Маркетинг без лишнего: защита персональных данных участников промо-акций и программ лояльности

На конференции Ловушки персональных данных, организованной Клубом «Про бизнес», которая проходила 29 октября 2025 г., Татьяна Игнатовская, партнер юридической фирмы «Степановский, Папакуль и партнёры. Юридические услуги», рассказала о маркетинге и доверии, о пяти типичных ошибках работы с персональными данными в маркетинговой активности и о том, как избежать этих ошибок и минимизировать сбор персональных данных. 

Инфраструктурный партнер — hoster.by
Партнер по автоматизации бизнеса — Битрикс24

— В последние 4−5 лет в Беларуси сформировался новый тип отношений между бизнесом и потребителями, связанный с обработкой персональных данных. Если Закон «О рекламе» существует давно, то законодательство о защите персональных данных — относительно новое явление для белорусского бизнеса.

Важно понимать, что работа с персональными данными — это не просто юридическое требование, а возможность выстроить доверительные отношения с клиентами. Рассмотрим, как использовать персональные данные эффективно и законно, избегая типичных ошибок.

Особенности обработки бизнесом персональных данных потребителей: от контроля к доверию

Персональные данные как основа коммуникации

Персональные данные стали фундаментом любой коммуникации между бизнесом и потребителем. Каждый контакт с клиентом оставляет цифровой след, и именно на основе этих данных бизнес может направлять потребителям релевантные предложения, рассказывать об акциях и новинках.

Принцип ответственности

Чем больше данных мы собираем, тем выше наша ответственность. Это не просто юридическое требование, а бизнес-необходимость. Клиенты доверяют нам свою информацию, и наша задача — распорядиться ею разумно.

Минимизация сбора данных как стратегия

Ключевой вопрос в отношении персональных данных сегодня: не «собирать или не собирать», а «зачем, сколько и как долго хранить». Минимизация сбора данных — это не ограничение для бизнеса, а способ снижения рисков и построения устойчивых отношений с клиентами.

Минимизация сбора и обработки персональных данных — это не бюрократия, а элемент доверия. Бизнесы, которые понимают это и строят свои активности соответственно, не только соблюдают установленные государством требования, но и выстраивают долгосрочные доверительные отношения со своими клиентами.

Принцип неизбыточности: закон и практика

Что говорит закон: согласно статье 4 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее — Закон о персональных данных), содержание и объем собираемых данных должны быть минимальными, но достаточными для достижения конкретной цели их сбора. Этот принцип проходит красной нитью через все разъяснения регуляторов.

Проблема на практике: к сожалению, многие компании до сих пор собирают данные «про запас», мотивируя это тем, что «вдруг пригодится». Это приводит к избыточности и нарушению принципа минимальной достаточности.

Пример из практики: компания проводит акцию «подарок за покупку мыла». Для участия требуется указать дату рождения, хотя по условиям акции призы получают все участники независимо от возраста. Такой сбор данных избыточен, если только компания не продает товары с возрастными ограничениями.

5 типичных ошибок бизнеса при сборе персональных данных и их решения

Ошибка 1. Лишние поля в форме сбора данных

Проблема: сбор адреса проживания, даты рождения, когда для участия в акции достаточно e-mail или телефона. Объяснения избыточного сбора тем, что данные собирают «для маркетинговой аналитики» без должного правового оформления, в то время как цель сбора — проведение акции или выдача приза.

Решение: перед каждой акцией задавайте вопрос: «Зачем нам каждая строка в форме?» Примеряйте каждое поле сбора данных к конкретной цели акции.

Помните: даже юридически правильно оформленное согласие не делает избыточный сбор правомерным.

Ошибка 2. Цель без границ

Проблема: смешение целей сбора персональных данных «участие в акции» и «последующее информирование».

Формула «участие в акции = согласие на маркетинг» не работает.

Правовое обоснование: участие в акции с юридической точки зрения является публичным договором (публичное обещание награды или публичный конкурс). Когда потребитель соглашается с условиями проведения акции, опубликованными на сайте компании, заключается договор.

Маркетинговые рассылки — отдельное правовое основание (согласие). Тут нет договора между потребителем и компанией, такие рассылки происходят вне рамок проведения рекламной акции.

Решение: разделяйте цели обработки персональных данных и правовые основания их обработки. Используйте отдельные формы согласия для разных целей.

Помните: согласие потребителя «на все» равно отсутствию согласия.

Ошибка 3. Хранение персональных данных «на всякий случай»

Проблема: персональные данные остаются после завершения акции «про запас». Отсутствие четких сроков хранения.

Законные основания хранения: срок хранения персональных данных должен соответствовать цели их обработки.

После достижения цели нужно удалять, анонимизировать или блокировать персональные данные. Закон о персональных данных предусматривает 15-дневный срок для удаления после окончания необходимости обработки по требованию субъекта персональных данных.

Решение: настройте автоматическое удаление или анонимизацию данных. Прописывайте сроки хранения персональных данных в локальных документах. Используйте блокирование данных, когда анонимизация или полное удаление невозможно по техническим причинам.

Ошибка 4. Передача персональных данных подрядчикам без уточнений

Проблема: передача данных маркетинговым агентствам, IT-подрядчикам, логистическим сервисам без четкого регулирования, когда проводятся совместные рекламные акции. Отсутствие договоров поручения на обработку данных.

Риски: нарушение законодательства об обработке персональных данных. Возможная передача персональных данных сервисам массовой рассылки без согласия субъектов персональных данных. Возможная трансграничная передача данных без надлежащего оформления. Отсутствие контроля за действиями подрядчиков.

Решение: заключайте договоры поручения на обработку персональных данных. Четко определяйте перечень действий, которые подрядчик (уполномоченное лицо) может совершать с персональными данными, сроки и границы ответственности. Проверяйте, где находятся серверы подрядчиков, чтобы снизить риск трансграничной передачи данных в юрисдикции с недостаточной защитой данных.

Ошибка 5. Повторное использование данных

Проблема: база данных, собранная для одной рекламной акции, используется для других маркетинговых активностей. Отсутствует отдельное согласие субъекта персональных данных на такие активности.

Решение: каждая новая цель обработки персональных данных требует нового основания обработки. Получайте у субъекта персональных данных отдельное добровольное информированное согласие на рассылки. Не используйте персональные данные из акций для других целей без дополнительного согласия потребителя.

Особый случай: рекламные рассылки

Двойное согласие

Для законного осуществления рекламных рассылок, исходя из совместной позиции регуляторов, фактически необходимо два согласия:

1. Согласие по Закону Республики Беларусь от 10 мая 2007 г. № 225-З «О рекламе» на получение рекламного контента с помощью средств электросвязи.

2. Согласие по Закону о персональных данных на обработку данных для целей рассылки.

Практическая рекомендация: не запрещается размещать оба согласия в одной форме, но делайте это четко и прозрачно, чтобы пользователь понимал, на что именно он соглашается.

Чек-лист для проверки готовности к запуску маркетинговой активности

Перед запуском любой рекламной акции убедитесь, что вы можете ответить «ДА» на все вопросы.

• Мы знаем, зачем собираем данные? — каждая строка в форме имеет четкое обоснование.
• Мы не берем лишнего? — собираем только минимально необходимые данные.
• Мы храним данные ровно столько, сколько нужно? — установлены четкие сроки хранения.
• Мы понимаем, кто и зачем имеет доступ к персональным данным? — все подрядчики и их процессы по обработке персональных данных определены.
• Мы можем в любой момент удалить (анонимизировать, блокировать) данные по первому требованию? — знаем, где хранятся данные и как их удалить.

Клиенты доверяют бизнесам, которые уважают их границы и действуют в рамках закона.

Несколько рекомендаций для бизнеса по минимизации обработки персональных данных

1. Пересмотрите формы и цели

Перед стартом каждой акции пересматривайте свои «стандартные» формы сбора данных и ставьте под сомнение каждое поле.

2. Автоматизируйте процессы

Настройте автоматическое удаление или анонимизацию данных после достижения целей обработки.

3. Установите правила работы с подрядчиками

Устанавливайте прозрачные правила работы с подрядчиками, которые имеют доступ к персональным данным ваших клиентов.