Средняя маркетинговая кампания собирает от 15 до 30 точек данных о каждом клиенте: имя, телефон, email, дата рождения, история покупок, геолокация, поведение на сайте, реакция на рассылки. Это не просто статистика — это персональные данные, за каждую неправомерную единицу которых бизнес сегодня несёт реальную ответственность.

2025–2026 годы стали переломными. С 30 мая 2025 года вступили в силу оборотные штрафы за утечки, с 1 июля 2025 года обязательна локализация баз данных в РФ, с 1 сентября 2025 года согласие можно получать только отдельным документом. Роскомнадзор запустил автоматическое сканирование сайтов с использованием искусственного интеллекта. Цена ошибки — от 300 тысяч до 500 миллионов рублей.

В этой статье разберём, как маркетолог, ивент-менеджер и владелец бизнеса могут выстроить безопасную работу с персональными данными в маркетинге — без штрафов и без потери доверия клиентов.

Маркетинг и 152-ФЗ: главные ошибки и как их избежать

Смешивание целей — главная ошибка маркетологов

Маркетинг — это сфера, где бизнес хочет знать о клиенте «всё», а закон требует минимизации и строго целевого использования данных. Именно здесь происходит большинство нарушений 152-ФЗ.

Типичная картина: менеджер по маркетингу создаёт форму регистрации и просит юриста «добавить галочку под согласие». Юрист вписывает в одну строку и исполнение договора, и рекламные рассылки, и передачу данных партнёрам, и аналитику. Удобно? Да. Законно в 2026 году? Нет.

Каждая цель обработки — это отдельное правовое основание. Смешивать их в одном документе запрещено.

Почему «одна галочка на всё» больше не работает

С 1 сентября 2025 года (156-ФЗ от 24.06.2025) согласие на обработку персональных данных должно оформляться отдельным документом, не встроенным в договор, оферту или анкету. В одном документе — только одна цель обработки. Хотите рекламную рассылку и передачу данных партнёру — нужно два отдельных документа.

Ранее выданные согласия, включённые в договоры, остаются действительными. Новые правила распространяются только на документы, оформленные после 1 сентября 2025 года.

[КЕЙС]

Жительница Волгограда отсудила 10 000 рублей компенсации за SMS-приглашение участвовать в лотерее без её согласия. Суд взыскал 5 тысяч за незаконную обработку персональных данных и ещё 5 тысяч за вторжение в частную жизнь. Материалы переданы в УФАС для возбуждения дела о нарушении рекламного законодательства.

Вывод: даже одно SMS без согласия — это суд, штраф и репутационный удар.

Правовая основа обработки ПДн в маркетинговых коммуникациях

Договор или Согласие на обработку ПДн: как не перепутать

Ключевой вопрос, который нужно задать себе перед каждым сообщением клиенту: «Если мы перестанем это отправлять, сможет ли клиент полноценно пользоваться услугой, которую он оплатил?»

• Да → это сервисная коммуникация, основание — исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ), согласие не требуется.

• Нет → это маркетинг, необходимо отдельное согласие (ст. 9 152-ФЗ + ст. 18 38-ФЗ «О рекламе»).

Сервисные уведомления: можно без согласия

Подтверждение заказа, статус доставки, уведомление об изменении условий договора, напоминание о записи — всё это сервисные коммуникации. Они обрабатываются на основании договора и не требуют отдельного согласия.

Но как только в такое письмо попадает рекламный блок «Специально для вас — скидка 20%», оно автоматически становится рекламным.

Рекламные рассылки: отдельное согласие обязательно

Акции, новые продукты, приглашения на мероприятия, программы лояльности — всё это маркетинговые коммуникации, которые требуют отдельного, явно выраженного согласия.

С 1 сентября 2025 года согласие на рекламную рассылку, согласие на передачу данных партнёрам и согласие на аналитику — это три отдельных документа. Интегрировать их в регистрационную форму или договор запрещено.

