Данные и право10 мин чтения · 17.06.2026

152-ФЗ для CRM и email-маркетинга: чек-лист соответствия 2026

Работа с клиентской базой — это работа с персональными данными. В 2026 году требования к их обработке и ответственность за нарушения заметно выросли. Собрали практический чек-лист, что должно быть у компании, которая ведёт CRM и рассылки.

Материал носит информационный характер и не является юридической консультацией. Перед внедрением сверьтесь с актуальной редакцией законодательства и при необходимости с юристом.

Кто такой оператор персональных данных

Если вы собираете имена, телефоны, email клиентов и храните их в CRM — вы оператор персональных данных по 152-ФЗ, даже если это ИП или небольшой бизнес. Это автоматически накладывает набор обязанностей: от уведомления Роскомнадзора до публикации документов на сайте.

Чек-лист: что должно быть на сайте и в процессах

Политика обработки персональных данных

Опубликована на сайте, доступна с любой формы. Содержит данные оператора, цели, перечень данных, сроки хранения и права субъекта.

Явное согласие при сборе данных

У каждой формы — отдельный непредотмеченный чекбокс со ссылками на Политику и Согласие. Согласие должно быть конкретным, информированным и сознательным.

Согласие на маркетинговые рассылки

Реклама по закону «О рекламе» требует отдельного согласия. В каждом письме — работающая отписка в один шаг.

Cookie с предварительным согласием

Аналитические и маркетинговые cookie подключаются только после согласия в баннере. У пользователя есть выбор «только необходимые».

Хранение данных на серверах в РФ

Запись, систематизация и хранение данных россиян — на серверах, расположенных в России (требование о локализации).

Уведомление Роскомнадзора

Оператор подаёт уведомление о намерении обрабатывать персональные данные до начала обработки.

Реакция на инциденты

При утечке оператор уведомляет Роскомнадзор в установленные сроки (первичное — в течение 24 часов, по результатам расследования — в течение 72 часов).

Соответствие 152-ФЗ — это не разовая задача «повесить документ», а встроенный в процессы режим работы с данными.

Особый случай: чувствительные данные

Если в базе есть специальные категории данных — например, сведения о здоровье в клиниках или оптике, — требования ужесточаются: нужны изолированный контур обработки, маскировка, журналирование доступа и, как правило, письменное согласие. Маркетинг по таким данным требует особой осторожности.

Почему это касается выбора CRM-инструментов

Ответственность за данные несёт оператор, а не подрядчик. Поэтому при выборе систем для маркетинга важно, где они хранят данные, можно ли развернуть решение в собственном контуре и как организован доступ. Решения, работающие на серверах заказчика, снимают значительную часть рисков локализации и передачи данных.

«Умный цикл» спроектирован под строгие требования к данным

Разворачивается в контуре заказчика, с изоляцией, маскировкой и журналом доступа. В пилоте на оптике доведён до соответствия 152-ФЗ для медицинских данных.

Запросить демо

Читать дальше

Предиктивный маркетинг: как прогнозировать повторные продажи → Реактивация клиентов: как вернуть «спящую» базу без выжигания →