Townsend 
Тендеры и лиды
Информация
Когда в своих заметках или выступлениях я затрагиваю тему персональных данных, у аудитории появляется много вопросов. Представители бизнеса хотят знать, что можно считать такими данными, и почему нельзя отправить клиенту сообщение в WhatsApp, не получив заранее согласие на рассылку. Поэтому мы в агентстве Townsend решили подготовить статью с примерами и разобрать по пунктам:
Для начала расскажем об определении персональных данных, трансграничной передаче и документах, а затем на примерах разберём, как собирать персональные данные на сайтах и в чат-ботах.
Обработку персональных данных на территории Российской Федерации регулирует закон «О персональных данных» от 27.07.2006 №152-ФЗ и подзаконные нормативные акты.
Персональные данные, в соответствии со статьёй 3 об основных понятиях Федерального закона, — это любая информация, которая прямо или косвенно относится к человеку, и по которой его можно идентифицировать.
В Федеральном законе нет чёткого списка таких данных. Юристы используют информацию из сложившейся судебной практики.
Принято считать, что к персональным данным физлица относятся:
Сами по себе фамилия, имя и отчество — это не персональные данные, ведь у человека могут быть тёзки и однофамильцы. Но если к ФИО добавить хотя бы один идентификатор (телефон, дату рождения или возраст, email, ID в соцсетях), то это в совокупности уже подходит под персональные данные.
Персональные данные разделяют на четыре вида:
1. Общие — это ФИО, место регистрации, информация об образовании и месте работы, телефон, адрес электронной почты.
2. Специальные категории касаются национальности, здоровья, интимной жизни, политических, религиозных и философских взглядов, информации о судимости.
3. Биометрические — сведения о физиологических и биологических особенностях человека, которые помогут установить его личность. Сюда относятся: отпечатки пальцев, группа крови, анализ ДНК, фотографии, цвет глаз, рост и вес.
4. Иные — все прочие данные, которые не относятся к первым трём видам. Это могут быть корпоративные данные, информация о принадлежности к социальной группе и другие сведения.
Обрабатывать любые персональные данные можно только с согласия их субъекта. Согласие на обработку следует получить в письменном виде на бумаге либо в формате электронного документа. Закон не предусматривает получение согласия в устном виде, например, во время телефонного разговора.
Чтобы получить согласие на обработку общих персональных данных в интернете, от пользователя достаточно небольшого действия: нажать на нужную кнопку, поставить галочку в форме на сайте.
Чтобы обрабатывать биометрические и специальные категории персональных данных, бизнесу потребуется взять у клиента согласие на бумаге или в электронном виде с цифровой подписью.
Обработка данных — это не только их сбор и запись, но и хранение, систематизация, обновление, использование, передача, обезличивание, блокирование, удаление (например, в «корзину» компьютера) и полное уничтожение.
Если компания просто хранит персональные данные клиентов где-либо (на бумаге или на жестком диске) и ничего с данными не делает, это всё также относится к обработке. Необходимо, чтобы у бизнеса были согласия клиентов.
Стоит помнить, что пользователь имеет право в любое время запретить обрабатывать его данные. Ему достаточно обратиться к бизнесу тем способом, который указан в согласии на обработку персональных данных, — обычно это email компании.
Трансграничная передача данных — это передача персональных данных граждан за пределы Российской Федерации, например, хранение на иностранном ресурсе или сервере. В соответствии с ч. 5 ст. 18 ФЗ № 152 при обработке персональных данных российских граждан, в том числе в интернете, должны быть использованы базы данных, которые находятся на территории РФ.
Если компания передаёт персональные данные пользователей в другую страну или собирает данные с помощью иностранного сервера, — это трансграничная передача. С марта 2023 года нельзя совершать её без разрешения Федеральной службы по надзору.
Например, Google Формы, которые часто используют для сбора анкет и заявок, принадлежат иностранной компании. Её сервера расположены в различных странах за пределами России, поэтому собирать персональные данные через Google Forms без разрешения от Роскомнадзора больше нельзя.
