Как собрать базу для SMS-рассылок

У SMS-рассылок высокие показатели доставляемости и открытий, а большинство сообщений вообще читают в течение первых 3–5 минут. Но важно не только когда откроют SMS, но и кто это сделает: если отправить сообщение тому, кто не давал на это разрешение, можно нарваться на существенные проблемы. Да и в целом успех рассылки зависит от того, насколько грамотно собрана база. В этой статье расскажу, как и где собирать базу телефонных номеров для SMS-рассылок.

Что важно знать о сборе базы для SMS-рассылок

Прежде всего, важно понимать, что номер телефона относится к категории персональных данных (ПДн). Согласно ст.9 152-ФЗ, для использования ПДн необходимо получить согласие их владельца. При этом оно должно быть «конкретным, предметным, информированным, сознательным и однозначным». Кроме того, согласие должно быть оформлено отдельным документом.

Как взять согласие на обработку персональных данных

Любой, кто собирает номера телефонов с целью последующего использования, становится оператором персональных данных. С этого момента он несёт полную ответственность за сохранность этой информации и обязан предотвращать любые утечки (ст.19 152-ФЗ).

Однако согласия на обработку ПДн мало. Для рассылки SMS рекламного (маркетингового) характера также нужно получить согласие. Это следует из ч.1 ст.18 ФЗ-38 «О рекламе». Причём если рекламодатель не сможет доказать получение разрешения, то «реклама признается распространенной без предварительного согласия абонента».

Согласие на рассылку: зачем оно нужно и как правильно получить

Вот несколько ключевых моментов, которые нужно запомнить, прежде чем приступать к сбору базы телефонных номеров.

1. Необходимо получить два вида согласия — на обработку персональных данных и на получение рекламных сообщений.
2. Согласие на обработку ПДн нельзя «зашить» в какой-то договор — его нужно оформить его отдельно.
3. Необходимо сохранять доказательства — бумажные документы с подписью или логи (IP-адрес, дата, время, версия оферты).
4. Важно обеспечить надлежащее хранение персональных данных и защиту от утечек.

Кстати, в случае отзыва согласия номер должен быть удалён из базы незамедлительно. Но доказательства получения согласия необходимо хранить в течение трёх лет после отписки пользователя (п.441 Приказа Росархива № 236).

Нарушение правил обработки ПДн чревато штрафом по ст. 13.11 КоАП РФ, а отсутствие согласия на рекламу карается штрафом согласно ст. 14.3 КоАП РФ. Точные суммы зависят от юридического статуса нарушителя и дополнительных факторов.

Можно ли законно купить базу номеров

Наиболее простым способом получить базу контактов кажется покупка готовой. Такая опция действительно существует, причём в двух вариантах, но лишь один из них полностью законен и безопасен.

Покупка базы в интернете

В интернете можно найти предложения по продаже готовых баз номеров. Покупать такую базу не стоит ни в коем случае, поскольку:

• при покупке готовой базы у вас не будет согласий владельцев и любая жалоба в ФАС или иной контролирующий орган закончится штрафом;
• существенная часть бюджета будет потрачена зря, поскольку большая часть номеров будет недоступна или нерелевантна;
• сервис SMS-рассылок заблокирует аккаунт, если заметит поток жалоб или если будет зафиксирована массовая отправка сообщений на неактивные номера («мёртвые» сим-карты).

Часто продавцы SMS-баз маскируются под солидные организации, обещая всевозможные гарантии и юридическую «чистоту». Однако важно понимать, что посредник лишь продаёт информацию и не несёт реальных рисков. Вся ответственность за незаконную рассылку в итоге ложится исключительно на покупателя этой базы.

Помимо прочего, нужно учитывать «токсичность» купленной базы для бренда. Если номер или имя отправителя попадает в спам-листы операторов из-за рассылки по незаконной базе, он получает «чёрную метку». Операторы могут аннулировать зарегистрированное имя отправителя (Sender ID) и получить новое на то же юрлицо будет практически невозможно. Если позже этот же отправитель соберёт нормальную базу, его сообщения всё равно могут уходить в спам или блокироваться фильтрами операторов просто потому, что компания уже числится в списках спамеров.

Покупка базы у оператора

Второе (и в этот раз законное) решение — покупка базы у самого оператора сотовой связи. Здесь ситуация иная, потому что имеет место легальный таргет. Вы, как отправитель, можете выбрать параметры (пол, возраст, интересы), и оператор сам сделает рассылку по своим абонентам. Это законно, но есть нюансы:

• база хранится у оператора, а отправитель просто платит за «показ» сообщения;
• рассылка идёт по «холодной» базе, и получатели могут не знать бренд совсем;
• цена SMS может казаться выгодной, но из-за низкой конверсии реальная стоимость привлечения клиента выходит выше, чем при рассылке по собственной базе.

Таргетированные рассылки через мобильных операторов, по сути, являются просто легальным способом работы с внешними базами. Оператор сам берет на себя получение согласия абонента и обработку персональных данных, не передавая контакты заказчику.

В целом, SMS-рассылка по базе оператора может стать хорошим решением для имиджевых кампаний, когда нужно заявить о бренде на широкую аудиторию. Это разовый охват. Для системных продаж и работы вдолгую нужно собирать свою базу.

Как и где собирать базу для SMS-рассылок

Собирать контакты для SMS-рассылок можно практически в любой точке касания с клиентом. Главное — всегда иметь подтверждение, что клиент сам оставил номер и согласен получать рекламные сообщения.

Через форму на сайте

Форму подписки на сайте можно сделать статичной или в формате всплывающего окна (попап), которое появляется после клика по соответствующей кнопке «Подписаться на SMS-рассылку». Такую кнопку можно разместить в шапке или подвале (футере) сайта либо в любом подходящем месте страницы.

Важно правильно настроить форму. В частности:

1. Базовые поля — имя и номер, если нужен — email. Но можно добавить необязательные поля и дополнительно запрашивать гео, интересы, дату рождения. Эта информация пригодится для персонализации, но не перестарайтесь — чем короче форма, тем выше конверсия.
2. Непосредственно под полями должны быть два отдельных пустых чекбокса с подписями — «Даю согласие на обработку персональных данных» и «Я согласен получать рекламные и информационные рассылки по SMS». Рядом с каждым пунктом должны быть кликабельные ссылки на тексты соответствующих документов.
3. Галочки в чекбоксах не должны быть проставлены заранее. Пользователь обязан поставить их сам.

Сбор контактных номеров через сайт удобен возможностью автоматизации. При грамотной настройке система сама фиксирует все логи (IP-адрес, время, версию оферты). Можно настроить интеграцию с CRM и передавать нужные данные в режиме реального времени.

При заказе / регистрации на сайте

Также сбор номеров можно внедрить в «Корзину» или форму заказа услуги. При оформлении пользователь, как правило, указывает свой телефон. Потому чекбокс с политикой обработки ПДн обязателен. Дополнительно нужно добавить пункт с согласием на получение рекламных рассылок по SMS.

Чтобы исключить попадание в базу случайных или неправильных номеров, можно использовать механизм двойного подтверждения (Double Opt-In). Для этого нужно настроить форму на сайте так, чтобы регистрация завершалась не просто нажатием кнопки «Отправить», а вводом специального кода из SMS. Клиент вбивает номер, получает на телефон код и вводит его в проверочное поле. Только после этого контакт попадает в CRM-систему как подтверждённый.

Настройка Double Opt-In требует участия программиста и интеграции с SMS-провайдером (шлюзом), через который будут приходить коды. Процесс несколько сложен в реализации, но он окупается за счет того, что бюджет не тратится на рассылки по «мёртвым» или фейковым контактам.

В социальных сетях

В соцсетях может быть проще собирать контакты, поскольку люди здесь более настроены на общение. Пользователи, заинтересованные в товаре или услуге, могут делиться контактами, например, в личных сообщениях при переписке с брендом. Однако в этой простоте кроется юридическая ловушка. Полученные таким образом номера нельзя использовать из-за отсутствия подтверждённого согласия в нужном формате. Фиксация того, что пользователь добровольно передал свой номер, тоже затруднительна.

Для соблюдения всех юридических нюансов лучше всего «вести» пользователя из соцсетей на страницу подписки — мини-лендинг (Taplink и аналоги) или отдельную страницу на сайте, где размещена форма со всеми необходимыми данными. Ссылку на страницу можно разместить в шапке профиля или указывать в своих постах.

Отдельно стоит упомянуть встроенные лид-формы соцсетей. Они позволяют собирать заявки и разные данные. При этом сама площадка сохраняет точное время и дату заполнения.

Важно понимать, что при сборе данных через лид-формы юридические доказательства согласия остаются внутри рекламного кабинета соцсети. При удалении аккаунта или рекламного кабинета безвозвратно исчезнут и все подтверждения. Даже если сам список номеров останется в CRM-системе, он станет бесполезным и опасным, поскольку подтвердить право на рассылку не получится.

Через мессенджеры и чат-боты

В мессенджерах удобно собирать контактные данные, поскольку история переписки сама по себе является доказательством взаимодействия. Но чтобы соблюсти правовые нормы, важно правильно настроить бота. Он не должен сразу запрашивать номер. Например, процесс может выглядеть так.

1. Бот присылает сообщение с описанием пользы и вопросом вроде «Хотите получать уведомления о наших акциях и закрытых распродажах?». Сообщение дополнено кнопками: «Да, согласен» и «Нет».
2. При положительном ответе бот отправляет второе сообщение с вопросом «Вы согласны на обработку персональных данных?». К сообщению прикрепляется ссылка на актуальный текст политики конфиденциальности или сам документ файлом. К сообщению добавляется кнопка подтверждения. Например, «Подтверждаю и соглашаюсь».
3. После нажатия кнопки согласия бот присылает третье сообщение, в котором просит ввести номер или «Поделиться контактом» через встроенную функцию мессенджера.
4. После получения контактов бот, предварительно интегрированный в CRM, передаёт логи в систему. Как правило, передаются ID мессенджера и имя профиля, дата и время (с точностью до секунды) каждого клика и актуальные версии документов, которые действовали на тот момент.

Очень важно соблюсти правильную последовательность сообщений. Если сначала запросить телефон, а потом прислать политику конфиденциальности — это нарушение. По закону информирование должно предшествовать сбору.

Важно учесть, что если аккаунт в мессенджере заблокируют, или сервис-конструктор ботов перестанет работать, данные в CRM юридически «обнуляются». Без доступа к первоисточнику (логам самого бота) не получится доказать ФАС или суду, что клиент реально нажимал кнопки согласия.

Чтобы минимизировать риски, желательно раз в неделю выгружать из сервиса не просто список номеров, а полный архив событий/логов (где видно ID пользователя, время и текст нажатой кнопки). Ещё более надёжным способом станет Double Opt-In. Можно настроить бота так, чтобы после нажатия кнопок согласия он просил подтвердить номер кодом из SMS. В этом случае лог отправки кода сохраняется у SMS-провайдера и при необходимости можно запросить данные для подтверждения.

Через офлайн-точки

Номера телефонов клиентов и посетителей можно собирать в магазинах, кафе, офисах и иных местах. Но здесь нужно учитывать разный уровень «цифровой грамотности» у людей. Кто-то легко управляется с современными технологиями, а кто-то их боится. Потому в офлайне лучше параллельно использовать два способа — бумажные анкеты и QR-коды.

В бумажных анкетах нужно запросить ФИО, номер телефона и подпись. Дополнительную информацию можно запрашивать, если это важно для рассылки и потенциальный получатель не возражает. В анкете должно быть две отдельные строки для подписи:

1. Согласие на обработку ПДн — «С Политикой конфиденциальности ознакомлен, текст документа предоставлен в печатном виде в месте заполнения анкеты». Текст «Политики» нужно предоставить для ознакомления до подписания либо разместить на видном месте в открытом доступе.
2. Согласие на получение рассылки — «Я выражаю согласие на получение рекламных сообщений по сети электросвязи (SMS) от ООО / ИП “Название”». Здесь важно сформулировать фразу максимально точно. Не просто информация, а рекламные сообщения. Не рассылки, а рассылки по SMS.

Бумажные анкеты нужно хранить в физическом архиве. Если придёт проверка от ФАС, потребуются именно оригиналы с «живой» подписью клиентов.

QR-код, ведущий на страницу подписки, можно разместить где угодно. Например, на кассе, на ресепшене, на столиках, на стенах. Желательно дополнить его текстом о том, что произойдёт после сканирования и зачем это нужно. QR-код должен вести на страницу с формой регистрации, данные из которой попадают в CRM.

Дополнительные способы сбора контактов

Собирать контактные данные можно и другими способами, которые не нарушают закон. Например, при продаже товаров через маркетплейсы можно вкладывать в упаковку вкладыш с QR-кодом.  Ссылка должна вести на ту же страницу с юридически правильной формой сбора.

На различных мероприятиях и выставках можно собирать контакты участников через онлайн-форму подписки или бумажные анкеты. Можно раздавать флаеры, где вместе с контактными данными будет указан QR-код на подписку.

В целом, среди всех способов сбора SMS-базы наиболее надежными остаются сайт и бумажная анкета. При работе в онлайне безопаснее всего переводить пользователя на страницу сайта, интегрированную с CRM-системой. В офлайне же целесообразно использовать либо бумажную анкету с чёткими формулировками, либо QR-код, ведущий на страницу регистрации. Такой подход гарантирует, что доказательства согласия всегда будут находиться под полным контролем владельца базы.

Как правильно хранить SMS-базу

Помимо правильного сбора согласий, не менее важно обеспечить юридически корректное хранение полученных данных. Здесь есть два критически важных нюанса.

Локализация данных. По ч.5 ст.18 ФЗ-152 первичная обработка и хранение персональных данных граждан РФ должны осуществляться на серверах, находящихся на территории России. При выборе CRM-системы или сервиса рассылок необходимо убедиться, что провайдер использует российские дата-центры. Хранение базы на зарубежных серверах является серьёзным нарушением, за которое предусмотрены крупные штрафы.

Контроль доступа. Необходимо максимально ограничить круг сотрудников, имеющих доступ к выгрузке базы. Это минимизирует риск утечки информации. Важно помнить, что за любую утечку данных ответственность несёт владелец бизнеса (оператор персональных данных), независимо от того, произошла она по вине рядового сотрудника или из-за технического сбоя.