Сфера ритейла или по-другому, розничная торговля – одна из наиболее склонных сфер к обработке огромного количества персональных данных. Как правило, данные поступают через онлайн-сегмент (сайт, интернет-магазин) и оффлайн-сегмент (магазины) и конечно, через внутреннюю деятельность компании (закупки, поставки, штат и т.д.).
Чьи данные обрабатываются в ритейле?
На первый взгляд, все довольно стандартно: работники, контрагенты, покупатели. Отличительной особенностью может стать количество субъектов, поскольку может быть сеть розничной торговли довольно крупной.
При наличии сайта или интернет-магазина появляется еще такой субъект как «потенциальный» покупатель. Это, как правило, обычные пользователи сайта, но которые еще не совершили покупку, однако произвели взаимодействие с сайтом. К примеру, можно подписаться на рекламную рассылку, оставить вопрос в окошке обратной связи, связаться с менеджером по уточнению характеристики товара и т.д. В процессе всех таких действий к оператору-компании поступают персональные данные, которые фиксируются и сохраняются в его базе данных на протяжении определенного количества времени. Помимо прочего, на сайте могут быть формы для представления резюме кандидатами для трудоустройства, формы для представления информации о потенциальном поставщике, рекламодателе, франчайзи и др. В связи с этим, стандартный перечень субъектов персональных данных существенно расширяется, как и объем обрабатываемых персональных данных.
На что обратить внимание при работе?
Сначала поговорим о работе сайта (интернет-магазина)
Прежде всего, на сайте должна быть размещена политика в отношении обработки персональных данных – обязательный документ, необходимый для защиты прав пользователей сайта. Политика может быть одна общая либо их может быть несколько, каждая из которых будет отвечать за какую-то отдельную сферу (политика для работников, политика для пользователей сайта, политика в отношении файлов cookie и др.). Насколько целесообразно разрабатывать сразу несколько политик – решать компании, исходя их объемов обрабатываемых данных. Политика размещается на сайте в том формате, чтобы к ней был доступ у всех пользователей. На любой форме обратной связи или форме, где необходимо указывать личные данные, необходимо интегрировать баннер-запрос согласия на обработку перс.данных. Согласие/несогласие должно подтверждаться проставлением галочки. Также в таком баннере должна быть ссылка на политику.
При первичном заходе на сайт у пользователя также должен всплывать cookie-баннер также с возможностью выбора принять/отклонить сбор cookie и ссылка на информацию о сборе таких файлов. Стоит обратить внимание также на использование и интегрирование в структуру сайта различных вспомогательных девайсов. К примеру, подключение чат-бота – сама разработка чат-бота и его поддержка могут осуществляться за пределами Беларуси, соответственно, будет иметь место трансграничная передача данных. То же касается и использования мессенджеров (телеграм, вайбер, вотс ап и др.) для общения с покупателями, поскольку их сервера, как правило, располагаются вне пределов нашей страны.
Оффлайн-магазины
В большинстве случаев в ритейле есть система скидок, акций и дисконтная карта, приуроченная ко всему этому. Для оформления такой карты, как правило, также запрашиваются персональные данные. Если же оформление было через сайт, то с ознакомлением покупателя с политикой и получения согласия вопросов быть не должно. Однако если покупатель приходит только онлайн, то необходимо либо разработать порядок ознакомления с его правами и политикой по перс.данным и представить форму согласия для заполнения, либо все же свести все получение согласия и оформление дисконтной карты только в онлайн-формат. Насколько будет эффективен тот или иной вариант, нужно исходить из анализа категории покупателей. К примеру, если преимущественно, покупателями являются пожилые люди, которые не сильны в освоении сети Интернет, то могут возникнуть сложности с реализацией механизма ознакомления и получения согласия только через онлайн. В таком случае может возникнуть риск снижения процента покупателей или их лояльности к сети. Тут важно в совокупности с оценкой механизмов реализации требований законодательства оценивать и последствия для тех или иных бизнес-процессов.
Внутренняя работа компании-оператора
При работе с данными сотрудников компании следует четко разделять, какие данные необходимы для осуществления трудовой деятельности (что не требует необходимости получения согласия), а какие – для иных целей нанимателя. Отдельное внимание уделяется разработке локальные нормативных актов нанимателя. К примеру, положение в отношении обработки перс.данных. В положении следует предусмотреть весь механизм обработки данных всех субъектов, включая работников. По работникам можно подробнее расписать цели, не связанные с трудовыми отношениями (чтобы согласие можно было получить при ознакомлении с положением). При анализе процесса работы компании вполне возможно предусмотреть большинство практических ситуаций, которые могут возникнуть с работниками. К примеру, использование данных работников для организации поздравлений с днем рождения, организации корпоратива или отдельных поездок для отдыха, размещение фотографий работников на сайте, выдвижение кандидатов среди работников на получение награждений и др.
Стоит обратить внимание на сбор информации о потенциальных кандидатах на замещение вакансий. Поскольку собеседование не всегда заканчивается устройством на работу, необходимо исключить запрос излишней информации о человеке. К примеру, нет необходимости запрашивать количество детей (их возраст, пол), религиозные убеждения, наличие в собственности недвижимости, материальное состояние и т.д. К слову, при непосредственном трудоустройстве также нельзя запрашивать информацию, которая не имеет отношения к процессу оформления трудовых отношений и не предусмотрена законодательством. Обработка излишних персональных данных нарушает права субъектов.
При работе с контрагентами также нужно обращать внимание, какие данные собираются просто в целях исполнения договора, а какие могут собираться для иных целей компании.
В качестве заключения хотелось бы отметить, что обработка данных в сфере ритейла – трудоемкий и ответственный процесс, который требует не только тщательного изучения законодательства и подготовки необходимых документов, но и четкое понимание работы компании и ее бизнес-процессов, а также какие в них будут впоследствии изменения в связи с переустройством некоторых внутренностей компании для обеспечения защиты личных данных субъектов.
Статья актуальна по состоянию на 28.12.2023.
Остались вопросы?
Оставьте свой номер и наш юрист свяжется с Вами в ближайшее время