Логотип
Оставить заявкуСердце
15.03.2026

Персональные данные участников акции: как собирать и хранить по закону

Полное руководство по работе с персональными данными в промо-акциях: согласие на обработку, политика конфиденциальности, хранение и уничтожение данных.

Вы запускаете промо-акцию, собираете сотни и тысячи заявок, контактов, фотографий чеков — и даже не задумываетесь, что каждое такое действие регулируется Федеральным законом № 152-ФЗ «О персональных данных». А между тем, штрафы за нарушения в 2026 году выросли до 300 000 рублей за первое нарушение и до 700 000 рублей за повторное. Ошибки в согласиях, хранении или передаче данных могут не только ударить по бюджету, но и разрушить доверие клиентов. В этой статье мы, агентство i-actions, разбираем, как правильно собирать, хранить и уничтожать персональные данные участников акции, чтобы не нарушать закон и спать спокойно.

Что такое персональные данные с точки зрения промо-акции

Согласно 152-ФЗ, персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). В контексте промо-акции к персональным данным относятся:

  • Фамилия, имя, отчество участника
  • Контактные данные (номер телефона, адрес электронной почты)
  • Адрес проживания (для доставки призов)
  • Паспортные данные (для оформления выигрышей дороже 4 000 рублей, для уплаты НДФЛ)
  • СНИЛС (при необходимости налогового учета)
  • Изображения и фото (если акция требует загрузки фото)
  • История участия в акции (даты, чеки, статусы)

Важно: даже обезличенные персональные данные остаются персональными данными, поэтому на них распространяются все требования 152-ФЗ о локализации, сроках хранения и защиты.

Кто отвечает за персональные данные: оператор и обработчик

В любой промо-акции есть два ключевых субъекта с точки зрения 152-ФЗ.

Оператор персональных данных

Это организация или ИП, которые организуют и проводят акцию. Именно оператор определяет цели сбора данных, состав данных и то, как с ними работать. В большинстве случаев оператором выступает бренд — организатор акции. Оператор несет полную ответственность за все нарушения, даже если данные обрабатывает сторонний подрядчик.

Обработчик персональных данных

Это лицо, которое обрабатывает персональные данные по поручению оператора. Например, IT-компания, которая ведет базу участников, курьерская служба, которая использует адреса для доставки, или колл-центр, который обзванивает победителей. Обработчик не определяет цели обработки и не может использовать данные для своих нужд.

Если вы привлекаете подрядчиков для работы с персональными данными, обязательно заключайте с ними договор поручения обработки персональных данных, где прописаны обязанности по защите и ограничения по использованиюe.

Согласие на обработку персональных данных: что изменилось в 2025-2026 годах

Самые важные изменения коснулись именно согласий. С 1 сентября 2025 года вступили в силу поправки к статье 9 152-ФЗ, которые кардинально изменили правила оформления.

Главное изменение: согласие — только отдельным документом

Раньше было распространенной практикой включать согласие на обработку персональных данных в текст договора, пользовательского соглашения или анкеты одной галочкой «я согласен с условиями». С 1 сентября 2025 года такая практика прямо запрещена.

Согласие на обработку персональных данных теперь оформляется только как отдельный документ. Его нельзя «вшивать» в текст договора, оферты или анкеты. Если после 1 сентября 2025 года вы продолжите использовать старый формат (галочку «согласен с условиями»), такое согласие будет считаться неполученным.

Что это означает для промо-акций

  • На сайте или в боте должна быть отдельная форма согласия, а не просто чекбокс «я принимаю условия»
  • Пользователь должен явно подтвердить свое согласие (например, поставить отдельную галочку под текстом согласия)
  • Текст согласия должен быть доступен по ссылке или отображаться на экране полностью
  • Нельзя смешивать согласие на участие в акции с согласием на рекламные рассылки — это разные цели, и они должны фиксироваться отдельно

Важный нюанс: согласия, полученные до 1 сентября 2025 года, продолжают действовать, их переоформлять не нужно. Но все новые согласия — только отдельным документом.

Что должно содержать согласие на обработку ПДн

Согласие — это документ, а не галочка. Оно должно содержать следующие обязательные элементы:

  1. ФИО субъекта персональных данных (участника)
  2. Перечень персональных данных, на обработку которых дается согласие (ФИО, телефон, email, адрес и т.д.)
  3. Цель обработки — что именно будет делаться с данными («для участия в акции», «для доставки приза», «для рекламной рассылки»)
  4. Перечень действий с данными (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение)
  5. Срок действия согласия (например, «до окончания акции и 30 дней после» или конкретная дата)
  6. Способ отзыва согласия (как участник может отозвать согласие)
  7. Подпись и дата (в электронной форме — фиксация IP, даты и времени)

Согласие должно быть добровольным, понятным и однозначным. Формулировки вроде «я принимаю условия» или «я согласен с офертой» без конкретики по данным считаются недостаточными.

Отдельное согласие для рекламных рассылок

Если вы планируете после акции отправлять участникам рекламные сообщения (промокоды, новости бренда, анонсы новых акций), нужно получать отдельное согласие на обработку персональных данных в рекламных целях.

Каждая цель обработки — это отдельное правовое основание. Смешивать их в одном документе запрещено. То есть:

  • Согласие на участие в акции — одна галочка
  • Согласие на рекламные рассылки — вторая галочка (отдельная)
  • Согласие на передачу данных партнерам — третья галочка (отдельная)

Важно: сервисные уведомления (подтверждение регистрации, информация о выигрыше, статус доставки) не требуют отдельного согласия, так как они обрабатываются на основании исполнения договора (п. 5 ч. 1 ст. 6 152-ФЗ).

Уведомление Роскомнадзора: кто обязан подать

Многие организаторы акций не знают, что они обязаны уведомить Роскомнадзор о начале обработки персональных данных. А это обязательное требование для большинства операторов.

Когда нужно подавать уведомление

Операторы персональных данных (любое ООО, ИП, самозанятые и другие, кто собирает данные клиентов, сотрудников или контрагентов) обязаны уведомить Роскомнадзор до начала реальной обработки личных данных.

С 30 мая 2025 года по новой редакции 152-ФЗ эта норма расширена: уведомлять теперь должны даже мелкий бизнес. Штраф за неподачу уведомления составляет для юридических лиц от 100 000 до 300 000 рублей.

Когда уведомление не требуется

Есть исключения, когда уведомление можно не подавать (ч. 2 ст. 22 152-ФЗ):

  • Данные обрабатываются только в рамках трудовых отношений
  • Данные получены только в связи с заключением договора (и используются только для его исполнения)
  • Данные относятся к членам общественных объединений
  • Данные являются общедоступными
  • Обработка включает только фамилии, имена, отчества

Для большинства промо-акций, особенно с участием призов и сбором контактов, уведомление необходимо. Рекомендуем проконсультироваться с юристом в каждом конкретном случае.

Политика конфиденциальности: обязательный документ

На сайте, в боте или приложении, где собираются персональные данные участников, должна быть размещена Политика обработки персональных данных. Это не просто «бумажка для галочки», а документ, который объясняет пользователям, как вы работаете с их данными.

Что должно быть в Политике конфиденциальности

  1. Сведения об операторе (название, ИНН, ОГРН, адрес, контакты)
  2. Перечень обрабатываемых персональных данных
  3. Цели обработки (для чего собираются данные)
  4. Правовые основания обработки (согласие, договор и т.д.)
  5. Сроки обработки и хранения (конкретные сроки или порядок их определения)
  6. Порядок уничтожения данных после достижения целей или отзыва согласия
  7. Сведения о передаче данных третьим лицам (кому, на каком основании)
  8. Меры по защите данных (шифрование, контроль доступа)
  9. Права субъектов персональных данных (право на доступ, уточнение, удаление)
  10. Контакты ответственного за обработку данных

Политика должна быть доступна в одном-двух кликах от формы сбора данных. Ссылка на нее размещается рядом с формой согласия.

Как правильно собирать данные на разных этапах акции

Рассмотрим практические сценарии сбора данных в промо-акции и требования к каждому из них.

1. Регистрация участника на сайте или в боте

Самый распространенный сценарий. Что нужно:

  • Форма регистрации с отдельным чекбоксом «Я даю согласие на обработку персональных данных» с активной ссылкой на текст согласия
  • Если планируются рекламные рассылки — отдельный чекбокс «Согласен на получение рекламных сообщений»
  • Возможность ознакомиться с Политикой конфиденциальности до нажатия кнопки «Участвовать»
  • Фиксация факта согласия в базе (IP, дата, время, браузер)

Технические требования

На сайте используйте чекбокс с гиперссылкой на полный текст согласия. Текст согласия должен быть доступен по ссылке, подписан автоматически (с фиксацией IP, даты и времени), сохранен в базе с шифрованием. Я рекомендую хранить подтверждение согласия минимум 3 года.

