30 мая 2025 года начали действовать новые требования к обработке персональных данных. Роскомнадзор дополнил список нарушений, а наказывать за них стал строже. Штрафы выросли в десятки раз: ранее за повторную утечку нужно было заплатить до 300 тысяч рублей, а теперь — до 3% от годового оборота и не менее 20 миллионов рублей. А если в открытом доступе окажутся сведения о здоровье, биометрия, данные детей и прочая информация из категории специальных данных, то это грозит реальным сроком заключения до 10 лет.
Из-за этих изменений маркетинг оказался под ударом. Персонализация, удержание клиентов, повторные продажи — всё это завязано на данных: имя, email, история покупок, поведение на сайте. Теперь каждая рассылка, каждая форма на сайте потенциально становится зоной риска. Причём отвечать за ошибку, возможно, придётся не только компании. Штраф на должностное лицо она может переложить с генерального директора на кого-то из сотрудников, например, директора по продажам или маркетолога.
В статье разбираем, что именно изменилось, какие зоны риска появились для маркетинга и как эффективно работать с клиентской базой по новым правилам. А на более сложные вопросы ответим на нашем бесплатном вебинаре 30 июня — зарегистрируйтесь, чтобы не пропустить.
Основные зоны риска при работе с персональными данными в маркетинге
Работа с устаревшими или неактуальными базами данных. Многие компании хранят контакты годами: клиенты когда-то оформили заказ или даже подписались на рассылку, и с тех пор их данные находятся в клиентской базе.
Старые базы, которые не проходят регулярную чистку, — прямая зона риска. Если компания собрала контакты ещё до того, как добавила в формы подписки галочку на получение ПДн, с точки зрения закона она хранит эти данные без согласия объекта этих персональных данных, а значит, нарушает ФЗ-152. Если компания продолжает хранить ПДн клиента, хотя их давно не связывают никакие отношения, это тоже нарушение ФЗ-152.
В текущих условиях это грозит штрафами: для юрлиц — от 300 до 700 тысяч рублей за первое нарушение и от 1 до 1,5 миллиона рублей за повторное. Для должностных лиц сумма штрафа составит от 100 до 300 тысяч рублей и от 300 до 500 тысяч рублей, соответственно (Части 2 и 2.1 ст. 13.11 КоАП РФ).
Само понятие «обработка персональных данных», согласно статье Закона о персональных данных, выражается в таких действиях, как сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Таким образом, даже хранение персональных данных клиентов, перешедших к лицу — оператору «по наследству», уже образует состав обработки персональных данных, осуществление которой без получения на это согласия от субъекта персональных данных влечёт предусмотренную ч. 2 ст. 13.11 КоАП РФ ответственность.
При этом указанный состав административного правонарушения не разграничивает ответственность лиц, самостоятельно собирающих персональные данные, например, клиентов, и лиц, получивших такие данные от третьих лиц в иных случаях.
Кроме того, вводится уголовное наказание за незаконное использование, в том числе сбор, хранение и передачу персональных данных. Самое строгое наказание предусматривает штраф в размере до 3 миллионов рублей, лишение права занимать определённые должности или заниматься определённой деятельностью на срок до 5 лет, а также лишение свободы на срок до 10 лет (Часть 5 ст. 272.1 УК РФ).
Как подстраховаться:
- Проверьте согласие. Попробуйте выяснить, были ли получены согласия от клиентов на обработку их персональных данных. Для этого может потребоваться изучить документацию, которую вам передали вместе с базой, если вы получили её «по наследству».
- Проинформируйте клиентов. Если возможно, уведомите клиентов о смене владельца базы и запросите у них подтверждение согласия на дальнейшую обработку их данных.
- Обновите базу. Проведите аудит контактов и удалите те записи, по которым нет подтверждённого согласия.
Для Роскомнадзора не имеет значения, как именно вы получили базу данных — «по наследству», купили или собрали самостоятельно в открытых источниках. Главное — наличие согласия на обработку персональных данных. Поэтому для минимизации рисков начните с нейтральных коммуникаций, предлагая подписаться на рассылку.
