152-ФЗ для маркетолога: правила работы с персональными данными клиентов
В 2025 году ужесточили ответственность за нарушение закона о персональных данных. С тех пор штрафы для бизнеса достигают 20 миллионов рублей, а кроме административной предусмотрена и уголовная ответственность — вплоть до лишения свободы.
Чтобы разобраться, как маркетологам организовать работу с персональными данными, мы поговорили с экспертами: медиаюристом Светланой Кузевановой, юристом RetailCRM Максимом Мигулиным, маркетологом RetailCRM Анной Душкиной.
Закон 152-ФЗ устанавливает правила работы с персональными данными, чтобы защищать права людей на неприкосновенность частной жизни, личную и семейную тайну.
В работе маркетолога с персональными данными можно выделить три основных направления: обработку, хранение и передачу. Разберём каждое в отдельности, но сначала определим, что считается персональными данными.
Что относится к персональным данным
Персональные данные или ПДн — это любая информация о человеке, по которой его можно идентифицировать. Например:
ФИО,
дата рождения,
адрес,
паспортные данные,
СНИЛС,
телефон,
электронная почта,
фото,
информация о работе,
образовании,
семье.
При этом законодатель не даёт чёткого закрытого перечня данных, которые считаются персональными — это нужно определять в каждом конкретном случае.
«Чтобы понять, являются ли данные персональными, нужно ответить на вопрос: можно ли по ним идентифицировать конкретного человека, выделить его из массы других людей? Если да, то это персональные данные».
Максим Мигулин Юрист RetailCRM
Чаще всего персональными данными признаётся именно совокупность информации. Только по полу или возрасту нельзя определить конкретного человека, а в сочетании с другой информацией такие сведения могут подпадать под требования закона.
«Персональные данные — это любая информация о человеке. Но чтобы говорить о нарушении закона, надо оценивать объём данных и их сочетание.
Например, “житель Геленджика, мужчина, 30 лет” — это персональные данные, но они не позволяют идентифицировать конкретного человека. Поэтому использование этих данных в таком виде не нарушает закон».
Светлана Кузеванова Медиаюрист, автор канала «Кузеванова рассказывает», руководитель Юридического бюро KUZEVANOVA
Из персональных данных для маркетологов особенно важны контакты: телефон и имейл, чтобы связываться с покупателями, выстраивать коммуникацию и отправлять рассылки.
«Сейчас главное — собрать имейл. Электронная почта остаётся самым надёжным и доступным каналом связи с клиентами. Письма дешевле, чем СМС, и стабильнее, чем рассылка в мессенджерах».
Анна Душкина Маркетолог RetailCRM
Не каждая электронная почта считается персональными данными. Служебные адреса вроде info1@mail.ru и безличные типа klubnichka@mail.ru не позволяют определить, кому они принадлежат, поэтому не относятся к ПДн. Адреса, содержащие фамилию и имя, например, annaivanova@mail.ru могут считаться ПДн, так как указывают на конкретного человека.
Закон 152-ФЗ распространяется только на сведения, которые позволяют идентифицировать человека
Но даже электронная почта с именем и фамилией не всегда относится к ПДн. Есть мнение, что только в сочетании с ФИО или другой персональной информацией контакты считаются ПДн.
«Если в форме собирают только электронную почту без другой информации, то можно сказать, что это не персональные данные, а просто некие почтовые ящики. Кому они принадлежат: одному физическому лицу или нескольким? Юридическому лицу? Мы не знаем».
Максим Мигулин Юрист RetailCRM
Это мнение подтверждает судебная практика. Так, страховая компания «Арсеналъ» собирала через форму на сайте данные посетителей: имя, телефон, электронную почту — без согласия на обработку ПДн. Роскомнадзор счёл это нарушением и попытался привлечь компанию к ответственности.
Три арбитражных суда признали, что даже комбинация «имя + электронная почта + номер телефона» не является ПДн. По ней невозможно определить конкретного человека без дополнительной информации — идентификатора, например, ФИО или ИНН.
