В любой аптечной организации работают сотрудники, которые при оформлении на работу предоставляют свои данные: фамилию, имя, отчество, место проживания, телефон и многое другое. Как правило, специалист, работающий с кадрами, знает о ФЗ 152 и его нормах.
При этом часто из внимания аптек выпадает тот факт, что аптека собирает ПД не только своих сотрудников, но и покупателей!
Примеры, когда аптека собирает ПД своих покупателей
- Регистрация покупателей в различных скидочных и бонусных программах лояльности, когда указываются персональные данные
- Сайт аптеки, на котором посетители указывают свои персональные данные (ФИО, емейл, телефон и другие):
- форма для обратной связи
- регистрация на сайте
- cookie на сайте и другое
Таким образом, если в вашей аптеке есть индивидуальные программы лояльности, например, бонусная, которые подразумевают, что покупатель сообщает вам свои ФИО, телефон и т.д., то аптека является оператором ПД в отношении покупателей!
Пример форм, куда вносятся персональные данные клиентов:
|
|
|
Что является персональными данными?
В Федеральном законе от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) "О персональных данных" персональные данные определяются так:
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)"
В законе нет четкого списка, что именно относится к персональным данным, но судебная практика, как правило, может отнести к ним:
- имя, фамилия, отчество;
- год, месяц, дата и место рождения;
- email;
- телефон;
- cookie на сайте (данные о местоположении человека; IP-адрес; информация о действиях на сайте; добавленные в корзину товары и так далее)
- адрес;
- фотография;
- паспортные данные;
- семейное положение;
- социальное положение;
- имущественное положение;
- образование;
- профессия;
- доходы
"Оператор персональных данных (ПД) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными"
"Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных"
То есть сбор и хранение данных покупателей даже в течение нескольких минут будет считаться обработкой ПД.
Важно - по закону оператором ПД является именно та организация, которая эти данные собирает, а не владелец программы, сайта или иного сервиса, посредством которых это делается!
Небольшой пример: если вы храните и обрабатываете персональные данные ваших сотрудников при помощи, например, 1С, то оператором ПД является не 1С, а непосредственно сама аптека. Аналогично, если вы собираете данные клиентов при помощи товаро-учетной программы или сайта, то оператор ПД - аптечная организация, а не программа или сайт.
Что необходимо сделать аптеке, которая работает с ПД покупателей?
| 1. Разработать, утвердить и разместить Политику обработки персональных данных |
Политика обработки персональных данных - это публичный внутренний документ, который описывает все процессы работы с данными покупателей.
Шаг 1 - разработка Политики обработки персональных данных
Для начала проведите анализ. Определите, какие данные вы собираете, для каких целей и какие сотрудники с ними работают. Закон запрещает сбор данных, не являющихся необходимыми, например, аптека не имеет права требовать от клиентов данные СНИЛС и т. д.
Какие разделы должна включать Политика:
-
Общие положения - объясните, зачем нужна Политика, кто такой оператор и какие термины используются (например, персональные данные, субъект данных).
-
Цели обработки - чётко сформулируйте, для чего вы собираете данные (например, для исполнения договора, кадрового учёта, аналитики).
-
Правовые основания - укажите, на каких нормах основывается обработка данных: не сам Федеральный закон № 152-ФЗ (он лишь устанавливает правила), а конкретные положения (Трудовой кодекс, закон «О защите прав потребителей», учредительные документы, договоры, письменное согласие субъекта).
-
Категории данных и субъектов - перечислите, какие именно сведения вы собираете (например, ФИО, email, паспортные данные, биометрические данные) и к каким категориям субъектов они относятся (например, сотрудники, клиенты, кандидаты, контрагенты). Свяжите каждую категорию данных с соответствующей целью.
-
Порядок обработки - опишите, как происходит работа с данными: способы (автоматизированные, неавтоматизированные или смешанные), сроки хранения, кто имеет доступ, в каких случаях и кому передаются данные (в том числе третьим лицам — подрядчикам, партнёрам; отдельно — трансграничная передача).
В качестве примера и основы можно использовать Политику с сайтов крупных игроков рынка, адаптируя ее под себя.
Шаг 2 - утверждение
Документ утверждается руководителем организации или уполномоченным лицом. Обычно это оформляется приказом. В приказе также могут быть указаны дополнительные поручения: назначение ответственного за контроль соблюдения Политики, требование ознакомления сотрудников с документом под подпись и определение порядка актуализации Политики (например, при изменении законодательства или бизнес-процессов).
Шаг 3 - размещение
Согласно законодательству, оператор обязан обеспечить неограниченный доступ к Политике. В реальной практике это означает:
Шаг 2 - утверждение
Документ утверждается руководителем организации или уполномоченным лицом. Обычно это оформляется приказом. В приказе также могут быть указаны дополнительные поручения: назначение ответственного за контроль соблюдения Политики, требование ознакомления сотрудников с документом под подпись и определение порядка актуализации Политики (например, при изменении законодательства или бизнес-процессов).
Шаг 3 - размещение
Согласно законодательству, оператор обязан обеспечить неограниченный доступ к Политике. В реальной практике это означает:
- На сайте. Создайте отдельную страницу с заметной ссылкой (часто размещают в «подвале» сайта). Доступ к документу должен быть без регистрации и авторизации. Также должна быть предусмотрена возможность сохранения или печати документа.
- В офисе. Разместите копию на информационном стенде.
- В местах сбора данных. Например, рядом с формой обратной связи, заявкой на услугу или кнопкой оплаты.
- Совет: Свяжите Политику с формами сбора данных, добавив рядом с полями ввода (email, телефон) чекбокс с текстом: «Я соглашаюсь с Политикой обработки персональных данных».
