Возможно ли получение согласия на обработку персональных данных по телефону посредством смс сообщений
1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные". Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.
Рассмотрим новые правила работы с персданными подробнее.
Для распространения данных нужно получить новое согласие
Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.
Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).
Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).
Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):
- например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
- через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).
Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).
Содержание согласия на распространение персональных данных
Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.
Из текста проекта следует, что новое согласие на распространение персданных должно содержать:
- Ф. И. О. субъекта персональных данных;
- контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
- наименование или Ф. И. О. и адрес оператора, получающего согласие;
- цель обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
- условия разрешения и запрета обработки персональных данных;
- срок, в течение которого действует согласие;
- сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).
Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.
Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.
Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).
Нельзя распространять общедоступные персональные данные без согласия
Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.
Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных
Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).
Субъект может отозвать согласие на распространение персональных данных
Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):
- Ф. И. О.;
- контакты (номер телефона, адрес электронной почты или почтовый адрес);
- перечень персональных данных, обработка которых должна быть прекращена.
Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).
Работодателям придется соблюдать новые правила в полном объеме
Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.
Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:
- когда договор заключается непосредственно между банком и работником;
- когда у работодателя есть доверенность на представление интересов работника в банке;
- когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.
Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?
В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.
Лизинговая организация в рамках заключаемого с физическим лицом долгосрочного договора финансовой аренды (лизинга) планирует посредством SMS-рассылки уведомлять клиента о фактах просрочки по договору, размере задолженности, а также направлять ему поздравительную, иную информацию в пределах срока действия договора. Рассмотрим, как сделать это правильно.
Оператор электросвязи обязан:
Кроме того, распространяемая и (или) предоставляемая информация должна содержать достоверные сведения о ее обладателе, а также о лице, распространяющем и (или) предоставляющем информацию, в форме и объеме, достаточных для идентификации таких лиц.
При использовании для предоставления информации технических средств, позволяющих ознакомить с информацией определенный круг лиц, обладатель информации и информационный посредник обязаны обеспечить пользователям информации возможность свободного отказа от получения предоставляемой таким способом информации.
Если обладателем информации либо информационным посредником или владельцем информационной сети получено уведомление о нежелании конкретного пользователя информации получать распространяемую и (или) предоставляемую информацию, они обязаны принять меры по предотвращению получения такой информации пользователем информации <*> .
Если информация носит рекламный характер, то ее распространение также допускается только при наличии согласия абонента или адресата на получение рекламы <*> .
Таким образом, лизинговой организации следует учитывать, что предварительное согласие клиента на получение посредством SMS определенной информации уже давно является необходимым условием для направления лизинговой организацией такой рассылки.
Кроме того, с учетом скорого вступления в силу Закона о персональных данных рекомендуем для оформления рассылки физическим лицам разработать в организации шаблон формы согласия на получение информации и обработки персональных данных. Согласие может быть получено в простой письменной форме, либо в форме электронного документа, или иной электронной форме (например, через сайт лизинговой организации). Приведем примерную форму согласия на получение рассылки:
| Дата: _______________ |
СОГЛАСИЕ
на получение информации по каналам связи (SMS-рассылка)
и обработку персональных данных
(указать организацию, которая получает согласие)
Читайте этот материал в ilex
*по ссылке Вы попадете в платный контент сервиса ilex
Изменения в законе о персональных данных с 1 марта 2021 года
Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.
Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.
Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени
1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.
2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.
3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.
4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.
5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.
6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.
7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.
Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.
Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.
Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.
Согласие на обработку данных, разрешенных к распространению
Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.
Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.
Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.
Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).
В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.
Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.
Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.
Отзыв согласия на обработку и распространение общедоступных персональных данных
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):
- ФИО заявителя;
- контактную информацию заявителя (номер телефона, адрес электронной почты или почтовый адрес);
- перечень персональных данных, обработка которых подлежит прекращению.
Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.
Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).
Новые штрафы за нарушение правил обработки персональных данных
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Рекламные смски опасны. В 2016 году Мегафон неаккуратно отправил две рекламные смски и заплатил миллион рублей штрафа. То же самое может случиться с аквапарком, парикмахерской и магазином сумок. Только для них миллион — более серьезная сумма, чем для Мегафона.
Юрист Елена Янина рассказывает, как рассылать смс без штрафов. Статья подходит, если сотрудники запускают рекламную смс-кампанию сами или с помощью подрядчиков. Можно проверить, не нарушают ли они закон.
