menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Маркетинговые технологии и GDPR: как бизнесу соблюдать требования и не потерять клиентов

лонгриды
13.01.2023
23/09/25
Б-152
Лонгриды
События /
Маркетинговые технологии и GDPR
Маркетинг в 2025 году стал немыслим без цифровых технологий: аналитика поведения пользователей, таргетированные рассылки, использование cookie и трекинговых инструментов. Но чем активнее бизнес работает с данными клиентов, тем выше риски столкнуться с претензиями регуляторов и потерять доверие аудитории.
В России действует Федеральный закон № 152-ФЗ «О персональных данных», а для компаний, работающих с клиентами из ЕС или обрабатывающих данные европейцев, дополнительно актуален GDPR.
Подходы к согласию, обработке и хранению данных заметно различаются. Ошибки стоят дорого: только за 2024 год суды в России вынесли более 300 решений о штрафах по делам о нарушениях в сфере персональных данных, а крупнейшие мировые компании под санкциями GDPR теряли десятки миллионов евро.
Как бизнесу выстроить маркетинговые процессы так, чтобы и требования выполнить, и клиентов удержать?
Согласие на маркетинговые рассылки: российский и европейский подход
Cookie как маркетинговый инструмент: классификация и правовые риски
Содержание
Виды cookie в ЕС:
Правовые особенности
Когда сайт подпадает под действие GDPR
Технические особенности
Разница подходов: Россия vs. ЕС
Особенности маркетинга
Чек-лист для бизнеса
Кейсы и ошибки на практике
Заключение: баланс между законом и маркетингом
Согласие на маркетинговые рассылки: российский и европейский подход
Cookie как маркетинговый инструмент: классификация и правовые риски
Содержание
Виды cookie в ЕС:
Правовые особенности
Когда сайт подпадает под действие GDPR
Технические особенности
Разница подходов: Россия vs. ЕС
Особенности маркетинга
Чек-лист для бизнеса
Кейсы и ошибки на практике
Заключение: баланс между законом и маркетингом

Согласие на маркетинговые рассылки: российский и европейский подход

Главное различие в регулировании — форма согласия.
В России согласия на cookie для аналитики поведения пользователя на сайте собирается путем добавления баннера на сайт.
В ЕС (GDPR) подход более строгий: согласие должно предусматривать возможность отказаться от сбора cookies путем выбора собираемых файлов. От обязательных cookies отказаться нельзя.

Cookie как маркетинговый инструмент: классификация и правовые риски

Cookie-файлы — это основа онлайн-маркетинга и веб-аналитики.
Cookies упоминаются в Recital 30. Согласно положениям GDPR, cookies являются персональными данными: «Физические лица могут быть связаны с онлайн-идентификаторами, предоставляемыми их устройствами, приложениями…
Это может оставлять следы, которые, в частности, в сочетании с уникальными идентификаторами и другой информацией, полученной серверами, могут быть использованы для создания профилей физических лиц и их идентификации".
В РФ Файлы cookie относятся к персональным данным исходя из толкования ч. 1 ст. 3 ФЗ-152, а также упоминаются в качестве таковых в судебных решениях:

Виды cookie в ЕС:

1. Необходимые (essential cookies)
  • Обеспечивают базовую работу сайта (например, авторизация, сохранение товаров в корзине, выбор языка интерфейса);
  • В ЕС можно использовать без согласия, так как они нужны для полноценного использования сайта.
2. Функциональные (preferences cookies)
Функция: сохраняют пользовательские настройки — например, запоминают регион, параметры отображения или выбранный интерфейс.
Правовое регулирование: в ЕС требуют согласия, так как не являются строго необходимыми. В России допускаются при наличии политики обработки данных.
3. Аналитические (analytics cookies)
Собирают информацию о том, как пользователи взаимодействуют с сайтом (Google Analytics, Яндекс. Метрика).
Правовое регулирование:
  • В ЕС — требуют активного согласия (пользователь должен явно разрешить включение);
  • В России всегда требуют наличия на сайте баннера со ссылкой на политику  обработки персональных данных.
4. Маркетинговые / рекламные (marketing cookies, tracking cookies)
Отслеживают поведение пользователей для таргетинга рекламы, ретаргетинга и персонализации контента. Например, Google Ads.
5. Сторонние cookie (third-party cookies)
Устанавливаются не самим сайтом, а внешними сервисами (соцсети, рекламные сети, платежные системы). Важно учитывать, где находится база данных, где первично собираются ПДн.
Правовое регулирование:
  • В ЕС также требуют прямого согласия;
  • В России также необходимо согласие на обработку персональных данных для сбора и обработки.

Правовые особенности

В России cookie является персональными данными, поэтому необходимо обрабатывать на основании согласия на обработку персональных данных.
В ЕС пользователь должен дать согласие до начала обработки не обязательных cookie. Поэтому в Европе на баннерах есть выбор: «принять все», «отклонить все», «настроить».

Когда сайт подпадает под действие GDPR

Применимость закреплена  в ст. 3 GDPR. Регламент действует, если:
  1. К обработке персональных данных организациями, зарегистрированными в ЕС, независимо от того, где фактически происходит обработка.
  2. К компаниям вне ЕС, если они:
  • предлагают товары или услуги лицам в ЕС (в том числе бесплатно), или
  • отслеживают поведение лиц на территории ЕС.
К обработке данных организациями за пределами ЕС, но находящимися в юрисдикции государства-члена по международному праву.

