Плейбук: Персональные данные и 152-ФЗ для маркетологов

1. Когда использовать

Используйте этот плейбук каждый раз, когда бизнес касается личных данных пользователей. Ошибки в сборе и хранении персональных данных (ПДн) стоят компаниям до 1.5 млн рублей штрафов от Роскомнадзора (за нарушения обработки) и до 500 тысяч рублей от ФАС (за спам-рассылки).

Триггеры для запуска плейбука:

Запуск новых посадочных страниц (Landing Pages) и интернет-магазинов: Любая форма обратной связи, корзина или квиз требует юридической обвязки.
Настройка новых каналов лидогенерации: Запуск контекстной или таргетированной рекламы с использованием Lead Ads (лид-форм внутри соцсетей).
Внедрение Email-маркетинга, SMS-рассылок и мессенджеров (WhatsApp, Telegram): Переход от транзакционных писем к регулярным промо-кампаниям.
Подключение систем веб-аналитики и пикселей ретаргетинга: Установка Яндекс Метрики, Google Analytics, пикселей VK, использование User ID.
Миграция IT-инфраструктуры: Смена CRM-системы (например, переезд с иностранной платформы на Bitrix24 или amoCRM), внедрение CDP (Customer Data Platform) или ESP (сервиса рассылок).
Запуск программ лояльности: Сбор расширенных анкетных данных (дата рождения, адреса, предпочтения) для начисления бонусов.
Офлайн-активности: Сбор визиток на выставках, анкетирование в точках продаж на планшетах или бумажных бланках.
Подготовка к аудиту (Due Diligence): Проверка компании перед получением инвестиций, продажей бизнеса или перед плановой проверкой регулятора.

2. Для кого

Плейбук предназначен для кросс-функциональной команды, где каждый отвечает за свой участок инфраструктуры:

Директор по маркетингу (CMO): Для оценки бизнес-рисков. Вы несете ответственность за то, что маркетинговые инструменты работают в легальном поле и не генерируют компании миллионные штрафы или риски блокировки домена.
Performance-маркетолог / Media Buyer: Для понимания того, как проектировать формы захвата, чтобы они не снижали конверсию, оставаясь при этом законными.
CRM-маркетолог / Email-маркетолог: Для правильной сегментации баз, легального получения согласий на отправку рекламы, настройки процессов Double Opt-In и работы с отписками.
Продакт-менеджер / Проектировщик (UX/UI): Для встраивания юридических требований (чекбоксов, дисклеймеров, баннеров) в интерфейс продукта без ущерба для пользовательского опыта.
Веб-аналитик: Для законной работы с файлами cookie, трекингом пользователей и передачи аудиторий в рекламные кабинеты.

3. Входные данные

Прежде чем приступать к изменениям на сайте или в CRM, соберите текущую картину. У вас на руках должны быть:

Карта потоков данных (Data Flow Map): Исчерпывающий список всех точек контакта, где вы собираете данные (формы на сайтах, чат-боты, корзины, виджеты обратного звонка, личные кабинеты, бумажные анкеты). 2. Матрица собираемых атрибутов: Точный список того, что вы просите у пользователя. Имя, фамилия, email, номер телефона, физический адрес, дата рождения, файлы cookie, IP-адреса, данные о геопозиции. 3.

Кадастр ИТ-систем (Где хранятся данные): CMS сайта (WordPress, Tilda, 1C-Bitrix), CRM-система, сервис рассылок, облачные хранилища (Яндекс Диск, Google Drive), табличные базы (Excel, Google Sheets). Критически важно знать физическое расположение серверов. 4. Реестр третьих лиц: Список всех подрядчиков, имеющих доступ к вашим базам. Рекламные и SEO-агентства, фрилансеры, курьерские службы, внешние колл-центры. 5.

Текущие юридические документы: Ссылки на актуальные (или устаревшие) версии Политики конфиденциальности, Пользовательского соглашения, Договора оферты, размещенные на ваших ресурсах.

4. Пошаговый план

Шаг 1. Инвентаризация точек сбора и принцип минимизации

Закон (152-ФЗ) прямо запрещает собирать данные “на всякий случай”. Объем данных должен строго соответствовать заявленной цели.

