Путаница, которая стоит миллионы: разница закона о «Персональных данных» и закона «О рекламе»

Ситуация: компания взяла у клиентов согласие на получение рассылок. Начинает их отправлять, вроде бы все в порядке. Но однажды приходит проверка, и оказывается, что согласий на обработку персональных данных у компании нет. Формально бизнес соблюдает закон «О рекламе». А вот с законом «О персональных данных» есть проблема.

30 мая 2025 года в силу вступил обновленный 152-ФЗ. Теперь, если компания не получила у пользователя согласие на обработку персональных данных (ПД) – ей грозит штраф до 700 тыс. рублей. При повторном нарушении – до 1,5 миллионов.

Но самые большие штрафы – за утечку данных. Они доходят до 15 млн рублей, а при повторной утечке могут составлять от 1 до 3% годовой выручки.

В статье разбираемся, как маркетологу не запутаться в законах 38-ФЗ и 152-ФЗ. Рассказываем, какие еще есть риски в области коммуникаций сейчас и как их избежать.

Чем отличаются закон «О персональных данных» и закон «О рекламе»

Часто маркетологи и руководители считают, что согласие на рекламную рассылку автоматически покрывает требования 152-ФЗ «О персональных данных». Например, клиенту достаточно поставить галочку «согласен на рассылки» – и компания уже может добавлять его в базу, хранить его имя и адрес, отправлять письма.

На самом деле это не так. Закон «О рекламе» (38-ФЗ) регулирует только согласие на получение рекламы, а закон «О персональных данных» (152-ФЗ) – всю обработку персональных данных (сбор, хранение, передача, обезличивание, удаление и т.д.).

То есть даже если пользователь согласился получать рекламу, у него нужно взять согласие на обработку его персональных данных. Потому что они используются в рассылках.

Глеб Кащеев, генеральный директор Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:

152-ФЗ и 38-ФЗ часто путают, потому что и там, и там нужно согласие. Возникает вопрос: мы собрали разрешение на рассылки, нужно ли собирать согласие на обработку персональных данных? Да, нужно. И наоборот: если у вас есть согласие на обработку ПД, вы не можете делать рекламные рассылки без согласия на них.

Путать эти два закона рискованно, потому что:

• Может быть штраф по закону «О рекламе». Если проверка выявит, что клиент не давал согласия на рекламу, компании придется заплатить до 500 тыс. рублей.

• Может быть штраф по закону «О персональных данных». Если выяснится, что клиент не давал согласия на обработку персональных данных, штраф может доходить до 700 тыс. рублей.

Сравнение закона «О персональных данных» и закона «О рекламе»

Еще 5 рисков при выстраивании маркетинговых коммуникаций

1. Компания не знает, где хранятся согласия на обработку персональных данных

Бывает так: компания получила согласие на рассылки и благополучно отправляет их. Но было ли согласие на обработку ПД – неизвестно.

Глеб Кащеев, генеральный директор Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:

Малый и средний бизнес часто использует много маркетинговых сервисов. Есть CRM, которая хранит клиентов. Есть CMS на сайте, которая тоже может отслеживать данные пользователей. Также мобильные приложения, Яндекс. Метрика, сквозная аналитика, система лояльности. В итоге данные находятся в разных сервисах. Отследить, есть ли согласие на обработку ПД и где оно – почти невозможно.

А если клиент захочет отказаться от обработки ПД, их не получится эффективно удалить. Компания может стереть данные в CRM, но они спокойно останутся во всех остальных сервисах.

В итоге при проверке Роскомнадзора компания не сможет предъявить задокументированные согласия на обработку персональных данных – а это риск штрафа.

2. Компания продолжает коммуникацию с теми, кто прекратил с ней отношения

Здесь есть три варианта нарушений:

• Клиент отказался от получения рассылок, а компания их отправляет – штраф по 38-ФЗ.

• Клиент отозвал согласие на обработку ПД и отказался от рассылок, а компания продолжает хранить его ФИО и рассылать рекламу – риск двойного штрафа: 152-ФЗ и 38-ФЗ.

• Клиент давно не взаимодействует с компанией, но она продолжает отправлять рассылки с использованием ПД – риск штрафа по 152-ФЗ.

Глеб Кащеев, генеральный директор Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:

Возникает вопрос – что такое прекращение работы с компанией. На самом деле устоявшейся практики нет. Но если клиент покупал у вас последний раз два года назад и проверка выявила, что вы до сих пор храните его данные – скорее всего, это будет нарушением.