Технические особенности

Ключевые элементы:
1. Баннер при первом входе. Отображается сразу при загрузке сайта, не в футере сайта.
2. Ясное объяснение категорий cookie: необходимые, аналитические, маркетинговые / рекламные, функциональные.
3. Кнопки «Принять все», «Отклонить все» и «Настроить».
Нельзя скрывать кнопку «Отклонить», она должна быть доступна так же, как и «Принять».
4. Отложенная загрузка cookie.
Аналитические и маркетинговые cookie не могут устанавливаться до получения согласия. Это реализуется через скрипты, которые запускаются только после выбора пользователя.
5. Возможность изменить решение.
6. Добавлять ссылку на политику конфиденциальности и политику cookie.
Пользователь должен иметь возможность в любой момент отозвать согласие, и обычно это реализуется через «cookie settings» в подвале сайта.

Разница подходов: Россия vs. ЕС

Сравнивая российскую и европейскую модели, важно понимать, что они строятся на разных принципах:
Россия (152-ФЗ) — более простая модель, где ключевое — это наличие согласия, и баннера на сайте достаточно. Однако важно учитывать технические особенности его размещения: нельзя допускать, чтобы СОПД было достанут только в футере сайта, также важно добавить гиперссылку на политику конфиденциальности. и
ЕС (GDPR) — подход основан на философии «privacy by default», где любое действие с данными должно быть минимизировано, а согласие явным, добровольным и подтвержденным активным действием.
Здесь важен не только сам факт согласия, но и то, как именно оно получено и задокументировано, поэтому важно добавить на баннер возможность отказаться от сбора аналитики и cookies, а также дать пользователю выбрать cookies, которые будут собраны.
Если коротко:
  • В России достаточно добавить текст «Нажимая кнопку, вы соглашаетесь на обработку данных».
  • В ЕС нужно предоставить пользователю выбор, позволить отклонить cookies так же легко, как и принять.

Особенности маркетинга

Строгое соблюдение закона часто вызывает у бизнеса страх: «если мы будем спрашивать разрешение, никто не согласится». На практике это не так.
Что нужно сделать:
Прозрачность = доверие. Если клиент видит понятное объяснение, зачем нужны данные, он чаще соглашается.
Гибкость выбора. Разделяйте согласия: рассылка новостей, персонализированные предложения, аналитика. Клиент более свободен в выборе, что также создает доверительные отношения.
UX. Минимизируйте количество кликов и используйте «человеческий язык» для описания собираемых cookies.

Чек-лист для бизнеса

Для маркетологов
Для IT-специалистов
  1. Используйте только те инструменты аналитики и рекламы, которые согласованы с юридическим отделом.
  2. Проверяйте видимость баннеров.
  3. Не используйте персональные данные пользователей в маркетинговых целях без их согласия.
  1. Настройте отложенную загрузку cookie, аналитика и маркетинг запускаются только после согласия.
  2. Реализуйте кнопку «Отклонить» и «Настроить».
  3. Ведите логи согласий и отказов, храните их в защищенной среде.
  4. Обеспечьте шифрование при передаче данных и настройте регулярные обновления ПО.
Для юристов и DPO
  1. Проверьте наличие и актуальность политики конфиденциальности или политики cookie.
  2. Разрабатывайте внутренние инструкции для сотрудников: кто и на каком основании может использовать данные клиентов.
  3. Проводите внутренние аудиты для выявления несоответствий и их устранения.
  4. Отслеживайте изменения законодательства (ФЗ-152, GDPR, судебная практика), чтобы иметь возможность скорректировать согласие.

Кейсы и ошибки на практике

Ошибка 1. Баннер только с кнопкой «ОК» для ЕС
Это означает, что пользователь не получает возможности выбора: принять или отклонить разные категории файлов. Такой подход полностью противоречит GDPR, где требуется предоставлять как минимум равнозначные кнопки: «Принять все» и «Отклонить все», а также возможность детальной настройки.
Международные компании используют баннер с одной кнопкой «OK» или «Мы используем cookies». 
Риски:
  • В ЕС такой баннер не соответствует стандартам GDPR
  • Штрафы в разы больше, чем в РФ
Ошибка 3. Отсутствие механизма отзыва

Даже если компания собирает согласие, она часто забывает про вторую часть требования: возможность его отозвать так же легко, как и дать. Например, пользователь согласился на маркетинговые cookie, но потом решил отказаться. Если у него нет кнопки «Изменить настройки» или «Отозвать согласие», это нарушение.
Риски:
  • Жалобы пользователей ведут к проверкам и предписаниям
  • В ЕС контролирующие органы рассматривают это как нарушение принципа прозрачности и добровольности
Такое согласие считается недействительным, должно быть:
Внизу сайта, в футере, или в пользовательском соглашении закреплена фраза «Продолжая пользоваться сайтом, вы соглашаетесь на использование cookie». 
  • добровольным
  • информированным
  • выраженным активным действием
Риски: в России подобная практика тоже не отвечает критериям информированности. РКН придерживается точки зрения, что баннер должен располагаться на сайте и быть видимым. Закрепить условия обработки cookies в политике конфиденциальности нельзя.
Ошибка 2. Согласие в пользовательском соглашении «по умолчанию»


Заключение: баланс между законом и маркетингом

Соблюдение требований к обработке персональных данных — это элемент стратегии доверия. Те компании, которые строят прозрачные процессы, выигрывают: клиенты охотнее делятся данными, реже жалуются, дольше остаются с брендом.
И если российское законодательство в целом лояльнее, чем GDPR, то грамотный бизнесу уже сейчас стоит ориентироваться на более строгие стандарты, т.к. это инвестиция в устойчивость, международные перспективы и лояльность клиентов.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме