В России SMS‑рассылки, охватывающие лиц, регистрируемых как резидентов ЕС, подлежат требованиям GDPR. Это означает соблюдение принципов согласия, прозрачности и права на удаление данных.
Как GDPR влияет на SMS‑маркетинг в России
GDPR распространяется на обработку персональных данных, если:
- объектом обработки является физическое лицо, находящееся в ЕС;
- оператор находится в России, но предоставляет услуги в ЕС;
- обработка носит коммерческий характер и направлена на продажу товаров/услуг.
Таким образом, если российский оператор SMS‑маркетинга использует номера, принадлежащие гражданам ЕС, он обязан соблюдать GDPR, даже если клиент находится в России.
Ключевые принципы GDPR для SMS‑рассылок
1. Согласие – получение явного согласия до первой рассылки.
2. Прозрачность – уведомление о целях, сроках хранения и правах.
3. Минимизация данных – хранить только необходимые номера.
4. Права субъектов – право отозвать согласие и запросить удаление.
Практическая реализация согласия в SMS‑рассылке
Согласие должно быть:
- Явным – пользователь явно подтверждает согласие через SMS, форму или цифровой подпись.
- Видимым – в тексте сообщения должно быть четкое указание, что пользователь подписывается на рассылку.
- Тайм‑стампом – хранить дату и время согласия.
Пример SMS‑сообщения для подтверждения:
ОТКРЫТЬ СБОР: Привяжите номер 1234567890 к рассылке. Ответьте «ДА» для подтверждения.Риски и штрафы при несоблюдении GDPR в России
Нарушения могут повлечь штрафы до 20 млн евро или 4 % годового оборота, в зависимости от размера компании. В России инстанции, такие как Роскомнадзор, могут применять аналогичные санкции, если данные EU‑лица обрабатываются нерезидентом.
Сравнение требований GDPR и российского законодательства о персональных данных
| Критерий | GDPR | Российский закон о персональных данных |
|---|---|---|
| Согласие | Явное, свободное, конкретное | Требуется, но допускается согласие в форме заявки |
| Права субъектов | Права на доступ, исправление, удаление, переносимость | Права на доступ, исправление, удаление, но переносимость не предусмотрена |
| Штрафы | До 20 млн евро/4 % оборота | До 15 млн рублей |
FAQ по GDPR и SMS‑маркетингу в России
- Можно ли отправлять SMS, если пользователь дал согласие в России? Да, если пользователь находится в ЕС, согласие должно соответствовать GDPR.
- Что делать, если пользователь отозвёт согласие? Немедленно прекратить рассылку и удалить номер из базы.
- Нужен ли отдельный договор с оператором SMS‑сервисов? Да, договор должен включать положения о соответствии GDPR и обязанностях сторон.
- Как проверить, что оператор соблюдает GDPR? Требовать от него сертификаты соответствия, отчёты о тестировании и доступ к аудитам.