Каждый документ должен содержать:

• данные гражданина;

• данные оператора;

• цель обработки;

• перечень данных;

• срок действия;

• порядок отзыва.

Программа лояльности: конструктор комплаенса

Программа лояльности — это классический пример смешанной обработки. В одной системе сходятся данные для идентификации участника, данные для начисления и списания баллов, данные для коммуникации об акциях и данные для аналитики и скоринга (оценки покупательского поведения). Выстроить такую систему законно — задача решаемая, если идти по шагам.

Шаг 1. Разделите цели обработки персональных данных

В реестре обработки персональных данных каждая маркетинговая цель — отдельная строка со своим основанием:

• Идентификация участника и начисление баллов — исполнение договора (правил программы).

• Информирование об акциях — отдельное согласие.

• Передача данных партнёрам — ещё одно отдельное согласие.

Шаг 2. Минимизируйте состав персональных данных

Принцип минимизации — один из ключевых в 152-ФЗ. Если для программы лояльности нужны имя, телефон и дата рождения — не просите паспорт и СНИЛС. Каждый лишний атрибут данных — это лишний риск утечки и дополнительный повод для претензий регулятора. Сбор данных «на всякий случай» в 2026 году — прямой путь к штрафу.

Шаг 3. Оформите правила как договор

Правила программы лояльности — это оферта. Именно в них закрепляется основание для обработки данных в целях участия в программе. При регистрации участник акцептует оферту, и данные обрабатываются без отдельного согласия. Чем чётче прописаны цели в правилах, тем прочнее правовая основа.

Шаг 4. Получите отдельные согласия на обработку ПДн, маркетинг и передачу партнёрам

В анкете участника или электронной форме регистрации — отдельные чекбоксы, не предустановленные:

• ☐ Согласен на получение рекламных сообщений от компании N

• ☐ Согласен на передачу моих данных партнёрам для совместных акций

Никаких предустановленных галочек. Пользователь должен сознательно отметить каждый пункт.

Шаг 5. Обеспечьте локализацию данных

С 1 июля 2025 года первичный сбор, накопление и хранение данных граждан РФ должны осуществляться на серверах в России. Это касается CRM-систем, платформ рассылок, облачных хранилищ. Проверьте, где физически находятся серверы ваших подрядчиков: Mindbox, Unisender, CRM, любого зарубежного SaaS.

Пример структуры согласия для программы лояльности:

• Участник: ФИО, дата рождения, телефон

• Оператор: ООО «Компания», ИНН, адрес

• Цель: информирование об акциях и спецпредложениях

• Получатели данных: ООО «Майндбокс» (платформа рассылок, ОГРН..., адрес...), ИП Иванов И.И. (SMS-провайдер, ИНН...)

• Срок: 5 лет или до отзыва

• Порядок отзыва: направить заявление по адресу...

Обработка персональных данных при организации мероприятий

Мероприятия (выставки, конференции, промо-акции и т.п.) — «горячая точка» сбора данных. Посетители оставляют контакты на стендах, участвуют в розыгрышах, заполняют анкеты, фотографируются. Каждая точка контакта — потенциальное нарушение, если не продумана юридически.

Сбор персональных данных на стенде: бумажные анкеты и визитки

Бизнес-карточка в коробке для визиток на выставочном стенде — это персональные данные. Использовать их для рассылок без согласия нельзя.

Как сделать правильно:

• На каждом бланке анкеты размещайте текст согласия с целями, перечнем данных и ссылкой на политику конфиденциальности.

• Используйте QR-код, ведущий на электронную форму согласия — это удобнее и легче доказывать.

• Бумажные анкеты храните в запираемых местах, ограничьте доступ сотрудников.

• После мероприятия оцифруйте согласия и внесите в реестр обработки.