В первом же письме предложите клиентам подтвердить своё согласие на получение рассылок или отказаться от неё. А если используете в работе роботизированные телефонные звонки, запишите голосовое сообщение: «Продолжая телефонный разговор, вы соглашаетесь на обработку ваших персональных данных».
Недостаточная прозрачность в сборе и обработке данных. Посетитель сайта должен точно понимать, на что он соглашается: зачем компания собирает данные, где их хранит и как долго будет использовать. Если эта информация сформулирована нечётко или вовсе отсутствует, Роскомнадзор может счесть согласие недействительным. В этом случае, даже если пользователь поставил галочку — это не имеет значения, ведь он не был полностью информирован.
Чтобы согласие было действительным, оно должно содержать следующие элементы:
- сведения о субъекте персональных данных (ФИО, адрес, данные документа, удостоверяющего личность);
- сведения об операторе (наименование/ФИО, адрес);
- конкретная цель обработки — например, для оформления трудовых отношений;
- перечень ПДн — должны быть указаны и конкретизированы все обрабатываемые сведения о лице, являющиеся его персональными данными;
- список всех совершаемых с персональными данными действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
- способы обработки ПДн — автоматизированная или неавтоматизированная обработка;
- срок действия согласия — дата или условие прекращения действия;
- наименование, ФИО, адрес лица, которое обрабатывает ПДн, если оператор поручает это другому лицу;
- ясно выраженное согласие лица — галочки напротив данных, согласие на обработку которых даёт лицо, подпись.
Статья 9 Закона о персональных данных закрепляет, что согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
Согласие не должно содержать абстрактных фраз и двусмысленных выражений. Должно быть максимально конкретным и однозначным. Если согласие содержит все сведения из списка выше, то проблем при проверке Роскомнадзора возникнуть не должно.
Как подстраховаться:
- Обновите политику конфиденциальности. Изложите её простым и понятным языком. Разбейте на блоки — по целям, срокам, способам удаления.
- Убедитесь, что ссылки на эту политику есть на всех страницах, где собираются данные, включая pop-up формы.
- Добавьте отдельные чекбоксы с понятной формулировкой: например, «Согласен получать предложения и новости по электронной почте». Не объединяйте их с пользовательским соглашением или офертой.
Использование иностранных сервисов и трансграничная передача данных. Сервисы вроде Google Analytics, Notion, Trello и других — зарубежные, а значит, если вы их используете, то по умолчанию передаёте ПДн заграницу. Даже если компания просто собирает заявки через Google Формы или ведёт список клиентов в Excel на облаке Microsoft — это уже трансграничная передача.
С 1 марта 2023 года действует требование: прежде чем передавать данные за рубеж, нужно уведомить об этом Роскомнадзор. При этом не все страны подходят для трансграничной передачи. Если в течение 10 дней с момента подачи уведомления РКН не ответит — передавать данные можно. Ответ приходит только в случае запрета или ограничения.
Нарушение, связанное с трансграничной передачей данных, может стоить юрлицам от 1 до 6 миллионов рублей за первое и от 6 до 18 миллионов рублей за повторное. Должностные лица также рискуют получить штраф — от 100 до 200 тысяч рублей и от 500 до 800 тысяч рублей, соответственно (Части 8 и 9 ст. 13.11 КоАП РФ).
Вот несколько примеров того, что относится к трансграничной передаче данных:
- Использование Google Таблицы для хранения данных партнёров (имя, email, телефон), так как серверы Google находятся за пределами РФ.
- Передача персональных данных российских работников материнской европейской компании, например, с целью кадрового аудита.
- Обращение сотрудников вашего предприятия в службу технической поддержки зарубежной компании, если они при этом предоставляют персональные данные.
