Как собирать и обрабатывать персональные данные в чат-ботах, чтобы не получить штраф

Когда в своих заметках или выступлениях я затрагиваю тему персональных данных, у аудитории появляется много вопросов. Представители бизнеса хотят знать, что относится к таким данным, и почему нельзя отправить клиенту сообщение в WhatsApp, не получив заранее согласие на рассылку. Поэтому мы в агентстве решили подготовить статью с примерами и разобрать по пунктам:

• Как бизнесу работать с персональными данными в мессенджерах и на сайтах;
• Какие при этом нужны документы и что в них стоит прописать;
• Типичные ошибки при сборе ПДн в чат-ботах и на сайтах;
• Размеры штрафов за несоблюдение закона и за что с компании могут взыскать до 500 тысяч рублей;
• Почему согласие на рекламную рассылку надо брать отдельно.

Для начала расскажем об определении персональных данных, трансграничной передаче и документах, а затем на примерах разберём, как собирать персональные данные на сайтах и в чат-ботах.

Обработку персональных данных на территории Российской Федерации регулирует закон «‎О персональных данных»‎ от 27.07.2006 №152-ФЗ и подзаконные нормативные акты.

Персональные данные, в соответствии со статьёй 3 об основных понятиях Федерального закона, — это любая информация, которая прямо или косвенно относится к человеку, и по которой его можно идентифицировать.

В Федеральном законе нет чёткого списка таких данных. Юристы используют информацию из сложившейся судебной практики.

Принято считать, что к персональным данным физлица относятся:

• ФИО.
• Паспортные данные гражданина.
• СНИЛС, ИНН.
• Дата и место рождения.
• Номер телефона.
• Email, если в нём есть фамилия, имя, дата рождения.
• Место жительства.
• Фотография, по которой можно установить личность человека.
• Семейный и социальный статусы.
• Образование, профессия, должность, уровень доходов.
• Идентификаторы пользователя в интернете. ID в Телеграм тоже относится к персональным данным.

Сами по себе фамилия, имя и отчество — это не персональные данные, ведь у человека могут быть тёзки и однофамильцы. Но если к ФИО добавить хотя бы один идентификатор (телефон, дату рождения или возраст, email, ID в соцсетях), то это в совокупности уже подходит под персональные данные.

Персональные данные разделяют на четыре вида:

1. Общие — это ФИО, место регистрации, информация об образовании и месте работы, телефон, адрес электронной почты.
2. Специальные категории касаются национальности, здоровья, интимной жизни, политических, религиозных и философских взглядов, информации о судимости.
3. Биометрические — сведения о физиологических и биологических особенностях человека, которые помогут установить его личность. Сюда относятся: отпечатки пальцев, группа крови, анализ ДНК, фотографии, цвет глаз, рост и вес.
4. Иные — все прочие данные, которые не относятся к первым трём видам. Это могут быть корпоративные данные, информация о принадлежности к социальной группе и другие сведения.

Обрабатывать любые персональные данные можно только с согласия их субъекта. Согласие на обработку следует получить в письменном виде на бумаге либо в формате электронного документа. Закон не предусматривает получение согласия в устном виде, например, во время телефонного разговора.

Чтобы получить согласие на обработку общих персональных данных в интернете, от пользователя достаточно небольшого действия: нажать на нужную кнопку, поставить галочку в форме на сайте.

Чтобы обрабатывать биометрические и специальные категории персональных данных, бизнесу потребуется взять у клиента согласие на бумаге или в электронном виде с цифровой подписью.

Обработка данных — это не только их сбор и запись, но и хранение, систематизация, обновление, использование, передача, обезличивание, блокирование, удаление (например, в «корзину» компьютера) и полное уничтожение.

Если компания просто хранит персональные данные клиентов где-либо (на бумаге или на жестком диске) и ничего с данными не делает, это всё также относится к обработке. Необходимо, чтобы у бизнеса были согласия клиентов.

Стоит помнить, что пользователь имеет право в любое время запретить обрабатывать его данные. Ему достаточно обратиться к бизнесу тем способом, который указан в согласии на обработку персональных данных, — обычно это email компании.

Трансграничная передача данных — это передача персональных данных граждан за пределы Российской Федерации, например, хранение на иностранном ресурсе или сервере. В соответствии с с ч. 5 ст. 18 ФЗ № 152 при обработке персональных данных российских граждан, в том числе в интернете, должны быть использованы базы данных, которые находятся на территории РФ.