Арбитражный суд не признал, что форма с полями для имени, имейла и телефона, собирает персональные данные
С другой стороны, в этом же деле в качестве примера идентификатора приводят ИНН. Но в письме МинФина от 28 января 2020 года указывают, что ИНН не относится к персональным данным.
Из-за таких противоречий лучше перестраховаться и привести работу с любыми ПДн в соответствие с законом, чтобы не получить претензий со стороны регулятора.
Согласие на обработку персональных данных
Под обработкой понимают любые действия с информацией: сбор, запись, систематизацию, хранение, передачу, использование, удаление и другие. На практике маркетолог обрабатывает персональные данные, если, например:
собирает через формы на сайте информацию о посетителях: имя, телефон, электронную почту;
сегментирует базу клиентов по возрасту, полу, городу, интересам, истории покупок и другим параметрам;
анализирует поведение пользователей на сайте, чтобы предлагать подходящие товары или услуги;
использует системы аналитики на сайте, к примеру, счётчики посещений; ведёт клиентскую базу и хранит данные в таблицах и CRM — системе управления взаимоотношениями с клиентами;
отправляет рассылки по электронной почте, СМС или WhatsApp*;
публикует на сайте отзывы клиентов с их именами и фотографиями;
передаёт данные подрядчикам: сервисам доставки, рассылки, рекламным системам.
Для всех этих действий требуется согласие физического лица — добровольное, конкретное и сознательное разрешение. Разберём, что важно соблюдать при сборе ПДн и согласий на их обработку.
Оформлять согласия на обработку ПДн во всех формах сбора пользовательских данных
Например, при регистрации на сайте, подписке на рассылку, в онлайн-чате, формах обратной связи или заказа обратного звонка.
Если компания собирает ПДн, она обязана разместить в открытом доступе документы:
Согласие на обработку ПДн. В согласии коротко и простым языком описывают, какие данные обрабатывают, для каких целей, какими способами, как долго и как можно отозвать согласие.
Политику конфиденциальности или политику обработки ПДн. В документе подробно расписывают, как компания работает с персональными данными: принципы обработки, меры защиты, порядок хранения и передачи данных, а также права пользователей.
Рекомендуем готовить документы с юристами, которые специализируются на персональных данных, чтобы учесть все нюансы.
Политика конфиденциальности — объёмный документ, где подробно расписаны условия работы компании с ПДн
Чтобы пользователи могли свободно ознакомиться с документами, их размещают на сайте, а также ссылаются на них во всех формах сбора ПДн. Если ссылок нет, то человек не до конца понимает, на что соглашается.
«Проведу аналогию с компьютерными программами. Перед установкой мы видим огромное лицензионное соглашение. Его надо полностью пролистать, чтобы нажать кнопку согласия.
Здесь та же логика: до того, как человек согласится на обработку ПДн, он должен ознакомиться, с чем именно соглашается. Поэтому оператор должен разместить ссылки на нужные документы так, чтобы их было легко найти».
Максим Мигулин Юрист RetailCRM
Ссылки на документы должны указываться в формах сбора ПДн
Если компания не опубликует документы или не обеспечит к ним свободный доступ, то рискует получить штраф по части 3 статьи 13.11 КоАП РФ.
Штрафы, если в открытом доступе нет документов об обработке ПДн
Собирать только необходимую информацию
Можно собирать только ПДн, необходимые для достижения цели обработки. К примеру, если пользователь подписывается на рассылку, достаточно электронной почты, а запрашивать домашний адрес уже избыточно. Если оформляет заказ — можно запросить телефон и адрес доставки, но не паспортные данные.
«Каждый оператор индивидуально определяет объём данных для выполнения обязательств по договору. Но если клиент или проверяющий орган запрашивает, для какой цели собираются ПДн, у оператора должно быть чёткое и понятное обоснование.