2. Загрузка чеков

При загрузке чека вы получаете данные о покупке: список товаров, сумму, дату, место покупки. Эти данные относятся к персональным, так как привязаны к конкретному участнику.

В согласии на обработку персональных данных должна быть отдельно указана цель «анализ состава покупок для определения участия в акции». Нельзя использовать эти данные для других целей без дополнительного согласия.

3. Сбор данных для доставки призов

Для доставки приза потребуются: ФИО, адрес, контактный телефон. Если приз дороже 4 000 рублей — потребуются паспортные данные для оформления договора дарения и уплаты НДФЛ.

Важно: данные для доставки — это отдельная цель обработки. Она должна быть указана в согласии. Если вы не получили согласие на эту цель, вы не можете запрашивать адрес и паспортные данные.

4. Фотографии и изображения участников

Если акция предполагает загрузку фото (например, конкурс на лучшее фото с продуктом), изображения также являются персональными данными.

Нужно получить отдельное согласие на обработку и публикацию фотографий. Особенно если планируется публикация фото победителей в соцсетях или на сайте. Участник должен явно согласиться с тем, что его фото может быть опубликовано.

Хранение и защита персональных данных

Закон требует не только правильно собирать данные, но и обеспечивать их безопасное хранение.

Сроки хранения

Персональные данные можно хранить только до тех пор, пока они нужны для достижения целей обработки. Это один из ключевых принципов 152-ФЗ, который часто нарушается.

Что это означает для промо-акции:

  • Данные участников, не ставших победителями, должны быть удалены после окончания акции (если только не получено отдельное согласие на дальнейшее использование)
  • Данные победителей можно хранить до исполнения всех обязательств (доставка приза, налоговые отчеты)
  • Налоговые документы (2-НДФЛ, договоры дарения) хранятся в соответствии со сроками, установленными налоговым законодательством (обычно 4-5 лет)

Если человек отозвал согласие на обработку своих данных, оператор обязан удалить сведения не позднее 30 дней с момента получения отзыва.

Локализация баз данных

Согласно требованиям 152-ФЗ, персональные данные российских граждан должны храниться на серверах, расположенных на территории Российской Федерации. При сборе данных через иностранные облачные сервисы (Google Forms, SurveyMonkey и т.д.) это требование может нарушаться. Используйте только сертифицированные и локализованные решения для хранения данных участников.

Технические меры защиты

Оператор обязан обеспечить защиту персональных данных, внедрив технические и организационные меры:

  • Шифрование данных при передаче (SSL/TLS)
  • Шифрование данных при хранении
  • Контроль доступа к базам данных (разграничение прав)
  • Регулярное резервное копирование
  • Антивирусная защита и файрволы
  • Журналирование доступа к персональным данным

Передача данных третьим лицам и поручение обработки

В промо-акциях данные часто передаются третьим лицам: курьерским службам (адреса), IT-подрядчикам (база данных), колл-центрам (обзвон победителей).

Поручение обработки персональных данных

При передаче данных третьим лицам для обработки необходимо заключить договор поручения обработки персональных данных. В этом договоре должно быть указано:

  • Перечень действий с данными, которые может совершать обработчик
  • Цели обработки (не могут выходить за рамки целей, определенных оператором)
  • Требования к защите данных (шифрование, контроль доступа)
  • Обязанность обработчика уничтожить данные после выполнения поручения
  • Ответственность за нарушения

Без такого договора вы не можете передавать данные третьим лицам, даже курьерам для доставки призов.

Согласие на передачу данных партнерам

Если данные передаются третьим лицам для их собственных целей (например, партнеру для его маркетинговых рассылок), нужно получать отдельное согласие участника на такую передачу с указанием конкретного партнера и цели.

Трансграничная передача персональных данных

Трансграничная передача — это передача данных на территорию другого государства иностранному лицу. При этом не обязательно физически «передавать» файлы — достаточно предоставить доступ к данным через сервер за пределами России.

Для многих акций, использующих иностранные облачные сервисы (Google Drive, Dropbox, зарубежные CRM), это актуальный риск. Перед использованием таких сервисов необходимо убедиться, что страна получателя обеспечивает адекватный уровень защиты прав субъектов персональных данных, и при необходимости получить согласие участника на трансграничную передачу.

Простой способ избежать проблем: использовать только серверы на территории РФ и проверенных российских провайдеров облачных услуг.

Уничтожение персональных данных после акции

После завершения акции и выполнения всех обязательств (вручение призов, налоговые отчеты) персональные данные участников, не давших отдельного согласия на дальнейшее использование, должны быть уничтожены.