Действие: Проведите ревизию всех форм захвата на сайте.
Правило: Удалите поля, без которых можно обойтись на данном этапе воронки. Если вы отдаете лид-магнит (PDF-файл), вам нужен только Email. Требовать номер телефона для скачивания файла — нарушение принципа соразмерности (если только вы не отправляете ссылку по SMS). Если пользователь заказывает обратный звонок — нужен только телефон и имя.
Результат: Сокращенные формы не только легальны, но и дают более высокую конверсию (CR).

Шаг 2. Разделение целей: Оказание услуги vs Маркетинг

Это самая дорогая ошибка в маркетинге. Обработка данных для исполнения договора (доставка товара) и отправка рекламных писем — это две абсолютно разные цели.

Проблема: Нельзя заставить человека получать рекламу в обмен на покупку товара.
Решение: Разделите чекбоксы.
- Чекбокс 1 (Обязательный): Согласие на обработку персональных данных (для ответа на заявку). Без него форму отправить нельзя.
- Чекбокс 2 (Опциональный): Согласие на получение рекламных рассылок. Пользователь сам решает, ставить галочку или нет. Отсутствие галочки не должно блокировать отправку формы.

Шаг 3. Подготовка и размещение базовых документов

На всех ваших ресурсах должны быть опубликованы документы, написанные понятным языком, описывающие процессы работы с данными.

Политика обработки персональных данных (Privacy Policy): Фундаментальный документ. Описывает, кто вы (Реквизиты оператора), что собираете, для каких целей, на каких правовых основаниях, как храните, как защищаете, кому передаете и как пользователь может запросить удаление данных. Размещается сквозной ссылкой в футере (подвале) сайта.
Согласие на обработку персональных данных: Короткий юридический текст, с которым соглашается пользователь при отправке формы.
Согласие на получение рекламы: Документ, описывающий правила email/SMS коммуникации, частоту писем и процедуру отписки.

Шаг 4. Редизайн фронтенда (UX/UI)

Интерфейс должен явно демонстрировать, что пользователь понимает, на что подписывается.

Под каждой формой (без исключений) размещайте дисклеймер с активными ссылками на политику.
Текст для формы без рекламы: “Нажимая кнопку «Отправить», вы даете согласие на обработку персональных данных в соответствии с [Политикой конфиденциальности]”. (В данном случае чекбокс можно заменить текстовым дисклеймером, если кнопка явно выражает намерение, но чекбокс — более надежная защита).
Текст для формы с подпиской:
- [ ] Я даю согласие на обработку персональных данных. (Required)
- [ ] Я согласен получать рекламные и информационные рассылки. (Not required)
Важно: Чекбоксы должны быть пустыми по умолчанию. Пользователь должен совершить активное действие (клик).

Шаг 5. Внедрение Double Opt-In (DOI) для рассылок

Double Opt-In — механизм двойного подтверждения. Это ваш главный щит от ФАС и спам-фильтров.

Механика: Пользователь оставляет Email на сайте -> В CRM создается карточка со статусом “Не подтвержден” -> На почту уходит системное письмо: “Вы подписались на рассылку. Пожалуйста, подтвердите email по ссылке” -> Пользователь кликает по ссылке -> Статус в CRM меняется на “Подтвержден”.
Зачем нужно: Только так вы можете доказать, что почту оставил именно владелец ящика, а не конкурент или бот-парсер.
Логирование: Вы обязаны хранить технические логи согласия: дата, время, IP-адрес пользователя, URL страницы, где была заполнена форма, и факт клика по DOI-письму.

Шаг 6. Организация хранения и локализация (242-ФЗ)

Закон требует, чтобы первичный сбор, запись, систематизация и обновление персональных данных граждан РФ осуществлялись с использованием баз данных, находящихся на территории России.

