Персональные данные в холодных продажах

• Что такое персональные данные ЛПР (лица, принимающего решение)?

Фактически, всё что угодно: ФИО, телефон, почта, фотография — в общем, всё, что может идентифицировать конкретного человека. Для продаж это в первую очередь связка ФИО и контакты.

Пытливый читатель спросит: а есть ли разница между обращением к физическим лицам и представителям бизнеса?

Представители бизнеса — тоже люди (пока их не заменил искусственный интеллект) со своими персональными данными. Поэтому, если вы звоните на личный номер ЛПР, вы звоните физическому лицу. Следовательно, есть риск нарушить требования закона о рекламе и закона о персональных данных (ПД).

Но если вы звоните на общий корпоративный номер, например, указанный на сайте, то закон о персональных данных вы не нарушаете. Скорее, вы нарушаете закон о рекламе и правило о том, что на рекламный звонок нужно согласие. А это тоже предусматривает штраф в 1 млн рублей за спам. Пу-пу-пу!

• Какая форма у согласия?

Формой согласия на обработку ПД может быть запись голоса или заполненный письменный бланк (мало ли, вдруг люди к вам в офис приходят). Либо в электронном виде: сообщение на почту, в мессенджере, лог-файлы, подтверждающие, что клиент заполнил чек-бокс перед отправкой.

• Что можно считать нарушением при сборе и использовании персональных данных?

Вот снова всё то же: данные собираете без разрешения владельца, храните у себя, используете эти данные или передаете другим. Ключевое — это отсутствие согласия субъекта (владельца) ПД на конкретные операции с ними. Что ещё:

• Храните у себя в облаке слитые базы или доступ к этим базам («Очи богов» и аналоги) — нарушили закон.

• Позвонили или написали абоненту с рекламным предложением без его согласия — нарушили закон.

• Разрешил вам человек использовать свой телефон для рассылки рекламы, а вы его партнёру передали — нарушили закон.

• Храните данные в Google-таблицах, доступ к которым открыт для всех (или даже не для всех) — нарушили закон. Кстати, Google-таблицы — это часть экосистемы Google, серверы которой расположены по всему миру. Но по закону персональные данные граждан РФ должны записываться, систематизироваться и храниться на территории России. Поскольку Google передает данные на серверы за границей, это может считаться нарушением правила о локализации со штрафом до 6 млн рублей (до 18 млн рублей за повторное нарушение).

⚡️ Идём и покупаем себе «Битриксы» и «Амки», если у вас их все еще нет.

• Чем грозят нарушения?

В первую очередь это штрафы для компании. Для нас актуальны 2 категории:

• Обработка персональных данных без согласия субъекта может обернуться штрафом до 700 000 рублей (а при повторном нарушении — 1,5 млн рублей).

• За несоблюдение требований к рекламе, которая распространяется по электронным каналам связи, ответственность составляет до 1 млн рублей.

Хорошая новость для менеджеров по продажам — на практике большая часть нарушений подпадает под административную ответственность.

Плохая новость — с декабря 2024 года в УК РФ появилась статья 272.1, которая устанавливает ответственность за незаконное использование персональных данных. Эта статья предполагает наказание за:

• Незаконные действия с компьютерной информацией, содержащей персональные данные, — штраф до 3 млн рублей, а также лишение свободы до 10 лет;

• Создание и (или) обеспечение функционирования баз данных, содержащих персональные данные лиц, полученные незаконным путем (т.е. без согласия), — штраф до 700 000 рублей и лишение свободы до 5 лет.

Ага, и всё это группой лиц по предварительному сговору. Отдел продаж — это тоже группа лиц с предварительным сговором, как-то так.

Этому вопросу место в статье на тему информационной безопасности, т.к. он касается именно технических аспектов Data Protection и работы с конфиденциальной информацией. Сам закон о персональных данных ФЗ-152 отражает следующие ключевые моменты:

• У вашей компании должен быть статус оператора персональных данных. Реестр операторов ПД Роскомнадзор ведёт здесь: https://pd.rkn.gov.ru/operators-registry/operators-list/
• Хранение баз данных с персональными данными допускается только на российских серверах.

Далее стоит упомянуть базовую гигиену, которая действовала ещё до закона о персональных данных и связана, в первую очередь, с эффективностью продаж и защитой коммерческой информации в компании:

• Единая база данных с централизованным распределением доступов к ней.
• Запреты на несанкционированный экспорт данных из баз. Утечка персональных данных — это теперь не просто унесённая коммерческая тайна, но и оборотный штраф.

⚡️ РОПы и комдиры, айда проверять доступы.

По общим моментам мы прошли, теперь копнём глубже в разные варианты продаж и разберёмся в нюансах, связанных с персональными данными.

