Персональные данные 2025: как маркетологу остаться в правовом поле и не попасть на штраф
Новый риск для маркетинга - хранение и обработка данных
Бизнес, агентства и самозанятые всё чаще попадают под штрафы из-за «невинных» форм на сайте или некорректной работы с CRM. С 30 мая 2025 года в России вступили в силу новые санкции за нарушения при обращении с персональными данными (ПДн) - до 300 000 ₽.
Маркетологам, CRM-специалистам и digital-агентствам важно понять: теперь даже без намеренной рассылки или активной работы с базой, вы несёте ответственность, если данные собираются - через боты, формы или сервисы аналитики.
Кто теперь считается оператором персональных данных?
Если вы:
- устанавливаете формы сбора заявок на сайт, лендинг или чат-бот;
- ведёте клиентскую базу в CRM (даже если не используете её активно);
- отправляете коммуникации: email, SMS, мессенджеры;
Вы автоматически признаётесь оператором персональных данных и обязаны:
- подавать уведомление в Роскомнадзор;
- получать законные согласия пользователей;
- обеспечивать защиту информации.
Регистрация оператора ПДн: краткий гайд
Реестр: https://pd.rkn.gov.ru/operators-registry Подать уведомление можно:
- через электронную подпись (надежнее всего),
- по почте (бумажная форма),
- ❌ не рекомендуется через Госуслуги - возможны технические сбои.
Telegram, формы и трансграничная передача: что изменилось?
Многие бизнесы используют Telegram как точку входа: чат-боты, автоответы, мини-CMS. Но важно помнить:
- Telegram - иностранная платформа, данные в ней считаются трансграничными; для законной работы нужно уведомить Роскомнадзор о передаче данных за границу.
Альтернативное решение:
- Собирайте данные через сайт на российском хостинге;
- Интеграция CRM - в РФ или через локальные платформы;
- В Telegram передавайте обезличенные данные (например, баллы, статусы).
Почему согласие в форме ≠ законное согласие
Одна из самых частых ошибок - считать, что кнопка «Отправить» автоматически покрывает обработку ПДн. На деле:
Недостаточно:
- формы без упоминания политики;
- заранее отмеченного чекбокса;
- общей формулировки без привязки к цели.
Правильно:
- явно указано, что именно будет происходить с данными;
- пользователь сам отмечает чекбокс (не по умолчанию);
- есть активная ссылка на политику обработки.
📌 Текст должен включать фразу вроде: «Соглашаясь, вы принимаете условия политики обработки персональных данных и разрешаете получать сообщения от компании».
Рассылки = отдельное согласие
Если вы собираете email-адрес или телефон не только для связи, но и планируете отправлять рекламу, уведомления, контент — нужно отдельное, явное согласие на коммуникацию.
Это также регулируется законом «О рекламе» и Федеральным законом №152-ФЗ «О персональных данных».
Работа с подрядчиками и передачей данных
Если вы:
- делитесь лидами с партнёрами;
- передаёте заявки в агентство;
- используете подрядчиков для прозвона или дообработки данных, то пользователь должен быть уведомлён об этом - до отправки формы. Просто прописать это в политике на 15-й странице - недостаточно.
SIGMA messaging рекомендует:
- Ежегодный аудит ПДн — минимум;
- Используйте CRM с локальным хранением данных;
- В каждом проекте включайте юридический чек по ПДн;
- Прописывайте роли: кто оператор, кто обработчик;
- Интегрируйте согласия в юзер-флоу, а не прячьте в подвал.
Сегодня недостаточно просто знать, где лежит база. Нужно понимать, как и зачем вы собираете данные, что пользователь вам разрешает, и кто ещё может получить к этим данным доступ. Переход от «всё хранится где-то в AmoCRM» к прозрачной, законной модели - это не про страх, а про базу доверия к вашему бренду.