Персональные данные в digital-маркетинге — полный гайд по работе и шаблоны документов

Утечка персональных данных — это удар по репутации, который может поставить под вопрос работу компании. Предприниматель должен следовать закону и оберегать конфиденциальную информацию. 

Рассказываем, что относится к персональным данным, как правильно их собирать, обрабатывать и хранить.

Что такое персональные данные

Персональные данные (ПД) — уникальная информация, по которой идентифицируют личность. К ним относятся:

• фамилия, имя, отчество;
• страна, город;
• дата рождения;
• фото- и/или видеоизображение человека;
• адрес проживания;
• телефонный номер;
• email;
• сведения об образовании, трудовом стаже, текущей работе и доходах;
• информация о семейном положении, составе семьи, в том числе подробные сведения о ее членах;
• расовая и национальная принадлежность;
• информация о религиозных, политических и других убеждениях;
• данные о состоянии здоровья;
• документы — серия и номер общегражданского и заграничного паспортов, отметки о пересечении государственной границы, СНИЛС.

Согласно №152-ФЗ «О персональных данных», под такими сведениями подразумевают информацию, привязанную к фамилии, имени, отчеству, адресу и телефонному номеру частного лица. Обезличенные данные — без подобной привязки — не относят к персональным.

Типы ПД

Сведения классифицируют по содержанию, уровню секретности, методам обработки. Выделяют четыре основные категории личной информации.

Общие ПД. Это базовые сведения о гражданах, большая часть которых отражена в паспорте. Их используют при устройстве на работу, обучении, прохождении армейской службы и вносят в соответствующие документы — военный билет, диплом об образовании, трудовую книжку, личную карточку сотрудника.

Для получения и использования общих ПД не нужно письменное разрешение человека — достаточно «галочки» в графе обычной или онлайн-анкеты. Такая форма согласия делает эту информацию общедоступной.

Специальные ПД. Это закрытая информация о частном лице:

• национальность;
• политические убеждения;
• вероисповедание;
• состояние здоровья;
• сексуальные предпочтения.

Распространение таких сведений может нанести человеку ущерб — большинство из них берут с письменного разрешения. Ограничения на использование информации о судимости еще жестче — ее обрабатывают на основании закона вне зависимости от согласия гражданина.

Биометрические ПД. Это биологические характеристики человека:

• внешний облик — рост, вес, цвет глаз и волос;
• голос;
• отпечатки пальцев (дактилоскопические данные);
• ДНК-анализ потожировых следов, слюны;
• группа и резус-фактор крови.

Биометрические ПД хранят для идентификации. Например, в банке сотрудник фотографирует клиента, чтобы система безопасности распознала его в случае утери карты или мошенничества.

Речевая аналитика Calltouch — система распознавания речи. С ее помощью вы узнаете пол, тип обращения клиента и получите текстовую расшифровку разговора. Это значимая часть исследования целевой аудитории и определения качества работы сотрудников клиентского сервиса. Вы поймете, какие звонки приводят к продажам. В процессе вы можете корректировать скрипты продаж и рекламную стратегию и в результате увеличить приток покупателей.

Технология
речевой аналитики
Calltouch Predict

• Автотегирование звонков
• Текстовая расшифровка записей разговоров

Узнать подробнее

Иные ПД. Сведения, не попадающие в описанные выше категории. Это дополнительные черты информационного портрета человека: социальный статус, трудовой стаж, размер заработной платы, отпускные периоды. Большая часть таких сведений может меняться.

Бизнес

Читайте также:

7 ошибок в общении с клиентами онлайн

7 ошибок в общении с клиентами онлайн

Оператор и субъект персональных данных

Субъект — конкретный человек, личность которого идентифицируют по персональным данным. 

Оператор — тот, кто занимается обработкой ПД. Им могут быть:

• организация — государственная, общественная, коммерческая;
• частный предприниматель;
• физическое лицо — например, владелец сайта изучает обезличенные ПД пользователей для оценки активности, рассылки, анализа половозрастной структуры.

