28 января прошел Privacy Forum 2026 - конференция о персональных данных в бизнесе, организованная Lukash & Partners.
В мероприятии приняли участие более 20 практикующих специалистов в области персональных данных и информационной безопасности.
Среди экспертов представители ФГУП ГРЧЦ (Роскомнадзор), ДИП г. Москва, Центра биометрических технологий, ТБанка, Сбербанка, Авито, ГК "Гарда", Городисский и партнеры, АЛРУД, RTM GROUP и других крупных российских и международных компаний.
В данной секции, посвященной вопросам обработки персональных данных в маркетинговых коммуникациях, эксперты разобрали применение биометрии в ритейле, законные основания для таргетинга, работу с DMP-платформами и требования к CRM-системам в условиях российского регулирования.
Модератор:
Марина Чурова, ведущий юрист «Lukash & Partners», DPO ООО «АкадемСити».
Участники:
Станислав Румянцев, старший юрист, юридическая фирма «Городисский и партнеры»
Наталия Балекина, operations Privacy Expert, Wildberries&Russ
Андрей Турчин, заместитель руководителя направления в Центре правовой защиты технологий и данных ПАО Сбербанк
Андрей Корсунский, заместитель руководителя юридического отдела ГК «Родная Речь»
Запись секции доступна VKvideo
Ниже краткий обзор обсуждений по затронутым темам.
Биометрия и поведенческий анализ в ритейле
Участники разобрали кейсы использования видеонаблюдения и аналитики поведения посетителей торговых и бизнес‑центров: от подсчёта трафика и обеспечения безопасности до построения маркетинговых профилей.
Обсуждалось, когда такие данные могут признаваться биометрическими, что считать «установлением личности» и как отсутствие легальных дефиниций «определенного/определяемого лица» и «личности» в 152‑ФЗ создаёт для бизнеса правовую неопределённость.
Спикеры подчеркнули, что в подобных сценариях получения данных часто отсутствует цель идентифицировать конкретного человека, поэтому может работать законный интерес как основание обработки, особенно для обеспечения безопасности.
Отдельно акцентировано внимание на то, что в российской практике законный интерес — «тонкая материя»: суды принимают его как основание только при очень сильной аргументации и наличии очевидных компенсирующих мер, демонстрирующих уважение к правам субъекта.
Решением для компаний будет являться максимально тщательный подход к построению процессов с учетом компенсирующих мер: информационные таблички о видеонаблюдении, размещение базовой информацию о целях обработки и предупреждение о зоне съемки, QR-код для доступа к подробной информации о том, что будет происходить с данными.
Важным условием обоснования законного интереса является отсутствие установления личности и связывания записей с конкретными идентификаторами (ФИО и т.д.).
Согласие в рекламе и маркетинге
Участники обсудили, как соотносятся требования 152‑ФЗ и закона «О рекламе» в части согласий на рекламные коммуникации и в чьих интересах фактически даётся такое согласие.
Отмечена позиция ФАС о необходимости разделения согласий: отдельное согласие на обработку персональных данных и отдельное — на получение рекламы, а также особый, упрощенный порядок отказа от рекламных рассылок.
Обсуждалось, что в диджитал‑маркетинге согласие часто реализуется через конклюдентные действия (баннеры и уведомления на сайте), однако, как только речь идёт о прямых коммуникациях (звонки, e‑mail, sms), требуются отдельные, явно выраженные согласия от субъекта маркетинговые коммуникации.
Метрики, таргетинг и «обезличенные» данные, DMP, вторичное использование данных и договорные механизмы
Спикеры указали на устойчивую позицию регулятора и судов: практически все данные, собираемые через метрические и рекламные сервисы (cookies, пиксели, теги), рассматриваются как персональные, независимо от их «технической» формы.
Обсуждалась практика таргетинга на основе больших массивов данных, когда заказчик сам не видит и не контролирует данные, а управляет сегментами через интерфейс рекламной платформы. При этом формально речь идёт об «обезличенных» сегментах, но на практике воздействие оказывается персонализированным.
Участники затронули проблему монополизации рекламного рынка крупными платформами: условия диктуются ими, ответственность за законность использования сегментов часто перекладывается на рекламодателя, а возможность реального контроля за источником и объёмом данных крайне ограничена.
Вопрос вторичного использования данных и длинных цепочек их передачи назван одним из наиболее рискованных участков в маркетинге.
Спикеры поделились практикой митигации рисков при работе с DMP и поставщиками данных: через детализированные договоры, включающие гарантии наличия оснований и согласий, обязательство предоставлять доказательства их получения и перераспределение ответственности (неустойки, компенсации штрафов, обязанность содействовать в проверках и разбирательствах).
При этом отмечено, что даже продвинутые договорные конструкции не дают полной защиты: они снижают риски и издержки, но не отменяют ответственности оператора перед регулятором.
CRM, опросные платформы и локализация данных
Отдельный блок дискуссии был посвящён применению 152‑ФЗ при использовании CRM‑систем и опросных/анкетных платформ в маркетинге.
Спикеры подчеркнули, что отношения с такими подрядчиками обычно должны оформляться как поручение на обработку персональных данных, с обязательным получением согласия субъекта на передачу данных обработчику и тщательной проработкой целей и состава обрабатываемых данных.
Отмечена сложность согласования целей и перечней данных с контрагентами с учётом поданных уведомлений в Роскомнадзор и локальных актов компаний.
Обычно это решается по принципу рыночной силы: у кого сильнее рыночная позиция, кто может диктовать свои условия, тот и продавит свои формулировки, которые ему нравятся.
Особо выделено требование локализации: базы данных CRM и опросных платформ, находящихся под контролем российского оператора, должны физически располагаться в России. Штрафы за нарушение локализации — одни из наиболее существенных после утечек.
Дисклеймер:
Представленные в материале позиции отражают мнения экспертов-участников дискуссии и носят информационно-ознакомительный характер. Данная информация не является юридической консультацией. При принятии решений по вопросам обработки персональных данных рекомендуется учитывать специфику конкретной ситуации и обращаться за профессиональной юридической помощью. Организатор и спикеры не несут ответственности за последствия применения представленных подходов.