Розыгрыши призов и лотереи: что должно быть в правилах

Розыгрыши и промо-акции — зона повышенного риска. Правила любой акции должны содержать:

• Цели обработки данных участников (регистрация, определение победителя, вручение приза, налоговая отчётность);

• Состав собираемых данных (минимизация!);

• Срок хранения: данные победителей — для налоговой отчётности; данные остальных участников — до окончания акции плюс срок исковой давности (3 года), затем уничтожение;

• Порядок передачи данных партнёрам (если приз предоставляет партнёр — отдельное согласие).

Из практики: Волгоградка отсудила 10 000 рублей за одно SMS с приглашением в лотерею без её согласия. Суд взыскал компенсацию морального вреда и передал материалы в УФАС. Казалось бы, небольшая сумма — но это публичное дело, репутационный ущерб и прецедент для аналогичных исков.

Фото- и видеосъёмка на мероприятиях

Изображение человека может квалифицироваться как персональные данные (биометрические — если используется для идентификации), и для его публикации необходимо отдельное согласие на распространение по ст. 10.1 152-ФЗ.

Правила 2026:

• Согласие на публикацию фото — отдельный документ (или отдельный чекбокс в бейдже или анкете участника);

• На мероприятиях от 500 человек — организовывайте зоны «без съёмки»;

• Опубликованные фото должны быть удалены по требованию субъекта в разумный срок.

Из практики: в 2026 году Сергей Безруков отсудил у ИП 200 000 рублей за использование его изображения (маски с лицом актёра) без согласия. Суд запретил продажу товаров с изображением артиста. Кейс наглядно показывает: изображение — это персональные данные, и без согласия их использовать нельзя ни в какой форме.

Обработка персональных данных для рассылок: email, SMS, push-уведомления

Отдельное согласие на каждый канал (желательно)

При получении согласия необходимо в первую очередь исходить из цели обработки. Однако, лучшая практика в 2026 году — это раздельные чекбоксы или отдельные формы для каждого канала:

• ☐ Согласен получать новости и предложения по электронной почте

• ☐ Согласен получать SMS-уведомления об акциях

• ☐ Согласен получать push-уведомления в приложении

Лёгкость отписки: как сделать правильно

По первому требованию абонента рассылка должна быть прекращена. Это требование ст. 18 закона «О рекламе».

Практические правила:

• В каждом email — ссылка «Отписаться», работающая без дополнительной авторизации;

• В каждом SMS — инструкция «Отправьте СТОП на номер...»;

• Push-уведомления — кнопка отказа в настройках приложения;

• Срок исполнения запроса на отписку — незамедлительно, максимум в течение 10 рабочих дней.

Доказательства согласия: что хранить

РИСК: Бремя доказывания лежит на отправителе. Если субъект заявляет, что не давал согласия, компания обязана доказать обратное.

Что нужно хранить:

• Логи с IP-адресом, датой, временем и текстом согласия на момент его получения;

• Записи телефонных разговоров (если согласие получено по телефону);

• Скриншоты и архивы заполненных форм;

• Версии форм согласия по датам (при обновлении — сохраняйте все редакции).

Передача персональных данных маркетинговым партнёрам

Современный маркетинг — это экосистема: CRM, платформы рассылок (Mindbox, Unisender), DMP-платформы (системы управления данными для таргетинга), колл-центры, аналитические сервисы, партнёры по кобрендинговым программам. Каждая передача данных третьему лицу должна быть обоснована юридически.

Договор поручения: обязательные условия

С каждым подрядчиком, получающим персональные данные, необходим договор поручения обработки (ч. 3 ст. 6 152-ФЗ). Кроме обязательных по закону положений, в нём должны быть прописаны:

• перечень передаваемых данных;

• цели обработки (строго те, ради которых данные передаются);

• запрет на использование данных в собственных целях подрядчика;

• меры технической и организационной защиты;

• локализация: серверы в РФ;

• порядок возврата или уничтожения данных по окончании договора.

