Как маркетинг пройдет проверку GDPR?

Изображение: recraft

Маркетинг в 2025 году стал немыслимым без цифровых технологий: аналитика поведения пользователей, таргетированные рассылки,спользование cookie и трекинговых инструментов. Но чем активнее бизнес работает с данными клиентов, тем выше риски столкнуться с претензиями регуляторов и потерять доверие аудитории.

В России действует Федеральный закон №152-ФЗ «О персональных данных», а для компаний, работающих с клиентами из ЕС или обрабатывающих данные европейцев, дополнительно актуален GDPR.

Подходы к согласию, обработке и хранению данных заметно различаются. Ошибки стоят дорого: только за 2024 год суды в России вынесли более 300 решений о штрафах по делам о нарушениях в сфере персональных данных, а крупнейшие мировые компании под санкциями GDPR теряли десятки миллионов евро.

Как бизнесу выстроить маркетинговые процессы так, чтобы и требования выполнить, и клиентов удержать?

Согласие на маркетинговые рассылки: российский и европейский подход

Главное различие в регулировании — форма согласия.

В России согласия на cookie для аналитики поведения пользователя на сайте собирается путем добавления баннера на сайт.

В ЕС (GDPR) подход более строгий: согласие должно предусматривать возможность отказаться от сбора cookies путем выбора собираемых файлов. От обязательных cookies отказаться нельзя.

Cookie как маркетинговый инструмент: классификация и правовые риски

Cookie-файлы — это основа онлайн-маркетинга и веб-аналитики.

Cookies упоминаются в Recital 30. Согласно положениям GDPR, cookies являются персональными данными: «Физические лица могут быть связаны с онлайн-идентификаторами, предоставляемыми их устройствами, приложениями…

Это может оставлять следы, которые, в частности, в сочетании с уникальными идентификаторами и другой информацией, полученной серверами, могут быть использованы для создания профилей физических лиц и их идентификации».

В РФ файлы cookie относятся к персональным данным исходя из толкования ч. 1 ст. 3 ФЗ–152, а также упоминаются в качестве таковых в судебных решениях:

• Решение Таганского районного суда города Москвы от 15.10.2024 г. по делу № 12-559/2024
• Постановление Мирового судьи судебного участка № 422 Таганского района г. Москвы по делу № 5-0034/422/2025
• Постановление Мирового судьи судебного участка № 374 Таганского района г. Москвы по делу № 5-1179/422/2023
• Постановление Мирового судьи судебного участка № 374 Таганского района г. Москвы по делу № 5-1178/422/2023

Виды cookie в ЕС:

Необходимые (essential cookies)

• Обеспечивают базовую работу сайта (например, авторизация, сохранение товаров в корзине, выбор языка интерфейса);
• В ЕС можно использовать без согласия, так как они нужны для полноценного использования сайта.

Функциональные (preferences cookies)

Функция: сохраняют пользовательские настройки — например, запоминают регион, параметры отображения или выбранный интерфейс.

Правовое регулирование: в ЕС требуют согласия, так как не являются строго необходимыми. В России допускаются при наличии политики обработки данных.

Аналитические (analytics cookies)

Собирают информацию о том, как пользователи взаимодействуют с сайтом (Google Analytics, Яндекс.Метрика).

Правовое регулирование:

• В ЕС — требуют активного согласия (пользователь должен явно разрешить включение);
• В России всегда требуют наличия на сайте баннера со ссылкой на политику обработки персональных данных.

Маркетинговые / рекламные (marketing cookies, tracking cookies)

Отслеживают поведение пользователей для таргетинга рекламы, ретаргетинга и персонализации контента. Например, Google Ads.

Правовое регулирование:

• В ЕС также требуют прямого согласия;
• В России также необходимо согласие на обработку персональных данных для сбора и обработки.

Сторонние cookie (third-party cookies)

Устанавливаются не самим сайтом, а внешними сервисами (соцсети, рекламные сети, платежные системы). Важно учитывать, где находится база данных, где первично собираются ПДн.

Правовые особенности

В России cookie являются персональными данными, поэтому их необходимо обрабатывать на основании согласия на обработку персональных данных.

В ЕС пользователь должен дать согласие до начала обработки необязательных cookie. Поэтому в Европе на баннерах есть выбор: «принять все», «отклонить все», «настроить».

Когда сайт подпадает под действие GDPR

Применимость закреплена в ст. 3 GDPR. Регламент действует, если:

1. К обработке персональных данных организациями, зарегистрированными в ЕС, независимо от того, где фактически происходит обработка.
2. К компаниям вне ЕС, если они:

• предлагают товары или услуги лицам в ЕС (в том числе бесплатно), или
• отслеживают поведение лиц на территории ЕС.

Регламент применяется к обработке данных организациями за пределами ЕС, но находящимися в юрисдикции государства-члена по международному праву.

Технические особенности

Ключевые элементы:

1. Баннер при первом входе. Отображается сразу при загрузке сайта, не в футере сайта.

2. Ясное объяснение категорий cookie: необходимые, аналитические, маркетинговые / рекламные, функциональные.

3. Кнопки “Принять все”, “Отклонить все” и “Настроить”.

Нельзя скрывать кнопку “Отклонить”, она должна быть доступна так же, как и “Принять”.

4. Отложенная загрузка cookie.