Например, человек заказывает штаны в интернет-магазине одежды. Магазин оформляет заказ и отправляет его на указанный адрес определённому получателю. В таком случае оператор оправданно собирает ФИО, электронную почту, телефон, адрес, способ оплаты. Если он будет собирать информацию об образовании клиента или о месте его работы, то это уже избыточные данные».
Максим Мигулин Юрист RetailCRM
Собирать избыточную информацию, которая не соответствует целям обработки, незаконно. За нарушение предусмотрены штрафы по частям 1 и 1.1 статьи 13.11 КоАП РФ.
Размеры административных штрафов за нарушение правил обработки ПДн
Собирать ПДн для конкретной цели
При оформлении заказа на сайте пользователь оставляет имейл. На указанную почту можно отправлять транзакционные сообщения: об оплате и статусе заказа — это соответствует цели сбора, но нельзя присылать рекламу.
Если данные собирают для одной цели, а используют для другой, это нарушает закон о персональных данных и предусматривает штрафы по частям 1 и 1.1 статьи 13.11 КоАП РФ — те же, что за сбор избыточной информации.
При этом рекламная рассылка без согласия нарушает ещё один федеральный закон — 38-ФЗ «О рекламе». Даже если у компании есть электронная почта или телефон клиента и согласие на обработку этих данных, этого недостаточно — для рекламы нужно отдельное согласие.
Разрешение на получение рекламных материалов и на обработку ПДн — это два разных согласия
Если компания собирает имейлы для одной цели, а потом использует их для рассылки рекламы без отдельного согласия, возникает риск сразу двух нарушений, а значит, двух наказаний.
«Не всегда эти два нарушения фиксируются одновременно. Роскомнадзор контролирует соблюдение закона “О персональных данных” и может наложить штраф за незаконное использование ПДн. За нарушение закона “О рекламе” штрафы выдаёт ФАС России. Какой штраф получит компания, зависит от того, какое ведомство занимается вопросом.
Если РКН увидит нарушение закона “О рекламе”, то может направить информацию в ФАС по системе межведомственного взаимодействия. Но это делают не всегда, поэтому и два штрафа одновременно тоже получают не всегда».
Светлана Кузеванова Медиаюрист, автор канала «Кузеванова рассказывает», руководитель Юридического бюро KUZEVANOVA
Правила оформления согласия на обработку ПДн и на получение маркетинговых рассылок
Маркетолог ежедневно работает с формами сбора ПДн и согласий. Разберём на примерах, как должна выглядеть форма, чтобы не нарушать ни закон «О персональных данных», ни закон «О рекламе».
«Для маркетолога главное — получить согласие на маркетинговые рассылки. Поэтому нужно следить, чтобы такой чекбокс стоял во всех формах касания с клиентом на сайте: при регистрации, оформлении заказа, подписке на рассылку и других».
Анна Душкина Маркетолог RetailCRM
Отдельный чекбокс для каждого согласия
Нельзя объединять два согласия в одном чекбоксе. В таком случае человек не может отказаться от рекламной рассылки, а такое право должно быть.
Два разных согласия — два разных чекбокса
Возможность поставить только одну галочку
Согласие на рекламную рассылку не может быть обязательным условием для оформления заказ — это незаконно. А согласие на обработку ПДн может быть обязательным, поскольку оно необходимо для отправки даже транзакционных сообщений: чеков, счетов, статуса заказа и информации о доставке.
Без предустановленных галочек
Если галочка уже стоит, пользователь может её не заметить, и полученное согласие не будет осознанным. В этом случае человек может расценить сообщение от компании как спам и при желании пожаловаться в Роскомнадзор.
«Важно, чтобы чекбоксы были пустыми. Согласие считается корректным, только если пользователь совершает активное действие — самостоятельно ставит галочку в чекбоксе».