Действие: Проверьте физическое расположение серверов. Хостинг сайта, CRM-система и сервис рассылок должны размещаться в дата-центрах на территории РФ (Yandex Cloud, Selectel и др.).
Работа с иностранными сервисами: Если вы используете зарубежные инструменты (HubSpot, Mailchimp), вы обязаны сначала собрать данные в российскую базу (например, “прокладку” на вашем сервере), а уже оттуда делать копию или передавать деперсонализированные данные в иностранный сервис в рамках процедуры “трансграничной передачи”. Надежнее использовать отечественные аналоги (Bitrix24, amoCRM, Mindbox, Sendsay).
Управление доступом: Настройте ролевую модель в CRM. Рядовой маркетолог или менеджер по продажам не должен иметь кнопку “Экспорт базы в Excel”.

Файлы Cookie (особенно рекламные и аналитические, собирающие User ID, Client ID) приравниваются регулятором к персональным данным, так как позволяют профилировать человека.

Действие: Разместите на сайте Cookie-баннер.
Формулировка: “Мы используем файлы cookie для аналитики и улучшения работы сайта. Продолжая использование сайта, вы соглашаетесь с нашей Политикой использования файлов cookie”.
Лучшая практика: Дать пользователю кнопку “Настроить”, где он может отказаться от маркетинговых cookie, оставив только строго необходимые (технические) файлы для работы сайта.

Шаг 8. Настройка процессов отписки и удаления (Право на забвение)

Пользователь имеет право в любой момент отозвать свое согласие.

Отписка от рассылок: В каждом рекламном email должна быть крупная и понятная ссылка “Отписаться от рассылки”. Отписка должна происходить в один клик, без требования ввести логин, пароль или причину отписки.
Удаление данных: Создайте внутри компании регламент. Если пользователь пишет на почту (например, privacy@вашакомпания.ru) требование удалить его данные, у вас есть 30 дней (а в ряде случаев 10 рабочих дней), чтобы полностью стереть его карточку из CRM, сервиса рассылок и уведомить его об этом.

Шаг 9. Взаимодействие с Роскомнадзором

Практически любой бизнес, собирающий лиды через сайт, является Оператором персональных данных.

Уведомление: Вы обязаны подать Уведомление в Роскомнадзор о намерении осуществлять обработку ПДн. Это делается один раз через Госуслуги или портал РКН. Бизнес вносится в публичный реестр операторов. За работу без уведомления предусмотрен штраф.
Отчетность об утечках: В случае взлома базы или утечки данных, компания обязана уведомить Роскомнадзор в течение 24 часов с момента выявления инцидента, а в течение 72 часов предоставить результаты внутреннего расследования.

5. Развилки решений

B2B против B2C

Ситуация: Вы работаете в B2B-сегменте и собираете корпоративные почты клиентов (ivan.ivanov@company.ru, info@company.com).
Решение: Рабочая почта конкретного сотрудника (содержащая его имя) — это персональные данные. Общая почта компании (инфобокс) — нет. Поскольку на этапе сбора формы невозможно программно отличить одно от другого, в B2B-маркетинге действуют те же жесткие правила оформления форм и чекбоксов, что и в B2C.

Ситуация: Пользователь хочет скачать чек-лист, но не хочет читать ваш еженедельный дайджест.
Решение: Закон запрещает навязывание. Вы не можете выдать чек-лист только при условии подписки на рекламную рассылку. Правильный UX: форма просит Email (обязательное согласие на обработку для доставки файла) и предлагает ниже необязательный чекбокс “Подписаться на еженедельный дайджест”. Если чекбокс не нажат, вы отправляете одно транзакционное письмо с файлом и больше никогда не шлете этому контакту рекламу.

Офлайн сбор контактов (Выставки, магазины)

Ситуация: Вы собираете визитки в чашу на стенде или просите заполнить бумажную анкету для выдачи карты лояльности.
Решение: Бумажная анкета должна содержать текст согласия и поле для физической подписи клиента. Сбор визиток — серая зона. Если вы просто храните их на столе — это неавтоматизированная обработка. Но как только вы вбиваете данные с визитки в CRM и запускаете рассылку — вы нарушаете закон (нет доказательств согласия на рекламу). Выход: отправьте первое личное (не рекламное) письмо с просьбой подтвердить интерес и подписаться на рассылку (Double Opt-In).

