Персональные данные и 152-ФЗ в CRM-маркетинге: как собирать согласия правильно
Штраф до 18 млн и заблокированная рассылка — реальная цена за криво собранные согласия. Разбираем, как закрыть юридические дыры в CRM.
С 30 мая 2025 года штрафы за нарушения в обработке персональных данных выросли в разы. За незаконную обработку компания теперь платит до 300 тысяч за первый случай и до 700 тысяч за повторный. За утечку базы — оборотный штраф до 3% выручки, но не больше 500 миллионов. И это не угроза из методички Роскомнадзора, а реальность, в которой уже живут мейлеры и ритейл с большими базами.
При этом большинство компаний с внедренным CRM собирают согласия так, будто на дворе 2018 год. Чекбокс «согласен со всем» одной галочкой, форма без политики обработки, импорт холодной базы из бог знает какого источника. Все работает ровно до первой жалобы или проверки. Дальше — предписание, блокировка рассылки и разговоры с юристами вместо запуска триггерных сценариев. Екатерина Чернова, CRM-маркетолог ClientCore, объясняет, как выстроить сбор данных так, чтобы не бояться ни проверок, ни жалоб.
ЧИТАЙТЕ ТАКЖЕ
«Рекомендации не кликают и не продают? В 8 случаях из 10 проблема не в алгоритме, а в фиде. Разбираем требования и ошибки.»
Маркетолог думает категориями LTV, реактивации и сегментов. А с точки зрения закона он каждый день оператор персональных данных, который обрабатывает имена, телефоны, email, историю покупок и поведение на сайте. Все это — персональные данные в CRM-маркетинге, и каждое действие с ними должно опираться на законное основание.
Проблема в том, что CRM соединяет десятки источников: сайт, офлайн-кассы, формы в соцсетях, выгрузки от партнеров. На каждом стыке согласие либо собирается, либо теряется. Клиент оставил телефон на кассе ради бонусной карты — это одно согласие. Вы отправили ему промо-рассылку — для этого нужно другое. Смешали все в одну кучу — получили нарушение, даже если клиент лоялен и покупает регулярно.
Самая частая ошибка при аудите — компания собрала миллион контактов через программу лояльности и шлет по ним маркетинговые рассылки. А согласие на рекламу никто не брал, было только согласие на обработку для начисления баллов. Формально вся база нелегитимна для рассылок. Одна жалоба в РКН — и пишите объяснительные по всему сегменту.
Екатерина Чернова
CRM-маркетолог, ClientCore
Согласие на обработку и согласие на рассылку — это разные вещи
Здесь спотыкается почти каждый. 152-ФЗ регулирует обработку персональных данных в целом. Реклама регулируется отдельно — законом «О рекламе», статья 18: рассылать рекламу можно только с предварительного согласия абонента. Два отдельных юридических основания, и одно не покрывает другое.
На практике это выглядит так. Когда человек оформляет заказ, вы обрабатываете его данные на основании договора — без отдельного согласия, доставка и оплата невозможны без этого. Но как только вы хотите слать ему акции, подборки и «мы соскучились» — нужно явное согласие на рассылку по 152-ФЗ и на получение рекламы. Без него любая welcome-цепочка превращается в потенциальный штраф.
Норма
отдельная галочка на обработку данных для исполнения договора
отдельная галочка на получение рекламных рассылок
обе сняты по умолчанию, человек ставит их сам
ссылка на политику обработки рядом с формой
Red flag
одна галочка «согласен со всем» сразу проставлена
согласие на рекламу спрятано в пользовательском соглашении на 40 страниц
рассылки по базе, собранной «для бонусной карты»
импорт чужой базы с формулировкой «они же где-то согласие давали»
Как должно выглядеть правильное согласие
Согласие должно быть конкретным, информированным и сознательным. Человек понимает, кто собирает данные, зачем, какие именно и что с ними будут делать. Размытая формулировка «согласен на обработку моих данных в маркетинговых целях» уже не проходит — нужна конкретика.
В тексте согласия должны быть: наименование и адрес оператора, цели обработки, перечень данных, перечень действий с ними, срок действия и способ отзыва. Для рассылок добавляется указание на каналы — email, SMS, мессенджеры, пуши. Решили добавить новый канал, на который согласия не было, — это уже выход за рамки.
Разбирали кейс, где клиент собирал согласие только на email, а потом запустил каскад в WhatsApp и SMS через Mindbox. Каналы добавили, а формулировку согласия — забыли. Получилось, что половина коммуникаций шла без основания. Переписали текст согласия, перевыпустили формы, прогнали по базе повторный сбор по спорным сегментам. Заняло три недели, но это дешевле любого штрафа.
Екатерина Чернова
CRM-маркетолог, ClientCore
Двойное подтверждение и зачем оно нужно
Double opt-in — это когда после подписки человеку приходит письмо со ссылкой подтверждения, и только после клика он попадает в активную базу. По закону это не строго обязательно, но это ваша страховка. Если клиент пожалуется, что не давал согласия, у вас есть доказательство: вот время подписки, вот факт подтверждения, вот IP.
Без double opt-in вы беззащитны. Кто-то ввел чужой email на вашей форме — и вы уже шлете рекламу человеку, который ничего не подписывал. Он жалуется, а доказать факт согласия нечем. Для холодных и полухолодных каналов подтверждение почти обязательно, особенно если база большая.