Порядок уничтожения

  1. Издание акта об уничтожении персональных данных
  2. Физическое удаление данных из баз (с подтверждением невозможности восстановления)
  3. Составление акта о результатах уничтожения
  4. Хранение актов в течение срока, установленного внутренними документами

Если вы передавали данные обработчикам (курьерским службам, IT-подрядчикам), необходимо получить от них подтверждение уничтожения данных.

Штрафы за нарушения в 2026 году

В 2026 году штрафы за нарушения в сфере персональных данных значительно выросли.

Штрафы за нарушения 152-ФЗ в 2026 году
Нарушение Штраф для должностных лиц Штраф для юридических лиц
Обработка ПДн без согласия субъекта до 100 000 - 300 000 ₽ до 300 000 - 700 000 ₽
Отсутствие уведомления Роскомнадзора до 100 000 - 300 000 ₽ до 100 000 - 300 000 ₽
Неправильное хранение данных до 1 000 000 - 6 000 000 ₽ до 1 000 000 - 6 000 000 ₽
Утечка персональных данных (повторно) от 6 000 000 до 18 000 000 ₽ от 6 000 000 до 18 000 000 ₽

Штрафы за неподачу уведомления в Роскомнадзор для юридических лиц составляют от 100 000 до 300 000 рублей. За обработку персональных данных без согласия — до 300 000 рублей для должностных лиц и до 700 000 рублей для юридических лиц. За неправильное хранение данных — до 6 000 000 рублей для компании. При повторном нарушении и утечке персональных данных штрафы могут достигать 18 000 000 рублей.

Важно: по статистике, 67% жалоб на розыгрыши поступает от самих участников. Каждая вторая проверка заканчидавается штрафом. Профессиональное юридическое сопровождение с первого дня — не роскошь, а необходимость.

Как i-actions помогает с персональными данными в промо-акциях

Агентство i-actions обеспечивает полное юридическое сопровождение промо-акций, включая все вопросы, связанные с персональными данными.

Наши услуги

  • Разработка документов: готовим Политику конфиденциальности, форму согласия на обработку ПДн, поручения на обработку данных для подрядчиков
  • Юридическая экспертиза: проверяем механику акции на соответствие 152-ФЗ, 38-ФЗ, 54-ФЗ
  • Техническая реализация: настраиваем формы сбора данных с учетом требований к фиксации согласий, обеспечиваем защиту данных на всех этапах
  • Уведомление Роскомнадзора: готовим и подаем уведомление о начале обработки ПДн
  • Хранение и уничтожение: обеспечиваем безопасное хранение данных в локализованных дата-центрах и их уничтожение после акции
  • Работа с победителями: собираем паспортные данные для призов дороже 4 000 рублей, оформляем договоры дарения

Наша платформа для чековых акций построена на серверах в РФ, соответствует требованиям о локализации данных, использует шифрование и многоуровневую защиту от несанкционированного доступа.

Ознакомиться с нашими кейсами можно в разделе реализованных BTL-проектов.

Заключение

Работа с персональными данными в промо-акциях — это не бюрократическая формальность, а обязательное требование закона, за нарушение которого следуют серьезные штрафы. В 2026 году требования ужесточились: согласие теперь оформляется только отдельным документом, уведомление Роскомнадзора обязательно для большинства операторов, а штрафы достигают миллионов рублей.

Ключевые выводы:

  1. Согласие на обработку ПДн — отдельный документ, его нельзя «вшивать» в договор или анкету
  2. Каждая цель обработки требует отдельного согласия (участие в акции, рекламные рассылки, передача партнерам)
  3. Большинство операторов обязаны уведомить Роскомнадзор о начале обработки ПДн
  4. Данные хранятся только до достижения целей обработки, после чего уничтожаются
  5. При передаче данных третьим лицам нужно заключать договор поручения обработки
  6. Используйте только локализованные серверы на территории РФ
  7. Штрафы в 2026 году выросли до 700 000 ₽ и выше

Лучший способ избежать проблем — с самого начала доверить юридическое сопровождение акции профессионалам, которые учтут все требования 152-ФЗ, 38-ФЗ и 54-ФЗ.

Хотите провести промо-акцию без рисков для персональных данных?

Обеспечим полное юридическое сопровождение: подготовим документы, настроим техническую часть, подадим уведомление в Роскомнадзор. Ваши данные — в безопасности, ваша акция — в рамках закона.

Получите бесплатную консультацию по работе с персональными данными:

Пришлите описание вашей планируемой акции — подготовим чек-лист по персональным данным и рекомендации по безопасной реализации.