ФЛП и персональные данные клиентов: как избежать штрафов и жалоб

Содержание

В современных условиях активного развития технологий и цифровизации бизнеса вопрос защиты персональных данных клиентов стал одним из ключевых аспектов доверия к любой компании. Во время регистрации на сайтах, заказа товаров и услуг, оформления подписок люди предоставляют свои персональные данные, необходимые для эффективного взаимодействия.

И каждая организация или предприятие, что работают с клиентской базой (от салонов красоты до интернет-магазинов и медицинских центров) должны обеспечить надежную защиту персональной информации в соответствии с законодательством. Это касается и ФЛП, которые продают товары, оказывают услуги и в процессе ведения деятельности имеют дело с персональными данными клиентов.

Большинство предпринимателей даже не догадываются, что нарушение правил обработки таких данных может угрожать серьезными штрафами, проверками, жалобами от клиентов или государственных органов. И считают, что если не имеют дела с коммерческой тайной, им ни о чем беспокоиться не надо.

Часто мы видим ситуации, когда ФЛП на страницах магазинов в социальных сетях публикуют отзывы клиентов без получения согласия последних, оставляют скрины с номерами накладных (где высвечиваются контактные данные получателя). И не осознают, что из-за таких опрометчивых действий могут потенциально получить жалобу от клиента и быть привлеченными к ответственности за разглашение персональных данных.

Итак, сегодня внимание вопросу защиты личных сведений должны уделить все, кто работает с людьми. Не только предприятия, которые целенаправленно собирают определенную информацию, но любой бизнес. Ведь во время взаимодействия с клиентом предприниматель получает доступ к номерам телефона, e-mail, адресам доставки, номерам банковских карточек и т.д. И должен позаботиться о том, чтобы их защитить.

Что такое персональные данные?

Сначала определимся с тем, что мы называем персональными данными. Согласно ЗУ «О защите персональных данных», речь идет о любых сведениях или их совокупности о физическом лице, которое является идентифицированным или может быть конкретно идентифицированным. К персональным данным может быть отнесена следующая информация:

ФИО – фамилия, имя, отчество.
Контактный телефонный номер.
Адрес электронной почты (e-mail).
Адрес проживания.
Номера и данные банковских карт.
Любая информация из документов, которые удостоверяют личность.

И список не исчерпывающий, ведь к категории персональных данных можно отнести даже обычный список клиентов или их учетных записей в соцсетях. Подпадают под действие закона и содержание заказа (список выбранных продуктов и их цена, к примеру) и т.д. Поэтому к защите персональных данных следует относиться очень серьезно.

Обязанности того, кто собирает персональные данные клиента

Предприятие или ФЛП, что занимаются сбором персональных данных, их хранением (например, через сайт, соцсети, CRM, заказ по телефону), считаются «владельцем персональных данных». Это означает, что именно предприниматель или компания обязаны:

получать согласие клиента на обработку его данных;
защищать информацию от постороннего доступа;
предоставлять доступ или удалять данные по требованию клиента;
вести внутренние документы касательно обработки персональных данных.

Согласно ЗУ о персональных данных, каждый, кто собирает и/или хранит персональные данные, является владельцем базы таких персональных данных. И на владельца возложена обязанность обеспечения надлежащей защиты всех сведений. Однако многие предприниматели даже не осознают, что уже нарушают закон, просто ведя учет клиентов в телефоне или Excel.

Какие ошибки совершают ФЛП в работе с персональными данными

Ниже приводим типичные ошибки ФЛП, которые собирают в процессе ведения предпринимательской деятельности персональные данные клиентов и не соблюдают требования действующего законодательства касательно работы с ними. Часто мы видим нарушения, когда предприниматель совершает:

Сбор персональных данных без получения согласия клиента (например, через форму заказа без политики конфиденциальности).
Хранение данных без технической защиты (ноутбук без пароля, открытые таблицы).
Передача данных третьим лицам (курьер, бухгалтер, маркетолог) без письменного соглашения о конфиденциальности.
Использование данных клиентов в маркетинговых целях без получения предварительного разрешения личности.

Список нарушений может быть гораздо длиннее и во всех этих случаях ФЛП или предприятие могут ожидать неприятные последствия.

Ответственность за нарушение законодательства

За несоблюдение требований законодательных норм касательно защиты персональной информации, в случае ее утечки или получения незаконного доступа к ней других лиц, установлена административная ответственность. На нарушителя может быть наложен штраф на сумму до 34 000 грн.

Также лицо, права которого были нарушены, может подать иск в суд и потребовать возмещения причиненного противоправными действиями ущерба. Так, лицо, персональные данные которого были разглашены или не защищены должным образом, может получить возмещение морального вреда.

Пожалуй, не нужно подчеркивать, что такие санкции для ФЛП или компании – это не только финансовые потери, но и риски для репутации бизнеса. Нередко после громких дел о разглашении персональных данных бизнес сталкивается с оттоком клиентов, нежеланием партнеров сотрудничать, сложностями в развитии дела.

Как обезопасить бизнес от штрафов

Чтобы избежать штрафов, жалоб от клиентов и других проблем, связанных со сбором и хранением персональных данных, бизнесу следует придерживаться нескольких практических советов. Если вы только открываете компанию или регистрируете ФЛП – обязательно уделите этому вопросу внимание. А если уже работаете – не оставляйте все как есть, а организуйте процесс сбора, хранения сведений правильно.

