Согласия на обработку персональных данных: от формального сбора к лояльности клиента

Тимур Сафиуллин, Product Owner российской IT-компании HFLabs, рассказывает, как свести к минимуму риск штрафов, как управлять согласиями на обработку персональных данных и рекламные коммуникации и как автоматизировать этот процесс. 

В чем проблема?

Любой корпоративный юрист с опытом работы со 152-ФЗ скажет, что согласие на обработку персональных данных и рекламу должно быть конкретным, предметным, информированным, сознательным и однозначным. В первую очередь это означает, что в нем должны быть указаны цели сбора и обработки данных, сроки их хранения, а также полный список сведений, которые компания собирает. Один из важных моментов — перечисление третьих лиц, которым юрлицо будет передавать данные своих клиентов. 

Но подготовить документ и собрать согласия — лишь первый шаг. Мы часто видим, что компании становятся заложниками разных форм согласий и не могут разобраться, кто из клиентов и на что согласился. У крупного бизнеса много клиентов и продуктов, а согласия могут поступать в ИТ-системы из разных источников. 

Все это приводит к тому, что учесть желания клиента практически невозможно. Представим, что человек просит не присылать ему акционные предложения по СМС, но по почте получать их он готов. Или хочет отказаться от всех сообщений, кроме тех, что касаются ипотеки. По нашим наблюдениям, такую вариативность могут обеспечить единичные компании. 

Три подхода к решению

Чтобы управление согласиями клиентов было полноценным, для начала нужно те самые галочки, которые клиенты отметили на бумаге, перенести в IT-системы компании. Как это сделать? Есть три варианта.  

● Провести настройку CRM и выполнить интеграции между ней, сайтом, хелпдеском, системой класса MDM (Master Data Management), которая обрабатывает клиентские данные… Задача это довольно сложная, и на ее реализацию потребуется от нескольких месяцев до года. 

● Разработать собственный сервис по управлению согласиями. По сложившейся практике, крупные компании с миллионными базами клиентов агрегируют информацию по ним в CRM и MDM-системах. При реализации такого подхода эти решения дополняются собственной разработкой, которая вытаскивает из них информацию о согласиях. По такому пути пошел федеральный ритейлер, занимающийся продажей товаров для стройки и ремонта. Однако этот вариант требует не только времени на разработку и внедрение, но и наличие в штате специалистов, которые обладают необходимой экспертизой. 

● Выбрать вендорское решение по управлению согласиями. Пока на рынке есть лишь пара решений, которые могут выдать структурированную информацию по согласиям клиента, срокам их действия и другим параметрам. При выборе вендорского решения важно понимать, что ресурсы самой компании тоже понадобятся — в том числе для того, чтобы загрузить все имеющиеся согласия в систему.

Слагаемые успеха

Независимо от того, какой вариант выбрала компания, для успешной автоматизации процесса по управлению клиентскими согласиями ей потребуется соблюсти несколько условий. 
   
Во-первых, собрать все клиентские согласия в каталог, где они будут храниться и постепенно обновляться. Если из какой-то системы (например, из мобильного приложения) поступит новая или неправильная форма согласия, администратор системы получит об этом уведомление. Кроме того, в каталоге аккумулируется информация о том, где хранятся оригиналы согласий и сколько их вообще у конкретного клиента.

Во-вторых, описать каждое согласие с помощью модели данных. В модели, кроме ID клиента, должен содержаться номер договора, дата подписания согласия, ссылки на скан оригинала и другие атрибуты согласия. При желании модель данных может быть расширена. Например, для сетевого фитнес-центра в нее можно добавить фото клиента.

В-третьих, подключить систему по управлению согласиям по API к другим приложениям в IT-контуре компании. Это позволит сотрудникам компании в любой момент ответить на вопрос регулятора (или даже самого клиента), на каком основании она пишет или звонит тому или иному потребителю и выдать информацию, какое согласие и когда он подписал.

---

Читайте также: Договор с потребителем: как правильно оформлять раздел об обработке персональных данных

---

А это вообще нужно?

Еще один вопрос — насколько вообще оправданно управлять согласиями или можно все же закрыть глаза на штрафы регулятора и действовать по старинке? На мой взгляд, актуальность корректной работы с согласиями будет только возрастать, особенно среди компаний, которые работают в жесткой конкурентной среде. 

Следование желаниям клиентов (например, не звонить, а писать по почте) — это шаг к повышению их лояльности. Если бизнес уважительно относится к просьбам своих потребителей, у них меньше шансов уйти к конкурентам и отказаться от услуг. Нельзя забывать и о тренде на приватность, особенно среди VIP-клиентов.  

И, конечно, Федеральная антимонопольная служба (ФАС) и Роскомнадзор (РКН) могут прийти с проверкой из-за жалобы клиента или конкурентов. Обычно контролирующие органы просят назвать причины, на основании которых компания коммуницировала с клиентом и показать оригинал согласия. Иногда они могут запросить и полную историю коммуникации с тем, кто подал жалобу. Чтобы ответить на все эти вопросы, компании дается 10 рабочих дней с даты получения запроса (срок может быть увеличен еще на пять дней). Если в компании наведен порядок с согласиями, ручная работа будет минимальна, равно как и вероятность получить штраф. 

Тимур Сафиуллин, 
Product Owner российской IT-компании HFLabs.

Для NEW RETAIL