Блог сервиса электронных рассылок Sendsay Блог сервиса электронных рассылок Sendsay Блог сервиса электронных рассылок Sendsay
Войти
Назад
10 шагов к соблюдению закона о персональных данных: чек-лист для маркетолога
Блог
Инструкции
25.10.2025
6 минут

10 шагов к соблюдению закона о персональных данных: чек-лист для маркетолога

#академия
#лучшие практики
Содержание

Если сомневаетесь, соответствуют ли ваши рассылки закону о персональных данных — эта статья для вас. С 30 мая 2025 года законодательство стало жёстче: там, где было предупреждение или штраф в несколько тысяч, теперь придётся платить сотни тысяч рублей. А за утечку данных — миллионы.

Мы изучили изменения в законодательстве и разобрались, как правильно собирать, обрабатывать и хранить персональные данные, не нарушая закон.  

Зарегистрируйтесь
И попробуйте Sendsay бесплатно

Что такое персональные данные (ПДн)

Они начинаются там, где заканчивается анонимность. Даже email-адрес — это уже персональные данные, если его можно связать с конкретным человеком. Однако если данные связать нельзя, то почтовый адрес не будет считаться персональной информацией. 

Персональные данные Не персональные данные
Имя + почта; имя + номер телефона Должность + адрес почты; никнейм + номер телефона

В работе с клиентами бизнес обрабатывает различные персональные данные. Например:

  • email-адрес;
  • ФИО подписчика;
  • номер телефона;
  • IP-адрес и данные о действиях на сайте. 

Разберёмся, что конкретно требует российское законодательство в вопросе хранения и обработки данных.

Ключевые требования закона 152-ФЗ

Если вы собираете, храните или как-то ещё работаете с данными клиентов, то считаетесь оператором персональных данных — лицом, которое организует и осуществляет обработку информации. 

Первое, что нужно сделать — подать уведомление в Роскомнадзор о начале обработки. Без регистрации в реестре операторов любая работа с данными клиентов считается нарушением. Но есть исключения — не уведомлять РКН могут:

  1. Компании, которые используют государственные информационные системы ПДн, созданные для защиты безопасности государства и общественного порядка.
  2. Бизнес, который работает без средств автоматизации (таблиц, CRM, CDP и прочих систем, куда выгружаются данные).

А также закон может не действовать в некоторых случаях, связанных с транспортной безопасностью.

После передачи данных в реестр, компании нужно соблюдать требования закона:

  • Получать согласие на обработку. Это нужно сделать до начала взаимодействия с людьми. Например, через чекбокс с согласием в форме подписки на рассылку. 
  • Обеспечить безопасность. Компания обязана защищать персональные данные от неправомерного доступа и утечек. Например, ограничивать доступ сотрудников к базам данных, обеспечивать техническую защиту серверов и систем хранения. 
  • Локализовать хранение на территории РФ. Персональные данные россиян должны храниться на серверах в России. С 1 июля 2025 года ужесточились требования: запрещено использование зарубежных сервисов для первичного сбора и обработки данных. Это касается Google Analytics, Google Tag Manager, Meta Pixel, Hotjar, форм Google и других популярных инструментов. Если данные сразу уходят на иностранный сервер — это нарушение.
  • Предоставлять информацию. По запросу клиента компания обязана рассказать, как обрабатывает его данные.
  • Предоставлять право на удаление. Если клиент попросит, компания должна удалить его данные. 

Подробнее о том, как компании нужно организовать соблюдение этих требований, рассказали в большом гайде «Персональные данные и их обработка — сбор, хранение, передача, подача уведомления в РКН».

Что будет, если нарушить закон о защите персональных данных

С 30 мая 2025 года ответственность за нарушения ужесточилась. Это происходит не на пустом месте — за последний год произошло несколько крупных утечек. Например, в январе 2025 года из «АльфаСтрахование-Жизнь» утекли данные 500 тысяч клиентов, включая email-адреса. Месяцем ранее «Почта России» потеряла базу с 26 миллионами записей.

Как изменились штрафы за нарушение работы с персональными данными

Нарушение Было Стало
Отсутствие согласия до 75 000 ₽ до 700 000 ₽
Обработка без уведомления РКН до 150 000 ₽ до 300 000 ₽
Неуведомление об утечке ПД 3 000–5 000 ₽ до 3 млн ₽
Утечка 1 000–10 000 записей 3–5 млн ₽
Утечка 10 000–100 000 записей 5–10 млн ₽
Утечка более 100 000 записей 10–15 млн ₽
Утечка биометрических ПД 15–20 млн ₽

С 11 декабря 2024 года за незаконное использование или обработку персональных данных введена уголовная ответственность — статья 272.1 УК РФ. Наказание может включать штраф до трёх млн рублей или лишение свободы до десяти лет в зависимости от тяжести нарушения. Суд может снизить штраф, если нарушение было непреднамеренным и есть смягчающие обстоятельства.  