Оператор должен быть зарегистрирован в реестре Роскомнадзора.

Защитите компанию от сомнительных обращений. Недобросовестные подрядчики могут накручивать звонки и вводить вас в заблуждение. Чтобы контролировать лидогенерацию, подключите Антифрод от Calltouch. Он отсечет спам, нецелевые обращения и предоставит данные об активности клиентов. Так вы оптимизируете расходы на рекламу и оставите только прибыльные площадки, которые обеспечивают целевой трафик.

Антифрод

Автоматически выявляет некачественные звонки, которые не приводят к продажам, а просто расходуют бюджет.

• Выявляет и тегирует сомнительные звонки от недобросовестных рекламных подрядчиков или спам
• Позволяет учитывать в отчетах только качественные обращения
• Упрощает контроль подрядчиков

Узнать подробнее

Чек-лист по обработке ПД

Если вы собираетесь обрабатывать персональные данные пользователей, следуйте алгоритму:

1. Назначьте ответственного за организацию процесса.
2. Разработайте политику конфиденциальности и опубликуйте ее на сайте. Утвердите локальные акты.
3. Позаботьтесь о том, чтобы сервер для хранения ПД находился в России.
4. Подготовьте оборудование и безопасное программное обеспечение.
5. Подайте уведомление в Роскомнадзор и дождитесь ответа.
6. Определитесь с перечнем сведений для сбора и хранения. Проверьте по официальным источникам, какие документы являются персональными данными.
7. Получите согласие пользователя на обработку ПД.

Как получить согласие на обработку персональных данных

Обработка персональных данных — это любые действия с личной информацией:

• получение;
• структуризация;
• хранение на носителях — в электронных и бумажных архивах;
• анализ;
• использование в коммерческой, социальной, государственной деятельности;
• передача другим владельцам или предоставление доступа к базе;
• обезличивание — устранение очевидной связи между человеком и его ПД;
• блокировка — временная остановка работы с информацией по запросу граждан или регулятора;
• удаление и обновление;
• ликвидация без возможности восстановления.

Персональные данные обрабатывают только с разрешения их владельца. Чтобы законно получить согласие:

1. Уведомите Роскомнадзор о своих планах обрабатывать персональные данные. О случаях, когда уведомление не требуется, расскажем ниже.
2. Составьте текст соглашения и разместите его в общем доступе на сайте или бумажном бланке. Снабдите документ чекбоксом для отметки о согласии на обработку ПД.
3. Предупредите посетителей о сборе куки-файлов и иных метаданных (местоположения, IP-адреса) во всплывающем окне на сайте.
4. Разместите ссылку на документ с политикой конфиденциальности компании или правилами работы с ПД.

Устное разрешение на обработку персональных данных не имеет силы. Нельзя получить его и по умолчанию. Например, покупка на сайте не дает автоматическое согласие клиента на обработку ПД.

Если вы собираете биометрическую информацию, вам понадобится специальное оборудование и письменное согласие субъекта. Чекбокс в этом случае не подойдет.

Когда согласие не нужно

В разрешении на обработку ПД нет необходимости, если субъект:

• участвует в договоре как выгодоприобретатель или поручитель;
• привлекается в суд;
• не может физически предоставить согласие в экстренных ситуациях, например, находится без сознания.

Не нужно получать согласие на обработку информации, которая не относится к ПД или не используется для коммерции. А именно:

• сведения, собранные для личных нужд человека — списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
• фото или видео с общественных мероприятий или полученные на платной основе;
• ИНН без привязки к другой информации;
• государственные номера транспортных средств.
• данные для проведения научных исследований, творческой деятельности, если они не нарушают прав и интересов граждан;
• информация для передачи только внутри компании.

Закон не дает исчерпывающего определения ПД — при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий.

Обязательства оператора по защите персональных данных

Оператор персональных данных обязан:

• не раскрывать информацию третьим лицам, не распространять ее без согласия субъекта, не допускать утечки;
• изменять или удалять сведения по требованию субъекта персональных данных;
• размещать и хранить архив с информацией на российских серверах.