Ситуация 1. Клиент приходит через ваш сайт. Тема многократно обсуждалась и максимально заезжена, но повторим простые азбучные моменты:

• Разместите на сайте политику конфиденциальности.

• Юрлицо, «привязанное» к сайту, внесите в реестр операторов ПД.

• Разместите чекбокс (условный квадратик, куда поставить галочку) и читабельно напишите, что пользователь согласен с политикой обработки его персональных данных. Для звонков и рекламных сообщений также надо сделать отдельный чекбокс, где пользователь соглашается с получением рекламных звонков или рекламных сообщений посредством рассылки на личный адрес электронной почты.

• Не забудьте баннер о сборе cookies

Ситуация 2. Клиент приходит по рекомендации или в рамках реферальной программы, минуя сайт. Для входящих звонков: обязательно предупреждение, что разговоры записываются. Это если они записываются. А если не записываются, то просто приветствуйте и продавайте.

⚡️Ключевое в тёплых продажах: обработка персональных данных допускается без получения предварительного согласия, когда клиент планирует по своей инициативе заключить договор и поэтому связывается с вами, согласие по закону не требуется (ст. 6 закона о персональных данных).

Практика показывает, что данные позвонившего хранятся в компании до последнего. Даже если договор не подпишете, вам будут какое-то время перезванивать с рекламой и напоминанием о себе — и вот для таких ситуаций согласие лучше всё-таки получить.

Разберём тему, исходя из способов поиска контактов и захода к клиенту.

Способ 1: телефон на сайте

Допустим, мы попали в чудесный фантазийный мир и на сайте клиента нашли телефон, который принадлежит компании и указан чётко для связи с компанией (без привязки к конкретному физлицу). Попадает ли номер под понятие персональных данных?

В этом случае — нет. Но подпадает под закон о рекламе, так что смотри выше раздел про ЛПР.

Способ 2: соцсети

Заблокированный LinkedIn, запрещённые продукты запрещённой на территории нашей страны Meta, незаблокированный православный LinkedIn, он же TenChat, и иные.

Писать внутри платформы с точки зрения закона о ПДн вовсе не возбраняется, просто соблюдайте правила платформы. Главное — и это соотносится с законом и здравым смыслом — соблюдайте следующие рекомендации:

• не начинайте коммуникацию с рекламы;

• общайтесь как физическое лицо с физическим лицом, избегайте формального языка и канцеляризмов;

• избегайте рекламного языка по типу «уникальный продукт», «попробуйте обязательно», «акция специально для вас» и т. п.;

• общайтесь не с корпоративного (обезличенного) аккаунта, а с личного — аккаунт не должен быть привязан к компании, не должен называться «ООО «Рога и копыта»;

• сделайте сообщение максимально персонализированным и адресным, чтобы исключить признаки массовой рассылки;

• избегайте прямых ссылок на товар и явных призывов к приобретению;

• не отправляйте однотипные сообщения большому числу людей, избегайте массовости.

Больше о том, как выстраивать холодные заходы, читайте здесь.

⚡️Важно учитывать, что даже при соблюдении этих рекомендаций остаётся риск, что ваши сообщения квалифицируют как рекламу — и есть уже практика признания рекламой рассылок по аккаунтам. Рекомендации направлены на снижение рисков, но не на их полное сведение к нулю.

Если говорить о контактах из профиля пользователя, то размещение контактов в открытом профиле для закона о персональных данных не является обоснованием их использования.

Способ 3: Telegram

Если у человека открытый профиль, вы можете найти его и написать, соблюдая рекомендации из предыдущего пункта. Но! Опять-таки, это можно признать рекламой.

Способ 4: где-то просто нашли контакт

Контактами клиента поделился друг в сообществе B2B People, нашли информацию на форуме, купили у специальных людей, которые ищут контакты, спарсили вакансии каким-то софтом типа email extract, купили через идентификацию dmp-сервисами — есть ещё миллион других способов отыскать контакты.

⚡️Помните, наличие контактов в публичном доступе ни разу не означает, что человек открыт любому спаму. Роскомнадзору вообще всё равно, где вы взяли персональные данные — если у вас не было согласия на обработку ПД, значит, вы нарушили закон. Кхе-кхе, кстати, прокуратуре не всё равно, где вы нашли персональные данные: купили базу — риск уголовной ответственности.

Как же быть, если очень хочется связаться с человеком, но хочется сделать это максимально легальным способом?