Светлана Кузеванова Медиаюрист, автор канала «Кузеванова рассказывает», руководитель Юридического бюро KUZEVANOVA
Чекбоксы в формах должны быть пустыми
Чек-лист: как должна выглядеть правильная форма сбора имейла для рассылок
В форме должно быть всё необходимое:
чекбокс для согласия на обработку ПДн,
чекбокс для согласия на получение рекламной рассылки,
чекбоксы пустые, нет предустановленных галочек,
у каждого чекбокса написано, на что человек соглашается,
есть ссылки на необходимые документы.
Пример правильной формы сбора и обработки ПДн
В тексте согласий можно сослаться на соответствующие законы — это добавляет форме убедительности. Но объёмные формулировки с названием законов и датой официального принятия визуально утяжеляют форму. Смотрите, как это выглядит на примере.
Если прописать названия законов, текст у галочки становится более официальным
«В законе о ПДн нет ни информации о том, как должны быть оформлены чекбоксы, ни требований ссылаться на нормативные акты, согласно которым собираются данные».
Максим Мигулин Юрист RetailCRM
Хранение персональных данных
Персональные данные российских граждан должны обрабатываться на территории РФ, а базы данных — находиться на российских серверах. Сначала ПДн собирают и сохраняют внутри страны, и только после этого их можно передавать за границу, соблюдая требования закона.
Допустим, пользователь оставляет имя и имейл в форме на сайте, и данные сразу отправляются в зарубежный сервис — например, в Google Таблицы. В таком случае персональные данные обрабатываются за пределами России. За нарушение требований локализации предусмотрены штрафы по частям 8 и 9 статьи 13.11 КоАП РФ.
Размеры административных штрафов за нарушение правил локализации ПДн
В законе выделяют передачу третьим лицам и трансграничную передачу.
Передача третьим лицам
Для выполнения договора можно передавать ПДн третьим лицам. Например, чтобы выполнить договор и доставить заказ клиенту, магазин сообщает его данные третьему лицу — службе доставки. Пользователь должен знать о такой передаче — это указывают в политике конфиденциальности, с которой он соглашается.
Примеры передачи ПДн третьим лицам: платёжным системам, платформам для рассылок и другим подрядчикам
Нельзя передавать персональные данные без законных оснований или без согласия. Это может повлечь ответственность по частям 1 и 1.1 ст. 13.11 КоАП РФ.
Размеры административных штрафов за незаконную передачу ПДн
Трансграничная передача
Это передача ПДн россиян в другую страну. Если российская компания использует зарубежные сервисы для работы с персональными данными, это считается трансграничной передачей.
Например, хранение контактов в Google Таблицах, сбор информации о поведении пользователей через Google Analytics или использование других зарубежных инструментов — всё это относится к передаче данных за границу.
По закону передавать данные за рубеж можно только при определённых условиях:
Чтобы передавать данные россиян в другую страну, нужно подать уведомление о трансграничной передаче данных в РКН. Если в течение десяти дней после подачи уведомления пришёл отказ, то передавать данные нельзя. Если РКН не ответил — можно.
«Все клиенты, которым я помогала подать уведомление в РКН о трансграничной передаче данных или которые делали это по моей рекомендации, получили разрешение. В основном речь шла о программе Google Analytics. Хотя США не входят в список одобренных стран по работе с персональными данными, Роскомнадзор разрешает использовать эту программу. Главное — подать уведомление».
Светлана Кузеванова Медиаюрист, автор канала «Кузеванова рассказывает», руководитель Юридического бюро KUZEVANOVA
В качестве альтернативы Google Analytics можно использовать отечественные решения. Например, трекер событий RetailCRM, который соответствует всем требованиям российского законодательства. Инструмент отслеживает действия посетителей на сайте, например:
просмотры и клики по элементам,
заполнение и отправка форм,
регистрация посетителя на сайте,
вход в аккаунт,
скачивание файла,
брошенная корзина.
Данные можно использовать для маркетинговых целей, например, сегментировать клиентов по событиям и отправлять персонализированные предложения.
