ОБЩЕРОССИЙСКАЯ
СИСТЕМА
ПОДАЧИ РЕКЛАМЫ
В РЕГИОНАЛЬНЫЕ СМИ

Выберите регионРегион
×

    Если вашего города нет в списке, введите его в поле выше

    Пн-Пт / 09:00-19:00
    +7 (383) 227‑64‑64 +7 (495) 737‑54‑64 info@reklama-online.ru
    Услуги
    ×
    Поиск по сайту...

    Как избежать штрафов за неправильную работу с персональными данными

    11.03.2025

    Тонкости работы при запуске рекламных кампаний

    Вопросы правильного сбора и обработки информации для рекламных целей остаются одними из самых актуальных в диджитал-маркетинге. Нарушения в этой области могут привести к штрафам и репутационным рискам, поэтому важно внимательно подходить к процессам и соблюдать законодательные требования. Как избежать ошибок при работе с данными клиентов и выстроить безопасные рекламные кампании, Марина Александровская, управляющий партнер 1ОПД, рассказала Sostav.

    Как сегодня рекламные агентства работают с ПД

    Почти каждая промокампания сопровождается запуском лендинга, таргетинга, e-mail-рассылки или другого формата коммуникации, в рамках которого пользователи оставляют свои данные. И каждая подобная активность должна сопровождаться информированием клиентов о том, что их данные собираются и обрабатываются. Как правило, это реализуется с помощью сбора согласий на странице сайта или в форме обратной связи. На сегодняшний момент существует несколько решений для настройки и автоматизации этого процесса при запуске РК.

    Большие компании зачастую нанимают в штат узкоспециализированных специалистов (DPO), а также сотрудников в сфере кибербезопасности. Еще один возможный подход — сотрудничество с крупным партнером, который закрывает вопрос работы с ПД «под ключ». Таким образом компании контролируют весь процесс работы с ПД, разрабатывают и внедряют специальные процедуры и регламенты — самостоятельно и вместе с партнером.

    Агентства малого и среднего уровня работают с ПД формально, используя шаблонные конструкторы документов и не учитывая при этом специфику внутренних процессов в компании. Очень часто такой подход приводит к грубым нарушениям.

    Главная проблема на сегодня заключается в том, что мало у кого выстроен четкий и корректный процесс работы с ПД при запуске РК. На практике мы часто видим следующее: маркетологи планируют запуск кампании, готовят сайт, согласовывают с руководством креативы, успевают даже провести тендеры. И вот наступает момент, когда, казалось бы, все готово к запуску. Но юристы задают блокирующий вопрос: «А у вас что, будут собираться данные? Тогда нужно получить согласование». И тут маркетолог вынужден экстренно бежать по всем отделам: и к кибербезам, и к юристам, и даже к продакт-менеджерам, судорожно согласовывая все процессы сбора, хранения и обработки данных. Как результат: сроки срываются и рекламная кампания не стартует вовремя.

    Размеры потенциальных штрафов, риски для рекламных агентств

    Как правило, рекламные кампании запускаются для крупных клиентов рынка — для брендов, производителей, международных компаний. И, кроме того, что нарушение 152-ФЗ автоматически ведет к штрафным санкциям, оно может привести и к репутационным рискам, вплоть до прекращения сотрудничества с текущими клиентами и партнерами.

    Федеральный закон № 152-ФЗ «О персональных данных» регулирует работу российских компаний с ПД и дает четкие рекомендации, как корректно обрабатывать и хранить персональные данные, чтобы избежать штрафов. Каждый год в закон вступают новые поправки. На данный момент закон включает в себя более 10 видов штрафов, а общая их сумма может достигать 18 млн рублей.

    К персональным данным в рамках рекламных кампаний обычно относятся: ФИО, e-mail, телефон. Также отдельным согласием сайты могут собирать cookies. А иногда могут запрашивать и дополнительные сведения: паспортные данные, биометрию и другую личную информацию о пользователе.

