К нам пришла ФАС, или Что бывает за несогласованную рассылку рекламных смс

При лидогенерации важно фиксировать согласия пользователя:

  • на использование его персональных данных;
  • получение им рекламных сообщений.

И хранить эти согласия нужно весь период, пока длятся коммуникации с пользователем, но не менее года. Дело в том, что срок привлечения к ответственности за правонарушение по части использования персональных данных составляет именно один год. В идеале — три, но любые персональные данные необходимо удалить по требованию пользователя.

Если не проконтролировать фиксацию согласия, можно столкнуться с ситуацией, в которую весной 2021 года попали мы.

Кратко о ситуации

Крупный бренд не хранил архив с системными данными о подтверждениях, что пользователи, которые предоставили на сайте свои номера телефонов, готовы получать рекламные рассылки.

Пользователь получил промосмс, согласия на получение которого он не давал. Спустя месяц ему пришло повторное сообщение.

Сначала пользователь обратился к оператору связи. Ему ответили, что якобы согласие на рассылки он дал устно, когда посещал офис компании.

Такой ответ пользователя не устроил, и он обратился с жалобой в Федеральную антимонопольную службу, которая возбудила и рассмотрела дело об административном правонарушении.

Доказательств, что согласие есть, отправитель смс предоставить не смог.

Ответственность понесли все: заказчик — бренд, от имени которого было отправлено смс; исполнитель — CRM-агентство; подрядчик — платформа отправки смс-рассылки.

Читайте также

Репутация в email маркетинге: как быть хорошим отправителем?

Подробнее о том, что будет, если хранить данные о согласии некорректно или не хранить их вовсе

Почему рассылка ушла без согласия пользователя

Причин, почему рассылка может уйти тем, кто не давал согласия, может быть несколько.

Самая невинная — невнимательность. Например, есть чекбокс о согласии на получение рассылки, но не проверили, подтянулись ли системные данные (логи) о наличии согласия. Они могут отсутствовать из-за того, что не настроена интеграция с почтовым сервером.

А может быть, подрядчик купил базу данных или использовал агрегаторы, генерирующие номера телефонов.

В любом случае по закону на рекламораспространителе лежит обязанность доказать наличие согласия, и по умолчанию предполагается, что согласия нет. И даже если оно было получено, возможна ситуация, что доказательства его получения окажутся для ФАС недостаточными с точки зрения того, действительно ли пользователь согласен на получение рассылок: например, чекбокс был проставлен заранее, а пользователь говорит, что не заметил его.

Но результат один — ответственность. В России штраф за такое нарушение — от 100 до 500 тысяч рублей для юридического лица.

Читайте также

Apple Mail Privacy Protection: на что повлияет новая функция

Пошаговый алгоритм последствий

Итак, если вы не храните детализированные данные о согласии получателя на смс-рассылку, храните их некорректно или изначально неправильно собираете, может произойти следующее:

  1. Пользователь получает проморассылку по смс, на которую, по его уверению, не давал согласия.
  2. В Федеральную антимонопольную службу поступает жалоба от пользователя.
  3. ФАС проводит проверку и выясняет, есть правонарушение или нет.
  4. Если оно выявляется, возбуждается дело об административном нарушении.
  5. Начинается разбирательство. Если вам повезёт и нарушение первое, ФАС может вынести предупреждение. В противном случае грозит штраф от 100 до 500 тысяч рублей.

Возможный вариант развития событий: как было у нас

Рассмотрим, как эта ситуация может развиваться:

  1. Клиент сначала может обратиться к оператору сотовой связи с жалобой, что он не предоставлял своих данных и не соглашался на рассылку. И к оператору у него резонный вопрос: «Почему мне приходят такие смс?»
  2. У операторов сотовой связи есть договорённости с смс-провайдерами — сервисами, с помощью которых проходят массовые смс-рассылки. Так оператор сотовой связи, который получил жалобу, переадресовал вопрос о наличии согласия провайдеру.
  3. Далее система рассылки обращается к нам как к рекламораспространителю: необходимо подтвердить согласие получателя.
  4. Мы просим подтверждение у нашего клиента — заказчика рекламы. Выясняется, что письменного согласия нет или оно хранится некорректно.
  5. Советуемся с платформой — платформа рекомендует нашему заказчику подготовить официальный ответ для ФАС. Заказчик сообщает, что абонент дал устное согласие.
  6. А через три месяца затишья смс-платформа сообщает, что пришёл запрос от УФАС о нарушении законодательства о рекламе. Мы следующие 🙂
  7. Ещё через месяц после этого запрос приходит нам.

Первое официальное обращение мы получили на email в феврале 2021 года. Спустя неделю пришло такое же письмо на почтовый адрес. Мы до сих пор проводим оплаты по счетам и договариваемся по зонам ответственности — больше года прошло с момента нарушения.