Нет волшебной таблетки, которая поможет обойти законодательство: если на вас пожалуются, это вполне правомерно. Поэтому воспринимайте закон о персональных данных скорее как побудительный пинок совершенствоваться в культуре первичных касаний:

• Не провоцируйте клиента на негатив глупыми, простите, заходами: людей бесит именно то, что вы нагло предлагаете ненужное, а не сам факт, что им написали или позвонили. «Квартиры в Москве по цене от застройщика» или «Хотите купить готовый бизнес» — это раздражает. Поэтому персонифицируйте заход: «Я к вам, потому что…». Клиент должен увидеть, что вы постарались, изучили его и подобрали решение.

• Помните (тут кэп с вами), что чем более поверхностно вы работаете по своей базе, тем выше риск наткнуться на жалобщика. При точечном, экологичном заходе человеку скорее всего будет лень писать на вас жалобу — проще просто внести ваш номер в чёрный список, в Телеграме — нажать на кнопку «Пожаловаться на спам и удалить», в WhatsApp — заблокировать.

• Используйте для формулирования первых сообщений ИИ-инструменты. Вот, например, самый простой промпт:

• Используйте в заходах легенды-отсылки на платформы, где человек постит контент. Формально перед законом это вас не оправдывает, но человеческий мозг любит объяснения, даже откровенно тупые, почему происходит то или иное действие.

«Нашел профиль в LinkedIn, в TenChat» — ну сколько людей в ответ скажет: «Странно, у меня полностью закрытый аккаунт в сети, как вы взяли номер?» (Кстати, TenChat открывает за деньги контакты людей, пу-пу-пу).

• Если клиент задает вопрос «Какого чёрта?», не стоит даже начинать рассказывать про прелести вашего продукта. Просто извинитесь и отключитесь. Поищите другой вход в эту компанию.

• Выстраивайте многоуровневую структуру телефонных звонков, чтобы звонили подрядчики с телефонов, не связанных с вашей компанией. В договоре все вопросы, связанные с получением согласий и штрафами за их отсутствие, лучше переложить на подрядчика.

Shit happens, и вам не повезло. Что делать?

Для начала успокоиться и предупредить корпоративных юристов. Если их нет — самое время позвонить в KELIN.

В любом случае РКН не принимает меры сразу, а направляет вам запрос в связи с жалобой клиента. Как эта жалоба возникает? Допустим, человек хочет пожаловаться на нарушение в отношении его персональных данных. Для этого ему нужно всего лишь подать обращение на сайте Роскомнадзора.

А вот после этого РКН начинает проверку:

а) Подтверждает, что данные действительно персональные, например, это связка "Имя + телефон", то есть звонящий знает контакты абонента.

Можно сослаться на рандомный набор номера. Тогда ваш скрипт должен начинаться не с обращения, а с вопроса: «Как я могу к вам обращаться?» — таким образом, персональные данные вы получаете в процессе разговора.

б) Определяет нарушителя — юридическое лицо, от имени которого выполняется звонок.

«Меня зовут Николай, я представляю юридический сервис. Могу задать вам пару вопросов?» Если вы пройдете в диалоге дальше, жалоб от вашего абонента опасаться уже не стоит, и можно открыто говорить название компании.

Что же делать вам? А вот что:

• Готовим документы, регламентирующие порядок обработки персональных данных в компании. Так вы продемонстрируете высокий класс в данном вопросе. Если документы есть, перепроверьте их актуальность. Если документов нет, что ж, fake it till you make it.

• Проверяем, опубликована ли политика обработки ПД на сайте и соответствует ли она законодательству. Если клиенту звонил подрядчик — смотрим договор с подрядчиком. Вообще, при заключении договора с подрядчиком все вопросы, связанные с получением согласий, и штрафы за их отсутствие лучше делегировать подрядчику.

• Помним, что запрос информации от Роскомнадзора — не катастрофа. Важно на него четко ответить. Если не знаете как, тогда звоните Солу в KELIN.

Закон суров, но это закон. Прилагать ли перечисленные выше усилия, чтобы обезопасить себя, — решать только вам. Можем добавить: всё это, как и любая перестройка бизнес-процессов (а изменения в холодных продажах — это именно она), может показаться болезненным. Но после того, как адаптация заканчивается, выясняется, что всё не так уж и страшно. Так что поговорку «Волков бояться — в лес не ходить» можно применить не только к нарушению закона, но и к его соблюдению.

Если вы хотите сократить расход ресурсов на менеджмент этих перестроек, а также иметь надёжное плечо и грамотный юридический мозг, который подскажет, где можно проскочить, а где проскочить не получится, — можно обратиться к специально обученным людям, и они есть у нас в KELIN. Но можно обойтись и своими силами, а потом с высоты полученного опыта проверять своих будущих штатных юристов и осознавать, как много может быть мнений о том, что можно и что нельзя.