GDPR и 152-ФЗ: маркетинг и защита персональных данных

152-ФЗ для маркетолога: что нужно знать

Федеральный закон №152-ФЗ «О персональных данных» регулирует обработку ПДн в России. Для маркетолога это не абстрактный юридический документ, а набор конкретных правил, нарушение которых грозит штрафами до 18 млн рублей (с учётом поправок 2025 года) и блокировкой маркетинговой деятельности.

С 2024 года Роскомнадзор значительно ужесточил контроль: количество проверок выросло вдвое, а штрафы увеличились в 10 раз. Email-маркетинг, SMS-рассылки, push-уведомления и любые другие формы прямой коммуникации подпадают под действие закона, если используют персональные данные — email, телефон, имя, поведенческие данные.

Помимо 152-ФЗ, российским маркетологам стоит учитывать ФЗ-38 «О рекламе» (ст. 18 — реклама по сетям связи только с согласия адресата) и, при работе с европейской аудиторией, GDPR. Разберём все ключевые требования и их практическое применение.

Ключевые требования 152-ФЗ

1. Согласие на обработку и рассылку

Согласие — краеугольный камень 152-ФЗ. Необходимо получить явное (не подразумеваемое) согласие на два действия:

• Обработку персональных данных — хранение email, телефона, имени в вашей базе
• Получение маркетинговых рассылок — отдельное согласие на каждый канал коммуникации

Практически это реализуется чекбоксом при регистрации (не предзаполненным!) с текстом вроде: «Я согласен на обработку персональных данных и получение рекламных рассылок по email в соответствии с Политикой конфиденциальности». Важно: чекбокс должен быть не отмечен по умолчанию — предзаполненные чекбоксы не считаются явным согласием.

Рекомендуется использовать double opt-in: после заполнения формы на email приходит письмо с ссылкой подтверждения. Это не только юридически надёжнее, но и улучшает качество базы — в неё не попадут невалидные адреса и спам-ловушки. Подробнее о качестве базы — в нашем руководстве по deliverability.

В Trigly виджеты подписки (subscription widgets) автоматически собирают согласия и сохраняют channel_preferences каждого контакта в CDP-профиле с 45+ полями.

2. Хранение данных в РФ

Персональные данные граждан РФ должны храниться на серверах, физически расположенных на территории России. Это требование 152-ФЗ (ст. 18, ч. 5) актуально для:

• Базы контактов (email, телефоны, имена)
• Истории покупок и поведенческих данных
• Любых данных, позволяющих идентифицировать конкретного человека

Trigly размещает все данные на серверах в России. PostgreSQL (основная база данных), ClickHouse (аналитика и события), Redis (кэш и очереди) — вся инфраструктура развёрнута в российских дата-центрах.

Если вы используете сторонние сервисы (аналитика, CRM, email-провайдеры), убедитесь, что они тоже хранят данные в РФ или имеют локализацию. Unisender, интегрированный с Trigly, соответствует этому требованию.

3. Отписка от рассылок

Каждое маркетинговое сообщение обязано содержать возможность отписки. Это требование и 152-ФЗ, и ФЗ-38 «О рекламе». Конкретные реализации по каналам:

• Email: ссылка «Отписаться» в каждом письме + List-Unsubscribe header (позволяет отписаться одним кликом из интерфейса почтового клиента). Trigly добавляет оба элемента автоматически.
• SMS: суффикс «СТОП» или аналогичная инструкция. Trigly автоматически добавляет «Отправьте СТОП для отписки» к каждому маркетинговому SMS.
• Telegram: команда /stop или кнопка «Отписаться» в сообщении.
• Push-уведомления: пользователь может отключить через настройки браузера, но рекомендуется также предоставить управление подписками на вашем сайте.

Отписка должна работать мгновенно — нельзя требовать логин, заполнение формы или ожидание «до 10 рабочих дней». Один клик — отписан.

4. Suppression lists (списки исключений)

Отписавшихся нельзя рассылать повторно — ни через неделю, ни через год, ни по другому каналу (если не получено новое согласие). Suppression list — это реестр контактов, исключённых из всех маркетинговых коммуникаций.

В suppression list попадают:

• Самостоятельно отписавшиеся (unsubscribe)
• Пожаловавшиеся на спам (spam complaint)
• Контакты с hard bounce (невалидный адрес)
• Контакты, отозвавшие согласие на обработку ПДн

Trigly управляет suppression lists автоматически: отписка через email → мгновенное добавление в suppression list. Bounce → автоматическое исключение. Spam complaint через Unisender webhook → auto unsubscribe. Перед каждой отправкой система проверяет suppression list и frequency capping — гарантия, что ни один исключённый контакт не получит рассылку.