Информирование субъекта: кого указываем в согласии на обработку ПДн

В тексте согласия на передачу данных третьим лицам должны быть прямо указаны наименование, ИНН/ОГРН и адрес каждого получателя. Формулировка «и иным партнёрам» — нарушение требований конкретности согласия.

Чек-лист проверки маркетингового подрядчика:

• Заключён договор поручения обработки ПДн?

• Указан перечень передаваемых данных?

• Прописан запрет на использование в своих целях?

• Подтверждена локализация серверов в РФ (договор или справка о месте хранения)?

• Описаны меры защиты данных?

• Установлен порядок уничтожения данных по окончании сотрудничества?

• Подрядчик указан в согласии субъекта с ИНН и адресом?

Cookie и трекинг в маркетинге — это тоже персональные данные

С 1 июля 2025 года Роскомнадзор запустил автоматическое сканирование сайтов с использованием искусственного интеллекта. Пиксели трекинга (Яндекс.Метрика, VK Pixel), скрипты аналитики и маркетинговые cookies — под особым контролем. Cookie — это персональные данные, если они позволяют идентифицировать пользователя в совокупности с другими данными.

Типы cookies: технические, аналитические, маркетинговые

• Технические (сессионные, авторизационные) — без согласия, необходимы для работы сайта.

• Аналитические — собирают статистику посещений; по 152-ФЗ требуют информирования и возможности отказа.

• Маркетинговые — для ретаргетинга, персонализированной рекламы, передачи данных в рекламные сети; требуют явного согласия.

Как настроить cookie-уведомление правильно

Требования к cookie-попапу в 2026 году:

• появляется при первом заходе на сайт, желательно до активации маркетинговых скриптов;

• содержит разделение по типам cookies с возможностью отказа от аналитических и маркетинговых;

• кнопка «Принять всё» равнозначна по размеру кнопке «Только необходимые»;

• ссылка на политику обработки cookies;

• выбор пользователя сохраняется и логируется.

Пример текста cookie-попапа:

«Мы используем файлы cookie для обеспечения работы сайта, анализа посещаемости и персонализации рекламы. Нажимая „Принять всё“, вы соглашаетесь на все виды обработки. Нажимая „Только необходимые“ — сохраняете только технические cookies. Подробнее — в [Политике обработки cookie].»

ВАЖНО: С 1 июля 2025 года РКН использует искусственный интеллект для автоматического сканирования сайтов и выявления нарушений в работе с cookies и формами согласий. Одна жалоба конкурента — и внеплановая проверка обеспечена. Нарушение в cookie-попапе обнаруживается автоматически и фиксируется как повод для штрафа до 300 тысяч рублей.

Сроки хранения ПДн и отзыв согласия

Сколько можно хранить персональные данные подписчиков

Общее правило 152-ФЗ: данные хранятся не дольше, чем это необходимо для целей обработки. Для маркетинга это означает:

• данные участников разовых акций и розыгрышей — до окончания акции, затем уничтожение (кроме данных победителей — они могут храниться для налоговой отчётности в течение 5 лет);

• данные подписчиков рассылки — до момента отписки;

• данные участников программы лояльности — пока действует договор (правила программы) или до отзыва согласия на маркетинговую часть.

Отзыв согласия: 30 дней на прекращение обработки ПДн

Субъект вправе в любой момент отозвать согласие. Оператор обязан прекратить обработку в течение 30 дней с момента получения заявления (ч. 5 ст. 21 152-ФЗ). Форма заявления — произвольная. Принимать заявление «только письмом по почте» — нарушение. Лучшей практикой является предоставление возможности отозвать согласие тем же способом, которым это согласие получено.

Когда можно продолжать обработку после отзыва

Отзыв согласия не прекращает обработку, если есть иное правовое основание:

• Договор — данные участника программы лояльности обрабатываются в рамках правил программы, пока действует участие;

• Закон — данные победителей акций для налоговых целей хранятся на основании Налогового кодекса РФ;

• Судебное разбирательство — данные могут сохраняться до завершения претензионного или судебного процесса.

