотрудники будут хранить, обрабатывать и использовать информацию. Не забывайте, что работа с данными должна соответствовать закону 152-ФЗ. 
3. Положение о неразглашении персональных данных. Его подписывают ваши работники, которые имеют доступ к данным клиентов. Этим сотрудники подтверждают, что не могут передавать информацию третьим лицам.
4. Приказы и инструкции для ответственных сотрудников. У кого есть доступ к персональным данным? Где вы храните их? Как брать их из базы? Пропишите в приказе.
5. Согласие на обработку персональных данных. С этим документом мы уже знакомились выше. Условия согласия можно не делать отдельно, достаточно прописать в политике конфиденциальности. 

Документов, которые можно включить в уведомление для Роскомнадзора, больше 30 штук. Собирать их все необязательно, но чем их будет больше — тем меньше сомнений будет у Роскомнадзора. Вот какие еще документы можно подготовить:

• перечень должностей и третьих лиц, допущенных к обработке персональных данных;
• перечень обрабатываемых персональных данных;
• перечень применяемых средств защиты информации;
• приказ о назначении лиц, ответственных за обработку и защиту персональных данных;
• положение об обеспечении безопасности персональных данных;
• регламент по определению уровней защищенности персональных данных в информационных системах;
• модель угроз безопасности данных при их обработке в информационных системах;
• протокол определения ущерба;
• регламент по учету, хранению и уничтожению носителей персональных данных;
• регламент по реагированию на запросы клиентов или органов власти;
• регламент по резервному копированию персональных данных;
• регламент по проведению контрольных мероприятий по информационной безопасности;
• регламент по обезличиванию персональных данных и другое.

Подайте уведомление в Роскомнадзор

Заполните форму на сайте Роскомнадзора и подпишите электронной подписью. Еще можно подать заявление через Госуслуги или распечатать и отправить уведомление в региональное управление Роскомнадзора. Укажите сведения о компании и цель обработки персональных данных (ст. 22 закона 152-ФЗ). 

Ждите ответ в течение 30 дней. Роскомнадзор после проверки внесет компанию в реестр операторов персональных данных и вы сможете законно хранить информацию о клиентах в базе. Если когда-то вы закроете систему лояльности и перестанете хранить данные, нужно будет тоже сообщить Роскомнадзору.

За что могут оштрафовать при сборе персональных данных

Вот за какие нарушения могут наказать:

1. Вы обрабатываете данные не с теми целями, которые указали при сборе. Например, клиент оставил номер телефона для регистрации карты лояльности, но не соглашался получать рекламу. Вы добавили его номер в базу рекламных рассылок и начали отправлять смс с акционными предложениями. 

Штраф за первое нарушение составит для должностных лиц — от 10 000 до 20 000 рублей; для юридических лиц — от 60 000 до 100 000 рублей. Если случай повторится — должностное лицо оштрафуют на сумму от 20 000 до 50 000 рублей; ИП — от 50 000 до 100 000 рублей; юрлицо — от 100 000 до 300 000 рублей (ч. 1 и 1.11 ст. 13.11 КоАП РФ). 

2. Вы не взяли у клиента согласие на обработку данных. Золотое правило — пока клиент не дал согласие, вы не можете собирать его данные (ст. 9 закона 152-ФЗ). Если человек указал свой адрес электронной почты на странице в соцсети, вы не можете добавить его в базу рассылок без разрешения (ст. 10.1 закона 152-ФЗ). 

За первое нарушение грозит административный штраф: на должностных лиц — от 20 000 до 40 000 рублей; на юридических лиц — от 30 000 до 150 000 рублей. За повторное: на должностных лиц — от 40 000 до 100 000 рублей; на ИП — от 100 000 до 300 000 рублей; на юридических лиц — от 300 000 до 500 000 рублей (Ч. 2 и 2.1 ст. 13.11 КоАП РФ).

Точный размер штрафа за нарушения определяет контролирующий орган — в каждом случае индивидуально. «Злостный» нарушитель, который неоднократно пользовался персональными данными в корыстных целях, получит штраф больше, чем предприниматель, который допустил ошибку впервые по неопытности.

Проверяет ли Роскомнадзор компании, которые собирают персональные данные

Если поступит жалоба от клиента или другой компании — в организацию придут с проверкой. А еще нарушения могут заметить сами сотрудники Роскомнадзора — например, когда мониторят сайты.