Отслеживайте события на сайте с помощью отечественного ПО, без трансграничной передачи данных
Ответственность за нарушение 152-ФЗ
За нарушение закона о персональных данных предусмотрена административная, гражданско-правовая и уголовная ответственности. Разберёмся, кому и как предстоит отвечать перед законом.
Административная ответственность
Основной вид административного наказания за нарушение закона о ПДн — штраф. Его размер зависит от того, что нарушили и в какой раз: первично или повторно. Самые большие штрафы варьируются от 6 до 20 миллионов рублей. Они предусмотрены за утечку и хранение ПДн российских граждан за пределами России, а также за повторные правонарушения.
Административная ответственность регулируется статьёй 13.11 КоАП РФ. Раньше можно было оплатить штраф со скидкой 50%, но после вступления в силу изменений закона придётся оплачивать полную сумму.
Гражданско-правовая ответственность
Несоблюдение правил работы с персональными данными может привести не только к административной, но и к гражданской ответственности. В таком случае нужно и заплатить штраф государству, и компенсировать моральный вред пострадавшему. По п. 1 ст. 1068 ГК РФ вред в любом случае возмещает юридическое лицо, а не должностные лица.
«Ответственность за нарушение работы с персональными данными существует не только в виде штрафов от государства. Ещё есть недовольные клиенты, чьи персональные данные разгласили. И они в праве потребовать компенсации морального ущерба в рамках обычного гражданского процесса».
Максим Мигулин Юрист RetailCRM
Обычно суммы компенсаций незначительные. Например, в 2022 году утекли персональные данные пользователей Яндекс Еды: ФИО, номера телефонов, адреса, истории заказов. Пострадавшие подали иски на Яндекс Еду за нарушение неприкосновенности частной жизни и жилища. Суд удовлетворил только 13 исков и обязал выплатить каждому пользователю всего по 5 000 рублей компенсации за моральный ущерб, хотя иски подавали на большие суммы.
Уголовная ответственность
К уголовной ответственности могут привлечь только конкретного человека — физическое лицо.
Уголовная ответственность предусмотрена за:
Незаконные действия с персональными данными, например: взлом или покупку базы; использование и хранение ПДн без согласия; продажу или незаконную передачу ПДн за границу. По статье 272.1 УК РФ нарушителю грозит либо штраф до 3 000 000 рублей, либо принудительные работы или лишение свободы на срок от четырёх до десяти лет. Срок зависит от отягчающих обстоятельств.
Создание или поддержка сайтов и сервисов для незаконного распространения ПДн. По статье 272.1 УК РФ нарушителю грозит либо штраф до 700 000 рублей, либо принудительные работы или лишение свободы на срок до пяти лет.
Действия должностного лица, которые навредили правам человека, например: отказ предоставить информацию, предоставление ложной или неполной информации. Регулируется статьёй 140 УК РФ и наказывается либо штрафом до 200 000 рублей, либо запретом занимать должность на срок до двух лет.
Кто несёт ответственность
Информация по этому вопросу в законе и у практиков противоречивая. Медиаюрист Светлана Кузеванова отмечает, что ответственность всегда несёт оператор обработки персональных данных, то есть компания — юридическое лицо.
«Ответственность всегда несёт компания: либо юридическое лицо, либо директор. Штатного маркетолога могут привлечь только к дисциплинарной ответственности внутри компании — это может быть штраф, выговор, лишение премии, увольнение».
Светлана Кузеванова Медиаюрист, автор канала «Кузеванова рассказывает», руководитель Юридического бюро KUZEVANOVA
Максим Мигулин, внутренний юрист RetailCRM, дополняет слова Светланы:
«Сначала штрафуют оператора — непосредственно того, кто собирает и обрабатывает персональные данные. Но сам оператор может перевыставить требования к сотруднику или субподрядчику, по вине которого нарушили закон о ПДн. А ответственность должностного лица зависит от конкретных договорённости между оператором и сотрудником по гражданско-правовому договору.
Для спокойной работы бизнес может заранее прописывать обязанности и рамки ответственности сотрудников, которые работают с ПДн».
Максим Мигулин Юрист RetailCRM
В законе указано, что за нарушение 152-ФЗ могут одновременно привлечь и организацию, и виновное физическое лицо — то есть ответственного за работу с персональными данными: маркетолога, HR, бухгалтера. Компания может привлечь сотрудника к дисциплинарной и материальной ответственности.
За нарушение правил работы с ПДн к ответственности могут привлечь и компанию, и отдельного человека
Представим обычный магазин, который продаёт одежду. Магазин выступает в роли оператора — собирает и обрабатывает ПДн. Для доставки заказов он передаёт компании доставки — третьему лицу — персональные данные: ФИО и адрес получателя. Курьер рассказал, кому и куда несёт посылку — то есть распространил ПДн. Клиент об этом узнал и пожаловался в РКН. В таком случае ответственность сначала будет нести оператор — магазин одежды. И уже магазин может перенаправить ответственность на конкретного курьера.
Как можно получить штраф от Роскомнадзора за нарушение 152-ФЗ
Информация о нарушениях обработки ПДн попадает в Роскомнадзор двумя способами: по инициативе граждан и в результате проверки самого РКН. При этом до ответственности и штрафов доходит редко, отмечает медиаюрист Светлана Кузеванова.
«Я работала более чем со 150 клиентами по вопросам персональных данных. В моей практике не было ни одного случая, чтобы дошло до штрафа от РКН».
Светлана Кузеванова Медиаюрист, автор канала «Кузеванова рассказывает», руководитель Юридического бюро KUZEVANOVA
Если человек считает, что его права по закону «О персональных данных» нарушают, то он может подать жалобу в Роскомнадзор, а РКН обязан отреагировать на жалобу и проверить компанию. Например, человек получил рассылку, на которую не подписывался, увидел своё фото в статье, хотя не давал согласия, или узнал об утечке своих данных.
«Я работаю медиаюристом и на практике сталкиваюсь с жалобами граждан к медиа. Вот как это происходит.
Допустим, медиа публикует статью, где упоминает человека. Человеку не нравится, что о нём написали. Он жалуется в РКН и указывает, что считает нарушением и почему. Например, “я считаю, что медиа незаконно — без моего согласия — опубликовало мои персональные данные, такие как: семейное положение, наличие детей, фотографию”.
РКН проводит проверку по жалобе и просит медиа предоставить, на каком основании опубликовали данные об этом человеке. Я как юрист готовлю мотивированный ответ, в котором объясняю, почему с точки зрения закона медиа имеет право использовать эти сведения. Обычно Роскомнадзор не признаёт нарушения — на этом всё и заканчивается».
Светлана Кузеванова Медиаюрист, автор канала «Кузеванова рассказывает», руководитель Юридического бюро KUZEVANOVA
По собственной инициативе РКН
Бот РКН автоматически проверяет сайты компаний по шаблону и передаёт найденные нарушения сотруднику для ручной проверки. Если они подтверждаются, то сотрудник РКН отправляет компании письмо с перечнем нарушений и требованием привести обработку ПДн в соответствие с законом 152-ФЗ. На исправление дают десять дней — обычно этого достаточно, чтобы привести документы и формы в порядок.
«Роскомнадзор в автоматическом режиме проверяет сайты, но работает именно в профилактическом режиме. Даже если РКН обнаружит нарушения, то компании придёт не штраф, а письмо с требованиями, что надо изменить.
Светлана Кузеванова Медиаюрист, автор канала «Кузеванова рассказывает», руководитель Юридического бюро KUZEVANOVA
РКН присылает компании письмо, в котором перечисляет всё, что не соответствует требованиям закона о персональных данных
Что делать, чтобы выполнить требования 152-ФЗ и не получить штраф: пошаговая инструкция для маркетолога
1. Провести аудит сбора данных
Составить путь клиента и по нему проверить, откуда пополняется база. Определить, какие данные, где и с какой целью собираются. Убедиться, что данные собираются в нужном объёме, без избыточной информации, и используются в соответствии с целями сбора.
