Но риск начинается тогда, когда в UTM передаются идентифицирующие сведения о пользователе.
Когда UTM-метки превращаются в персональные данные:
- Если в метке содержится e-mail, телефон, ФИО или иные данные, позволяющие прямо идентифицировать человека.
- Если в UTM передаются уникальные ID клиента, которые в совокупности с CRM могут раскрывать личность.
- Если UTM связаны с другой базой данных, где можно установить, какой конкретный человек совершил действие.
Что не считается ПДн в UTM:
- utm_source, utm_medium, utm_campaign, utm_content, utm_term — стандартные параметры для рекламы и аналитики, в которых нет данных о личности.
- Общие данные о кампании или ключевых словах.
Обоснование по закону
- ст. 3 ФЗ-152 — персональные данные это любая информация, относящаяся к прямо или косвенно определяемому лицу.
- ст. 5 ФЗ-152 — недопустима обработка данных в избыточных целях.
Практика проверок Роскомнадзора
Роскомнадзор не раз указывал, что компании нарушают закон, когда в UTM-параметры подставляют телефоны, e-mail или логины клиентов. В таких случаях данные признаются персональными, и требуется согласие субъекта и обеспечение всех мер защиты.
Вывод
Обычные UTM-метки не являются персональными данными. Но если в них включать идентификаторы клиентов (e-mail, телефон, ID), то это уже обработка ПДн со всеми вытекающими требованиями по ФЗ-152. Поэтому важно проверять настройки CRM и рекламных систем, чтобы исключить передачу в URL персональных данных.
Компания ICTech может провести аудит рекламных меток, CRM и интеграций, чтобы убедиться, что ваш маркетинг соответствует требованиям закона.