согласие на смс-рассылку письмо от фас

Фактически ФАС требовала конкретное согласие на получение рассылок. Отправили пакет документов и держали коммуникацию по электронной почте.

Наша доказательная база

ФАС запросила у нас:

  • доказательства согласия на рассылку;
  • сведения о компании.

Запрашиваемую информацию нужно предоставлять до указанной в запросе даты.

Что мы предоставили в качестве аргументов:

  1. Договор с конечным заказчиком, в котором прописано, что базу данных пользователей предоставляет заказчик. И согласия на получение рекламных сообщений он собирает самостоятельно.
  2. Доказательства, что задача на данную рассылку и сама рассылка остановлены: это была разовая рассылка, и после её завершения мы отключили её для пользователя.
  3. Исходный файл с базой для рассылки, в котором содержится номер телефона истца и галочка в графе «Согласие на рассылку». Файл использовался как доказательство, что именно заказчик подтвердил согласие пользователя.

Спойлер! На самом деле штрафуют всё равно всех участников со стороны тех, кто предоставляет услуги: заказчика, исполнителя, агрегатора почтовых рассылок.

Мы ответили на все запросы вовремя, что в нашем случае благоприятно повлияло на решение: в предписании об устранении нарушения нас обязали исправиться и не допускать такого в дальнейшем.

Читайте также

Как работает регламент GDPR

Как правильно собирать и хранить данные

Нужно брать у пользователя минимум два вида согласий:

  • на обработку персональных данных;
  • согласие получать рекламные рассылки.

Сами согласия и системные файлы с информацией, когда эти согласия были получены, должны храниться в базе данных с контактами пользователя.

В идеале — перестраховываться и сохранять согласие на каждый канал отдельно, будь то рассылка в вайбере или обычные смс. Обычно эта механика встроена в чекбоксы согласия. Пользователю нужно поставить галочку и подтвердить, что он готов получать рекламные материалы.

С юридической точки зрения это суперважно.

чекбоксы на согласие на смс-рассылку
Так должны выглядеть чекбоксы согласий пользователя на получение рассылки и на обработку персональных данных

Оба чекбокса пользователь видит пустыми: предварительных галочек в них быть не должно!

Читайте также

Мессенджер-маркетинг: самое подробное руководство. Часть 1: принципы работы

Помимо номера телефона, по которому обратился клиент, должно быть чётко видно, что проставлено согласие, и указаны:

  • время и дата, когда пользователь подтвердил согласие на рассылку;
  • IP-адрес пользователя;
  • идентификатор устройства.

Информация фиксируется в любой из систем, куда передаются персональные данные пользователя: платформа рассылок, CRM-система и т. д.

Имя и фамилию клиента в этом случае хранить необязательно. Важно соотнести получателя и его чёткое и явно выраженное согласие на получение рекламы. Более того, сбор лишних персональных данных, которые не нужны для цели их сбора, также нежелателен.

как хранить данные

Как избежать штрафов при сборе и хранении персональных данных

К лидогенерации и сбору персональных данных нужно относиться максимально внимательно.

Что делать, чтобы не попасть на штраф:

  1. Раз в квартал проводить аудит интеграции: всё ли верно настроено, действительно ли данные систематизированы, хранятся в нужном виде и их можно в любой момент достать.
  2. Проверять, хорошо ли работает интеграция с системами, куда передаются и где хранятся персональные данные пользователей. Нужно настроить интеграцию так, чтобы при передаче персональных данных фиксировались все данные о взаимодействии с чекбоксами, которые будут содержать IP и ID пользователя и сами персональные данные: в нашем случае — номер телефона.
  3. Использовать только те базы данные, которые вы собирали сами с соблюдением всех вышеперечисленных правил.
  4. Следить за изменениями в законодательстве.
  5. Быть осторожными, используя номера других стран. Если абонент зарегистрирован в другой стране, при рассылке подчиняться придётся её законам.

Узнавайте об обновлениях блога Email Soldiers первым

Спасибо!

Осталось подтвердить подписку — кликнуть по кнопке в письме, которое мы вам отправили.

Похожие статьи

Популярные мессенджеры: список российских и мировых сервисов. Обзор 2021

Рассказываем, откуда взяли мессенджеры и какими сервисами сегодня пользуются в России и в мире.

Квест на день рождения с помощью чат-бота. Часть 2: как реализовали технически

Технические подробности сборки бота для квеста на день рождения, нештатные ситуации, нестандартные проблемы и их решения.

Квест на день рождения с помощью чат-бота. Часть 1: как придумали и организовали

Подробно рассказываем, как создавали квест с чат-ботом. Описываем весь процесс, даём советы тем, кто задумал подобное.