Ну для начала давайте разберёмся какие именно данные Вы будете собирать.
Допустим, ФИО + номер телефона.
ФИО - это уже то, что надо защищать.
Однако, если данные обрабатываются в целях исполнения Договора - отдельного согласия, например, не нужно.
Потому сперва определяетесь какие данные и как Вы будете обрабатывать, вносите это счастье прямо в Договор (собственно вероятно, что они там уже будут) и добавляете в Договор что-то типа "осуществление информирования о новых товарах и услугах" и это даст право время от времени звонить.
В целом это всё.
Но это в случае, если Вы с нуля бизнес делаете. Если же раньше вели бизнес в гугл-доке (условно), а сейчас решили внедрить ERP - перечитайте документацию, которая имеется. Вероятно, делать вообще ничего не нужно (практически всегда там общие фразы про автоматизированные способы обработки и хранения) ну или вписать рядом название вашей ERP (в большинстве случаев сертифицировать её не надо).
САМОЕ ВАЖНОЕ: сделать хоть что-то поверхностно, не забивать. При таком раскладе в случае проверки будет требование на фикс, а не приостановка.