За нарушение требований о локализации персональных данных грозят большие штрафы по ч. 8 ст. 13.11 КоАП РФ:
Компания должна направить в Роскомнадзор специальное уведомление, заполненное на портале Госуслуг. Потребуется подтвержденная учетная запись. В форме необходимо указать информацию о компании, цель передачи персональных данных, их категорию и перечень, список иностранных государств для передачи и другие сведения.
Проверить статус рассмотрения уведомления можно на сайте Роскомнадзора, на соответствующей странице.
Организациям и предпринимателям необходимо соблюдать требование закона, чтобы не попасть под штрафы.
На размер штрафов влияет тип нарушения и вид бизнеса: для крупных предприятий они гораздо выше, чем для ИП. За повторное нарушение штраф возрастает. Подробнее смотрите в таблице.
Рассмотрим основные правила работы с персональными данными и рекламными материалами в мессенджерах.
Перед тем, как обрабатывать ПДн, компания должна назначить ответственного сотрудника, сообщить Роскомнадзору о своей работе с данными и подготовить документы.
Для работы с клиентами бизнесу потребуются три документа:
Ниже подробно опишем, что должно быть в документах.
Уведомление Роскомнадзора закреплено в законе — п. 1, статьи 22 «Уведомление об обработке персональных данных».
С 1 сентября 2022 года бизнес может не уведомлять Роскомнадзор в этих случаях:
Способы уведомить РКН:
В течение 30 дней Роскомнадзор внесёт компанию или ИП в реестр операторов.
Если какие-то данные не указали, сотрудники ведомства могут их уточнить.
После того, как бизнес добавили в реестр операторов, можно собирать и обрабатывать персональные данные.
У каждой компании, независимо от сферы деятельности, должны быть эти документы:
1. Политика обработки персональных данных (она же политика конфиденциальности).
Политику необходимо разместить в свободном доступе на ресурсах компании:
Подробнее — в статье 18.1 закона.
2. Согласие пользователя на обработку персональных данных — отдельный документ, который необходимо брать при любой обработке данных.
Требования к согласию в соответствии со статьёй 9 закона 152-ФЗ «О персональных данных».
3. Согласие на получение рекламы — документ обязателен для компаний, планирующих отправлять клиентам рекламные рассылки по email, смс, в мессенджерах, или же звонить с целью сообщить об акциях.
Не все знают, что разрешение на рекламную коммуникацию надо брать отдельно. В соответствии со статьёй 18 п. 1 ФЗ «О рекламе», для отправки рекламных материалов бизнес должен предварительно получить у клиента отдельное согласие.
Нельзя заставлять пользователя давать согласие на отправку ему рекламы. В противном случае можно получить жалобу. На сайте текст о согласии с рекламной рассылкой необходимо поместить под формой сбора, в отдельной строке с чекбоксом. Нельзя размещать согласие на рассылку в той же строке, что и согласие на обработку ПДн.
Если клиент согласен на рассылку, то отмечает галочку в чекбоксе. Заполненная и отправленная заявка с галочкой сохраняется в логах — текстовых файлах с действиями пользователей на сайте. Логи выгружайте и храните, чтобы при необходимости подтвердить согласия клиентов.
1. В политике обработки ПДн обязательно пропишите:
2. В согласии на обработку персональных данных укажите следующее:
В согласии может быть только одна цель обработки данных, например, регистрация клиента в программе лояльности.
По закону нельзя запрашивать избыточные данные, то есть сведения, без которых можно обойтись для выполнения указанной цели. Чтобы зарегистрировать в бонусной системе, магазину надо знать номер телефона и дату рождения покупателя. А вот уточнять место проживания будет лишним.
3. В законе «О рекламе» не прописаны требования к содержимому согласия на рекламу. Можно следовать общим рекомендациям юристов и перечислить в документе эти пункты:
Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.
Заполнить заявку
12471 тендер
проведено за восемь лет работы нашего сайта.
