Чеклист соответствия 152-ФЗ для маркетологов

Штрафы за нарушение 152-ФЗ «О персональных данных» выросли в 2025 году до 500 000 рублей для юридических лиц, а за повторные нарушения — до 18 миллионов рублей. Роскомнадзор усилил контроль, и маркетологи оказались на передовой: именно маркетинг собирает, хранит и обрабатывает основной массив персональных данных клиентов.

Этот чеклист — практическое руководство для маркетологов, которые хотят соблюдать закон без ущерба для эффективности кампаний. Более глубокий разбор — в нашей полной статье о 152-ФЗ и GDPR.

Блок 1: Правовые основания обработки

1. Политика конфиденциальности размещена

• Документ размещён на сайте в свободном доступе
• Содержит перечень обрабатываемых данных
• Указаны цели обработки (маркетинг, аналитика, доставка)
• Указаны сроки хранения данных
• Указан оператор (название компании, ИНН, контакты)
• Описаны права субъекта (доступ, удаление, отзыв согласия)
• Указаны третьи лица, которым передаются данные (ESP, аналитика)

2. Согласие на обработку оформлено

• Чекбокс согласия на обработку ПДн на всех формах сбора данных
• Чекбокс не предвыбран (не checked по умолчанию)
• Текст согласия содержит цели обработки
• Ссылка на политику конфиденциальности рядом с чекбоксом
• Согласие документируется (дата, IP, текст, источник)

Важно: общее согласие типа «Я согласен со всем» — недостаточно. Нужно отдельное согласие на каждую цель: обработка данных для оказания услуг и отдельно — для маркетинговых рассылок.

3. Согласие на рассылку получено отдельно

• Отдельный чекбокс для маркетинговых рассылок
• Формулировка: «Согласен получать рекламные и информационные материалы по email/SMS/Telegram»
• Можно отказаться от рассылки, не отказываясь от сервиса
• Подтверждение email (DOI) для email-рассылок

По 38-ФЗ «О рекламе» (ст. 18) распространение рекламы по сетям электросвязи допускается только с предварительного согласия абонента. Штраф за спам — до 500 000 рублей.

Блок 2: Сбор и хранение данных

4. Минимизация данных

• Собираются только данные, необходимые для заявленных целей
• Формы регистрации не содержат избыточных полей
• Если не нужна дата рождения для маркетинга — не собирайте
• Принцип: чем меньше данных, тем меньше ответственность

5. Безопасность хранения

• Данные хранятся на серверах в России (требование 152-ФЗ, ст. 18)
• Базы данных защищены шифрованием
• Доступ к данным ограничен по ролям (не все сотрудники видят всё)
• Пароли хешируются (не хранятся в открытом виде)
• Регулярные бэкапы с шифрованием
• Логирование доступа к ПДн

6. Уведомление Роскомнадзора

• Уведомление об обработке ПДн подано в Роскомнадзор
• Компания включена в реестр операторов ПДн
• Уведомление обновляется при изменении целей/состава данных

Проверить, подано ли уведомление: pd.rkn.gov.ru. Отсутствие уведомления — отдельное нарушение с штрафом до 5 000 рублей (для должностных лиц).

Блок 3: Маркетинговые коммуникации

7. Механизм отписки работает

• Ссылка на отписку в каждом маркетинговом email
• Отписка происходит в 1 клик (не требует логина/подтверждения)
• Отписка обрабатывается в течение 10 дней (требование закона)
• Рекомендуется: мгновенная отписка (best practice)
• После отписки клиент не получает маркетинговых писем
• Транзакционные письма (подтверждение заказа) продолжают приходить

В Trigly отписка обрабатывается автоматически — контакт помечается как is_unsubscribed и исключается из всех маркетинговых рассылок.