Холодный аутрич и парсинг баз

Ситуация: Вы скачали базу номеров из 2ГИС, купили выгрузку контактов из Telegram или собрали email-адреса с сайтов конкурентов.
Решение: Это незаконно. Тот факт, что данные находятся в открытом доступе, не дает вам права использовать их для рекламных звонков или спам-рассылок без явного согласия субъекта. Если при холодном звонке клиент спрашивает “Откуда у вас мой номер?”, ответ “Нашли в интернете” гарантированно приведет к проигрышу дела в ФАС при наличии жалобы. Используйте только Inbound (входящий) маркетинг.

6. Шаблоны и таблицы

Матрица «Тип данных – Цель – Правовое основание»

Эта таблица — ядро вашей архитектуры данных. Она должна лечь в основу вашей Политики конфиденциальности.

Тип собираемых данных	Заявленная цель сбора	Правовое основание	Срок хранения	Статус поля
Имя, Email	Отправка лид-магнита / расчета	Исполнение запроса пользователя	До момента отписки пользователя	Обязательно
Имя, Телефон	Консультация менеджера по заявке	Исполнение договора / преддоговорная работа	3-5 лет (или до завершения сделки)	Обязательно
Email, Телефон	Рекламные рассылки об акциях	Явное согласие на получение рекламы	До отзыва согласия (отписки)	Опционально
Файлы Cookie, IP	Веб-аналитика, ретаргетинг	Согласие с Политикой Cookie	1 год (периодическое обновление)	Опционально
Физический адрес	Курьерская доставка товара	Исполнение договора купли-продажи	По факту исполнения доставки	Обязательно (если доставка)

Шаблон: Правильная структура HTML-формы захвата

Идеальная форма с точки зрения юристов и UX-дизайнеров:

<form id="lead-generation-form" action="/submit" method="POST">
  <!-- 1. Строго необходимые поля -->
  <div class="form-group">
    <label for="name">Ваше имя</label>
    <input type="text" id="name" name="name" required>
  </div>
  <div class="form-group">
    <label for="email">Ваш Email для отправки материалов</label>
    <input type="email" id="email" name="email" required>
  </div>

  <!-- 2. Блок юридических согласий -->
  <div class="legal-consents-block">

    <!-- Обязательное согласие на обработку (required) -->
    <div class="checkbox-group mandatory">
      <input type="checkbox" id="consent_processing" name="consent_processing" required value="true">
      <label for="consent_processing">
        Я даю согласие на обработку персональных данных в соответствии с
        <a href="/privacy-policy/" target="_blank">Политикой конфиденциальности</a>.
      </label>
    </div>

    <!-- Опциональное согласие на маркетинг (not required) -->
    <div class="checkbox-group optional">
      <input type="checkbox" id="consent_marketing" name="consent_marketing" value="true">
      <label for="consent_marketing">
        Я хочу получать подборки полезных статей и закрытые скидки на email.
      </label>
    </div>

  </div>

  <!-- 3. Кнопка действия -->
  <button type="submit">Получить материалы</button>
</form>

7. Метрики контроля

Чтобы убедиться, что легализация маркетинга прошла успешно и не обрушила воронку продаж, отслеживайте следующие показатели:

Конверсия формы (Form Conversion Rate - CR): Замерьте конверсию до внедрения чекбоксов и после. Практика показывает, что правильное оформление снижает конверсию не более чем на 0.5-1.5% (отсев нецелевого трафика). Если падение составило 10% и более — вы написали слишком устрашающий юридический текст или сломали верстку на мобильных устройствах. 2. Доля подтвержденных подписок (DOI Confirmation Rate): Процент пользователей, кликнувших кнопку “Подтвердить” в первом письме. Нормальный бенчмарк: 60-80%.