Хотя сама по себе трансграничная передача данных не предполагает уголовной ответственности — это дополнительные риски. Если выяснится, что данные собирались или обрабатывались незаконно, то трансграничная передача ПДн может сыграть роль отягчающего обстоятельства. В этом случае наказание предусматривает штраф до 2 миллионов рублей, запрет заниматься определённой деятельностью или занимать определённую должность до 4 лет и лишение свободы на срок до 8 лет — даже если нарушение не было организовано группой лиц и не повлекло за собой тяжкие последствия (Часть 4 ст. 272.1 УК РФ).
Как подстраховаться:
- Оптимально — отказаться от иностранного сервиса в пользу российского аналога. За последние три года многие российские решения — CRM, CDP, платформы рассылок, облачные хранилища, инструменты аналитики — успели выстроить чёткий алгоритм для бесшовного перехода пользователей с зарубежных решений. Например, Sendsay в 2024 году помог клиентам ушедшей из России CDXP Bloomreach/Exponea быстро восстановить коммуникации с клиентами.
- Если отказаться от иностранного сервиса пока не получается, обеспечьте юридически корректную передачу данных. Это поможет избежать риска блокировки, предписаний и приостановки обработки данных.
3 простых способа соблюсти закон и не испортить маркетинг
Эти действия не требуют капитальной перестройки бизнес-процессов, но помогают ощутимо снизить риски нарушений. А заодно добавляют маркетингу прозрачности и эффективности.
Настройте прозрачные и гибкие подписки. Чтобы согласие на рассылку считалось действительным, посетитель сайта должен чётко понимать, на что именно он соглашается. Поэтому рядом с соответствующей галочкой нужно прописать что-то вроде «Я согласен получать рекламу» или «Я даю согласие на получение маркетинговых коммуникаций». То есть подписчик должен однозначно понимать, что соглашается на рекламные сообщения от компании, а не, например, на отслеживание статусов заказа — в противном случае бизнес может получить штраф ещё и по ФЗ-38 «О рекламе».
Необязательно с точки зрения закона, но эффективно в плане маркетинга работают тематические подписки. Например, «только акции», «рекомендации по интересам», «подборки бестселлеров». Это помогает удерживать контакт, даже если интерес к части контента пропадает. Главное — не перегружать. Несколько прицельных попаданий сработают лучше, чем поток ненужных рассылок каждый день. Отдельно брать согласие на тематические рассылки не нужно, достаточно общего — на получение рекламы.
Для обработки ПДн выберите надёжного поставщика. Любой маркетинг опирается на данные: имя, email, история покупок, действия на сайте. Платформа, которая обрабатывает эти данные, должна отвечать требованиям ФЗ-152. Особенно если для этого используете CDP.
CDP собирает, хранит, обрабатывает и передаёт данные между системами. Поэтому так важно обращать внимание не только на функциональность решения, но и на его безопасность: как оно защищает данные, кто имеет к ним доступ, как фиксируются действия внутри системы.
Признаки надёжного поставщика по работе с ПДн
- Зарегистрирован как оператор ПДн в реестре Роскомнадзора.
- Входит в реестр российского ПО Минцифры.
- Хранит данные на серверах, расположенных в России.
- Имеет сертификат соответствия 152-ФЗ.
Например, CDP Sendsay прошла проверку служб безопасности топ-10 российских банков, страховых и государственных компаний. Платформа позволяет подключать выделенные IP-адреса, обеспечивает шифрование трафика и обладает аттестатом соответствия на уровне защищённости данных K2.
Автоматизируйте чувствительные процессы. Ошибки чаще всего происходят из-за человеческого фактора: забыли удалить данные, отправили письмо без согласия, случайно дали доступ к базе всем подряд. Такие нарушения могут дорого стоить компании.
Решается это просто: автоматизацией. Удаление данных — с помощью автоматической сегментации по истечении срока. Ограничение доступа — по ролям, только к нужным полям. Логи — чтобы было видно, кто и когда работал с данными.
Это помогает снизить нагрузку на команду и минимизировать риски. А ещё — не тормозить маркетинг: процессы идут быстрее, нет лишних согласований с юристами и другими отделами, меньше ручных проверок.
