Email-рассылки и ФЗ-152: что нужно знать о персональных данных
Каждый email-адрес в вашей базе - это персональные данные. Российское законодательство относится к ним серьёзно: ФЗ-152, закон о рекламе, штрафы, проверки Роскомнадзора. Если вы отправляете коммерческие рассылки и не разобрались в правилах, рискуете получить штраф или потерять право на отправку.
Тема юридически сухая, поэтому обойдёмся без пересказа статей закона целиком. Вместо этого - выжимка того, что непосредственно касается email-маркетолога: какие данные защищает ФЗ-152, как получить согласие, что грозит за нарушение и какие конкретные шаги предпринять, чтобы спать спокойно.
Оговорка: это не юридическая консультация. Для сложных случаев - особенно если работаете с медицинскими, финансовыми или детскими данными - нужен юрист. Но для типовой коммерческой рассылки изложенного ниже достаточно, чтобы не нарушить закон.
Почему email - это персональные данные
ФЗ-152 определяет персональные данные как любую информацию, относящуюся к определённому или определяемому физическому лицу. Email-адрес ivan.petrov@company.ru позволяет установить конкретного человека. Даже абстрактный xuser42@gmail.com в связке с именем, IP-адресом или историей покупок становится идентификатором личности.
На практике это означает: любая база email-адресов, которую вы собираете, храните или используете для рассылок, подпадает под действие ФЗ-152. Неважно, десять адресов или сто тысяч. Неважно, собрали вы их через форму на сайте или получили от партнёра. Закон не делает исключений по объёму.
Два закона, которые регулируют рассылки
Email-маркетинг в России регулируют два основных закона, и их требования пересекаются.
ФЗ-152 «О персональных данных»
Устанавливает правила сбора, хранения и обработки персональных данных. Для email-маркетолога ключевые требования:
- Согласие субъекта. Обработка допускается с согласия человека, за исключением случаев, прямо предусмотренных законом. Рекламные рассылки к исключениям не относятся.
- Цель обработки. Вы обязаны указать, зачем собираете данные. «Для рассылки новостей и акций» - допустимая цель. «Для улучшения сервиса» - слишком размыто.
- Хранение и уничтожение. Данные нельзя хранить дольше, чем требуется для заявленной цели. Человек отписался? Удалите его email из маркетинговой базы.
- Уведомление Роскомнадзора. Оператор персональных данных обязан подать уведомление в Роскомнадзор до начала обработки. Многие компании об этом забывают - и это отдельное нарушение.
ФЗ-38 «О рекламе» (ст. 18)
Статья 18 закона о рекламе дополняет ФЗ-152 конкретными требованиями к рассылкам:
- Рассылка рекламы по электронной почте допускается только при наличии предварительного согласия адресата.
- Бремя доказательства лежит на рекламодателе. Не получатель должен доказать, что не давал согласия, - а вы должны доказать, что он его дал.
- Рассылка должна быть прекращена по первому требованию адресата.
Обратите внимание на формулировку: предварительное согласие. Не после первого письма, не «если не отписался, значит согласен». До отправки первого рекламного письма у вас должно быть зафиксированное согласие получателя. Это фундаментальное правило, которое определяет всё остальное.
Как правильно получить согласие
Согласие на рассылку должно быть конкретным, информированным и документируемым. На практике это означает следующее.
Отдельный чекбокс. Галочка «Согласен получать рассылку» не должна быть предзаполненной. И она не должна быть совмещена с согласием на обработку персональных данных для других целей. «Принимаю условия и согласен на рассылку» - нарушение. Два отдельных чекбокса - норма.
Информирование. Человек должен понимать, на что подписывается. Укажите: кто отправитель, какой контент будет приходить, примерную частоту рассылки. «Подпишитесь на наши обновления» - минимум. «Раз в неделю - подборка новостей и акций от компании X» - лучше.
Фиксация согласия. Сохраняйте дату, время, IP-адрес и текст согласия для каждого подписчика. Если Роскомнадзор или ФАС запросят подтверждение - вы должны его предоставить. Устное «он нам на конференции визитку дал» не считается.