Если в рассылке чат-бота предусмотрены маркетинговые сообщения, обязательно надо брать отдельное согласие клиента на их получение. То, что пользователь активировал получение сообщений в чат-боте, не равно тому, что он согласен получать и рекламную рассылку. К рекламным сообщениям относятся: рассылки с акциями и спецпредложениями, сообщения с информацией о конкретных брендах.
Здесь показан пример согласия с рекламной рассылкой в мессенджере:
Чтобы получить согласие, отправляем отдельное сообщение, где предлагаем нажать на соответствующую кнопку.
Храните все согласия, данные клиентом: и на обработку персональных данных, и на рекламные сообщения. Дату и факт согласия можно хранить в переменной на платформе, где собран чат-бот.
Расскажем, как бизнесу работать с формами сбора ПДн.
Ссылки на политику и согласие на обработку персональных данных надо обязательно расположить под формой заявки. Также политику можно дополнительно поставить в «подвал» сайта.
Так выглядит размещение ссылок под формой заказа звонка:
Если в форме предусмотрен сбор номера телефона, то в тексте политики советуем прописать пункт о том, что компания вправе присылать сообщения в WhatsApp. Даже если сейчас бизнес не отправляет рассылки в мессенджере, он потенциально может это делать в будущем. Хорошо бы заранее предупредить о таких рассылках клиента, иначе потом вы не сможете использовать накопленную базу в мессенджере.
В любом чат-боте должна быть политика конфиденциальности компании. Если вы хотите собирать персональные данные с помощью чат-бота, то в нём надо разместить и ссылку на согласие с обработкой. Тем самым вы предупредите пользователя об обработке ПДн и запросите у него разрешение.
Можно создать универсальное сообщение с таким текстом:
«Нажимая на кнопку “записаться” / нажимая на кнопку “поделиться номером телефона”, я подтверждаю, что ознакомлен с политикой конфиденциальности и даю согласие на обработку персональных данных».
В тексте сообщения обязательно укажите ссылки на оба документа, размещенных на лендинге или сайте бизнеса.
Юристы одного из наших заказчиков считают, что согласие необходимо спрашивать непосредственно перед тем, как брать контакт. Поэтому в сообщение чат-бота в Телеграм или ВКонтакте «зашиваем» ссылки на политику обработки персональных данных и на согласие с обработкой.
В каких случаях может понадобиться запросить телефон пользователя почти сразу после входа в воронку чат-бота:
После того, как пользователь согласился с политикой обработки ПДн, мы просим его написать свой номер телефона в диалоге с чат-ботом.
Перед тем, как отправлять рассылку в WhatsApp, у бизнеса уже должны быть согласия пользователей! Связано это с тем, что сообщения в мессенджере фактически можно отправить, зная только номер телефона. Но без согласия человека это делать незаконно. Сам WhatsApp считает нарушением нежелательную рассылку и имеет право временно или навсегда заблокировать аккаунт, на который жалуются.
Взять согласие клиента на отправку сообщений в WhatsApp можно под формой заявки на сайте компании, а также при регистрации в программе лояльности. Согласие может быть получено как в электронном, так и в письменном виде.
В чат-ботах наших заказчиков мы сообщаем пользователям о сборе ПДн и берём согласия на обработку.
Например, чтобы компания имела право связаться с клиентом, он должен нажать соответствующую кнопку. Это действие продумываем заранее, при разработке сценария воронки. Для кнопки можно придумать подходящее короткое название, например, «Даю согласие». Пока клиент не нажал на кнопку, компания по закону не может звонить или писать ему на номер телефона, оставленный в чат-боте.
Ниже вы видите скриншот из чат-бота для ритейла. В текст сообщения вставлены ссылки не только на два обязательных документа, но и на правила программы лояльности заказчика. Это было необходимо, так как одна из задач телеграм-бота — регистрация новых клиентов в бонусной программе.
В другом чат-боте размещена ссылка на политику конфиденциальности, в текст которой уже включено согласие на обработку. В этом случае в сообщение не пришлось вставлять несколько ссылок на разные документы. Заказчик согласовал этот момент, так как политика конфиденциальности бренда содержит в себе пункт про согласие на обработку. Повторять ли это у себя — на усмотрение каждого бизнеса, на его страх и риск. Рекомендуем сначала обсудить всё с юристами.