План адаптации к новым требованиям по работе с ПДн
Обновлённые требования к обработке ПДн вступили в силу, а значит — действовать нужно уже сейчас. Ниже — краткий перечень шагов, которые помогут привести в порядок работу с персональными данными.
Шаг 1. Начните с аудита. Какие системы собирают и хранят данные клиентов? Где находятся серверы? Кто из сотрудников имеет доступ к ПДн? Используются ли сторонние сервисы, особенно иностранные? Это поможет выявить слабые места и наметить план необходимых изменений.
Шаг 2. Разберитесь с клиентской базой и источниками данных. Если база формировалась годами, в ней могут быть «серые» контакты: люди, которые не давали согласия, или подписались, но могли забыть об этом. Разделите базу на контакты с чётко подтверждённым согласием и без него. Последние придётся удалить, в противном случае компания рискует получить штраф от Роскомнадзора.
Шаг 3. Запланируйте переход на российские платформы. Если до сих пор используете иностранные сервисы для обработки персональных данных клиентов, не забудьте сообщить в РКН о трансграничной передаче. Но перед этим уточните: в какую страну уходят данные и входит ли она в перечень стран с «адекватной защитой». На всякий случай держите под рукой план перехода на российский аналог.
Памятка для тех, кто хочет перейти с зарубежных сервисов
- Начните присматриваться к российским аналогам и составьте список тех, что могут подтвердить использование серверов на территории РФ и соблюдение 152-ФЗ.
- Запланируйте сроки перехода. Не ждите экстренной ситуации — перенос данных под давлением всегда проходит сложнее.
- Регулярно делайте резервные копии клиентской базы — это никогда не будет лишним.
- Если переходить нужно срочно — выбирайте платформу с быстрой интеграцией и качественной поддержкой.
Шаг 4. Обновите политику конфиденциальности и пользовательское соглашение. Оба документа должны быть понятны человеку без юридического образования. Укажите:
- какие данные собираются;
- с какой целью;
- кто обрабатывает;
- где хранятся;
- сколько времени используются;
- как можно отозвать согласие.
.png)
Хорошим тоном будет оформить короткую версию с основными тезисами, а полную политику — разместить по ссылке. Чем конкретнее формулировки, тем ниже шанс получить претензию от клиента или Роскомнадзора.
Шаг 5. Настройте сбор согласий. Согласие на обработку персональных данных и согласие получать маркетинговые рассылки — это далеко не одно и то же. Поэтому собирать их нужно по отдельности и явно, с понятными формулировками.
Скрытые галочки, предзаполненные поля и общее согласие «на всё и сразу» Роскомнадзор может признать недействительными. Все данные о согласии — кто, когда и на что его дал — необходимо фиксировать в системе. Это защитит компанию при проверке регулятора или конфликтной ситуации.
Шаг 6. Проверьте, что компания зарегистрирована в реестре операторов ПДн. Если вы ещё не направляли уведомление, сделайте это как можно скорее. Все компании, которые собирают и обрабатывают персональные данные, обязаны уведомить Роскомнадзор о начале такой деятельности. Без регистрации в реестре операторов работа с данными клиентов считается нарушением и может стоить компании до 300 тысяч рублей за первое и до 500 тысяч рублей за повторное.
Откладывать изменения — значит рисковать каждый день. Иностранные сервисы, устаревшие формы обратной связи, «серые» базы — всё это потенциальные нарушения. Задача компаний — найти слабые места и принять меры по их устранению до того, как этим займётся Роскомнадзор.
Что делать, если остались вопросы
Пока юридической практики недостаточно, штрафы начнутся с 30 июня, но к этому времени нужно привести все юридические вопросы, связанные с обработкой персональных данных, в порядок.
Sendsay как сооснователь «Ассоциации компаний по обработке персональных данных», проводит открытый вебинар. 30 июня в 12:00 по мск слушатели получат ответы на все важные вопросы: как подготовиться к изменениям, что обязательно нужно проверить и как не сломать маркетинговые процессы. Регистрация по ссылке.