2. Привести формы сбора в соответствие с законом
Проверить все точки сбора ПДн: формы обратной связи, подписки на рассылку, регистрации на сайте, инструменты аналитики. Добавить везде нужные чекбоксы, ссылки на документацию.
3. Описать и опубликовать нужную документацию
Убедиться, что посетители сайта могут свободно посмотреть политику обработки ПДн и пользовательское соглашение. Эти документы лучше готовить с участием юристов, специализирующихся на персональных данных, чтобы учесть все требования и нюансы.
4. Уведомить РКН о начале обработки персональных данных
Нужно заполнить форму и подать её в Роскомнадзор — либо в бумажном, либо в электронном виде с использованием усиленной квалифицированной электронной подписи.
5. Получить согласия пользователей
Если неизвестно, как собиралась клиентская база, следует вновь получить согласия. Для этого можно отправить прогревочную рассылку и подключить метод двойного подтверждения имейла.
Отправить прогревочную рассылку. В первом письме нужно:
Объяснить, почему пользователи его получили.
Рассказать, что интересного будет в рассылке.
Дать повод подтвердить подписку.
Оставить заметные кнопки для отписки и для согласия на получение рассылки.
Если пользователь отпишется, его нужно удалить из базы. Если ничего не ответит и не подтвердит согласие — продолжать отправлять письма тоже нельзя, пока пользователь явно не согласится.
По старой клиентской базе можно разослать подобное прогревочное письмо
Проверить, где находятся серверы инструментов, которые собирают, хранят и обрабатывают персональные данные клиентов. Это помогает снизить риски нарушений, связанные с локализацией ПДн.
Например, серверы RetailCRM находятся в российских дата-центрах, соответствующих уровню надёжности Tier III.
7. Работать с проверенными сервисами
Лучше перейти с зарубежных сервисов на отечественные аналоги: использовать сервисы, которые входят в реестр российского программного обеспечения и соответствуют требованиям 152-ФЗ. Например, RetailCRM — в ней персональные данные защищены, а процессы отвечают международным стандартам ISO.
RetailCRM подходит для среднего и крупного бизнеса, где особенно важны безопасность, масштабируемость, стабильность работы с данными. Кроме облачного решения доступно коробочное — on-premise: система разворачивается в контуре компании, что даёт дополнительный контроль над данными.
8. Учитывать возможность отписки и отзыва согласия
У пользователя должна быть возможность в любой момент отказаться от рассылки. После отписки ему нельзя присылать рекламу.
В RetailCRM в карточке клиента видно, на какие рассылки он подписан, от каких отписан, и когда отписался.
В RetailCRM отображаются подписки и отписки клиента: по СМС, электронной почте и WhatsApp*
Что важно запомнить о работе с ПДн
Штрафы получают не сразу, сначала есть возможность исправить все нарушения и привести работу с ПДн в соответствие с законом. Собираются ПДн — собирается и согласие на их обработку.
Форму сбора нужно оформить по закону: с отдельными чекбоксами на обработку ПДн и на маркетинговую рассылку, без предустановленных галочек, со ссылками на нужную документацию.
Нельзя отправлять рекламную рассылку без согласия пользователя — это нарушает сразу два закона: «О персональных данных» и «О рекламе».
Чтобы получить согласие у существующей клиентской базы, можно подключить метод двойного подтверждения электронной почты — DOI — или отправить прогревочную рассылку.
Чтобы снизить риски получить штраф, переходите на отечественные сервисы, которые учитывают требования российского законодательства. Оформите пробный период RetailCRM — платформа соответствует 152-ФЗ РФ и входит в реестр российского ПО.