3. Компания отправляет сервисные рассылки без согласия на обработку персональных данных

Сервисные сообщения информируют пользователя, что заказ оформлен, вебинар начинается или сроки доставки изменились. На них закон «О рекламе» не действует. Но запрашивать согласие на обработку персональных данных по-прежнему необходимо.

Глеб Кащеев, генеральный директор Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:

В сервисных письмах нет рекламы, поэтому и согласие на нее получать не нужно. Главное – собирать разрешение на обработку персональных данных.

Добавлять в такие сообщения обучающие материалы или реферальные ссылки можно. Но если в сервисном письме окажется призыв что-то купить, на что-то потратить деньги – здесь уже добавится 38-ФЗ.

4. Компания работает с серыми базами

Раньше за использование купленных или найденных в открытых источниках баз могли штрафовать по закону «О рекламе». Теперь ситуация стала сложнее.

Глеб Кащеев, генеральный директор Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:

Частая история: бизнес получил базу клиентов от маркетингового партнера и собирается отправлять по ней рассылки. Раньше за это прилетало только по 38-ФЗ, потому что компания делала рассылки по тем, кто на них не соглашался.

Сейчас прилетит также по 152-ФЗ, и гораздо чувствительнее. Потому что не получится предъявить Роскомнадзору согласия на обработку персональных данных. В итоге ответственность наступит сразу по двум законам.

5. Компания выгружает персональные данные на облачные диски

Даже если бизнес хранит базу клиентов в надежной платформе с сильной защитой, кто-то из сотрудников для удобства может выгрузить контакты на облачный диск. Это огромный риск утечек – а значит самых больших штрафов по 152-ФЗ.

Глеб Кащеев, генеральный директор Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:

Бывает так, что маркетинг хочет поздравить клиентов с Новым годом. Выгружает список на гугл-диск, чтобы совместно его использовать и отправлять подарки на почту. Обычно этот файл доступен по ссылке, никакой защиты на нем нет. Так любой, кто случайно или специально попадет на эту ссылку, может слить данные в сеть.

Как защититься от рисков при выстраивании коммуникаций и не попасть под 152-ФЗ

1. Сделать два чекбокса в формах сбора данных

Важно получать оба согласия: и на обработку персональных данных, и на рекламу (если вы собираетесь делать рассылки). Нельзя объединять это в одно целое. Поэтому в форме сбора данных важно сделать два чекбокса.

1. На обработку персональных данных. Здесь должна быть ссылка на Политику обработки персональных данных, где будут описаны цели и способы обработки, порядок отзыва согласия на обработку ПД.

2. На получение рекламных рассылок.

Если человек просто регистрируется на сайте или заказывает товар, он необязательно хочет читать рассылки. Нельзя заполнять за него согласие на получение рекламы. И тем более – отказывать в обслуживании.

Глеб Кащеев, генеральный директор Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:

Нельзя отказывать в покупке или регистрации на сайте, если человек отказывается от получения рекламы. Это однозначная позиция Роскомнадзора, и за это могут штрафовать.

С согласием на обработку персональных данных немного по-другому.

Глеб Кащеев, генеральный директор Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:

В очень редких случаях галочку согласия на обработку ПД можно делать обязательной. Например, не получится продать авиабилет, если компания не получила номер паспорта и ФИО человека. Поэтому форма заказа не будет активной, пока человек не проставит согласие на обработку ПД.

Но если вы интернет-магазин и доставляете товар, вам не нужно знать персональные данные пользователя. Нужны лишь номер телефона и адрес, которые не считаются ПД без имени. Так что человек может отказаться от обработки персональных данных.

2. Собрать согласия на обработку персональных данных у всех старых клиентов

Для этого можно сделать массовую рассылку и попросить всех дать согласие на обработку ПД. Даже если клиент с вами уже 10 лет и вряд ли пожалуется в Роскомнадзор, все равно стоит подстраховаться.

Также можно провести реактивацию базы: отправить рассылку по тем, кто давно не реагирует на письма. А потом удалить всех пользователей, которые так и не откроют ни одного письма.

3. Сделать отзыв согласия на обработку персональных данных простым

Если клиент больше не хочет получать от компании рассылки или пользоваться ее услугами, он имеет право отозвать свое согласие на обработку ПД.

Глеб Кащеев, генеральный директор Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:

Если вы собираете согласие на обработку на сайте, его отзыв тоже должен происходить на сайте. Многие компании ставят препятствия, говорят приехать в офис, заполнить бумажку – все это нарушение.

Порядок отзыва согласия должен быть закреплен в Политике обработки персональных данных на сайте и должен совпадать с тем путем, по которому клиент это согласие предоставлял. Это значит, что если клиент дает письменное согласие на обработку ПДн в офисе компании, то и отзыв нужно писать письменно, в офисе. Если согласие предоставлялось онлайн на сайте, то и отзыв тоже происходит онлайн.

После этого компания обязана прекратить обработку ПД в течение 30 дней, но есть исключение.

Глеб Кащеев, генеральный директор Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:

Если бизнес оказывает услуги по договору, не нужно сразу отзывать согласие. Например, клиент авиакомпании летит в августе, но в конце июня вдруг просит отозвать свое согласие на обработку ПД. По закону компания еще обязана эти данные хранить, поэтому отзыв можно игнорировать.

Бывает и наоборот. Интернет-магазин считает: если человек купил один раз, теперь он считается клиентом, и не отзывает согласие. Но на самом деле это нужно сделать. Прямо сейчас отношений с клиентом нет: компания не доставляет ему заказ.

4. Избегать демонстрации избыточных данных

Ситуация, когда компания доставляет клиенту заказ, при этом узнает кличку его собаки или девичью фамилию матери – считается сбором избыточных данных. Для работы эта информация не нужна. Собирать ее – уже риск штрафа.

Но порой компании еще и демонстрируют клиенту эти избыточные данные.

Глеб Кащеев, генеральный директор Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:

Да, вы можете обогащать знания о клиенте. Делать это на основе покупок и хранить информацию у себя – легально. Но если вы начинаете показывать клиенту, что знаете о нем много – это проблема. Например, отправлять в рассылке что-то такое: «вы недавно болели – вот вам аспирин» или «ваш ребенок скоро пойдет в школу – вот канцтовары». У некоторых пользователей это может вызывать неприятные ощущения. А где они – там и жалоба.

Поэтому лучше использовать данные для персонализации предложений, но не писать прямым текстом, что знаете о клиенте такие детали.

5. Использовать маскировку данных

Маскировка персональных данных особенно полезна при подготовке общих отчетов или сборе статистики – в ситуациях, когда к данным получает доступ широкий круг сотрудников или подрядчиков. В таких случаях реальные сведения о клиентах подменяются похожими, но обезличенными значениями, что снижает риски утечек и нарушений конфиденциальности.

Глеб Кащеев, генеральный директор Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:

Так Сидорова Анна становится Кузнецовой Еленой. Это тоже женщина, с тем же кодом оператора, домен почты тоже сохраняется. В итоге здесь нет чувствительных персональных данных. Отсюда можно вытащить много маркетинговой информации, но при утечке данные окажутся бесполезными.

6. Перейти на платформу, которая хранит всю информацию о клиенте

Это может быть CRM с маркетинговым модулем или CDP. Такое решение позволяет сводить всю доступную информацию о клиенте в единую картину. У каждого пользователя появляется свой профиль. В нем видно, в каких сервисах он зарегистрирован, в каких каналах с ним общаются и где используют его персональные данные.

Так решается сразу две проблемы.

1. В системе видно, какие клиенты прекратили отношения с компанией. Здесь есть история всех действий пользователя: как он заходит на сайт, читает рассылки, покупает, оставляет отзывы и когда все это происходит. И если какой-то клиент давно себя не проявляет, его персональные данные можно легко удалить, чтобы не нарушать 152-ФЗ.

2. Система упрощает отзыв согласия на обработку персональных данных. В ней хранятся не только данные, но и согласия на их обработку – при условии, что клиент их предоставил и они были корректно внесены в CDP. Если клиент захочет отозвать свое согласие, это можно зафиксировать в CDP. Так клиент удалится и из системы, и из всех процессов компании.

Глеб Кащеев, генеральный директор Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:

Вы будете иметь возможность в одном месте видеть прозрачную картину, какие именно данные клиента вы храните, и даже фиксировать факт наличия согласия на обработку ПД. Это позволит видеть, все ли ваши клиенты охвачены согласиями; не храните ли вы избыточные данные; не храните ли данные тех, кто уже прекратил отношения с вашей компанией (по закону вы обязаны удалить их данные). А также быстро и просто удалять данные тех, кто отозвал их. Это позволяет избежать множества штрафов, ну а использование российского защищенного сервиса вместо зарубежного – это уже непременное условие существования компании в рамках правового поля.

Ответственно подходить к хранению персональных данных нужно было всегда. Сейчас это осталось прежним – только штрафы стали выше. Чтобы подстроить маркетинговые коммуникации под текущую ситуацию, понадобится время. Но если сложно – всегда можно обратиться за аудитом или консультацией к профильным специалистам. 

Оригинал статьи на SEOnews

Источник