СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
Б-152
4 февраля
#Статьи #ИБ#ИИ

Какие риски прячутся в маркетинге (рассылки, CRM)

Какие риски прячутся в маркетинге (рассылки, CRM)

Маркетинг — основной канал взаимодействия компании с клиентом.

Почтовые рассылки, push-уведомления, сегментация в CRM — все это привычные инструменты, позволяющие привлекать новых покупателей и удерживать постоянных.

Но именно в этих процессах скрывается один из самых уязвимых элементов бизнеса — обработка персональных данных (ПДн). Ошибки здесь могут стоить дорого: от штрафов и проверок Роскомнадзора до репутационного кризиса.

Какие данные реально собирает маркетинг

К персональным данным относится любая информация, которая прямо или косвенно принадлежит определенному или определяемому физическому лицу (субъекту персональных данных).

Когда речь заходит о рассылке, многие бизнес-владельцы думают лишь об адресе электронной почты. Но на практике маркетинговые сервисы собирают и обрабатывают гораздо больше:

  • имя (если указано в CRM или при регистрации);
  • номер телефона;
  • идентификаторы пользователя в CRM (ID, сегментация, история покупок);
  • дату и время открытия письма;
  • примерное местоположение (страна, иногда город);
  • поведенческие данные: пролистывание письма, переходы по ссылкам, время просмотра.

С точки зрения 152-ФЗ «О персональных данных» все эти сведения позволяют прямо или косвенно идентифицировать конкретное лицо. А значит, на них распространяются все требования законодательства о персональных данных.

Где обычно размещается согласие на рассылки

Под формой сбора контактов на сайте.
Классический вариант — блок «Подписаться на новости и акции». Пользователь сам вводит адрес электронной почты или телефон и ставит галочку рядом с текстом «Даю согласие на обработку персональных данных и получение рассылки». Важно, чтобы согласие могло быть открыто по гиперссылке, а также была ссылка на политику конфиденциальности.

После оформления заказа.
Многие интернет-магазины предлагают подписку на рассылку в процессе оформления покупки. Но здесь важно разделять согласие на обработку данных для выполнения договора (доставка, оплата) и согласие на маркетинговую коммуникацию. Если в форме заказа галочка стоит по умолчанию, форма некорректна. Согласие должно быть отдельным действием клиента: ставить его в зависимость от предоставления услуг нельзя.

При регистрации личного кабинета или аккаунта.
На практике распространено объединять согласие на обработку ПДн и согласие на маркетинг в одном документе. Это ошибка: для целей маркетинга необходимо отдельное согласие. Оптимально создать отдельный чек-бокс «Я согласен получать рассылки» с гиперссылкой на текст согласия и политику конфиденциальности.

В договорах.
Компании, которые работают офлайн, часто включают согласие на рассылку в клиентскую анкету или договор обслуживания. Здесь также нужно разделять согласие на обработку ПДн для исполнения договора и отдельное согласие на рекламу и уведомления.

Главные риски

1. Рассылки без согласия

Классическая ошибка — автоматически включать клиента в базу после покупки или регистрации.

Формальные «галочки» в договорах, проставленные по умолчанию, Роскомнадзор и суды признают недействительными.
Предварительное согласие обязательно для обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (ч. 1 ст. 15 №152-ФЗ).

Может быть нарушено и законодательство о рекламе, если в документе есть согласие на осуществление прямых контактов с потенциальным потребителем в целях продвижения товаров, работ, услуг на рынке.

Судебная практика это подтверждает:

Постановление Московского городского суда от 3 августа 2017 г. по делу № 4а-2674/2017,

Определение УФАС по Республике Татарстан от 2 сентября 2021 г. № 016/05/28-1650/2021,

Постановление УФАС по Республике Татарстан от 23 декабря 2021 г. № 016/04/14.3-2299/2021,

Определение Верховного Суда РФ от 28.07.2021 по делу № А64-8945/2019.

2. Бессрочное хранение

Маркетинговые базы часто живут до момента, когда компания закрывается. Однако согласно п. 41 и п. 42 Приказа РКН от 24.12.2021 N 253, необходимо соблюдать сроки хранения ПДн.

Неисполнение или нарушение требований ведет к штрафам от 150 000 рублей до 300 000 рублей по ч. 1 ст. 13.11 КоАП за каждый случай незаконной обработки персональных данных (штраф за повторное нарушение по ч. 1.1 ст. 13.11 КоАП РФ — от 300 000 до 500 000 рублей).