Если компания передаёт персональные данные пользователей в другую страну или собирает данные с помощью иностранного сервера, — это трансграничная передача. С марта 2023 года нельзя совершать её без разрешения Федеральной службы по надзору.

За нарушение требований о локализации персональных данных грозят большие штрафы по ч. 8 ст. 13.11 КоАП РФ:

• с граждан — от 30 000 до 50 000 рублей;
• с должностных лиц — от 100 000 до 200 000 рублей;
• с юридических лиц — от 1 млн до 6 млн рублей.

Как получить разрешение на трансграничную передачу персональных данных

Компания должна направить в Роскомнадзор специальное уведомление, заполненное на портале Госуслуг. Потребуется подтвержденная учетная запись. В форме необходимо указать информацию о компании, цель передачи персональных данных, их категорию и перечень, список иностранных государств для передачи и другие сведения.

Проверить статус рассмотрения уведомления можно на сайте Роскомнадзора, на соответствующей странице.

Организациям и предпринимателям необходимо соблюдать требование закона, чтобы не попасть под штрафы.

На размер штрафов влияет тип нарушения и вид бизнеса: для крупных предприятий они гораздо выше, чем для ИП. За повторное нарушение штраф возрастает. Подробнее смотрите в таблице.

Рассмотрим основные правила работы с персональными данными и рекламными материалами в мессенджерах.

Перед тем, как обрабатывать ПДн, компания должна назначить ответственного сотрудника, сообщить Роскомнадзору о своей работе с данными и подготовить документы.

Для работы с клиентами бизнесу потребуются три документа:

• политика обработки ПДН,
• согласие на обработку,
• разрешение на рекламную коммуникацию в мессенджерах, а также по телефону, смс, email.

Ниже подробно опишем, что должно быть в документах.

Уведомление Роскомнадзора закреплено в законе — п. 1, статьи 22 «Уведомление об обработке персональных данных‎»‎.

С 1 сентября 2022 года бизнес может не уведомлять Роскомнадзор в этих случаях:

1. При обработке персональных данных без использования средств автоматизации, то есть при записи от руки на бумаге.
2. При обработке в государственных защищенных системах, таких как ЕГАИС и «Меркурий».

Способы уведомить РКН:

• Заполнить электронную форму на сайте ведомства.

Для этого у бизнеса должна быть УКЭП — усиленная квалифицированная электронная подпись.

Здесь можно посмотреть пример заполнения уведомления об обработке персональных данных.

• Направить электронное уведомление с помощью портала Госуслуги.

Потребуется подтверждённая учётная запись. Если за бизнес уведомление подаёт сотрудник, то его учётная запись должна быть привязана к организации на Госуслугах.

• Отправить распечатанную форму уведомления в местное подразделение ведомства.

В течение 30 дней Роскомнадзор внесёт компанию или ИП в реестр операторов. Если какие-то данные не указали, сотрудники ведомства могут их уточнить.

После того, как бизнес добавили в реестр операторов, можно собирать и обрабатывать персональные данные.

У каждой компании, независимо от сферы деятельности, должны быть эти документы:

Не все знают, что разрешение на рекламную коммуникацию надо брать отдельно. В соответствии со статьёй 18 п. 1 ФЗ «‎О рекламе»‎, для отправки рекламных материалов бизнес должен предварительно получить у клиента отдельное согласие.

Нельзя заставлять пользователя давать согласие на отправку ему рекламы. В противном случае можно получить жалобу. На сайте текст о согласии с рекламной рассылкой необходимо поместить под формой сбора, в отдельной строке с чекбоксом. Нельзя размещать согласие на рассылку в той же строке, что и согласие на обработку ПДн.

Если клиент согласен на рассылку, то отмечает галочку в чекбоксе. Заполненная и отправленная заявка с галочкой сохраняется в логах — текстовых файлах с действиями пользователей на сайте. Логи выгружайте и храните, чтобы при необходимости подтвердить согласия клиентов.

Что должно быть указано в документах

В политике обработки ПДн обязательно пропишите:

• чьи и какие именно данные собираете;
• зачем собираете;
• как и сколько времени будете обрабатывать данные;
• как и куда данные будут переданы;
• как будет происходить уничтожение данных.

В согласии на обработку персональных данных укажите следующее:

• Наименование оператора (компании), получающего согласие.
• Реквизиты (ФИО, адрес, данные паспорта) лица, которое обрабатывает данные по поручению оператора.
• Цель обработки данных. Это может быть: исполнение договора, рекламная или информационная рассылка, регистрация в бонусной системе, предоставление доступа к функционалу сайта или другая цель.
• Список ПДн, собираемых у клиента: например, ФИО, дата рождения, адрес проживания, номер телефона, электронная почта и другое.
• Срок, в течение которого действует согласие.
• Способ, которым пользователь может отозвать своё согласие. Например, отправить запрос на конкретный email компании.
• Подпись субъекта персональных данных или поставленная галочка в чекбоксе на сайте.

В согласии может быть только одна цель обработки данных, например, регистрация клиента в программе лояльности.

По закону нельзя запрашивать избыточные данные, то есть сведения, без которых можно обойтись для выполнения указанной цели. Чтобы зарегистрировать в бонусной системе, магазину надо знать номер телефона и дату рождения покупателя. А вот уточнять место проживания будет лишним.

В законе «‎О рекламе» не прописаны требования к содержимому согласия на рекламу. Можно следовать общим рекомендациям юристов и перечислить в документе эти пункты:

• Название компании.
• Адрес сайта, если согласие даётся на сайте.
• Как именно клиент соглашается на получение рекламы, например, с помощью нажатия кнопки «Подписаться» на сайте.
• Каналы коммуникаций с клиентом: СМС, рассылка в мессенджере, чат-бот, email, телефонный звонок.
• Способ отказа от согласия.
• Как компания будет использовать персональные данные клиента, например, будет ли передавать третьим лицам.

Как взять согласие на рекламную рассылку в чат-боте

Если в рассылке чат-бота предусмотрены маркетинговые сообщения, обязательно надо брать отдельное согласие клиента на их получение. То, что пользователь активировал получение сообщений в чат-боте, не равно тому, что он согласен получать и рекламную рассылку. К рекламным сообщениям относятся: рассылки с акциями и спецпредложениями, сообщения с информацией о конкретных брендах.

Здесь показан пример согласия с рекламной рассылкой в мессенджере:

Чтобы получить согласие, отправляем отдельное сообщение, где предлагаем нажать на соответствующую кнопку.

Храните все согласия, данные клиентом: и на обработку персональных данных, и на рекламные сообщения. Дату и факт согласия можно хранить в переменной на платформе, где собран чат-бот.

Расскажем, как бизнесу работать с формами сбора ПДн.

Ссылки на политику и согласие на обработку персональных данных надо обязательно расположить под формой заявки. Также политику можно дополнительно поставить в «подвал» сайта.

Если в форме предусмотрен сбор номера телефона, то в тексте политики советуем прописать пункт о том, что компания вправе присылать сообщения в WhatsApp. Даже если сейчас бизнес не отправляет рассылки в мессенджере, он потенциально может это делать в будущем. Хорошо бы заранее предупредить о таких рассылках клиента, иначе потом вы не сможете использовать накопленную базу в мессенджере.

В любом чат-боте должна быть политика конфиденциальности компании. Если вы хотите собирать персональные данные с помощью чат-бота, то в нём надо разместить и ссылку на согласие с обработкой. Тем самым вы предупредите пользователя об обработке ПДн и запросите у него разрешение.

Можно создать универсальное сообщение с таким текстом:

«Нажимая на кнопку “записаться” / нажимая на кнопку “поделиться номером телефона”, я подтверждаю, что ознакомлен с политикой конфиденциальности и даю согласие на обработку персональных данных».

В тексте сообщения обязательно укажите ссылки на оба документа, размещенных на лендинге или сайте бизнеса.

Юристы одного из наших заказчиков считают, что согласие необходимо спрашивать непосредственно перед тем, как брать контакт. Поэтому в сообщение чат-бота в Телеграм или ВКонтакте «зашиваем» ссылки на политику обработки персональных данных и на согласие с обработкой.

В каких случаях может понадобиться запросить телефон пользователя почти сразу после входа в воронку чат-бота:

• когда надо идентифицировать клиента в CRM-системе компании,
• принять заявку,
• внести пользователя в программу лояльности.

После того, как пользователь согласился с политикой обработки ПДн, мы просим его написать свой номер телефона в диалоге с чат-ботом.

Что касается рассылок в WhatsApp

Перед тем, как отправлять рассылку в WhatsApp, у бизнеса уже должны быть согласия пользователей! Связано это с тем, что сообщения в мессенджере фактически можно отправить, зная только номер телефона. Но без согласия человека это делать незаконно. Сам WhatsApp считает нарушением нежелательную рассылку и имеет право временно или навсегда заблокировать аккаунт, на который жалуются.

Взять согласие клиента на отправку сообщений в WhatsApp можно под формой заявки на сайте компании, а также при регистрации в программе лояльности. Согласие может быть получено как в электронном, так и в письменном виде.