Если показатель ниже 50% — ваше письмо-подтверждение падает в папку “Спам”, имеет непонятный заголовок, или вы привлекаете ботов и фрод-трафик. 3. Уровень жалоб на спам (Spam Complaint Rate): Процент получателей, нажавших кнопку “Это спам” в почтовом клиенте. В легальной базе с разделенными согласиями этот показатель не должен превышать 0.1%. 4. Комплайнс-индекс (Compliance Score): Внутренняя метрика юридической безопасности. Процент форм, виджетов и посадочных страниц, полностью соответствующих чек-листу (нет лишних полей, правильные чекбоксы, рабочие ссылки на Политику).

Целевое значение — 100%.

8. Антипаттерны

Как делать категорически запрещено, даже если “конкуренты так делают”:

Предустановленные галочки (Pre-checked boxes): Галочки согласия уже проставлены по умолчанию при загрузке страницы. Согласие должно быть информированным, сознательным и активным. Галочка по умолчанию делает согласие юридически ничтожным.
Объединение целей (Bundling / Навязывание): Использование формулировок вроде: “Нажимая кнопку, я соглашаюсь с правилами сайта и подписываюсь на рекламу от вас и всех ваших многочисленных партнеров”. Согласия должны быть гранулированными.
Скрытые или нечитаемые ссылки: Текст “Политика конфиденциальности”, набранный шрифтом 8px, светло-серым цветом на белом фоне без подчеркивания. Это трактуется как введение потребителя в заблуждение.
Скрытый сбор данных (Невидимые капчи): Использование Google reCAPTCHA v3 или Yandex SmartCaptcha без явного упоминания в Политике конфиденциальности факта того, что вы передаете поведенческие данные пользователей и их IP-адреса сторонним корпорациям для анализа.
Сложный и запутанный процесс отписки: Отсутствие кнопки “Отписаться” в подвале письма. Или просьба в стиле: “Для отписки напишите нам письмо на почту unsubscribe@domain.ru с темой ОТПИСКА и приложите копию паспорта”. Отписка должна происходить в 1-2 клика на специальной странице (Unsubscribe Page).
Игнорирование глобального блэклиста: Пользователь нажал “Отписаться”. Через месяц маркетолог выгрузил базу из CRM в Excel, загрузил ее в другой сервис рассылок и начал слать рекламу снова. Отписавшиеся (Unsubscribed) пользователи должны попадать в Global Blacklist, игнорирующий любые новые загрузки баз.

9. Что должно получиться на выходе

Идеальный конечный результат (ИКР) после прохождения плейбука:

Безопасный Фронтенд: Все формы, квизы и корзины на сайте собирают только нужные данные. Чекбоксы согласий разделены, галочки не стоят по умолчанию. Ссылки на юридические документы активны и ведут на актуальные страницы. 2. Защищенный Бэкенд и CRM: Серверы баз данных физически размещены в РФ. CRM система фиксирует и пожизненно логирует дату, время, IP-адрес и источник, откуда пользователь дал согласие. Настроены жесткие права доступа к экспорту баз. 3. Экологичный Маркетинг: Настроена автоматика Double Opt-In.

Рекламные рассылки уходят только тому сегменту аудитории, который дал явное, подтвержденное согласие на маркетинг. Ссылки на отписку работают без сбоев. База очищается автоматически. 4. Юридический статус: Компания легализована — подано уведомление в Роскомнадзор, бизнес числится в реестре операторов персональных данных. Риск миллионных штрафов сведен к математическому минимуму.

10. Связанные материалы

Для более глубокого погружения в тему, изучите связанные документы и инструкции в нашей базе знаний:

Плейбук: Проектирование лид-форм для повышения конверсии без нарушения UX — Как сделать формы удобными.
Инструкция: Настройка Double Opt-In механики в Email-маркетинге — Техническое руководство по настройке триггеров в ESP.
Гайд по UTM-меткам и сквозной аналитике — Как правильно собирать аналитические данные в условиях блокировки сторонних cookie.
Федеральный закон “О персональных данных” от 27.07.2006 N 152-ФЗ — Основной закон, регулирующий обработку ПДн в РФ.
Федеральный закон “О рекламе” от 13.03.2006 N 38-ФЗ (статья 18) — Закон, регулирующий правила отправки рекламных сообщений и защищающий от спама.

Поделиться статьей:

Telegram ВКонтакте Twitter