menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2025
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ
Закрыть вкладку проще, чем закрыть претензии регулятора.
Оставьте заявку на консультацию — бесплатно разберем, где у вас реальные риски и чем это грозит в деньгах.
🡒
Оставить заявку

Какие риски прячутся в маркетинге (рассылки, CRM)

лонгриды
13.01.2023
04/12/25
Б-152
Лонгриды
События /
Какие риски прячутся в маркетинге (рассылки, CRM)
Маркетинг — основной канал взаимодействия компании с клиентом. 
Почтовые рассылки, push-уведомления, сегментация в CRM — все это привычные инструменты, позволяющие привлекать новых покупателей и удерживать постоянных. 
Но именно в этих процессах скрывается один из самых уязвимых элементов бизнеса — обработка персональных данных (ПДн). Ошибки здесь могут стоить дорого: от штрафов и проверок Роскомнадзора до репутационного кризиса.
Какие данные реально собирает маркетинг
Где обычно размещается согласие на рассылки
Содержание
ИИ в маркетинге
Обучение ИИ на клиентских данных
Как действовать правильно: исправление распространенных ошибок
Чек-лист для руководителя
Заключение
Какие данные реально собирает маркетинг
Где обычно размещается согласие на рассылки
Содержание
ИИ в маркетинге
Обучение ИИ на клиентских данных
Как действовать правильно: исправление распространенных ошибок
Чек-лист для руководителя
Заключение
К персональным данным относится любая информация, которая прямо или косвенно принадлежит определенному или определяемому физическому лицу (субъекту персональных данных).

Какие данные реально собирает маркетинг

Когда речь заходит о рассылке, многие бизнес-владельцы думают лишь об адресе электронной почты. Но на практике маркетинговые сервисы собирают и обрабатывают гораздо больше:
  • имя (если указано в CRM или при регистрации);
  • номер телефона;
  • идентификаторы пользователя в CRM (ID, сегментация, история покупок);
  • дату и время открытия письма;
  • примерное местоположение (страна, иногда город);
  • поведенческие данные: пролистывание письма, переходы по ссылкам, время просмотра.
С точки зрения 152-ФЗ «О персональных данных» все эти сведения позволяют прямо или косвенно идентифицировать конкретное лицо. А значит, на них распространяются все требования законодательства о персональных данных.

Где обычно размещается согласие на рассылки

Под формой сбора контактов на сайте
Классический вариант — блок «Подписаться на новости и акции». Пользователь сам вводит адрес электронной почты или телефон и ставит галочку рядом с текстом «Даю согласие на обработку персональных данных и получение рассылки». Важно, чтобы согласие могло быть открыто по гиперссылке, а также была ссылка на политику конфиденциальности.
После оформления заказа
Многие интернет-магазины предлагают подписку на рассылку в процессе оформления покупки. Но здесь важно разделять согласие на обработку данных для выполнения договора (доставка, оплата) и согласие на маркетинговую коммуникацию. Если в форме заказа галочка стоит по умолчанию, форма некорректна. Согласие должно быть отдельным действием клиента, ставить в зависимость
При регистрации личного кабинета или аккаунта
На практике распространено объединять согласие на обработку ПДн и согласие на маркетинг в одном документе. Это ошибка: для целей маркетинга необходимо отдельное согласие. Оптимально создать отдельный чек-бокс «Я согласен получать рассылки» с гиперссылкой на текст согласия и политику конфиденциальности.
В договорах
Компании, которые работают офлайн, часто включают согласие на рассылку в клиентскую анкету или договор обслуживания. Здесь также нужно разделять согласие на обработку ПДн для исполнения договора и отдельное согласие на рекламу и уведомления. 

Главные риски

Классическая ошибка — автоматически включать клиента в базу после покупки или регистрации. 
Формальные «галочки» в договорах, проставленные по умолчанию, Роскомнадзор и суды признают недействительными.
Предварительное согласие обязательно для обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (ч. 1 ст. 15 № 152-ФЗ)
1. Рассылки без согласия
Может быть нарушено и законодательство о рекламе, если в документе есть согласие на осуществление прямых контактов с потенциальным потребителем в целях продвижения товаров, работ, услуг на рынке.
Судебная практика это подтверждает:
Хранить ПДн можно только до достижения цели обработки и в течение сроков, предусмотренных законодательством. Необходимо иметь триггер, который соотносится с целью маркетинга. Релевантными выглядят несколько вариантов:
  • Отзыв СОПД — уничтожение в течение 30 дней после отзыва (ч. 4 ст. 21 152-ФЗ);
  • Удаление аккаунта клиента — уничтожение в течение 30 дней после удаления (ч. 4 ст. 21 152-ФЗ)/ 5 лет после удаления аккаунта (п. 492 Приказа Росархива № 236);
  • Прекращение договорных отношений — 5 лет после исполнения обязательств по договору (п. 492 Приказа Росархива № 236);
  • Прекращение программы лояльности — 30 дней после прекращения (ч. 4 ст. 21 152-ФЗ).
Ошибкой многих компаний становится «архивирование на всякий случай». Хранение после достижения цели и предусмотренных сроков — это продолжение обработки, т. е. нарушение.
Поэтому важно заранее определить триггеры уничтожения и закрепить их в регламенте: автоматические алгоритмы в CRM, акты для бумажных носителей, которые содержат персональные данные субъектов — клиентов.
Маркетинговые базы часто живут до момента, когда компания закрывается. Однако, согласно, п. 41 и п. 42 Приказа РКН от 24.12.2021 N 253, необходимо соблюдать сроки хранения ПДн. 
2. Бессрочное хранение
Как использовать на практике:
Неисполнение или нарушение требований ведет к штрафам от 150 000 рублей до 300 000 рублей по ч. 1 ст. 13.11 КоАП за каждый случай незаконной обработки персональных данных (штраф за повторное нарушение по ч. 1.1 ст. 13.11 КоАП РФ — от 300 000 до 500 000 рублей).
Компании для рассылок используют внешние платформы: UniSender, Mailchimp. Это обработчики, их необходимо указывать в СОПД, а также в поручении на обработку ПДн. Согласно п. 3 Приказа РКН от 24.12.2021 N 253, оператор должен иметь основание для передачи ПДн субъектов.
3. Передача данных сервисам-отправителям
Неисполнение или нарушение требований также ведет к штрафам от 150 000 рублей до 300 000 рублей по ч. 1 ст. 13.11 КоАП за каждый случай незаконной обработки персональных данных (штраф за повторное нарушение по ч. 1.1 ст. 13.11 КоАП РФ — от 300 000 до 500 000 рублей).
Как использовать на практике:
Если компания передает обработку персональных данных сторонним сервисам или подрядчикам (например, email-платформам, интеграторам CRM, колл-центрам), необходимо заключить поручение.
Также можно выделить выделить отдельный раздел в договоре между обработчиком и оператором, «Конфиденциальность». В нем можно закрепить обязательства обработчика:
  • использовать ПДн только для целей, обозначенных оператором;
  • соблюдать требования 152-ФЗ;
  • уведомлять о любых инцидентах оператора в срок, указанный в поручении;
  • возвращать или уничтожать данные после завершения договора;
  • Передавать логи или иное подтверждение удаления данных субъектов оператору.
Проверить места хранения — серверы — приложений, которые используются в маркетинге. Если используется облачное решение, можно уточнить, есть ли коробочное решение. У установки приложения на сервер компании есть несколько преимуществ.
Во-первых, данные пользователей будут собираться в РФ, т. е. требования о соблюдении локализации будут соблюдены.
Во-вторых, часто коробочные решения предполагают возможность изменить программу под вас, добавить нужные функции. Например, если добавить автоматизированное удаление данных пользователей по определенному триггеру, будет также соблюдаться требование о соблюдении сроков хранения.
Согласно ст. 12 152-ФЗ оператор обязан убедиться, что в стране, куда передаются данные, обеспечивается надлежащая защита ПДн. В условиях, когда многие сервисы используют зарубежные серверы.
4. Трансграничная передача
Как использовать на практике:
Бизнес обязан локализовать базы в РФ, т. е. Первоначальный сбор персональных данных должен производиться на территории РФ. За нарушение требований о локализации предусмотрен штраф по ч. 8 ст. 13.11 КоАП РФ, за повторное нарушение — ч. 9 ст. 13.11 КоАП РФ.

ИИ в маркетинге

Компании все чаще используют ИИ-сервисы для сегментации клиентских баз, предиктивного анализа поведения, персонализации рассылок и динамического ценообразования. Эти технологии позволяют повысить конверсию и снизить маркетинговые расходы, но одновременно создают новые юридические и организационные риски.
  • Данные клиентов не попадают набор ПДн, на которых обучается ИИ, а используются только для обработки внутри алгоритма.
В большинстве маркетинговых решений ИИ применяется для анализа уже существующих данных клиентов. Например, система прогнозирует, какой сегмент откроет письмо, или автоматически предлагает товары «с высокой вероятностью покупки». В этом случае:
  • Требования закона сохраняются в полном объеме: данные должны быть локализованы, доступ ограничен, обработка описана в СОПД.
  • Основной риск — передача данных за границу, если используется облачный ИИ-сервис. Если серверы находятся за пределами РФ, это потенциальное нарушение ст. 18 152-ФЗ о локализации. 
Маркетинг растет, ПДн требуют порядка
Если маркетинг уже активно работает с базами, но процессы и согласия не успели за ростом, разумно провести точечный аудит и выстроить работу с персональными данными без остановки кампаний.
ОСТАВИТЬ ЗАЯВКУ