8. SMS-рассылки соответствуют закону

• Согласие получено конкретно на SMS (не общее «согласие на рассылку»)
• Указан отправитель (буквенное имя компании)
• Есть механизм отписки (ответ «СТОП» или ссылка)
• Не отправляются в ночное время (рекомендация)
• Хранятся логи отправок

9. Telegram и мессенджеры

• Пользователь сам инициировал общение (нажал /start)
• Возможность отписаться от бота
• Не отправляются сообщения заблокировавшим бота
• Telegram-бот не спамит в личные сообщения

10. Push-уведомления

• Браузерный запрос на push — это согласие пользователя
• Есть возможность отписаться через настройки
• Удалённые подписки не используются
• Не отправляются избыточно часто

Блок 4: Права субъектов данных

11. Запрос на доступ к данным

• Процесс обработки запросов описан и назначен ответственный
• Срок ответа: 30 дней (по закону)
• Предоставляется: какие данные хранятся, цели обработки, кому передаются
• Верификация личности запросившего (чтобы не отдать данные мошеннику)

12. Запрос на удаление данных

• Процесс удаления описан
• При получении запроса данные удаляются в течение 30 дней
• Удаление касается всех систем (не только основной БД)
• Удаление из бэкапов — в разумные сроки
• Уведомление третьих лиц об удалении (ESP, аналитика)
• Логирование факта удаления

13. Отзыв согласия

• Клиент может отозвать согласие на обработку ПДн
• Процесс отзыва прост (форма на сайте или email)
• После отзыва — прекращение обработки для маркетинговых целей
• Данные, необходимые для исполнения договора, могут сохраняться

Блок 5: Третьи лица и передача данных

14. Поручение обработки

• С каждым подрядчиком (ESP, хостинг, аналитика) заключён договор поручения обработки
• Договор содержит: перечень данных, цели, обязанности по защите, право аудита
• Подрядчики обеспечивают уровень защиты не ниже вашего
• Подрядчики хранят данные в России (или получено согласие на трансграничную передачу)

15. Трансграничная передача

• Если данные передаются за рубеж — проверена страна-получатель
• Страны с адекватной защитой: список Роскомнадзора
• Для остальных стран: получено письменное согласие субъекта
• Или: договор с получателем обеспечивает защиту данных

Блок 6: Внутренние процессы

16. Ответственный за ПДн назначен

• Приказом назначен ответственный за организацию обработки ПДн
• Контакты ответственного указаны в политике конфиденциальности
• Ответственный обучен требованиям 152-ФЗ

17. Внутренние документы

• Приказ об обработке ПДн
• Перечень обрабатываемых ПДн
• Модель угроз (для ИСПДн)
• Инструкция по обработке ПДн для сотрудников
• Журнал обращений субъектов ПДн

18. Обучение команды

• Маркетологи знают правила сбора согласий
• Разработчики понимают требования к защите данных
• Поддержка умеет обрабатывать запросы субъектов
• Ежегодное обновление знаний

Быстрый аудит: 5 критических вопросов

Если хотите быстро оценить ситуацию, ответьте на 5 вопросов:

1. Есть ли чекбокс согласия на рассылку на всех формах? Нет → критический риск
2. Данные хранятся в России? Нет → нарушение закона
3. Можно ли отписаться в 1 клик? Нет → нарушение 38-ФЗ
4. Подано ли уведомление в РКН? Нет → административное нарушение
5. Есть ли процесс обработки запросов на удаление? Нет → высокий риск

Если хотя бы на один вопрос ответ «Нет» — это приоритетная задача.

Что делает Trigly для compliance

Trigly помогает соблюдать 152-ФЗ:

• Управление согласиями: статус подписки и согласия хранится в профиле контакта
• Автоматическая отписка: обработка в реальном времени
• Списки подавления: автоматическое исключение из рассылок
• Экспорт данных: выгрузка всех данных контакта по запросу
• Удаление: полное удаление контакта из системы
• Аудит-лог: журнал изменений данных контакта
• Хранение в России: данные хранятся на серверах в РФ

Заключение

Соответствие 152-ФЗ — это не бюрократическая формальность, а защита бизнеса от штрафов и репутационных потерь. Пройдите этот чеклист, устраните критические пробелы и настройте процессы для регулярного контроля.

Помните: закон защищает клиентов, и компании, которые уважают данные своих клиентов, получают больше доверия и лояльности. Trigly построена с учётом требований 152-ФЗ — используйте платформу, которая помогает быть в compliance по умолчанию.