Технически это настраивается в любой нормальной платформе. В том же Mindbox — стандартный сценарий: форма подписки, триггерное письмо-подтверждение, перевод в активный сегмент после клика. Главное — хранить логи: дата, источник, версия текста согласия, факт подтверждения. Это ваш юридический щит.
Норма
double opt-in для всех новых подписок
хранение даты, источника и текста согласия в карточке клиента
логи действий с подтверждениями за весь срок
версионирование текстов согласий
Red flag
подписка активируется мгновенно без подтверждения
нет данных, когда и откуда человек попал в базу
старый текст согласия перезаписан новым без истории
доказательств согласия нет вообще
Отзыв согласия и право на забвение
Закон дает человеку право отозвать согласие в любой момент, и сделать это должно быть так же просто, как подписаться. Кнопка «отписаться» в каждом письме — не вежливость, а требование. Причем отписка должна работать в один-два клика, без формы из десяти полей и капчи.
Дальше важный момент: отозвал согласие — вы прекращаете обработку для соответствующих целей. Отписался от рассылки — реклама не идет. Но если он остается вашим клиентом, транзакционные письма (чек, статус заказа) слать можно — они на другом основании. А вот удалять контакт из CRM целиком при отписке не нужно и часто вредно: вы теряете историю, которая нужна для других законных целей.
Сбор данных о клиентах должен сопровождаться четким механизмом их удаления по запросу. Пришел запрос на удаление — у вас есть срок отреагировать, и процесс должен быть отлаженным, а не «Вась, удали вручную из базы этого человека». В крупной базе ручной процесс — гарантированная ошибка.
Видела ситуацию, когда человек отписался, а его не убрали из активного сегмента — техническая накладка в синхронизации. Через две недели ему ушла очередная акция. Он написал жалобу в РКН. Компания получила предписание и потратила кучу времени на разбирательство из-за одного непрожатого статуса. Поэтому отписка и отзыв должны работать автоматически и сквозь все системы.
Екатерина Чернова
CRM-маркетолог, ClientCore
Импорт базы и трансграничная передача — две минные растяжки
Любимое дело — взять базу от партнера, из старой системы или с прошлой работы и залить в CRM. С точки зрения закона это передача персональных данных, и она требует основания. Если у того, кто вам передал базу, не было согласия на передачу третьим лицам — вы обрабатываете данные незаконно с первой секунды. Не важно, что вы «купили легально».
Перед импортом любой базы задайте три вопроса: откуда данные, было ли согласие на их обработку с вашими целями, было ли согласие на передачу. Если ответов нет — база токсична. Лучший вариант для таких контактов — реактивационная кампания с повторным сбором согласия, а не прямая рассылка рекламы.
Отдельно — где физически лежат ваши данные. Серверы должны быть на территории РФ, это требование о локализации. Если вы используете зарубежный сервис рассылок или аналитики, данные россиян могут утекать за границу без оснований. Проверьте, где хостится ваша CRM и все подключенные к ней инструменты. С учетом нынешних штрафов это уже не формальность.
Что проверить в своем CRM прямо сейчас
Не дожидаясь проверки, пройдитесь по четырем точкам. Это не заменит юридический аудит, но закроет самые очевидные дыры.
Формы: на каждой ли есть отдельные согласия и ссылка на политику. База: по каким основаниям собраны разные сегменты, нет ли среди них «бонусных» контактов в маркетинговых рассылках. Каналы: совпадают ли с теми, на которые брали согласие на рассылку по 152-ФЗ. Процессы отписки и удаления: работают ли автоматически и сквозь все системы.
Норма
каждый сегмент имеет понятное законное основание
согласия хранятся с датой, источником и версией текста
отписка и отзыв автоматизированы
данные локализованы в РФ
Red flag
никто в компании не может сказать, откуда взялась половина базы
согласия нигде не логируются
рассылки идут по импортированным «ничьим» контактам
зарубежный сервис обрабатывает данные клиентов
CRM-маркетинг и соблюдение 152-ФЗ — не противоречие. Легитимная база работает лучше токсичной: меньше жалоб, выше доставляемость, чище аналитика. Согласие на рассылку по 152-ФЗ — это не помеха конверсии, а фильтр, который оставляет тех, кто действительно хочет получать ваши письма. А они и покупают.
ЧИТАЙТЕ ТАКЖЕ
«Платформа внедрена, рассылки идут, а выручка не растет — почти всегда проблема в данных, а не в инструменте.»
Можно ли рассылать рекламу по базе, собранной для программы лояльности?
Нет, если при регистрации не было отдельного согласия на получение рекламных рассылок. Согласие на обработку данных для начисления баллов не покрывает маркетинговые коммуникации. По таким контактам нужно собрать согласие повторно — например, через реактивационную кампанию с явным предложением подписаться.
Обязателен ли double opt-in по закону?
Прямого требования в 152-ФЗ нет. Но двойное подтверждение — единственный надежный способ доказать, что человек действительно дал согласие, если он подаст жалобу. Без него вы рискуете отвечать за email, который ввел кто-то другой. Для больших баз и холодных каналов это фактически необходимость.
Что грозит за нарушения при сборе персональных данных?
С мая 2025 года штраф за незаконную обработку — до 300 тысяч рублей за первый случай и до 700 тысяч за повторный. За утечку базы предусмотрены оборотные штрафы до 3% годовой выручки. Плюс Роскомнадзор может вынести предписание и приостановить обработку данных — то есть остановить рассылки до устранения нарушений.