Кто и за какой закон штрафует
Если компания рассылает смс с рекламой, она может нарушить три закона: о рекламе, связи и персональных данных. За нарушения есть штраф, самый распространенный — за закон о рекламе:
- для компании — от 100 000 рублей до 500 000 рублей;
- генерального директора или индивидуального предпринимателя — от 4000 рублей до 20 000 рублей.
Как компания рассылает смс, следит антимонопольная служба, или сокращенно ФАС. Формально служба вправе штрафовать за каждую незаконную смс. Компания отправила сто смс с нарушениями, штраф — пятьдесят миллионов рублей.
Мегафон рассылал рекламу игры. Получатель отказался от смс, но отказ не сработал, и смс всё равно пришли.
В итоге антимонопольная служба оштрафовала Мегафон на миллион рублей за две незаконные смс.
Антимонопольная служба штрафует не просто так, а по жалобам. Жалобу может подать любой недовольный получатель. Бывает, что служба начинает разбирательства по своей инициативе.
Банк «Траст» рассылал рекламу по электронной почте. Речь шла о рекламе кредитов для сотрудников.
Среди адресов оказался адрес антимонопольной службы в Тамбове. Сотрудники подали жалобу, служба начала разбирательство и в итоге оштрафовала.
Банк пытался оспорить штраф с помощью аргумента: «Служба по ошибке получила письмо, наш сотрудник при отправке нажал не ту кнопку», но суд и антимонопольная служба аргумент не приняли.
Это пример с электронной рассылкой, но правила для рассылки и смс одинаковые. Судебное дело на Гаранте.
Компании надеются, что антимонопольщики не узнают о незаконных смс, поэтому штрафа не будет. Шанс есть, но не сказать что большой.
Антимонопольная служба учит жаловаться. Для этого у службы есть памятка, как правильно жаловаться, и анкета на сайте. Читаете, заполняете, нажимаете кнопку, и жалоба готова. Клиенту хватит пяти минут, чтобы оставить жалобу.
Посмотреть приложение «Росспам»: описание на сайте и в Плей-маркете
Кроме сайта антимонопольной службы, есть приложение «Росспам». Мы не знаем точно, насколько хорошо работает, но слышали отзывы, что всё в порядке. Схема такая: регистрируетесь, записываете жалобу, нажимаете кнопку, и служба узнает об смс. Не надо заходить на сайт, пожаловаться можно с телефона.
Неважно, работает ли это приложение или кто-то создаст новое. Всё равно у антимонопольщиков хватает возможностей узнать о нарушениях.
Если компания работает в малом и среднем бизнесе и это первое нарушение, возможно, служба выдаст предупреждение вместо штрафа. Лучше не рассчитывать на поблажку.
Кто получает штраф
По закону о рекламе, штраф за незаконную смс получает «рекламораспространитель». Выходит, если компания рассылает через Билайн, штраф платит Билайн. Но на практике всё не так однозначно.
Антимонопольная служба рассказаала в письме, кого считать рекламораспространителем:
- «Рекламораспространителем выступает лицо, которое совершило определенные действия по доведению рекламы до потребителя.
- Поставщик услуг связи, который обеспечил подключение к сети электросвязи, рекламораспространителем не является».
В переводе это значит:
«Кто рекламируется, тот и платит штраф».
Компания «Авторусь» рассылала смс с рекламой программы утилизации и трейд-ин. Рассылка шла через МТС.
Один из получателей пожаловался на смс, и антимонопольная служба начала разбираться. Итог: штраф у «Авторуси».
По договору между МТС и «Авторусью» дилер обязан рассылать смс только тем, кто дал согласие на смс. Получается, «Авторусь» нарушила закон и условия договора.
Несмотря на письмо, антимонопольная служба штрафует операторов. Например, Билайн получил штраф в триста тысяч рублей за смс с рекламой фитнес-клуба, об этом антимонопольная служба рассказывает на своем сайте.
Штраф за незаконную рекламу в смс может получить любой, кто участвовал в рассылке:
- компания-заказчик;
- посредник, который организовывал рассылку смс;
- владелец телефонного номера, с которого отправлялись смс;
- мобильный оператор.
Посмотреть, как антимонопольная служба оценивает жалобу, кого штрафует и на какую сумму, можно на сайте:
За что штрафует ФАС
Для законной рассылки смс есть два правила: взять согласие получателя и не писать то, что писать нельзя. Нас интересует первое.
Тринадцать процентов нарушений закона о рекламе — рассылка смс без согласия. Это данные отчета антимонопольной службы за 2016 год.
