Персональные данные и реклама: согласия, сегментация и риски

Table of contents

• 1. Как ФЗ‑152 соотносится с рекламой
• 2. Что считается персональными данными в adtech
• 3. Правовые основания в маркетинге: когда без согласия нельзя
• 4. Согласие на обработку персональных данных (152‑ФЗ) для рекламы
• 5. Cookies, пиксели и веб-аналитика: как соблюсти 152‑ФЗ
• 6. Сегментация, профилирование и look‑alike: допустимые границы
• 7. Обезличивание и агрегирование: когда данные уже не ПДн
• 8. Передача третьим лицам и трансграничность
• 9. Сроки хранения и безопасность рекламных данных
• 10. Матрица рисков рекламных практик
• 11. Чек‑лист документов и полезные ссылки
• Заключение

1. Как ФЗ‑152 соотносится с рекламой

В маркетинге любая работа с идентификаторами пользователей, контактами и профилями подпадает под Федеральный закон «О персональных данных» № 152‑ФЗ. Отдельного «фз 152 о рекламе» не существует, но именно 152‑ФЗ задаёт правила игры для рекламных технологий: основания обработки, требования к согласию, передачам и безопасности.

Важно различать:

• 152‑ФЗ — про обработку персональных данных;
• Закон № 38‑ФЗ «О рекламе» — про способы коммуникации и ограничения (например, рассылки SMS/e‑mail без согласия запрещены).

Чтобы выстроить маркетинг и персональные данные по 152‑ФЗ корректно, используйте системный подход: фиксируйте цели, собирайте корректные согласия, минимизируйте объём данных и соблюдайте сроки.

Для базовых понятий и норм см. о законе 152‑ФЗ, структура и статьи, а также тексты статей: ст. 6, ст. 9, ст. 16, ст. 18.1, ст. 19.

2. Что считается персональными данными в adtech

Под персональными данными (ПДн) по ст. 3 понимается любая информация, относящаяся к прямо или косвенно определяемому физическому лицу.

В маркетинге ПДн могут быть:

• контактные данные (телефон, e‑mail, мессенджеры);
• cookie‑идентификаторы, IDFA/GAID, user‑ID, IP‑адрес, геолокация;
• данные о поведении на сайте/в приложении, UTM‑метки, история покупок (RFM‑сегменты);
• записи звонков и заявки из форм.

Псевдонимизация (замена имени на ID) не выводит данные из‑под 152‑ФЗ — идентификатор остаётся связанным с человеком. Полноценное обезличивание — отдельный процесс, см. обезличивание ПДн.

Особые категории (здоровье, убеждения) и биометрия требуют усиленной защиты: см. специальные категории, медицинские ПДн, биометрические ПДн. С детьми — отдельные правила: дети и несовершеннолетние ПДн.

3. Правовые основания в маркетинге: когда без согласия нельзя

В России «законный интерес» не является общим основанием обработки. Для маркетинга почти всегда требуется согласие субъекта (ст. 6, 9). Исключения из ст. 6 (например, исполнение договора) узкие: уведомления о доставке по текущему заказу — да; перекрёстный маркетинг и ретаргетинг — как правило, нет. Подробнее — обработка без согласия.

Также учтите требования Закона «О рекламе» № 38‑ФЗ: рекламные рассылки по e‑mail/SMS допустимы только при предварительном согласии адресата, плюс обязанность легко отписаться.

4. Согласие на обработку персональных данных (152‑ФЗ) для рекламы

Согласие на обработку персональных данных 152‑ФЗ для маркетинга должно быть:

• конкретным и информированным (цели: реклама, персонализация, ретаргетинг, look‑alike);
• отдельным от условий договора и иных согласий (никаких «галочек по умолчанию»);
• оформленным в понятной форме: чек‑бокс/баннер/форма, с логированием факта и времени;
• включать перечень данных, сроки, круг получателей (в т. ч. партнёры/adtech‑провайдеры), способ отзыва.

Содержание и формы см. согласие на обработку ПДн и ст. 9. Если вы делаете публикацию ПДн в открытом доступе (например, отзыв с именем на сайте), потребуется отдельное согласие на распространение по ст. 10.1 — см. согласие на распространение ПДн.

Реализуйте удобный отказ и отзыв согласия: страница/кнопка «Отозвать согласие», e‑mail, форма — см. заявления и отзыв согласия и права субъектов ПДн.

5. Cookies, пиксели и веб-аналитика: как соблюсти 152‑ФЗ

Технические cookies могут становиться ПДн, если позволяют идентифицировать пользователя. Отсюда — «cookies 152 фз» в повестке маркетологов.

Рекомендации:

• показывайте баннер с уровнями: строго необходимые, аналитические, рекламные. Включайте опцию «Принять только необходимые»;
• до согласия грузите только строго необходимые cookie/пиксели;
• описывайте каждый инструмент в политике cookies и в политике обработки ПДн;
• храните журналы согласий (consent logs) и версионируйте тексты;
• проверьте локализацию данных при сборе ПДн граждан РФ (ст. 18.1) — сначала обработка в РФ, см. серверы и хостинг/ЦОД.

Полезно: cookie и баннеры 152‑ФЗ, требования к сайту, Yandex.Metrica и 152‑ФЗ.

6. Сегментация, профилирование и look‑alike: допустимые границы

• Персонализация, ретаргетинг, look‑alike‑аудитории — допустимы при наличии корректного согласия и соблюдении принципов минимизации.
• Не формируйте сегменты по чувствительным признакам (здоровье, религия и т. п.) без специальных оснований: особые категории.
• К детям применяйте дополнительные меры и проверяйте контент: дети и ПДн.
• Автоматизированные решения, влияющие на права человека, подпадают под ст. 16: обеспечьте право на объяснение и оспаривание.

Хорошая практика: информировать субъекта о видах сегментации в политике и давать granular‑настройки в cookie‑баннере/личном кабинете.

7. Обезличивание и агрегирование: когда данные уже не ПДн

Если данные обезличены так, что восстановить личность невозможно без несоразмерных усилий, они перестают быть ПДн. Тогда анализ агрегированных отчётов (например, конверсии по когорте без ID) может выполняться без согласия. Но:

• псевдонимизация ≠ обезличивание;
• сочетание нескольких «безобидных» наборов может вновь идентифицировать лицо;
• документируйте методику обезличивания и оценивайте риск реидентификации.

Подробнее — обезличивание ПДн.

8. Передача третьим лицам и трансграничность

Взаимодействие с рекламными платформами, CDP/DMP и подрядчиками — это либо «поручение обработки», либо «предоставление ПДн третьим лицам».

• Поручение: заключите договор с требованиями 152‑ФЗ (цели, меры безопасности, возврат/удаление данных, запрет субпередачи без согласия) — см. поручение обработки ПДн.
• Предоставление/совместная обработка: отразите круг получателей в согласии и политике, опишите роли — см. передача третьим лицам.
• Трансграничная передача: оцените страну‑получателя, обеспечьте надлежащие гарантии и при необходимости оформляйте согласие, учитывая локализацию первоначального сбора — см. трансграничная передача ПДн.

Не забывайте про локализацию (ст. 18.1): первичная запись и хранение ПДн граждан РФ — в базах на территории России.

9. Сроки хранения и безопасность рекламных данных

• Устанавливайте TTL для cookies/ID и сроки хранения событий; после истечения — удаление или деперсонификация. См. сроки хранения ПДн, уничтожение и блокировка, прекращение обработки.
• Реализуйте меры ИБ: разграничение доступа, шифрование, журналирование, контроль подрядчиков. См. меры безопасности ПДн, криптография/шифрование.
• На случай инцидента: процедуры выявления, блокировки, уведомления — см. инциденты и утечки и уведомление Роскомнадзора.

10. Матрица рисков рекламных практик

Практика	Юридическое основание	Доп. условия	Риск	Комментарии
Ремаркетинг по cookie/ID	Согласие (ст. 6, 9)	Cookie‑баннер, лог согласий	Средний	Проверьте локализацию и передачу третьим лицам
Look‑alike с DMP	Согласие на рекламу и передачу	DPIA/оценка рисков	Средний/Высокий	Исключить чувствительные признаки
E‑mail/SMS рассылки	Согласие по 152‑ФЗ + 38‑ФЗ	Лёгкая отписка	Средний	Без согласия рассылки запрещены
Личный кабинет с персональными офферами	Исп. договора + согласие на рекламу	Прозрачность сегментации	Низкий/Средний	Не смешивать служебные уведомления и рекламу
Публикация отзывов с именем	Согласие на распространение (ст. 10.1)	Модерация, срок	Средний	Разделяйте «обработку» и «распространение»
Видеонаблюдение для подсчёта посетителей	Может включать биометрию	Отдельные основания	Высокий	См. видеонаблюдение, биометрические ПДн

11. Чек‑лист документов и полезные ссылки

• Политика обработки ПДн и приватности: политика обработки ПДн, шаблон.
• Cookie‑политика и баннер: cookie и баннеры, формы на сайте и согласие.
• Согласия: согласие на обработку ПДн, на распространение, генератор политики и согласий.
• Реестры и уведомления: реестр операторов ПДн, уведомление Роскомнадзора.
• Взаимодействие с подрядчиками: поручение обработки ПДн, передача третьим лицам.
• Сайт и платформы: требования к сайту, Yandex.Метрика, мессенджеры, WordPress, Bitrix, Tilda.
• Безопасность: меры безопасности, уровни защищённости ИСПДн, модель угроз, требования ФСТЭК и ФСБ.
• Ответственность: ответственность и штрафы, КоАП 13.11, проверки Роскомнадзора.
• Практическая помощь: чек‑лист 152‑ФЗ, аудит сайта, подготовка к проверке, консалтинг и документы «под ключ».
• Актуальные изменения: последняя редакция, изменения 2025, связанные законы.

Заключение

Реклама и 152‑ФЗ совместимы, если вы действуете прозрачно: фиксируете цели, собираете корректное согласие, управляете cookies и передачами, ограничиваете сегментацию и соблюдаете сроки хранения. Такой подход снижает риски блокировок и штрафов, повышает доверие аудитории и устойчивость маркетинга.

Нужна практическая настройка «под ключ»? Начните с экспресс‑проверки сайта и документов: пройдите аудит сайта, соберите пакет через генератор политики и согласий или обратитесь в консалтинг — поможем внедрить соответствие без потери конверсий.