5. Политика конфиденциальности

На сайте обязательно должна быть опубликована Политика конфиденциальности (или Политика обработки персональных данных). Документ должен содержать:

• Цели обработки — для чего вы собираете данные (маркетинг, аналитика, выполнение договора)
• Перечень данных — какие именно данные вы обрабатываете (email, телефон, имя, история покупок и т.д.)
• Сроки хранения — как долго хранятся данные (рекомендуется: данные активных клиентов — бессрочно, неактивных — 3 года с последней активности)
• Права субъекта — право на доступ, изменение, удаление своих данных
• Третьи лица — кому передаются данные (провайдеры email, SMS, аналитики)
• Контакты ответственного — DPO или ответственный за обработку ПДн

GDPR: если работаете с европейской аудиторией

Если у вас есть клиенты из ЕС/ЕЭЗ, дополнительно учитывайте GDPR:

• Правовые основания обработки: согласие, исполнение договора, законный интерес — нужно выбрать и задокументировать
• Право на забвение: клиент может потребовать полного удаления всех данных о нём
• Data Protection Impact Assessment (DPIA): оценка рисков при обработке больших объёмов ПДн
• Уведомление о нарушении: в случае утечки — 72 часа на уведомление надзорного органа

GDPR строже 152-ФЗ в части документирования, но мягче в части локализации (не требует хранения в конкретной стране). Если вы соблюдаете GDPR, 152-ФЗ по большей части будет соблюдён автоматически (за исключением требования о хранении в РФ).

Практический чеклист: 10 шагов к compliance

1. Проверьте наличие чекбокса согласия на всех формах сбора данных
2. Внедрите double opt-in для email-подписок
3. Убедитесь, что ссылка отписки работает в каждом письме
4. Настройте suppression list с автоматическим обновлением
5. Опубликуйте Политику конфиденциальности на сайте
6. Проверьте, что данные хранятся на серверах в РФ
7. Задокументируйте все цели обработки ПДн
8. Назначьте ответственного за обработку ПДн
9. Проведите аудит третьих лиц, получающих доступ к данным
10. Настройте процесс обработки запросов субъектов (доступ, изменение, удаление)

Trigly и 152-ФЗ: compliance из коробки

Trigly изначально спроектирован с учётом требований 152-ФЗ:

• Серверы в России — PostgreSQL, ClickHouse, Redis развёрнуты в российских дата-центрах
• Автоматический List-Unsubscribe — в каждом маркетинговом email
• Suppression list из коробки — автоматическое управление списками исключений с проверкой перед каждой отправкой
• СТОП-суффикс в SMS — автоматическое добавление инструкции по отписке
• Данные клиентов не передаются в AI — AI-модели Trigly работают только с агрегированной статистикой и метриками, индивидуальные ПДн не отправляются во внешние API
• Шифрование данных — данные шифруются при передаче (TLS) и хранении
• Регулярные бэкапы — автоматическое резервное копирование всех баз данных
• Multi-tenant изоляция — данные каждой организации изолированы на уровне базы данных (organization_id FK в каждой таблице)
• Frequency capping — защита от перекоммуникации, снижающая риск жалоб на спам
• Data quality scoring — автоматическая проверка качества и валидности данных контактов

Часто задаваемые вопросы

Нужно ли получать отдельное согласие на каждый канал (email, SMS, Telegram)?

Формально 152-ФЗ не требует раздельного согласия по каналам — достаточно общего согласия на «получение рекламных рассылок». Однако ФЗ-38 «О рекламе» (ст. 18) регулирует рассылку по «сетям электросвязи» (email, SMS) отдельно. Лучшая практика — собирать согласие с указанием конкретных каналов. В Trigly channel_preferences хранятся для каждого контакта: {email: true, sms: false, telegram: true}.

Что будет, если отправить рассылку без согласия?

Штрафы по ФЗ-38 «О рекламе»: для юридических лиц — от 100 000 до 500 000 ₽ за каждый факт нарушения. По 152-ФЗ: от 60 000 до 18 000 000 ₽ (с 2025 года — повышенные штрафы за повторные нарушения). Кроме штрафов — репутационные потери: жалобы на спам снижают deliverability и могут привести к блокировке домена.

Как обрабатывать запрос на удаление данных?

По 152-ФЗ вы обязаны прекратить обработку и удалить ПДн в течение 30 дней с момента получения запроса. Добавьте контакт в suppression list (чтобы не рассылать повторно) и удалите из основной базы. В Trigly это делается через API или интерфейс CDP: контакт помечается как «удалён», персональные данные стираются, но anonymized-запись сохраняется для аналитики.

Будьте на правильной стороне закона

Compliance — это не обуза, а конкурентное преимущество. Компании, соблюдающие 152-ФЗ, имеют чистые базы, высокую deliverability, минимум жалоб и доверие клиентов. Попробуйте Trigly — платформу, которая обеспечивает compliance из коробки, чтобы вы могли сосредоточиться на маркетинге, а не на юридических рисках.