О незаконных смс рассказывает начальник управления службы по контролю рекламы Татьяна Никитина. Цитата из ее интервью:
Что нельзя писать — большая тема, и поговорим о ней в другой статье. Если коротко, нельзя оскорблять чувства, обманывать, рекламировать без сертификатов и лицензий, побуждать к неправильному образу жизни или нарушению закона.
Согласие на смс
Нельзя рассылать смс без согласия получателя. Причем неважно, сколько и как часто рассылать: компания нарушает закон, даже если отправила одну смс одному человеку.
Согласие — действие, которое показывает: я, такой-то, даю согласие на смс с рекламой от конкретной компании.
В законе нет требований по форме согласия, можно получить его как угодно. Чаще всего компании просят поставить галочку в анкете для скидочной карты или на сайте при регистрации.
Есть компании, которые согласием считают регистрацию на сайте или другое действие. Это ошибка. Не считается согласием:
Компания «Суточно» разослала рекламную смс по клиентам, которые зарегистрировались на сайте.
Антимонопольная служба признала рассылку смс без согласия незаконной, а компания не согласилась с решением. Ее аргумент:
При регистрации клиент оставляет имя, адрес почты и телефон. В конце формы регистрации есть фраза, где надо поставить галочку. Фраза такая: «Я принимаю условия пользовательского соглашения».
В пользовательском соглашении есть пункт, где компания говорит: после подписи соглашения она вправе рассылать смс с рекламой.
Суд и антимонопольная служба не приняли аргумент.
Не подходят фразы
Подходят
Согласен на информирование о новостях
Согласен получать рекламу по смс и электронной почте
Готов получать сведения о компании
Присылать мне смс с новостями и рекламой
С согласием проблемы. Если клиент зашел на сайт или в магазин, можно попросить разрешение на смс. Вопрос, что делать, если это потенциальный клиент.
Открылся фитнес-клуб. В его районе — жилые дома и центры с офисами. Хорошо бы рассказать о клубе жителям и сотрудникам. Но получить разрешение на смс до рассылки не выходит, потому что потенциальные клиенты еще не знают о клубе.
Клуб заказывает рассылку у агентства, агентство рассылает по подходящей базе или собирает базу своими силами. Такая рассылка — нарушение закона.
Если нельзя получить согласие, потому что клиент не обратился в компанию, можно схитрить. Вместо рассылки рекламы пусть компания отправит первую смс с разрешением на рекламу:
Здравствуйте! Это кафе «Вкусные завтраки», мы работаем недалеко от вас. У нас можно позавтракать с семи утра. Если интересно узнавать о скидках, пожалуйста, отправьте «Согласен» в ответ.
Смс с вопросом — всё равно нарушение закона, и нет гарантий, что антимонопольная служба не оштрафует, но эту смс можно объяснить. В службе работают обычные люди, они понимают, что компании надо привлекать клиентов. Поэтому если нарушать закон, то хотя бы так.
Идентификация клиента
По закону согласие должен дать человек, который будет получать смс. Маша Иванова готова получать смс — значит, именно она дает согласие на смс. Мама, муж или лучшая подруга не могут согласиться за Машу.
Идентифицировать покупателя можно как угодно, главное, чтобы получилось доказать, кто именно дает согласие. Самое надежное — опубликовать фразу о согласии на сайте и показывать ее, когда клиент оплачивает покупку. Перед оплатой клиент ставит галочку, и согласие готово.
Часто компании получают согласие, когда покупатель заполняет анкету на скидочную карту. Покупатель пишет имя и фамилию, ставит галочку рядом с разрешением на смс, подписывается и получает карту. Вроде всё в порядке.
Для примера — анкета Мосигры. Мосигра просит оставить свои данные и поставить галочку для разрешения присылать смс. Всё законно:
Проблема с полнотой информации. Формально так: если клиент написал не то отчество или вообще не написал, нельзя доказать, что согласие давал Иванов Иван Иванович, а не его тезка Иванов Иван Александрович.
Нет универсального способа избежать проблем с идентификацией. С юридической точки зрения надежнее проходить всю цепочку:
сделать шаблон заявления на согласие рекламных смс
попросить клиента заполнить паспортные данные и номер телефона
сверить то, что написал клиент, с данными в паспорте. А если паспорта нет, попросить скан
Для бизнеса рискованно заставлять клиента заполнять анкету по паспорту, а потом выверять ее. Так клиент может отказаться от анкеты и больше никогда не прийти в магазин. Но что выбрать: максимальную защиту от штрафа или удобные условия для клиентов — может решить только компания.