Ответственность и риски при обработке персональных данных в маркетинге

Таблица штрафов по 152-ФЗ и 38-ФЗ

Оборотные штрафы за утечки ПДн: от 1% до 3% годовой выручки

С 30 мая 2025 года действуют новые штрафы за утечки персональных данных:

• утечка от 1 до 10 тысяч субъектов — 3–5 млн руб.;

• утечка от 10 до 100 тысяч субъектов — 5–10 млн руб.;

• утечка свыше 100 тысяч субъектов — 10–15 млн руб.;

• утечка биометрических данных — от 15 до 20 млн руб.;

• повторная утечка: 1–3% годовой выручки, но не менее 25 млн и не более 500 млн руб.;

• если утечка повлекла ущерб — уголовная ответственность до 4–10 лет лишения свободы.

Репутационные риски: потеря доверия и уход клиентов

Штрафы — не единственная цена нарушения. По данным опросов, 73% российских потребителей могут перестать пользоваться услугами компании после публичной утечки данных. Доверие восстанавливается годами — если восстанавливается вообще.

РКН активно использует искусственный интеллект для автоматического мониторинга. С 1 марта 2026 года введён государственный реестр дата-центров (ЦОД): хранить персональные данные можно только в сертифицированных объектах из реестра. Это затрагивает не только крупный бизнес, но и любой малый бизнес, использующий облачные CRM-системы. Жалоба конкурента или недовольного клиента — достаточный повод для внеплановой проверки.

Чек-лист безопасной обработки ПДн в маркетинге

ЧЕК-ЛИСТ

12 шагов к защищённому маркетингу:

1. Разделите цели обработки — в реестре каждая маркетинговая цель — отдельная строка со своим основанием и сроком хранения.

2. Проверьте все формы сбора данных — есть ли отдельные чекбоксы на каждую цель? Нет ли предустановленных галочек?

3. Обновите согласия — все согласия, оформляемые после 01.09.2025, — строго отдельными документами (один документ — одна цель).

4. Пропишите получателей данных — в согласии на передачу третьим лицам — конкретные юридические лица с ИНН/ОГРН и адресами.

5. Заключите договоры поручения со всеми подрядчиками: CRM, платформы рассылок, колл-центры, DMP-платформы, провайдеры аналитики и т.п.

6. Проверьте локализацию серверов — все первичные данные граждан РФ — только на серверах в России. Исключите Google Drive, Notion, зарубежные SaaS для хранения персональных данных. Убедитесь, что ЦОД входит в госреестр.

7. Настройте cookie-баннер на сайте.

8. Обучите сотрудников, работающих на мероприятиях: что можно собирать, как хранить бумажные анкеты, кому и как передавать.

9. Организуйте фотосъёмку законно — получайте отдельные согласия на публикацию изображений — в бейдже, анкете или отдельном документе на входе.

10. Настройте автоматическое удаление данных по истечении сроков хранения или при получении запроса на отписку или отзыв согласия.

11. Проверьте правила всех текущих акций и программ лояльности — соответствуют ли они требованиям об отдельном согласии и локализации?

12. Ведите журнал согласий (логи с IP, датой, версией формы) — это ваш главный щит при проверке РКН или судебном иске.

Заключение

Маркетинг в 2026 году — это не только креатив, но и юридическая точность. Чёткое разделение целей, прозрачные согласия, контроль подрядчиков и локализация данных превращают маркетинг из источника риска в инструмент доверия.

Штрафы достигают 500 миллионов рублей, но главная ценность — не избежание санкций, а уважение к приватности клиента.

Клиенты сегодня выбирают те компании, которые не спамят, не «сливают» базы и честно спрашивают разрешение перед каждым контактом. Доверие клиентов — самая твёрдая валюта в экономике данных.