Как использовать на практике:

Хранить ПДн можно только до достижения цели обработки и в течение сроков, предусмотренных законодательством. Необходимо иметь триггер, который соотносится с целью маркетинга. Релевантными выглядят несколько вариантов:

  • Отзыв СОПД — уничтожение в течение 30 дней после отзыва (ч. 4 ст. 21 152-ФЗ);
  • Удаление аккаунта клиента — уничтожение в течение 30 дней после удаления (ч. 4 ст. 21 152-ФЗ)/ 5 лет после удаления аккаунта (п. 492 Приказа Росархива №236);
  • Прекращение договорных отношений — 5 лет после исполнения обязательств по договору (п. 492 Приказа Росархива №236);
  • Прекращение программы лояльности — 30 дней после прекращения (ч. 4 ст. 21 152-ФЗ).

Ошибкой многих компаний становится «архивирование на всякий случай». Хранение после достижения цели и предусмотренных сроков — это продолжение обработки, т.е. нарушение.

Поэтому важно заранее определить триггеры уничтожения и закрепить их в регламенте: автоматические алгоритмы в CRM, акты для бумажных носителей, которые содержат персональные данные субъектов — клиентов.

3. Передача данных сервисам-отправителям

Компании для рассылок используют внешние платформы: UniSender, Mailchimp. Это обработчики, их необходимо указывать в СОПД, а также в поручении на обработку ПДн. Согласно п. 3 Приказа РКН от 24.12.2021 N 253, оператор должен иметь основание для передачи ПДн субъектов.

Неисполнение или нарушение требований также ведет к штрафам от 150 000 рублей до 300 000 рублей по ч. 1 ст. 13.11 КоАП за каждый случай незаконной обработки персональных данных (штраф за повторное нарушение по ч. 1.1 ст. 13.11 КоАП РФ — от 300 000 до 500 000 рублей).

Как использовать на практике:

Если компания передает обработку персональных данных сторонним сервисам или подрядчикам (например, email-платформам, интеграторам CRM, колл-центрам), необходимо заключить поручение.

Также можно выделить отдельный раздел в договоре между обработчиком и оператором, «Конфиденциальность». В нем можно закрепить обязательства обработчика:

  • использовать ПДн только для целей, обозначенных оператором;
  • соблюдать требования 152-ФЗ;
  • уведомлять о любых инцидентах оператора в срок, указанный в поручении;
  • возвращать или уничтожать данные после завершения договора;
  • Передавать логи или иное подтверждение удаления данных субъектов оператору.

4. Трансграничная передача

Согласно ст. 12 152-ФЗ оператор обязан убедиться, что в стране, куда передаются данные, обеспечивается надлежащая защита ПДн. Это актуально в условиях, когда многие сервисы используют зарубежные серверы.

Бизнес обязан локализовать базы в РФ, т.е. первоначальный сбор персональных данных должен производиться на территории РФ. За нарушение требований о локализации предусмотрен штраф по ч. 8 ст. 13.11 КоАП РФ, за повторное нарушение — ч. 9 ст. 13.11 КоАП РФ.

Как использовать на практике:

Проверить места хранения — серверы приложений, которые используются в маркетинге. Если используется облачное решение, можно уточнить, есть ли коробочное решение. При установке приложения на сервер компании есть несколько преимуществ.

Во-первых, данные пользователей будут собираться в РФ, т.е. требования о соблюдении локализации будут соблюдены.

Во-вторых, часто коробочные решения предполагают возможность изменить программу под вас, добавить нужные функции. Например, если добавить автоматизированное удаление данных пользователей по определенному триггеру, будет также соблюдаться требование о соблюдении сроков хранения.

ИИ в маркетинге

Компании все чаще используют ИИ-сервисы для сегментации клиентских баз, предиктивного анализа поведения, персонализации рассылок и динамического ценообразования. Эти технологии позволяют повысить конверсию и снизить маркетинговые расходы, но одновременно создают новые юридические и организационные риски.

В большинстве маркетинговых решений ИИ применяется для анализа уже существующих данных клиентов. Например, система прогнозирует, какой сегмент откроет письмо, или автоматически предлагает товары «с высокой вероятностью покупки». В этом случае:

  • Данные клиентов не попадают в набор ПДн, на которых обучается ИИ, а используются только для обработки внутри алгоритма.
  • Требования закона сохраняются в полном объеме: данные должны быть локализованы, доступ ограничен, обработка описана в СОПД.
  • Основной риск — передача данных за границу, если используется облачный ИИ-сервис. Если серверы находятся за пределами РФ, это потенциальное нарушение ст. 18 152-ФЗ о локализации.