Всё, что нужно для бизнеса
Дело Модульбанка — это издание о бизнесе. Мы рассказываем обо всём, что нужно знать российскому предпринимателю: какие вышли новые законы, как проходить проверки в разных инстанциях, как не получить штрафов.
Подписывайтесь, чтобы не пропустить!
Присылаем письма 2-3 раза в неделю. Подписываясь, вы соглашаетесь с политикой конфиденциальности.
Отказ от смс
У клиента должна быть возможность отказаться от рекламы. Необязательно рассказывать прямо в смске, как это сделать. Для этого подходит письмо или раздел личного кабинета с инструкцией.
Нельзя требовать что-то сложное и диктовать один способ для отказа.
Компания отписывает клиентов от смс, если клиент привозит письменное заявление в офис компании. При этом компания работает в Магадане. Требовать ездить в Магадан из другого города незаконно.
Или компания отписывает от смс, когда клиент присылает смс со словом «Отписать». Это выполнимое условие, но компания диктует единственный способ отказа. Это тоже незаконно.
В качестве отказа подходят любые простые действия, например, прислать письмо, смс, отжать галочку в личном кабинете, позвонить в офис и отказаться от смс голосом.
Как только клиент отказался, компания обязана отписать от смс немедленно. Что такое «немедленно», в законе не сказано. Чтобы не получить штраф, у компании время до следующей смс после отказа. Клиент отказался утром, а смс придет в обед — значит, до обеда надо отписать.
Получить разрешение на обработку персональных данных
Если компания рассылает смс, она использует персональные данные покупателя. Просто так это делать нельзя, надо получить разрешение. Что такое персональные данные и как с ними работать, мы рассказываем в статье Дела «Збагойна: 152 ФЗ».
Если коротко, для согласия понадобится фраза «Я согласен на обработку персональных данных». Ее можно написать там же, где покупатель соглашается на рекламу в смс или регистрируется.
Магазин «Пудра» получает разрешение на персональные данные при регистрации на сайте:
Указывать в смс сведения о компании
Из смс должно быть понятно, кто его отправил. Как минимум для этого надо написать название компании и оставить телефон для связи.
Некоторые компании рассылают смс с чужого номера или указывают номер с ошибкой. Вроде можно сказать: «Это рассылали не мы, а какие-то наши партнеры». Прием не работает.
Если компания не оставляет свой телефон, она нарушает закон. Скорее всего, штраф будет у компании, которая рекламируется. Допустим, «Самсонайт» из нашего примера не оставит свое название, а отправит смс с «Акции». Но раз реклама о «Самсонайте», штраф получит «Самсонайт».
Хранить согласие на смс
На случай если покупатель пожалуется и антимонопольная служба начнет разбирательства, надо хранить согласие на смс. По закону минимальный срок хранения — год.
Хранить согласия можно как угодно. Если согласия в бумажных анкетах, можно хранить анкеты. Или отсканировать и залить в корпоративное облачное хранилище, например, в гугл-диск.
Если клиент соглашается на смс с сайта, запись об этом должна быть в ЦРМ или другой программе. Можно придумать что-то еще, главное, чтобы служба увидела: вот фраза о согласии, вот подпись клиента.
Снять ответственность за смс
Вместо того, чтобы разбираться с законом, можно ничего не делать и переложить ответственность на подрядчика.
Например, кафе «Вкусные завтраки» планирует рекламную кампанию в смс. Чтобы самим не разбираться в законе и процессе рассылки, кафе находит подрядчика.
В договоре с подрядчиком кафе может написать:
Если заказчик получает предупреждение от госорганов или штраф за нарушение законов, исполнитель возмещает размер штрафа и ущерб из-за разбирательств с госорганами.
Совет не работает на сто процентов. По договору ответственность может нести одна компания, а штраф получить другая. А еще это не слишком этично.
Что дальше
Это первая статья из серии о рекламе. В следующих расскажем, что антимонопольная служба считает неприличной рекламой, когда можно смеяться над конкурентами и хвастаться господдержкой.
Счет для ИП и ООО в Модульбанке
Удобный сервис, недорогие тарифы, защита от блокировок по 115ФЗ
Короче
Как сделать смс законной
Получить согласие на смс. Именно на смс, а не на скидочную карту или что-то еще
Из согласия должно быть понятно, кто именно соглашается. Чем больше данных о клиенте, тем лучше
Получить согласие на обработку персональных данных
В смс написать, какая компания рассылает рекламу и как связаться
Хранить согласие клиентов для доказательства ФАС
Как подстраховаться
Проверить своих сотрудников и подрядчиков, точно ли они выполняют требования закона
Читайте также: