Персональные данные: изменения в законе ФЗ-152, важные для работы маркетолога

Почти каждая компания имеет дело с персональными данными своих клиентов. Анализ этой информации – база для маркетинговой стратегии. Но далеко не все знают, как правильно хранить, обогащать, обрабатывать данные с точки зрения законодательства. Между тем, есть закон, в котором прописано, как должны быть устроены эти процессы, и кто отвечает за безопасность данных. Давайте разбираться.

Все действия с персональными данными в России регулирует ФЗ-152 – федеральный закон «О персональных данных» (последние изменения внесли 2 июля 2021 года). Выполнение закона контролирует Роскомнадзор. По определению ФЗ-152 персональные данные (ПД) – это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Говоря простым языком, это все сведения, по которым можно идентифицировать человека.

В ФЗ-152 выделены 3 вида персональных данных:

Точного указания, что считать персональными данными, в законе нет. Технологии меняются, и появляются новые способы идентифицировать человека, имея какие-то начальные сведения о нем. С другой стороны, отсутствие подробного перечня позволяет широко трактовать понятие персональных данных, что приводит к сложностям при ведении бизнеса.

Например, можно ли отнести к ПД e-mail? По адресу часто можно восстановить имя, фамилию, год рождения или место работы – maksivanov_marceting@delaemprogi.ru, поэтому судебная практика часто признает электронные почтовые адреса персональными данными.

Использовать персональные данные без согласия человека нельзя. До недавнего времени можно было брать «общедоступные» данные о пользователе из открытых источников. В актуальной версии закона предусмотрено получение согласия на обработку и распространение персональных данных с указанием целей использования.

К обработке данных относят следующие действия:

Перечень этих действий утвержден законом.

Если человек или юридическое лицо занимается обработкой данных, он автоматически становится оператором ПД. Иногда достаточно сложно разобраться, попадает ли ваша работа с данными под действие закона. В этом случае стоит проконсультироваться у юриста. Важный момент: тот, кто определяет цели обработки персональных данных, тоже считается оператором. То есть учитывается, в чьих интересах ведется работа с ПД.

Оператор персональных данных должен быть зарегистрирован в реестре Роскомнадзора. Решение о регистрации компания принимает самостоятельно. Для того, чтобы точно сказать, оформлять ли компании статус оператора, нужно рассматривать конкретные условия работы. Если ваши клиенты оставляют контакты и заполняют анкеты, то, скорее всего, вы считаетесь оператором ПД и можете получить штраф, если проверка Роскомнадзора выявит нарушения.

Теоретически может, но известны прецеденты, когда компании неверно трактовали некоторые статьи закона, и у Роскомнадзора было другое мнение, что привело к штрафам или судебному разбирательству. Под действие ФЗ-152 попадают все случаи, когда клиенты оставляют контактные данные, оформляют карты лояльности, регистрируются на сайте. Любой анализ поведения потребителей, который проводят маркетологи на основании данных CRM, считается обработкой ПД. То, какие технологии и софт при этом используются, неважно. В законе оговорено, что автоматизация обработки – это только один из способов работы с данными. Хотите, можете вести базу на бумаге, это ничего не меняет. Если вы собираете информацию для коммерческого использования, а не просто записываете телефоны друзей в блокнот, вы работаете с персональными данными.

Изменения в законе, вступившие в силу в марте и июле 2021 года, защищают неприкосновенность личных данных. В новой редакции ФЗ-152 введен новый термин «персональные данные, разрешенные для распространения». Ранее по умолчанию считалось, что все сведения, которые человек распространил о себе в открытых источниках могут использоваться кем угодно. Например, работодатель мог взять личные фотографии сотрудника из профиля в социальной сети и разместить на корпоративном сайте.

С 1 марта необходимо получить согласие владельца на конкретное действие. На это прямо указывает статья 10.1 ФЗ-152. При этом согласие должно быть получено отдельно от других согласий субъекта на обработку его персональных данных.

Размещать сведения о человеке без его согласия теперь нельзя ни на корпоративном сайте, ни на страничке другого человека в соцсети, ни на других ресурсах, то есть нигде.

При этом молчание или бездействие владельца не может приравниваться к согласию.

Пункт 9 статьи 9 закона о ПД указывает, что требования к содержанию согласия устанавливает уполномоченный орган, то есть Роскомнадзор.

Закон также определяет, что «доказывать» правомерность размещения должен тот, кто опубликовал данные. Например, если хакер взломал корпоративную базу и разместил в открытом доступе, перепечатать информацию и опубликовать на своем сайте нельзя. При этом увеличились административные штрафы. Например, за обработку данных без получения согласия человека юридическое лицо может заплатить несколько сотен тысяч рублей.

Сегодня база данных есть практически у каждой компании. База данных – это не обязательно CRM на десятки или сотни тысяч пользователей. Даже если у вас только небольшая таблица в Excel с данными о клиентах, анализ этой информации поможет понять, кому будет интересен ваш продукт.

Чтобы эффективно использовать персональные данные в рекламе, они должны быть полными и актуальными. Например, вы провели опрос среди ваших клиентов и выявили, чем они интересуются, какие у них ценности и предпочтения в продуктах, услугах, товарах и т.п. Вы долгое время использовали эту информацию в рекламе, и это давало высокую конверсию. Через некоторое время вы можете заметить, что рекламные показатели снизились. Нет, это не говорит о том, что клиенты разлюбили ваш продукт или бренд, возможно они просто поменяли сферу интересов, и теперь персонализированная коммуникация уже работает не так эффективно, как раньше.

Именно поэтому важно своевременно обогащать собственную базу дополнительной информацией, сегментировать ее, чтобы делать релевантные предложения.

С учетом состояния cookies и их плановым отключением в 2023 году, прослеживается явный тренд на сбор собственной базы (1st party data). Имея достаточный объем, вы сможете запускать рекламные кампании на базе исключительно ваших пользователей, строить высокоточные Look-alike.

Именно такие подходы позволят выделяться на фоне конкурентов.

Но не все так просто. Собирая собственную базу, вы можете столкнуться с такими проблемами, как ошибки в email, именах, телефонах, а для обогащения уже собранной проверенной базы ее будет необходимо передать третьему лицу. Этот процесс передачи также регламентируется законом. Третья сторона должна быть оператором по обработке персональных данных.

Для обогащения данных можно использовать DMP (Data Management Platform) AiData.me. Компания представлена на рынке данных уже более 10 лет и официально является оператором по обработке персональных данных в соответствии с ФЗ-152.

После аккумуляции всех данных в личном кабинете DMP происходит обработка – обогащение с помощью атрибутов DMP, расширение и создание новых максимально релевантных аудиторных сегментов, а также сегментация и аналитика.

Сегменты передаются на площадки для запуска рекламных кампаний. Объявления видят только заинтересованные пользователи, и стоимость привлечения клиентов снижается.

Используя такую платформу как AiData, вы сможете структурировать собственную базу данных, управлять сегментами, реагировать на появление у клиентов новых потребностей. Понимание поведения потребителей позволит персонализировать рекламные креативы, привлечь новых и удержать старых клиентов. В результате увеличится «пожизненная ценность клиента» (LTV). Напишите нам, чтобы узнать подробнее о возможностях монетизации ваших собственных данных.