GDPR (General Data Protection Regulation) и 152-ФЗ — ключевые законы о защите персональных данных в Европе и России, регулирующие сбор, обработку и хранение информации о пользователях.
GDPR (General Data Protection Regulation) — регламент Европейского Союза, вступивший в силу 25 мая 2018 года, который устанавливает правила сбора, хранения и обработки персональных данных граждан ЕС. Он применяется к любой организации, которая обрабатывает данные жителей ЕС, вне зависимости от местоположения компании. GDPR ввёл понятие «право на забвение», обязательное уведомление об утечках в течение 72 часов и штрафы до 20 млн евро или 4% годового оборота.
152-ФЗ «О персональных данных» — российский федеральный закон, регулирующий аналогичную сферу на территории Российской Федерации. Закон требует получения согласия субъекта на обработку его данных, определяет обязанности оператора персональных данных, устанавливает требования к хранению данных на территории России и предусматривает ответственность за нарушения. С 2022 года штрафы за нарушение 152-ФЗ были существенно увеличены.
Для маркетологов оба закона создают жёсткие рамки: нельзя просто так собирать email-адреса и рассылать рекламу. Необходимо получить явное согласие пользователя (opt-in), предоставить возможность отозвать согласие (opt-out), обеспечить безопасное хранение данных, не передавать их третьим лицам без разрешения и удалять данные по запросу субъекта. Маркетинговые платформы обязаны предоставлять инструменты для соблюдения этих требований «из коробки».
Соблюдение GDPR и 152-ФЗ — это не просто юридическая необходимость, но и бизнес-преимущество. По данным Cisco, 97% компаний, инвестировавших в compliance, отмечают конкурентное преимущество: клиенты больше доверяют брендам, которые прозрачно обращаются с их данными. Конверсия подписки на рассылки растёт на 25–40%, когда пользователь уверен в безопасности своих данных.
Финансовые риски несоблюдения значительны. Штрафы по GDPR могут достигать 20 млн евро, по 152-ФЗ — до 18 млн рублей для юридических лиц (с учётом повторных нарушений). Но реальный ущерб от утечки данных гораздо больше: потеря репутации, отток клиентов, расходы на уведомление пострадавших и юридическую защиту. Средняя стоимость утечки данных в 2025 году составляет 4,5 млн долларов.
Для маркетинга compliance также означает повышение качества базы. Когда подписчики проходят через double opt-in и могут легко управлять своими предпочтениями, в базе остаются только заинтересованные пользователи. Это улучшает все метрики: Open Rate, CTR, конверсию, доставляемость. Высокий процент жалоб на спам из-за незаконных рассылок может привести к блокировке домена отправителя — а это полная остановка email-канала.
Соблюдение GDPR и 152-ФЗ в маркетинге строится на нескольких принципах. Первый — законное основание для обработки данных. Для маркетинговых рассылок основным основанием является согласие субъекта (consent). Согласие должно быть добровольным, конкретным, информированным и однозначным. Нельзя использовать заранее поставленные галочки или скрытые формулировки.
Второй принцип — минимизация данных. Нужно собирать только те данные, которые необходимы для заявленной цели. Если вы отправляете email-рассылку, вам нужен email-адрес. Дата рождения нужна, только если вы персонализируете по возрасту или отправляете поздравления.
Третий принцип — права субъекта данных. Пользователь имеет право: знать, какие данные о нём хранятся (право на доступ), потребовать исправления неточных данных, потребовать удаления данных (право на забвение), ограничить обработку, получить свои данные в машиночитаемом формате (портабельность), возразить против профилирования и автоматизированного принятия решений.
Четвёртый принцип — безопасность. Оператор обязан применять технические и организационные меры защиты: шифрование данных, контроль доступа, логирование операций, регулярные аудиты, обучение персонала. При обнаружении утечки — уведомление регулятора (72 часа по GDPR) и субъектов данных.