    Для каких РК нужно собирать и обрабатывать ПД

    Сегодня почти любая рекламная диджитал-кампания, в которой используется таргетинг, персонализация и аналитика поведения, требует обработки персональных данных. К таким активностям относятся: перфоманс-маркетинг, CRM-маркетинг, промо-кампании, таргетированная, контекстная, программатик-реклама, реклама в приложениях и многие другие форматы.

    Поэтому рекламные агентства и маркетологи должны учитывать требования к хранению, обработке и передаче персональных данных, особенно в свете обсуждаемого ГосИС и новых требований по обезличиванию.

    Способы сбора и обработки ПД. В чем между ними разница? Какой вариант наиболее оптимальный?

    В сфере рекламы, маркетинга и аналитики персональные данные могут собираться и обрабатываться разными методами. Важно понимать разницу между сбором и обработкой, а также знать, какие методы наиболее безопасны и эффективны.

    Сбор ПД — это процесс получения информации о пользователе. Методы могут различаться по прозрачности (явный или неявный) и по типу взаимодействия с пользователем. Разберем подробнее каждый из способов.

    Явный сбор (Прямой, First-party data)

    В этом случае пользователь сам передает данные, давая согласие.

    Например:

    • регистрация на сайте (форма с email, номером телефона);
    • заполнение анкет и подписка на рассылку;
    • оставление отзывов или комментариев;
    • авторизация через соцсети, идентификаторы, такие как SberID, VK ID, Yandex ID и другие.

    У этого метода есть много плюсов. В первую очередь, это легально и безопасно в случае, если компания оформила все корректно. Кроме того, это обеспечивает высокую точность данных, так как пользователь вводит информацию самостоятельно. Но есть и минусы: пользователи не всегда охотно оставляют данные, что может снижать конверсию — некоторые покидают веб-ресурс, не заполнив форму. В то же время данный способ будет получать все более широкое применение в связи с отказом от cookies, которое нас ждет в ближайшем будущем.

    Неявный сбор (Косвенный, Third-party и Second-party data)

    В этом случае данные собираются без активного участия пользователя, то есть автоматически.

    Например:

    • cookie-файлы и пиксели (Google Analytics, Meta Pixel, «Яндекс Метрика»);
    • IP-адрес и устройство (User-Agent браузера);
    • логирование действий на сайте (клики, просмотренные страницы).

    В этом случае плюсом является минимальное вовлечение пользователя, а также тот факт, что можно собирать большие массивы данных. Из минусов: процесс может нарушать законы о конфиденциальности, а также влечет за собой трудности с получением согласия в связи с отказом от cookies.

    Агрегированные данные (Обезличенные, SynData, Look-alike)

    К этому методу относятся, например, look-alike сегменты на основе моделей схожего поведения пользователей, а также DMP-платформы (Data Management Platforms) для создания анонимных аудиторий. С помощью этого метода легче следовать требованиям законодательства и обеспечивать масштабируемость, так как можно находить больше похожих пользователей.

    Но и здесь есть минусы. Например, потеря точности, когда поведение пользователей предсказывается не всегда правильно, а также присутствует риск ограниченных возможностей персонализации.

    Согласие на обработку ПД при запуске РК: тонкости, необходимые документы и шаблоны

    При запуске рекламной кампании в первую очередь необходимо понять, в каком случае получать согласие пользователей необходимо, а в каком — не обязательно.

    В каких случаях согласие необходимо?

    • Если рекламная кампания использует ФИО, email, телефон, соцсети для персонализированных рассылок. Даже если эти данные запрашиваются не в полной связке, а по отдельности.
    • При ретаргетинге и передаче данных в сторонние системы (DMP, CDP, рекламные платформы).
    • Если происходит объединение данных из разных источников для построения аудиторий.

    В каких случаях можно обойтись без согласия?