Так выглядят сообщения в переписке с пользователем бота:
В тексте сообщений обязательно обозначьте, что пользователь не просто ознакомился с политикой конфиденциальности, но и дал своё согласие на обработку ПДн.
Если компания размещает в чат-боте отзыв, в котором ссылается на конкретного человека, значит она тем самым раскрывает персональные данные, а не просто их обрабатывает. Так как эти действия направлены на раскрытие данных неопределённому кругу лиц.
Проще всего публиковать анонимные отзывы. На размещение персонализированных отзывов придётся взять согласие клиента в письменной форме.
Разберём на антипримерах, какие типичные недочеты допускает бизнес при сборе персональных данных в мессенджерах.
1. Нет ссылки на второй документ: на политику конфиденциальности или на согласие с обработкой персональных данных.
Обязательна ссылка не только на политику обработки ПДн, но и на текст согласия.
На скриншоте ниже политика «зашита» в ссылку в сообщении от чат-бота. Есть кнопка, которая подтверждает согласие пользователя с обработкой ПДн. Но одной только кнопки недостаточно, требуется еще ссылка на сам текст согласия с обработкой.
2. В согласии на обработку ПДн не указано, на что соглашается пользователь.
В этом антипримере отсутствует ссылка на полный текст согласия:
3. В тексте согласия нет конкретного списка персональных данных.
Обязательно следует указать, какие данные и с какой целью собирает бизнес.
4. Автоматически проставлена галочка в чекбоксе на сайте.
Это противоречит закону, ведь как такового согласия не было. Посетитель сайта должен самостоятельно поставить галочку. Если кто-то из клиентов пожалуется в Роскомнадзор, бизнес получит штраф.
Мы подробно рассмотрели главные аспекты работы с персональными данными пользователей на сайтах и в чат-ботах.
Подытожим ключевые моменты:
1. Если сведения позволяют распознать конкретного человека, то они принадлежат к персональным данным. Запрещено обрабатывать их без получения специального согласия физического лица.
2. Обработка — это все действия с персональными данными, в том числе их сбор, запись, использование, хранение, передача и уничтожение. Человек может в любое время запретить обработку собственных данных.
Для обработки биометрических и специальных категорий ПДн (фотографий, данных о росте, весе, группе крови, здоровье, религии, судимости и т.д.) обязательно письменное согласие в бумажном или электронном виде (с цифровой подписью).
3. Хранение персональных данных граждан РФ на серверах за пределами страны требует разрешения Роскомнадзора. Получить его можно, заполнив форму на платформе «Госуслуги».
4. У любой компании или ИП должны быть три документа, с которыми клиенты должны ознакомиться и согласиться: политика обработки персональных данных, согласие на обработку, согласие на получение рекламы.
Нельзя запрашивать избыточные данные, а также не указывать конкретные цели их обработки.
Советуем в текстах документов предупреждать о возможности рассылки в мессенджере WhatsApp по номеру телефона.
Ссылки на электронные документы необходимо разместить в футере сайта и под формой заявки, а при наличии чат-бота — в тексте сообщения, запрашивающего персональные данные.
Если бизнес планирует собирать ПДн с помощью средств автоматизации (а не записывая вручную), он обязан сообщить РКН об этом.
5. Согласие на рекламную рассылку (по смс, email или в мессенджерах) нужно получить отдельно от согласия на обработку ПДн. Это разные документы.
6. Анонимные отзывы можно публиковать свободно, а для персонализированных отзывов требуется письменное согласие клиента.
Грамотно составленные документы и вовремя полученные согласия на обработку и рекламу помогут бизнесу избежать больших штрафов.
Про остальные правила работы в чат-ботах пишем в нашем телеграм-канале Мессенджеры и чат-боты | Townsend. Ждём всех, кому интересен маркетинг в мессенджерах!