Несколько рекомендаций для предотвращения ошибок:
- Не включайте текст согласия на обработку в Политику — с 2025 года это запрещено; согласие должно быть оформлено отдельным документом.
- Регулярно обновляйте документ при изменении законодательства или внутренних процессов.
- Если возникают сложности (например, при трансграничной передаче данных), проконсультируйтесь с юристом, специализирующимся на 152-ФЗ.
| 2. Разработать Согласие на обработку персональных данных |
Должен быть разработан документ, который покупатель подписывает (или подтверждает действием) при регистрации в программе лояльности.
Что должно быть: чёткое, добровольное согласие субъекта (клиента) на обработку его данных. Сбор данных (особенно номера телефона для идентификации) без оформления Согласия недопустим.
Важно: просто разработать документ не достаточно - Согласие на обработку персональных данных должно реально использоваться в момент получения персональных данных от клиента!
Как правило, в аптеках используется бумажный вариант Согласия, в котором покупатель ставит свою подпись.
| 3. Уведомить Роскомнадзор об обработке ПД |
Оператор ПД до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных
(Роскомнадзор) о своем намерении осуществлять обработку персональных данных, это зафиксировано в ст .22 ФЗ 153 (за исключением случаев, предусмотренных частью 2 настоящей статьи).
До заполнения и отправки уведомления у вас уже должны быть разработаны и утверждены внутренние документы, описывающие работу с персональными данными.
Заполнить форму для уведомления можно здесь.
Если вы не знаете, подавала ли ваша организация заявление о начале работы с ПД данными, то можете уточнить этот момент в Реестре операторов персональных данных, если вы там уже есть, повторно подавать уведомление не нужно.
Важное дополнение: Обязательно проверьте, чтобы базы данных с персональными данными российских граждан находились на серверах в России (ст. 18.1 152-ФЗ)!
Бонус: Отдельные требования к программе лояльности!
Если аптека использует бонусную программу лояльности, то она:
- попадает под требования ФЗ 152 и должна иметь все документы, указанные выше (Политика, Согласие, Уведомление в Роскомнадзор)
- должна оформить правила бонусной программы в виде публичной оферты
Что должно быть в оферте
- Определение предложения. Текст должен чётко разъяснять суть предложения: участник получает возможность накапливать и использовать бонусы на определённых условиях, предусмотренных договором.
- Правила участия. Укажите, кто может стать участником программы (возрастные ограничения, статус), как зарегистрироваться (через веб-сайт, мобильное приложение или в магазине), а также действия, которые считаются принятием условий (например, заполнение анкеты при получении бонусной карты).
- Механизм начисления и использования бонусов. Подробно опишите, за какие действия начисляются бонусы и в каком объёме, как и когда они могут быть списаны, существуют ли ограничения по категориям товаров или возможность их комбинирования с другими скидками. Уточните срок действия бонусов и условия их аннулирования.
- Ограничения. Определите, на какие товары нельзя тратить бонусы, а также какие товары исключены из программы.
- Выход из программы. Опишите порядок добровольного выхода участника из программы, а также случаи, когда компания имеет право инициировать выход (например, при нарушении правил).
- Изменение условий. Если условия программы могут быть изменены, укажите порядок уведомления участников (через электронную почту, приложение) и зафиксируйте, какая версия соглашения принята конкретным пользователем. Это предотвратит применение изменений задним числом.
- Ответственность сторон. Чётко разграничьте, за какие действия компания несёт ответственность (например, за ошибки в системе), а за какие — нет (например, за технические сбои или действия третьих лиц).
- На сайте аптеки. Можно создать отдельный раздел, посвященный бонусной программе лояльности.
- На бумажных носителях - если у аптеки нет сайта, то оферту можно распечатать и разместить в удобном для покупателей месте - на витрине, в виде буклетов и т.д.
|
Краткое резюме Если покупатели вашей аптеки сообщают сотрудникам аптеки свои персональные данные (ФИО, телефон, емейл и т.д.), когда оформляют бонусные или скидочные карты, или при других операциях, аптека попадает под ФЗ 153. Исключение - аптеки, которые обрабатывают ПД исключительно вручную, без использования средств автоматизации (например, аптечной программы). Для соответствия нормам ФЗ 153 в аптеке должны быть надлежащим образом оформлены:
Если необходимо начать работу с ПД покупателя (оформить дисконтную, бонусную карту или выполнить иные действия, когда в программу или иной электронный носитель вносятся или будут вноситься ПД покупателя), то до начала работы необходимо оформить Согласие на обработку персональных данных. Без оформленного Согласия работать с ПД нельзя! |
Ответственность за нарушение ФЗ 153
С 30 мая 2025 года вступили в силу новые штрафы за отсутствие регистрации в реестре операторов:
- для должностных лиц: от 30 000 до 50 000 руб.
- для организаций: от 100 000 до 300 000 руб.
За утечку данных от 1 000 до 10 000 клиентов:
- для компаний: от 3 до 5 млн руб.
- для должностных лиц: от 200 до 400 тыс. руб.
- для компаний: от 10 до 15 млн руб.
- за повторное нарушение (утечка): Штраф может составить 1–3% от годовой выручки аптеки.
|
Вся информация о бонусной программе лояльности от АйТи-Аптека - здесь! |
Если у вас остались вопросы по бонусному сервису или по другим аспектам работы программы М-АПТЕКА плюс, напишите нам, мы ответим на все ваши вопросы!
Узнать обо всех возможностях программы М-АПТЕКА плюс от АйТи-Аптека вы можете на нашей бесплатной презентации! Напишите нам, и мы ответим на все вопросы о программе.
Либо прямо сейчас вы можете посмотреть видео о программе М-АПТЕКА плюс:
|
|
|
 |