Пятый принцип — территориальность. 152-ФЗ требует хранения персональных данных российских граждан на серверах, расположенных на территории Российской Федерации. Это важное ограничение при выборе маркетинговой платформы и хостинга.
Онлайн-ритейлер. Компания перешла с single opt-in на double opt-in (подтверждение подписки по ссылке в письме). Несмотря на снижение размера базы на 20%, показатели улучшились: Open Rate вырос с 15% до 28%, жалобы на спам снизились с 0.3% до 0.02%, доставляемость выросла с 92% до 99%. Итог: выручка с email-канала увеличилась на 15%, несмотря на меньшую базу.
SaaS-платформа. После внедрения GDPR-compliance центра (управление подписками, экспорт данных, удаление аккаунта) компания получила 12% меньше запросов в поддержку по теме «как отписаться» и значительно снизила риск штрафов. Прозрачная политика обработки данных стала аргументом при продаже корпоративным клиентам.
Финтех-стартап. При выходе на европейский рынок компания столкнулась с необходимостью полного аудита обработки данных. Внедрение suppression lists (списков запрещённых контактов), автоматического удаления неактивных подписчиков через 12 месяцев и granular consent management (управление согласиями по каналам) заняло 2 месяца, но позволило пройти проверку регулятора без замечаний.
Trigly обеспечивает соответствие требованиям GDPR и 152-ФЗ на архитектурном уровне. Мультитенантная изоляция гарантирует, что данные каждой организации строго разделены: organization_id присутствует как FK в каждой таблице, все запросы фильтруются по org_id.
Модуль suppression lists позволяет вести списки контактов, которым запрещено отправлять сообщения. SuppressionService поддерживает добавление, удаление, bulk-операции и проверку (check) перед каждой отправкой. Кампании автоматически исключают suppressed-контакты, а счётчик suppressed отслеживает количество пропущенных получателей.
Управление подписками реализовано через поле is_unsubscribed в профиле клиента CDP и channel_preferences (JSONB), которые позволяют управлять согласием по каждому каналу отдельно. Трекинг-эндпоинт unsubscribe обеспечивает одноклассовую отписку по ссылке из письма, а заголовок List-Unsubscribe добавляется автоматически EmailAdapter.
ExportService предоставляет возможность экспорта данных клиента в CSV/JSON формате — это реализация права на портабельность данных. AuditService логирует все изменения профиля клиента (ContactChange) для полной прозрачности обработки. BulkService позволяет массово удалять контакты для реализации права на забвение.
JWT-авторизация с ролевой моделью (owner/admin/member) обеспечивает контроль доступа, а RequestLoggingMiddleware ведёт структурированный лог всех API-запросов для аудита.
Если ваши клиенты — только граждане России, достаточно соблюдать 152-ФЗ. Однако если среди клиентов есть резиденты ЕС (например, экспатрианты), GDPR применяется. На практике рекомендуется ориентироваться на более строгий стандарт (обычно GDPR) — это автоматически обеспечивает соответствие обоим законам и упрощает выход на новые рынки.
Нет. И GDPR, и 152-ФЗ требуют, чтобы согласие на обработку данных было дано непосредственно вашей организации. Купленная база не содержит такого согласия. Рассылка по купленной базе является нарушением закона, приводит к высокому проценту жалоб на спам, снижает доставляемость и может привести к блокировке домена. В Trigly подключение подписчиков происходит через SDK-виджеты с явным согласием или через import с обязательной верификацией источника.
Trigly поддерживает управление подписками через SDK-эндпоинты subscribe/unsubscribe, SubscriptionWidget для сбора согласий на сайте и Flow Builder для автоматизации подтверждения. Типичный сценарий: пользователь заполняет форму → создаётся контакт с is_unsubscribed=true → отправляется письмо с ссылкой подтверждения → по клику триггер обновляет is_unsubscribed=false. Весь процесс автоматизирован и задокументирован для аудита через ContactChange.
AI-платформа автоматизации маркетинга с лучшими инструментами