Обучение ИИ на клиентских данных

Более сложный и рискованный сценарий — когда данные клиентов используются для обучения или дообучения нейросетей. В этой ситуации:
  • Данные клиентов становятся частью датасета.
  • Требуются отдельные согласия субъектов, согласия на рассылку недостаточно: обучение ИИ — другая цель. Нужно указать, что данные клиента могут быть использованы для анализа и обучения алгоритма.
  • Если обучение проходит за рубежом, возникает риск нарушения требований о локализации.
  • После обучения данные могут «остаться» в модели в виде весов и взаимосвязей, что делает их уничтожение фактически невозможным. Это противоречит требованию об уничтожении ПДн после достижения цели.
  • Можно использовать только обезличенные массивы данных (например, статистику открытий писем без имен и контактов, либо искусственно синтезированные датасеты).
Согласно п. 9 ч. 1 ст. 6 152-ФЗ, оператор вправе обрабатывать обезличенные данные для исследовательских и статистических целей. Также с 1.09.2025, согласно Приказу РКН, коммерческие операторы вправе обезличивать по методам РКН для собственных целей. Так, обработка обезличенных данных будет считаться правомерной.
Важно: обезличенные персональные данные остаются персональными данными, поэтому на них распространяются требования о локализации, сроках хранения и т. д.
Важно: обезличенные персональные данные остаются персональными данными, поэтому на них распространяются требования о локализации, сроках хранения и т. д.
Вывод
Искусственный интеллект в маркетинге — это зона повышенного риска для бизнеса. При использовании готовых моделей важно контролировать локализацию серверов и обезличивание данных, а при обучении получать отдельные согласия и документально фиксировать цели. Иначе компания рискует столкнуться не только с претензиями Роскомнадзора, но и с невозможностью соблюсти базовые требования закона о персональных данных.

Как действовать правильно: исправление распространенных ошибок

Получите корректное согласие:
  • Уберите галочку, проставленную по умолчанию из форм.
  • Согласие должно быть отдельным действием клиента: чек-бокс, кнопка «Даю согласие на рассылку» и гиперссылка на текст согласия.
  • Если на данных клиентов будет обучаться ИИ, необходимо собрать СОПД на эту цель.
Проверьте СОПД:
  • Исключите общие формулировки о маркетинговых рассылках в согласии на обработку персональных данных, которое подписывает клиент. Согласие на маркетинг должно быть отдельным.
  • Уточните перечень третьих лиц, которым могут передаваться данные клиентов.
Организуйте хранение данных:
  • В CRM установите срок автоматического удаления контактов после окончания рассылки или отзыва согласия или разработайте и введите регламент для работников по удалению ПДн из систем.
  • Для бумажных документов (анкеты, заявки) предусмотрите процедуру уничтожения — шредирование/ сжигание — и ответственных за уничтожение.
Зафиксируйте факт поручения:
Если вы используете UniSender, MailBox или аналогичные сервисы, зафиксируйте в документах передачу данных и ответственность за их защиту.
Проведите аудит системы сбора данных:
  • Проверьте права доступа сотрудников.
  • Настройте двухфакторную аутентификацию.
  • Используйте регулярное логирование и мониторинг выгрузок.

Чек-лист для руководителя

  • Согласия на рассылку оформлены правильно.
  • Сроки хранения ПДн зафиксированы.
  • СОПД обновлено, корректно.
  • Договоры с сервисами рассылки заключены.
  • В CRM настроен контроль доступа.
  • Процедура уничтожения данных регламентирована.
  • Ответственный за ПДн назначен, проводит регулярные аудиты.

Заключение

Маркетинг — это двигатель продаж, но именно здесь бизнес чаще всего нарушает закон о персональных данных. Для компании любого размера важно воспринимать работу с ПДн не как формальность, а как элемент стратегического управления рисками.
Своевременный аудит процессов, корректные документы и прозрачная работа с клиентами позволяют избежать штрафов и сохранить ключевой актив, а именно доверие.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Разбор типичных ошибок в маркетинговых воронках, кейсов с Роскомнадзором и практики применения ИИ в CRM мы регулярно публикуем в TГ-канале Б-152.
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме