Какие сведения о покупателях может собирать и обрабатывать магазин при помощи карт лояльности

Зачем магазины выдают покупателям карты лояльности? Наверняка не только для того, чтобы помочь нам сэкономить на покупках. Благодаря анализу данных о покупках с использованием карт лояльности, магазин может предугадать наше потребительское поведение и понять, какие товары мы покупаем, а главное – спрогнозировать наш спрос в будущем. Насколько законен сбор информации о покупках? Есть ли вероятность, что эти данные попадут в руки злоумышленников?

🛒 Перечень наших покупок – это персональные данные или нет? Насколько законен сбор такой информации

За сбор и обработку персональных данных в России отвечает Роскомнадзор. Основное требование, которое он предъявляет к продавцам, – это использование персональных данных только с разрешения владельца, предотвращение утечки и предотвращение разглашения третьим лицам. Все эти требования содержатся в законе «О персональных данных» №152-ФЗ.

По поводу того, является ли перечень покупок персональной информацией, ответить сложно. Прямого ответа на данный вопрос в законодательстве не содержится. Теоретически персональными данными является только та информация, которая позволяет однозначно идентифицировать человека. Например, «Иванов Иван Иванович, тел. +7 000 000 0000, адрес г. Москва, ул. Ленина д. 1». А вот только номер телефона или адрес – это уже не персональные данные.

На практике суды могут трактовать персональные данные очень расширенно, без привязки к конкретному человеку. Например, показательным было решение с МТС, когда оператора привлекли к ответственности за передачу обезличенных кукис и адресов посещенных страниц без привязки к другим данным абонентов.

Чтобы обезопасить себя от претензий Роспотребнадзора и потенциальных штрафов, магазины включают список покупок, их стоимость и способ оплаты в перечень персональной информации о покупателе, которую они планируют собирать, обрабатывать и хранить. И предварительно оповещают покупателя, что именно эта информация их интересует.

Чтобы сбор персональной информации был законным, продавец обязан получить от покупателя письменное согласие на предоставление таких сведений. А для того, чтобы рассылать персональные акционные предложения, магазин обязан получить письменное согласие на рекламную рассылку. Если магазин планирует передавать информацию третьим лицам, то он должен сообщить покупателю, кем может быть получена указанная информация и при каких условиях она может быть передана. В противном случае, сбор данных и рассылка акций будут вне закона.

🛍 Как магазины угадывают предпочтения покупателей

Чтобы понять, как магазины «угадывают», какую рекламу послать покупателю, можно вспомнить историю с американским Target. Разгневанный отец пришел ругаться с магазином, что его несовершеннолетней дочери приходит рассылка с купонами на товары для новорожденных, как будто она ждет ребенка. Оказалось, что дочь-школьница действительно беременна, и искусственный интеллект узнал об этом раньше отца, проанализировав ее покупки.

Раньше магазину достаточно было дать покупателю карту скидок и только этот факт мог сделать человека постоянным лояльным клиентом. Теперь наличие карты у покупателя не дает магазину значимых преимуществ в конкурентной борьбе. Но если магазин сможет подобрать нужный покупателю товар и предложит его по выгодной цене, высока вероятность того, что покупатель придет в магазин и совершит покупку.

Способность торговой точки правильно спрогнозировать спрос покупателя и сделать персональное предложение позволяет увеличить продажи более эффективно, чем привычные акции, ориентированные на широкий круг людей. Именно поэтому магазины сегодня максимально заинтересованы в получении информации о списках покупок отдельных клиентов и их дальнейшем анализе.

В России основной спектр информации о покупках конкретного человека магазины узнают через карты скидок (карты лояльности, карты постоянных покупателей, бонусные карты). Такие карты есть у крупнейших торговых сетей: Ленты, Ашана, Магнита, Пятерочки, Перекрестка, Дикси и пр.

Россияне любят скидки. По статистике, более половины покупок совершаются по различным акциям, поэтому граждане часто с энтузиазмом принимают предложение магазина оформить карту лояльности.

Но скидочная карта обычно не выдается просто так. Для активации карты магазины предлагают покупателю заполнить небольшую анкету: указать пол, дату рождения, контактные данные, а иногда хобби и наличие детей. Указанные сведения анализируют маркетологи ретейлеров, чтобы построить поведенческую модель данного человека и заранее предугадать, какие товары он купит. Так, магазины узнают, например, что у покупателя есть ребенок до года, и в дальнейшем в смс-рассылке сообщают ему о скидках, действующих на памперсы, игрушки или детское питание. Такие персонализированные рассылки работают гораздо лучше: скорее всего, покупатель воспользуется адресным предложением, а заодно и купит сопутствующий товар в этом магазине без скидок.

Защищенность базы данных

Есть ли основания опасаться утечки персональных данных из баз магазинов? Да, такая вероятность есть. В СМИ периодически появляются сведения об утечке персональной информации владельцев карт лояльности. Так, в феврале 2020 года в сеть выложили базу 90 тысяч владельцев карт «Лента» с идентификатором клиента, фамилией и именем, а также номером телефона. В январе того же года в сеть утекла база данных со сведениями о 17 миллионах клиентов магазина «Красное и белое». В базе находились фамилия, имя, отчество, дата рождения и номер телефона.

Очевидно, эти случаи не последние, так как на 100% защищенную базу данных еще не изобрели. Но урон, который может быть нанесен лицу в результате утечки, во многом будет зависеть от спектра информации, переданной магазину при заполнении анкеты. Например, если утечка произойдет в отношении номера телефона без привязки к реальному ФИО или дате рождения, то такие данные не могут нанести серьезного ущерба. А вот сведениями с адресом проживания и особенно с паспортными данными вполне могут воспользоваться злоумышленники.

Хотя утечка данных не всегда несет урон для покупателя, тем не менее подобные инциденты заставляют задуматься о безопасности своих персональных данных при получении карт лояльности и способах их защиты.

🔐 Как защитить свои данные

Если вы против предоставления магазину своих персональных данных или не хотели бы, чтобы магазин анализировал ваши покупки и рассылал вам акционные предложения, то можно рассмотреть следующие варианты:

1. Не оформлять скидочные карты вовсе. Вы не сможете воспользоваться скидками и персональными предложениями, но максимально обрежете сведения о своих покупках от третьих лиц. Что для вас важнее – экономия или защита – решать только вам. Никто не может обязать вас получать карту лояльности: покупатель оформляет ее исключительно по собственному желанию. Но иногда карты бывают действительно полезными, поэтому можно брать их, но соблюдая дополнительные меры безопасности.
2. Предоставлять в анкете минимум информации о себе: например, только имя и телефон. Не заполнять анкету с паспортными данными, они магазину явно не нужны – и это требование противозаконно: по нормам ч. 5 ст. 5 №ФЗ-152 обрабатываемые персональные данные не должны быть избыточными. Так же не нужно указывать в анкете свой домашний адрес.
3. Указывать в качестве контактов телефон или почту, утечка которых для вас некритична. Например, создать отдельную почту, куда будут поступать только рекламные предложения, или указывать дополнительный телефон. Никогда не стоит оставлять в анкете свою личную или рабочую почту или телефон.
4. Заполнить анкету, но отказаться от рассылки акционных предложений. Так можно защитить себя от регулярных смс со спецпредложениями.
5. Заполнить анкету с фиктивными сведениями: магазины обычно не проверяют данные на достоверность.

❗ Ответственность магазина за утечку информации

За утечку персональных данных магазину грозит ответственность по ст. 13.11 Кодекса об административных правонарушениях. Так, если магазин не получал вашего согласия на обработку персональных данных, то ему грозит штраф от 10 до 20 тыс. р. (на руководство компании или предпринимателя) или от 15 до 75 тыс. р. (на предприятие, как на юрлицо).

За некорректную и не соответствующую целям обработку данных (например, за требование указать паспорт) руководителю или предпринимателю грозит штраф до 10 тыс. р.; юрлицу – до 50 тыс. р.

За разглашение сведений о владельце банковских карт сотруднику магазина грозит уже уголовная ответственность по ст. 183 Уголовного кодекса. По этой статье накажут за незаконный сбор и разглашение информации, которая является предметом банковской тайны.

Также по закону покупатель может потребовать, чтобы его персональные данные удалили из базы магазина, и магазин обязан подчиниться.

Наказание магазин понесет и в случае отправки массовых рассылок сообщений без личного согласия абонента. Штраф для нарушителей за неправомерную рекламную рассылку может достигать 500 тыс. р. по нормам ст. 14.3 Кодекса об административных правонарушениях. Но многие компании продолжают подобные рассылки, не опасаясь за свою репутацию, наивно или бесстрашно полагая, что Роскомнадзор не сможет проверить всех.

✅ Мнение эксперта: актуальность защиты персональных данных

❓ Часто задаваемые вопросы