Аналитические и маркетинговые cookie не могут устанавливаться до получения согласия. Это реализуется через скрипты, которые запускаются только после выбора пользователя.

5. Возможность изменить решение.

Пользователь должен иметь возможность в любой момент отозвать согласие, и обычно это реализуется через “cookie settings” в подвале сайта.

6. Добавлять ссылку на политику конфиденциальности и политику cookie.

Разница подходов: Россия vs. ЕС

Сравнивая российскую и европейскую модели, важно понимать, что они строятся на разных принципах:

Россия (152-ФЗ) — более простая модель, где ключевое — это наличие согласия, и баннера на сайте достаточно. Однако важно учитывать технические особенности его размещения: нельзя допускать, чтобы СОПД было доступно только в футере сайта, также важно добавить гиперссылку на политику конфиденциальности. и

ЕС (GDPR) — подход основан на философии «privacy by default», где любое действие с данными должно быть минимизировано, а согласие явным, добровольным и подтвержденным активным действием.

Здесь важен не только сам факт согласия, но и то, как именно оно получено и задокументировано, поэтому важно добавить на баннер возможность отказаться от сбора аналитики и cookies, а также дать пользователю выбрать cookies, которые будут собраны.

Если коротко:

• В России достаточно добавить текст «Нажимая кнопку, вы соглашаетесь на обработку данных».
• В ЕС нужно предоставить пользователю выбор, позволить отклонить cookies так же легко, как и принять.

Особенности маркетинга

Строгое соблюдение закона часто вызывает у бизнеса страх: «если мы будем спрашивать разрешение, никто не согласится». На практике это не так.

Что нужно сделать:

Прозрачность = доверие. Если клиент видит понятное объяснение, зачем нужны данные, он чаще соглашается.

Гибкость выбора. Разделяйте согласия: рассылка новостей, персонализированные предложения, аналитика. Клиент более свободен в выборе, что также создает доверительные отношения.

UX. Минимизируйте количество кликов и используйте «человеческий язык» для описания собираемых cookies.

Чек-лист для бизнеса

Для маркетологов

1. Используйте только те инструменты аналитики и рекламы, которые согласованы с юридическим отделом.
2. Проверяйте видимость баннеров.
3. Не используйте персональные данные пользователей в маркетинговых целях без их согласия.

Для IT-специалистов

1. Настройте отложенную загрузку cookie, аналитика и маркетинг запускаются только после согласия.
2. Реализуйте кнопки «Отклонить» и «Настроить».
3. Ведите логи согласий и отказов, храните их в защищенной среде.
4. Обеспечьте шифрование при передаче данных и настройте регулярные обновления ПО.

Для юристов и DPO

1. Проверьте наличие и актуальность политики конфиденциальности или политики cookie.
2. Разрабатывайте внутренние инструкции для сотрудников: кто и на каком основании может использовать данные клиентов.
3. Проводите внутренние аудиты для выявления несоответствий и их устранения.
4. Отслеживайте изменения законодательства (ФЗ-152, GDPR, судебная практика), чтобы иметь возможность скорректировать согласие.

Кейсы и ошибки на практике

Ошибка 1. Баннер только с кнопкой “ОК” для ЕС

Международные компании используют баннер с одной кнопкой “OK” или “Мы используем cookies”.

Это означает, что пользователь не получает возможности выбора: принять или отклонить разные категории файлов. Такой подход полностью противоречит GDPR, где требуется предоставлять как минимум равнозначные кнопки: «Принять все» и «Отклонить все», а также возможность детальной настройки.

Риски:

• В ЕС такой баннер не соответствует стандартам GDPR
• Штрафы в разы больше, чем в РФ

Ошибка 2. Согласие в пользовательском соглашении “по умолчанию”

Внизу сайта, в футере, или в пользовательском соглашении закреплена фраза «Продолжая пользоваться сайтом, вы соглашаетесь на использование cookie».

Такое согласие считается недействительным, должно быть:

• добровольным
• информированным
• выраженным активным действием

Риски: в России подобная практика тоже не отвечает критериям информированности. РКН придерживается точки зрения, что баннер должен располагаться на сайте и быть видимым. Закрепить условия обработки cookies в политике конфиденциальности нельзя.

Ошибка 3. Отсутствие механизма отзыва

Даже если компания собирает согласие, она часто забывает про вторую часть требования: возможность его отозвать так же легко, как и дать. Например, пользователь согласился на маркетинговые cookie, но потом решил отказаться. Если у него нет кнопки «Изменить настройки» или «Отозвать согласие», это нарушение.

Риски:

• Жалобы пользователей ведут к проверкам и предписаниям
• В ЕС контролирующие органы рассматривают это как нарушение принципа прозрачности и добровольности

Заключение: баланс между законом и маркетингом

Соблюдение требований к обработке персональных данных — это элемент стратегии доверия. Те компании, которые строят прозрачные процессы, выигрывают: клиенты охотнее делятся данными, реже жалуются, дольше остаются с брендом.

И если российское законодательство в целом лояльнее, чем GDPR, то грамотному бизнесу уже сейчас стоит ориентироваться на более строгие стандарты, т.к. это инвестиция в устойчивость, международные перспективы и лояльность клиентов.

Оригинал публикации на сайте CISOCLUB: "Маркетинговые технологии и GDPR: как бизнесу соблюдать требования и не потерять клиентов".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.