ФОП і персональні дані клієнтів: як уникнути штрафів і скарг

Зміст

В сучасних умовах активного розвитку технологій та цифровізації бізнесу питання захисту персональних даних клієнтів стало одним з ключових аспектів довіри до будь-якої компанії. Під час реєстрації на сайтах, замовлення товарів і послуг, оформлення підписок люди надають свої персональні дані, необхідні для ефективної взаємодії.

І кожна організація чи підприємство, що працюють з клієнтською базою (від салонів краси до інтернет-магазинів і медичних центрів), повинні забезпечити надійний захист персональної інформації відповідно до законодавства. Це стосується і ФОПів, які продають товари, надають послуги і в процесі ведення діяльності мають справу з персональними даними клієнтів.

Більшість підприємців навіть не здогадуються, що порушення правил обробки таких даних може загрожувати серйозними штрафами, перевірками, скаргами від клієнтів або державних органів. І вважають, що якщо не мають справи з комерційною таємницею, їм ні про що турбуватися не треба.

Часто ми бачимо ситуації, коли ФОПи на сторінках магазинів в соціальних мережах публікують відгуки клієнтів без отримання згоди останніх, залишають скріни з номерами накладних (де висвічуються контактні дані отримувача). І не усвідомлюють, що через такі необачні дії можуть потенційно отримати скаргу від клієнта та бути притягнутими до відповідальності за розголошення персональних даних.

Отже, сьогодні увагу питанню захисту особистих відомостей повинні приділити всі, хто працює з людьми. Не лише підприємства, які цілеспрямовано збирають певну інформацію, але будь-який бізнес. Адже під час взаємодії з клієнтом підприємець отримує доступ до номерів телефону, e-mail, адрес доставки, номерів банківських карток тощо. І повинен подбати про те, щоб їх захистити.

Що таке персональні дані?

Спочатку визначимось з тим, що ми називаємо персональними даними. Відповідно до ЗУ «Про захист персональних даних», мова йде про будь-які відомості чи їх сукупність про фізичну особу, що є ідентифікованою чи може бути конкретно ідентифікованою. До персональних даних може бути віднесена наступна інформація:

ПІБ – прізвище, ім’я, по батькові.
Контактний номер телефону.
Адреса електронної пошти (e-mail).
Адреса проживання.
Номери та дані банківських карток.
Будь-яка інформація з документів, які посвідчують особу.

І список не є вичерпним, адже до категорії персональних даних можна віднести навіть звичайний список клієнтів чи їх облікових записів в соцмережах. Підпадають під дію закону і зміст замовлення (перелік вибраних товарів і їх вартість, наприклад) тощо. Тому до захисту персональних даних треба ставитися дуже серйозно.

Обов’язки того, хто збирає персональні дані клієнта

Підприємство або ФОП, що займаються збором персональних даних, їх збереженням (наприклад, через сайт, соцмережі, CRM, замовлення телефоном), вважаються «володільцем персональних даних». Це означає, що саме підприємець чи компанія зобов’язані:

отримувати згоду клієнта на обробку його даних;
захищати інформацію від стороннього доступу;
надавати доступ або видаляти дані на вимогу клієнта;
вести внутрішні документи стосовно обробки персональних даних.

Згідно з ЗУ про персональні дані, кожен, хто збирає та/чи зберігає персональні дані, є володільцем бази таких персональних даних. І на володільця покладено обов’язок забезпечення належного захисту всіх відомостей. Однак багато підприємців навіть не усвідомлюють, що вже порушують закон, просто ведучи облік клієнтів у телефоні чи Excel.

Які помилки роблять ФОП в роботі з персональними даними

Нижче подаємо типові помилки ФОПів, які збирають в процесі ведення підприємницької діяльності персональні дані клієнтів і не дотримуються вимог чинного законодавства щодо роботи з ними. Часто ми бачимо порушення, коли підприємець здійснює:

Збір персональних даних без отримання згоди клієнта (наприклад, через форму замовлення без політики конфіденційності).
Зберігання даних без технічного захисту (ноутбук без пароля, відкриті таблиці).
Передача даних третім особам (кур’єр, бухгалтер, маркетолог) без письмової угоди про конфіденційність.
Використання даних клієнтів у маркетингових цілях без отримання попереднього дозволу особи.

Список порушень може бути набагато довшим і у всіх цих випадках на ФОП чи підприємство можуть чекати неприємні наслідки.

Відповідальність за порушення законодавства

За недодержання вимог законодавчих норм щодо захисту персональної інформації, в разі її витоку чи отримання незаконного доступу до неї інших осіб встановлена адміністративна відповідальність. На порушника може бути накладено штраф у сумі до 34 000 грн.

Також особа, права якої було порушено, може подати позов до суду і вимагати відшкодування завданих протиправними діями збитків. Так, особа, персональні дані якої було розголошено чи не захищено належним чином, може отримати відшкодування моральної шкоди.

Мабуть, не треба наголошувати на тому, що такі санкції для ФОП чи компанії – це не тільки фінансові втрати, але і ризики для репутації бізнесу. Нерідко після гучних справ про розголошення персональних даних бізнес стикається з відтоком клієнтів, небажанням партнерів співпрацювати, складнощами в розвитку справи.

Як убезпечити бізнес від штрафів

Щоб уникнути штрафів, скарг від клієнтів та інших проблем, пов’язаних зі збором і збереженням персональних даних, бізнесу варто дотримуватися кількох практичних порад. Якщо ви тільки відкриваєте компанію чи реєструєте ФОП – обов’язково приділіть цьому питанню увагу. А якщо вже працюєте – не залишайте все, як є, а організуйте процес збору, зберігання відомостей правильно.