Для защиты ПД применяют организационные меры и технические средства — противовирусное обеспечение, программно-аппаратные комплексы межсетевого экранирования, разграничение прав доступа. Чтобы понять, где и как хранить ПД, обратитесь в Минкомсвязи или Роскомнадзор. Оптимальное готовое решение может предложить и хостинг-провайдер.

При низком уровне защиты личная информация граждан может попасть в руки преступников. За халатное отношение к своим обязанностям оператор будет отвечать в суде.

Уведомление в Роскомнадзор

Чтобы уведомить Роскомнадзор о намерении обрабатывать персональные данные, заполните электронную форму на сайте ведомства или на портале «Госуслуги».

Заполненный документ отправьте онлайн или почтой по адресу местного отделения Роскомнадзора. Сведения о заявителе добавят в реестр в течение месяца.

Уведомлять Роскомнадзор не обязательно, если ПД обрабатывают для:

• оформления разового пропуска на территорию предприятия;
• исполнения предписаний ТК — только если информацию используют внутри предприятия и не передают в иные организации, например, банки;
• заключения договоров с сотрудниками и клиентами без передачи информации третьим лицам;
• работы с данными только на бумажных носителях;
• использования ПД участников в одной общественной или религиозной организации.

Перед подачей уведомления оповестите персонал, оборудуйте помещение и компьютеры средствами защиты информации, подготовьте документацию.

Обязательные документы и шаблоны

В список необходимых документов входят:

• Политика конфиденциальности. Регламентирует работу со всей конфиденциальной информацией — деловой перепиской, договорами, внутренней документацией.
• Правила работы с персональными данными. Их часто объединяют с политикой конфиденциальности — это не противоречит закону.
• Согласие на обработку персональных данных. Форма для заполнения клиентом. Она содержит наименования (ФИО) и адреса оператора или действующего по его поручению лица, а также данные субъекта ПД. Обязательно указывают цель сбора информации и методы ее обработки, срок действия согласия, способы его отзыва.
• Обязательство о неразглашении ПД. Документ, подписанный всеми сотрудниками, имеющими доступ к конфиденциальной информации о клиентах.
• Приказ о назначении ответственного за работу с ПД. Этот внутренний документ часто требуют представители Роскомнадзора при проверках. Ответственным обычно назначают специалиста из отдела IT или службы безопасности.

Документы разрабатывают с участием юрисконсульта. Шаблон формы согласия клиента и рекомендации по составлению Правил доступны на сайте Роскомнадзора.

Бизнес

Читайте также:

Скрипты для назначения встречи: что говорить, чтобы встретиться с клиентом

Скрипты для назначения встречи: что говорить, чтобы встретиться с клиентом

Чем грозит нарушение закона

Любое нарушение правил использования персональных данных — это огромный риск для компании. Виды ответственности:

1. Административная — статья 13.11 КоАП РФ «Нарушение законодательства в области ПД».
2. Уголовная — статьи 137, 140, 272 УК РФ.
3. Гражданско-правовая — статьи 15, 151 ГК РФ.
4. Дисциплинарная — статьи 90, 81 ТК РФ.

Наказание зависит от обстоятельств нарушения и тяжести последствий. Возможные санкции:

• предупреждение;
• штрафы до 300 тысяч рублей, по административным статьям — до 75 тысяч рублей;
• арест до шести месяцев;
• исправительные работы до одного года;
• принудительные работы до пяти лет;
• лишение свободы до пяти лет.

Дополнительно суд обязывает возместить пострадавшему материальные убытки и компенсировать моральный вред. По месту работы применяют замечание, выговор или увольнение.

Коротко о главном

• Персональные данные — это конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД). 
• Оператор персональных данных собирает, обрабатывает и обеспечивает защиту информации.
• Перед обработкой персональных данных нужно уведомить Роскомнадзор о своем намерении.
• Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность — вплоть до уголовного преследования.