    • Если данные анонимизированы. Например, look-alike, агрегированные данные.
    • В рамках исполнения договора. Например, когда клиент уже дал согласие при регистрации.
    • Если данные собираются из открытых источников, но без их объединения с другими базами.

    Что касается документов и шаблонов согласий, тут важно отметить, что одного согласия, даже корректно разработанного, недостаточно. Кроме ссылки на согласие, пользователю необходимо дать возможность ознакомиться и с политикой конфиденциальности. Политика обязательно должна отражать, какие данные собираются, как используются, куда передаются.

    Кроме того, компания должна направить уведомление в РКН, чтобы зарегистрироваться как оператор персональных данных. Само же согласие также должно быть составлено с учетом всех требований РКН.

    Три главные ошибки при работе с ПД при запуске РК:

    • Много целей в одном согласии, в то время как РКН четко рекомендует «одно согласие — одна цель». Хотите собрать пользователей для рекламных коммуникаций — получите от них согласие именно на эту цель.
    • Компании не учитывают дальнейшую передачу собранных данных в сторонние сервисы.
    • Компании собирают чувствительные данные, не оформляя их должным образом. Например, просят фото субъекта при отзыве. Но если эти фото потом будут использованы в каких-либо системах, алгоритмах идентификации и распознавания, то важно учитывать, что сбор биометрических данных — это отдельные требования, которые нужно строго соблюдать.

    Отзыв согласия при запуске РК: что учесть и как настроить процесс?

    После отзыва рекламодатель обязан прекратить обработку и удалить данные, а также уведомить третьи стороны (DMP, подрядчиков) об отзыве, если данные передавались.

    При этом в размещенной на сайте политике конфиденциальности важно отразить то, каким образом пользователь может отозвать свои данные. Должен быть четко прописан порядок и способы отзыва согласия, контактные данные для подачи запроса, сроки обработки запроса. Также рекомендуется указать это в самой форме согласия и пользовательском соглашении.

    Если еще несколько лет назад пользователи нечасто отзывали свои персональные данные, то сейчас мы видим кратный рост в этом направлении. Раньше многие компании это делали в ручном режиме, за исключением отписки от e-mail рассылки. В этой связи компаниям, безусловно, стоит настроить автоматизацию этого процесса внутри либо обратиться к сторонним аутсорс-решениям, как, например, сервис 1ОПД.

    Важно помнить, что отзыв согласия — это не всегда автоматическое удаление данных из всех систем компании, если обработка возможна по другим основаниям. Например, исполнение договора, законные интересы.

    3 главных совета, как избежать рисков и автоматизировать процесс сбора и обработки ПД при запуске РК

    Совет № 1

    На старте работ по подготовке к РК запустите процесс подготовки необходимой документации: текст согласия, политика конфиденциальности и так далее. А также начните процесс согласования этих документов со всеми необходимыми департаментами, отвечающими за работу с персональными данными. Или найдите стороннего партнера, который будет вам помогать полностью закрывать этот вопрос.

    Совет № 2

    Постройте четкий процесс внутри компании и назначьте ответственных лиц, участвующих в согласовании. Требования по работе с персональными данными легче не станут, а будут только ужесточаться. Бегать по 10 отделам в поисках ответственного — не самая эффективная трата ресурсов. А маркетологи будут все чаще и чаще упираться в это при запуске рекламных кампаний.

    Совет № 3

    Автоматизируйте процесс сбора, хранения и удаления персональных данных. Если у вас есть собственная серьезная разработка в компании — сделайте это своими силами. Но если компания не готова тратить на это инхаус-ресурсы — подключите надежный сторонний сервис. С одной стороны, это полностью освободит бизнес от необходимости иметь узкоспециализированных специалистов в штате. А с другой — позволит быть абсолютно спокойными за соблюдение 152-ФЗ.

    Источник: sostav.ru

    К списку новостей