В перспективе внимание к вопросу защиты персональных данных будет только расти. Ведь технологии постоянно развиваются, бизнес активно работает онлайн, использует разные средства и способы взаимодействия с клиентами, инструменты. И в большинстве процессов используются персональные данные, с которыми нужно правильно работать.

Получение согласия клиентов на сбор

Всегда получайте согласие от клиентов на сбор, хранение любых предоставленных ими сведений. Сбор персональных данных без письменного или электронного согласия – это нарушение.

Добавьте политику конфиденциальности на сайт или в анкету/договор, укажите, какие именно данные вы собираете, для чего это делаете и кто имеет к ним доступ. Согласие должно быть явным: в виде подписанной анкеты, галочки «Соглашаюсь с политикой конфиденциальности» или оформления отдельного письменного согласия.

Информирование о цели сбора персональных данных

Обязательно информируйте клиента о цели сбора персональных данных. Человек, предоставляя вам информацию о себе, контактные данные и т.д. должен знать, для чего вы собираете такие сведения (например, для обработки заказа, рассылки или предоставления услуг).

Создание политики конфиденциальности

Разработайте политику конфиденциальности или создайте внутренний приказ, где должны быть четко указаны:

цель обработки;
перечень данных, что собираются и хранятся;
порядок хранения/уничтожения;
права субъекта данных;
список лиц, которые имеют доступ к базе данных;
ответственное лицо.

При необходимости могут быть предоставлены другие пункты и сведения, что имеют существенное значение для обеспечения процесса сбора, хранения персональных данных клиентов.

Ограничение доступа к данным

Доступ к базе клиентов должны иметь только те работники, которым это необходимо для выполнения их обязанностей. Для защиты используйте качественные современные антивирусные программы, создавайте сложные пароли, включайте двухфакторную аутентификацию и обязательно производите регулярное резервное копирование данных.

Назначьте ответственного за обработку персональных данных. Это может быть отдельный специалист или юрист, который будет контролировать соблюдение требований закона. Не передавайте данные клиентов посторонним без согласия. Если передаете данные курьерским службам – предварительно заключите соглашение о конфиденциальности.

Своевременная реакция на запросы и жалобы

Ни в коем случае не игнорируйте запросы клиентов, а тем более не оставляйте без ответа жалобы. Ни к чему хорошему это не приведет.

Более того, на этапе общения и рассмотрения запроса часто удается решать все спорные вопросы. Если клиент не получит ответа – он может обратиться в суд, и тогда удовлетворением его жалобы уже будет заниматься суд.

Клиент имеет право:

узнать, какие его данные хранятся;
требовать изменения или удаления сведений о нем;
отозвать предоставленное ранее согласие;
реализовать другие права, определенные законодательством.

А вы должны ответить на запрос клиента в течение 30-дневного срока. И если получаете обращения – реагируйте на них немедленно.

Защита персональных данных – это не только требование закона, но и важный элемент доверия к вашему бизнесу. Если вы работаете с клиентами, вы уже оперируете персональными данными. Не ждите проверки или жалобы от клиента, а лучше действуйте на опережение. Своевременная юридическая поддержка поможет избежать штрафов, жалоб клиентов и репутационных рисков.

Помощь специалистов БИП

Если вам необходима помощь в организации сбора, хранения персональных данных клиентов, правильном оформлении документов и решении других вопросов, вы можете обратиться к нашим юристам. Специалисты БИП помогут ФЛП или компании:

Правильно разработать политику конфиденциальности для сайта, страницы Instagram или др.
Подготовить образец согласия клиента на обработку персональных данных (для договоров, анкет, заявлений).
Создать внутренние положения/приказ об обработке персональных данных.
Подготовить внутренние положения и инструкции для работников.
Разработать договор о конфиденциальности (NDA) с подрядчиками, которые имеют доступ к базе клиентов.
Подготовить ответы на запросы клиентов и контролирующих органов.
Получить консультации касательно сбора, защиты персональных данных и других вопросов.

Звоните нам по номеру телефона, который видите на сайте или оставляйте заявку в окне обратной связи.

Распространенные вопросы о сборе, хранении персональных данных клиентов

Ниже мы рассмотрим несколько типичных вопросов, которые часто задают нам клиенты.

Что такое персональные данные и зачем их защищать?

Это любые данные о клиенте, которые он предоставляет вашей компании – ФИО, контакты, информация об адресе доставки и т.д. Защищены они профильным законом, поэтому предприниматель или компания, что собирают и хранят персональные данные клиентов, имеют прямую обязанность обеспечить их защиту.

Как нужно защищать персональные данные клиентов?

Надежно хранить, не передавать третьим лицам, получать предварительно согласие от клиента на использование и хранение предоставленных им сведений.

Что нужно для организации работы с персональными данными клиента?

Создать политику конфиденциальности (и разместить на сайте или на странице в соцсетях), получать согласие от клиентов на использование их данных, размещать информацию на защищенных серверах, давать доступ к ней определенному кругу лиц. В случае получения запросов от клиента – немедленно реагировать.

Какая ответственность за несоблюдение требований по работе с персональными данными?

За нарушение может быть начислено до 34 000 грн. штрафа.

Можете ли вы помочь в организации процесса?

Да, наши юристы могут проконсультировать по любому вопросу, разработать политику конфиденциальности или шаблон согласия клиента на сбор персональных данных, а также помочь составить ответ на жалобу, запрос контролирующего органа и т.д. Обращайтесь!