В чат-ботах наших заказчиков мы сообщаем пользователям о сборе ПДн и берём согласия на обработку.

Например, чтобы компания имела право связаться с клиентом, он должен нажать соответствующую кнопку. Это действие продумываем заранее, при разработке сценария воронки. Для кнопки можно придумать подходящее короткое название, например, «Даю согласие». Пока клиент не нажал на кнопку, компания по закону не может звонить или писать ему на номер телефона, оставленный в чат-боте.

Ниже вы видите скриншот из чат-бота для ритейла. В текст сообщения вставлены ссылки не только на два обязательных документа, но и на правила программы лояльности заказчика. Это было необходимо, так как одна из задач телеграм-бота — регистрация новых клиентов в бонусной программе.

В другом чат-боте размещена ссылка на политику конфиденциальности, в текст которой уже включено согласие на обработку. В этом случае в сообщение не пришлось вставлять несколько ссылок на разные документы. Заказчик согласовал этот момент, так как политика конфиденциальности бренда содержит в себе пункт про согласие на обработку.

Повторять ли это у себя — на усмотрение каждого бизнеса, на его страх и риск. Рекомендуем сначала обсудить всё с юристами.

В тексте сообщений обязательно обозначьте, что пользователь не просто ознакомился с политикой конфиденциальности, но и дал своё согласие на обработку ПДн.

Если компания размещает в чат-боте отзыв, в котором ссылается на конкретного человека, значит она тем самым раскрывает персональные данные, а не просто их обрабатывает. Так как эти действия направлены на раскрытие данных неопределённому кругу лиц.

Проще всего публиковать анонимные отзывы. На размещение персонализированных отзывов придётся взять согласие клиента в письменной форме.

Разберём на антипримерах, какие типичные недочеты допускает бизнес при сборе персональных данных в мессенджерах:

1. Нет ссылки на второй документ: на политику конфиденциальности или на согласие с обработкой персональных данных.

Обязательна ссылка не только на политику обработки ПДн, но и на текст согласия.

2. В согласии на обработку ПДн не указано, на что соглашается пользователь.

В этом антипримере отсутствует ссылка на полный текст согласия:

3. В тексте согласия нет конкретного списка персональных данных.

Обязательно следует указать, какие данные и с какой целью собирает бизнес.

4. Автоматически проставлена галочка в чекбоксе на сайте.

Это противоречит закону, ведь как такового согласия не было. Посетитель сайта должен самостоятельно поставить галочку. Если кто-то из клиентов пожалуется в Роскомнадзор, бизнес получит штраф.

Мы подробно рассмотрели главные аспекты работы с персональными данными пользователей на сайтах и в чат-ботах.

Подытожим ключевые моменты:

• Если сведения позволяют распознать конкретного человека, то они принадлежат к персональным данным. Запрещено обрабатывать их без получения специального согласия физического лица.

• Обработка — это все действия с персональными данными, в том числе их сбор, запись, использование, хранение, передача и уничтожение. Человек может в любое время запретить обработку собственных данных.

• Для обработки биометрических и специальных категорий ПДн (фотографий, данных о росте, весе, группе крови, здоровье, религии, судимости и т.д.) обязательно письменное согласие в бумажном или электронном виде (с цифровой подписью).

• Хранение персональных данных граждан РФ на серверах за пределами страны требует разрешения Роскомнадзора. Получить его можно, заполнив форму на платформе «Госуслуги».

• У любой компании или ИП должны быть три документа, с которыми клиенты должны ознакомиться и согласиться: политика обработки персональных данных, согласие на обработку, согласие на получение рекламы.

• Нельзя запрашивать избыточные данные, а также не указывать конкретные цели их обработки. Советуем в текстах документов предупреждать о возможности рассылки в мессенджере WhatsApp по номеру телефона.

• Ссылки на электронные документы необходимо разместить в футере сайта и под формой заявки, а при наличии чат-бота — в тексте сообщения, запрашивающего персональные данные.

• Если бизнес планирует собирать ПДн с помощью средств автоматизации (а не записывая вручную), он обязан сообщить РКН об этом.

• Согласие на рекламную рассылку (по смс, email или в мессенджерах) нужно получить отдельно от согласия на обработку ПДн. Это разные документы.

• Анонимные отзывы можно публиковать свободно, а для персонализированных отзывов требуется письменное согласие клиента.

Грамотно составленные документы и вовремя полученные согласия на обработку и рекламу помогут бизнесу избежать больших штрафов.