Ещё один важный момент — если у вас есть база данных, которая была собрана до того, как компания начала запрашивать согласие на обработку, нужно получить согласие от этих контактов. Тех, кто не даст согласие, придётся удалить из базы. С точки зрения закона, эта информация получена с нарушениями. Штраф за это достигает 700 тысяч рублей, за повторное нарушение — до полутора миллионов. 

Как правильно собирать данные в соответствии с законом

Разберём на примере сбора ПДн для рассылки. 

Чекбокс с согласием

Разместите рядом с формой подписки незаполненный чекбокс о согласии на обработку ПДн. Сделать это можно с помощью платформы рассылки. 

Например, в российской CDP Sendsay есть конструктор форм для подписки, но по умолчанию в ней нет поля для согласия, поэтому его нужно создать самостоятельно. Зайдите в «Настройки системы» → «Профиль подписчика» → «Дополнительные данные» и добавьте поле с названием «Даю согласие на обработку персональных данных». Сделайте это поле обязательным, чтобы без галочки нельзя было завершить подписку.

После создания поля его нужно встроить в форму: откройте конструктор в разделе «Формы» и выберите нужную. Добавьте поле и сделайте его обязательным для заполнения.

Важно: Чекбокс должен быть пустым по умолчанию — человек сам ставит галочку. Заполнение чекбокса за клиента не считается согласием.

Ссылка на политику конфиденциальности

Документ должен открываться в один клик из формы. В нём подробно опишите, какие данные собираете, как используете и кто несёт ответственность за их сохранность. Например, так выглядит политика платформы Sendsay.

Double Opt-In подписка

Хотя двойное подтверждение подписки напрямую не относится к защите персональных данных, его требует закон «О рекламе» (статья 18). Раз уж речь о подписке на рассылку, упомянем и этот механизм.

Double Opt-In — это когда после заполнения формы клиент получает письмо с просьбой подтвердить подписку. Он кликает по ссылке в письме — и только после этого начинает получать рассылки. Такой формат защищает от случайных подписок и служит доказательством согласия при проверках. 

Пример письма с просьбой подтвердить подписку
Пример письма с просьбой подтвердить подписку

В Sendsay механизм двойного подтверждения подписки настроен по умолчанию. После заполнения формы контакт попадёт в базу со статусом «Неподтверждённый». Автоматический сценарий отправит письмо со ссылкой для активации, после клика по которой подписчик станет доступным для рассылки. 

Точная формулировка цели

Важно указывать, для чего именно собираете данные: «для отправки дайджеста», «для информирования о скидках» или «для уведомлений о статусе заказа». Разные цели — разные согласия. 

Все эти настройки обеспечивают юридическую защиту и помогают собрать качественную базу подписчиков. 

Как организовать работу с данными

Разберём, какие процессы нужно настроить внутри компании.

  • Проводите аудит базы. Периодически проверяйте наличие согласий от каждого человека. При их отсутствии запустите кампанию реактивации, например, через рассылку или удалите контакты.
  • Храните доказательства. Сохраняйте информацию о том, когда и как было получено согласие: дата, время, IP-адрес, текст согласия, источник. 
  • Настройте обработку запросов на удаление. Разработайте процедуру удаления данных по запросу клиента. В CDP Sendsay можно быстро удалить данные конкретного подписчика.
  • Разграничьте доступ к данным. Не все сотрудники должны иметь полный доступ, поскольку это увеличивает риски утечек. Настройте систему прав: кто может видеть всю информацию о клиентах, а кто — нет.
  • Обучите команду. Все сотрудники, работающие с персональными данными, должны понимать основы законодательства и следовать регламентам компании.
  • Обеспечьте безопасное хранение. В Sendsay, например, данные хранятся в защищённых дата-центрах на территории РФ с использованием шифрования и резервного копирования. 

Чек-лист соответствия требованиям закона о защите персональных данных

  • На всех формах сбора контактов есть чекбокс с согласием.
  • Политика конфиденциальности доступна по ссылке на сайте.
  • Данные хранятся на серверах в РФ.
  • Ведётся документирование согласий пользователей.
  • Настроен процесс обработки запросов на удаление данных.
  • Сотрудники, работающие с персональными данными, прошли соответствующее обучение.
  • Проводится регулярный аудит базы.
Похожие статьи
Гайд для бизнеса: как навести порядок с персональными данными
Гайд для бизнеса: как навести порядок с персональными данными
08.08.2025
#лучшие практики
#клиентская база
5 ошибок в работе с персональными данными, за которые бизнесу грозят миллионные штрафы
5 ошибок в работе с персональными данными, за которые бизнесу грозят миллионные штрафы
24.06.2025
#email-рассылки
#клиентская база
Над статьёй работали:
Следите за нами
Присоединяйтесь к нам в соцсетях
Документы
Каналы
Разработчикам
Последние записи Блога
152-ФЗ «О персональных данных»
© 2014—2025 АО «Интернет-Проекты». Все права защищены