Обучение ИИ на клиентских данных

Более сложный и рискованный сценарий — когда данные клиентов используются для обучения или дообучения нейросетей. В этой ситуации:

  • Данные клиентов становятся частью датасета.
  • Требуются отдельные согласия субъектов, согласия на рассылку недостаточно: обучение ИИ — другая цель. Нужно указать, что данные клиента могут быть использованы для анализа и обучения алгоритма.
  • Если обучение проходит за рубежом, возникает риск нарушения требований о локализации.
  • После обучения данные могут «остаться» в модели в виде весов и взаимосвязей, что делает их уничтожение фактически невозможным. Это противоречит требованию об уничтожении ПДн после достижения цели.
  • Можно использовать только обезличенные массивы данных (например, статистику открытий писем без имен и контактов, либо искусственно синтезированные датасеты).

Согласно п. 9 ч. 1 ст. 6 152-ФЗ, оператор вправе обрабатывать обезличенные данные для исследовательских и статистических целей. Также с 1.09.2025, согласно Приказу РКН, коммерческие операторы вправе обезличивать по методам РКН для собственных целей. Так, обработка обезличенных данных будет считаться правомерной.

Важно: обезличенные персональные данные остаются персональными данными, поэтому на них распространяются требования о локализации, сроках хранения и т.д.

Важно: обезличенные персональные данные остаются персональными данными, поэтому на них распространяются требования о локализации, сроках хранения и т.д.

Вывод

Искусственный интеллект в маркетинге — это зона повышенного риска для бизнеса. При использовании готовых моделей важно контролировать локализацию серверов и обезличивание данных, а при обучении получать отдельные согласия и документально фиксировать цели. Иначе компания рискует столкнуться не только с претензиями Роскомнадзора, но и с невозможностью соблюсти базовые требования закона о персональных данных.

Как действовать правильно: исправление распространенных ошибок

Получите корректное согласие:

  • Уберите галочку, проставленную по умолчанию в формах.
  • Согласие должно быть отдельным действием клиента: чек-бокс, кнопка «Даю согласие на рассылку» и гиперссылка на текст согласия.
  • Если на данных клиентов будет обучаться ИИ, необходимо собрать СОПД на эту цель.

Проверьте СОПД:

  • Исключите общие формулировки о маркетинговых рассылках в согласии на обработку персональных данных, которое подписывает клиент. Согласие на маркетинг должно быть отдельным.
  • Уточните перечень третьих лиц, которым могут передаваться данные клиентов.

Организуйте хранение данных:

  • В CRM установите срок автоматического удаления контактов после окончания рассылки или отзыва согласия или разработайте и введите регламент для работников по удалению ПДн из систем.
  • Для бумажных документов (анкеты, заявки) предусмотрите процедуру уничтожения — шредирование/сжигание — и ответственных за уничтожение.

Зафиксируйте факт поручения:

Если вы используете UniSender, MailBox или аналогичные сервисы, зафиксируйте в документах передачу данных и ответственность за их защиту.

Проведите аудит системы сбора данных:

  • Проверьте права доступа сотрудников.
  • Настройте двухфакторную аутентификацию.
  • Используйте регулярное логирование и мониторинг выгрузок.

Чек-лист для руководителя

  • Согласия на рассылку оформлены правильно.
  • Сроки хранения ПДн зафиксированы.
  • СОПД обновлено и корректно.
  • Договоры с сервисами рассылки заключены.
  • В CRM настроен контроль доступа.
  • Процедура уничтожения данных регламентирована.
  • Ответственный за ПДн назначен, проводит регулярные аудиты.

Заключение

Маркетинг — это двигатель продаж, но именно здесь бизнес чаще всего нарушает закон о персональных данных. Для компании любого размера важно воспринимать работу с ПДн не как формальность, а как элемент стратегического управления рисками. Своевременный аудит процессов, корректные документы и прозрачная работа с клиентами позволяют избежать штрафов и сохранить ключевой актив, а именно доверие.

Б-152
Автор: Б-152
Б-152 — консалтинговая компания. Более 14 лет помогаем бизнесу соответствовать требованиям в сфере персональных данных и информационной безопасности. Мы работаем в области privacy, входим в рабочую группу Роскомнадзора, разрабатываем собственные продукты и сопровождаем клиентов на всех этапах — от аудита до прохождения проверок. Б-152 — команда, которая говорит с ИБ на одном языке. Мы поможем не только формально соблюсти 152-ФЗ, но и выстроить настоящую защиту данных: модели угроз, ТЗ на СЗИ, аудит и тестирование.
Комментарии: