В SMS‑маркетинге персональные данные защищаются GDPR как любая другая форма обработки. Необходимы явный согласие, прозрачность и возможность отозвать согласие. Несоблюдение приводит к штрафам до 4 % годового оборота.
Что такое GDPR и почему он важен для SMS‑рассылок
GDPR – Общий регламент защиты данных Европейского Союза, вступивший в силу в 2018 г. Он устанавливает правила сбора, хранения и использования персональных данных. Для SMS‑маркетинга это означает, что получатель должен дать явное согласие на получение сообщений, а оператор должен хранить доказательства согласия.
Основные принципы GDPR, применимые к SMS
- Согласие – должно быть свободным, конкретным, информированным и однозначным.
- Минимизация данных – собирать только те данные, которые необходимы для цели.
- Хранение ограничено сроком – данные нельзя хранить дольше, чем требуется.
- Права субъектов – право доступа, исправления, удаления и ограничения обработки.
Как правильно собирать согласие на SMS‑рассылку
Согласие должно быть подтверждено явно. Наиболее надёжный способ – double opt‑in, при котором пользователь после регистрации получает подтверждающее сообщение и должен ответить «Да».
// Пример API‑запроса к SMS‑провайдеру
POST /api/optin
{
"phone": "+79161234567",
"consent": true,
"source": "website_form"
}
В ответе провайдер возвращает optin_id, который нужно хранить. Если пользователь отозовет согласие, его нужно удалить из списка рассылки.
Проверка действительности согласия
Провайдеры обычно сохраняют метку времени, IP‑адрес и токен подтверждения. Это позволяет в случае аудита доказать, что согласие было дано. В большинстве регламентов, включая GDPR, хранение подтверждений до 12 месяцев считается достаточным.
Требования к содержанию SMS‑сообщений
Сообщения не должны вводить в заблуждение. В них обязательно должна быть информация о том, как отписаться, а также данные отправителя. Пример:
«Привет, Иван! Получай скидку 10 % на следующий заказ. Отправь STOP, чтобы отписаться. Компания ООО «Магазин»»
Ограничения по частоте и объёму
GDPR не устанавливает прямых лимитов на частоту, но частые сообщения могут рассматриваться как спам. Рекомендуется не более 3‑4 сообщений в месяц, если пользователь не проявил интерес к конкретной акции.
Хранение и защита персональных данных
Все данные должны храниться в защищённом месте, доступ к которому ограничен. Если данные хранятся в облаке, провайдер должен соответствовать требованиям GDPR (например, ISO 27001, SOC 2).
| Тип данных | Нужен ли отдельный договор |
|---|---|
| Номер телефона | Да, если используется для SMS‑рассылки |
| Имя, фамилия | Да, при персонализации сообщений |
| История покупок | Да, при таргетированной рекламе |
Ответственность за нарушение
Нарушение GDPR может привести к штрафу до 20 млн евро или 4 % годового оборота, в зависимости от того, что больше. В 2026 г. суды в Германии уже вынесли штрафы в размере 12 млн евро за неоднократное нарушение правил согласия.
Практические рекомендации для маркетологов
- Внедрить систему double opt‑in везде, где возможно.
- Отслеживать дату последнего согласия и автоматически удалять данные через 12 мес.
- Периодически проверять списки рассылки на наличие неактивных номеров.
- Убедиться, что все провайдеры имеют сертификаты GDPR‑соответствия.
- Обучать сотрудников правилам обработки персональных данных.
Сравнение GDPR и законов о персональных данных в России
| Критерий | GDPR | ФЗ 152 «Персональные данные» |
|---|---|---|
| Согласие | явное, конкретное | явное, но допускается и одностороннее |
| Штрафы | до 4 % оборота | до 2 млн р. |
| Срок хранения | не более 5 лет | не более 5 лет, но без конкретного лимита по согласиям |
FAQ
- Можно ли отправлять SMS без согласия? Нет, это нарушение GDPR и закона о персональных данных.
- Как быстро отозвать согласие? Через
STOPв любой момент; провайдер обязан удалить номер из списка. - Нужен ли отдельный GDPR‑договор с SMS‑провайдером? Да, для подтверждения передачи персональных данных.
- Как доказать согласие в случае расследования? Хранить подтверждения double opt‑in, метки времени и IP‑адреса.
- Можно ли использовать номера из других стран? Да, но необходимо учитывать местное законодательство и согласие.