В перспективі увага до питання захисту персональних даних лише зростатиме. Адже технології постійно розвиваються, бізнес активно працює онлайн, використовує різні засоби й способи взаємодії з клієнтами, інструменти. І в більшості процесів використовуються персональні дані, з якими треба правильно працювати.

Отримання згоди клієнтів на збір

Завжди отримуйте згоду від клієнтів на збір, зберігання будь-яких наданих ними відомостей. Збір персональних даних без письмової або електронної згоди – це порушення.

Додайте політику конфіденційності на сайт або в анкету/договір, вкажіть, які саме дані ви збираєте, для чого це робите і хто має до них доступ. Згода повинна бути явною: у вигляді підписаної анкети, галочки «Погоджуюсь з політикою конфіденційності» або оформлення окремої письмової згоди.

Інформування про мету збору персональних даних

Обов’язково інформуйте клієнта про мету збору персональних даних. Людина, надаючи вам інформацію про себе, контактні дані та ін. має знати, для чого ви збираєте такі відомості (наприклад, для обробки замовлення, розсилки чи надання послуг).

Створення політики конфіденційності

Розробіть політику конфіденційності або створіть внутрішній наказ, де мають бути чітко вказані:

мета обробки;
перелік даних, що збираються та зберігаються;
порядок зберігання/знищення;
права суб’єкта даних;
перелік осіб, які мають доступ до бази даних;
відповідальна особа.

За необхідності можуть бути надані й інші пункти та відомості, що мають суттєве значення для забезпечення процесу збору, зберігання персональних даних клієнтів.

Обмеження доступу до даних

Доступ до бази клієнтів повинні мати лише ті працівники, яким це потрібно для виконання їхніх обов’язків. Для захисту використовуйте якісні сучасні антивірусні програми, створюйте складні паролі, вмикайте двофакторну автентифікацію та обов’язково здійснюйте регулярне резервне копіювання даних.

Призначте відповідального за обробку персональних даних. Це може бути окремий фахівець або юрист, який контролюватиме дотримання вимог закону. Не передавайте дані клієнтів стороннім без згоди. Якщо передаєте дані кур’єрським службам – попередньо укладіть угоду про конфіденційність.

Своєчасна реакція на запити та скарги

Ні в якому разі не ігноруйте запити клієнтів, а тим більше не залишайте без відповіді скарги. Ні до чого хорошого це не призведе.

Більше того, на етапі спілкування та розгляду запиту часто вдається вирішувати всі спірні питання. Якщо ж клієнт не отримає відповіді – він може звернутися до суду, і тоді задоволенням його скарги вже займатиметься суд.

Клієнт має право:

дізнатись, які його дані зберігаються;
вимагати зміни або видалення відомостей про нього;
відкликати надану раніше згоду;
реалізувати інші права, визначені законодавством.

А ви маєте надати відповідь на запит клієнта впродовж 30-денного строку. І якщо отримуєте звернення – реагуйте на них негайно.

Захист персональних даних – це не лише вимога закону, але й важливий елемент довіри до вашого бізнесу. Якщо ви працюєте з клієнтами, ви вже оперуєте персональними даними. Не чекайте на перевірку чи скаргу від клієнта, а краще дійте на випередження. Вчасна юридична підтримка допоможе уникнути штрафів, скарг клієнтів і репутаційних ризиків.

Допомога фахівців БІП

Якщо вам потрібна допомога в організації збору, зберігання персональних даних клієнтів, правильному оформленні документів та вирішенні інших питань, ви можете звернутися до наших юристів. Фахівці БІП допоможуть ФОП чи компанії:

Правильно розробити політику конфіденційності для сайту, сторінки Instagram або ін.
Підготувати зразок згоди клієнта на обробку персональних даних (для договорів, анкет, заяв).
Створити внутрішні положення/наказ про обробку персональних даних.
Підготувати внутрішні положення та інструкції для працівників.
Розробити договір про конфіденційність (NDA) з підрядниками, які мають доступ до бази клієнтів.
Підготувати відповіді на запити клієнтів та контролюючих органів.
Отримати консультації щодо збору, захисту персональних даних та інших питань.

Дзвоніть нам за номером телефону, який бачите на сайті, чи залишайте заявку у вікні зворотного зв’язку.

Розповсюджені запитання про збір, зберігання персональних даних клієнтів

Нижче ми розглянемо кілька типових питань, які часто задають нам клієнти.

Що таке персональні дані та для чого їх захищати?

Це будь-які дані про клієнта, які він надає вашій компанії – ПІБ, контакти, інформація про адресу доставки та ін. Захищені вони профільним законом, тому підприємець чи компанія, що збирають і зберігають персональні дані клієнтів, мають прямий обов’язок забезпечити їх захист.

Як треба захищати персональні дані клієнтів?

Надійно зберігати, не передавати третім особам, отримувати попередньо згоду від клієнта на використання та зберігання наданих ним відомостей.

Що треба для організації роботи з персональними даними клієнта?

Створити політику конфіденційності (і розмістити на сайті чи сторінці в соцмережах), отримувати згоду від клієнтів на використання їхніх даних, розміщувати інформацію на захищених серверах, давати доступ до неї визначеному колу осіб. В разі отримання запитів від клієнта – негайно реагувати.

Яка відповідальність за недотримання вимог щодо роботи з персональними даними?

За порушення може бути нараховано до 34 000 грн. штрафу.

Чи можете ви допомогти в організації процесу?

Так, наші юристи можуть проконсультувати щодо будь-якого питання, розробити політику конфіденційності чи шаблон згоди клієнта на збір персональних даних, а також допомогти скласти відповідь на скаргу, запит контролюючого органу тощо. Звертайтесь!