Double opt-in. Закон формально не требует двойного подтверждения, но практика показывает: DOI - лучшая защита. Человек ввёл email, получил письмо с ссылкой, кликнул - это однозначное доказательство того, что владелец ящика дал согласие. Без DOI вы не можете быть уверены, что кто-то не ввёл чужой адрес.
Штрафы: сколько стоит нарушение
Штрафы за нарушение ФЗ-152 и закона о рекламе выросли за последние годы. Вот актуальные цифры, которые стоит держать в голове.
| Нарушение | Штраф (юрлицо) |
|---|---|
| Обработка ПД без согласия субъекта | до 700 000 ₽ |
| Повторное нарушение обработки ПД | до 1 500 000 ₽ |
| Рассылка рекламы без согласия (ФЗ-38) | до 500 000 ₽ |
| Неподача уведомления в Роскомнадзор | до 300 000 ₽ |
| Утечка персональных данных (с 2024) | до 15 000 000 ₽ |
В 2025-2026 годах законодательство движется в сторону оборотных штрафов за утечки - до 3% годового оборота компании. Для крупного бизнеса это миллиарды рублей. Для небольшой компании даже текущие штрафы ощутимы: 500 000 рублей за рассылку без согласия могут оказаться фатальными для стартапа.
Помимо штрафов есть репутационный ущерб. Роскомнадзор публикует результаты проверок. Попадание в такой список отпугивает клиентов и партнёров. А если дело дойдёт до массовых жалоб подписчиков, почтовые провайдеры могут заблокировать ваш домен отправки независимо от решения регулятора.
Что считается нарушением на практике
Теория - одно, практика - другое. Вот типичные ситуации, в которых компании нарушают закон, часто даже не подозревая об этом.
Купленная база. Вы приобрели список email-адресов у третьей стороны и начали рассылку. Согласие подписчиков было дано другой компании на другие цели. Вам это согласие не передаётся. Каждое письмо - отдельное нарушение.
Предзаполненный чекбокс. Форма регистрации на сайте, где галочка «Согласен на рассылку» стоит по умолчанию. Пользователь не совершил активного действия - согласие не получено.
Смешанное согласие. Один чекбокс на всё: «Принимаю условия, политику конфиденциальности и соглашаюсь на рассылку». Регулятор считает такое согласие недействительным, потому что человек не мог отказаться от рассылки, не отказавшись от услуги.
Рассылка после отписки. Человек нажал «Отписаться», но продолжает получать письма. Обычно это техническая проблема: медленная синхронизация между ESP и CRM, дублирование адресов в разных списках. Но закону всё равно, почему. Факт рассылки после отписки - нарушение.
Рассылка от имени партнёра. «Наш партнёр Company X подготовил для вас предложение». Если подписчик давал согласие вам, а не Company X, - это нарушение. Согласие не распространяется на третьих лиц автоматически.
Хранение данных и политика конфиденциальности
ФЗ-152 требует, чтобы персональные данные российских граждан хранились на серверах, расположенных на территории России. Это касается первичного сбора данных. Если вы используете зарубежный ESP - Mailchimp, SendGrid, HubSpot - убедитесь, что первичная запись email-адреса происходит на российском сервере. Передача данных за рубеж для обработки допускается, но первичное хранение - нет.
Политика конфиденциальности на сайте - обязательный документ. В ней должны быть указаны: какие данные вы собираете, для каких целей, как храните, кому передаёте, как долго храните и как субъект может отозвать согласие. Шаблонная политика «скопировал у конкурента» формально закрывает требование, но при проверке регулятор будет смотреть, соответствует ли текст реальным процессам.
Отдельный момент - срок хранения. Если человек отписался от рассылки, вы обязаны прекратить обработку его данных для маркетинговых целей. Это не значит, что нужно немедленно удалить запись: адрес стоит перенести в подавительный список (suppression list), чтобы случайно не отправить письмо повторно. Но хранить его в активной маркетинговой базе нельзя.
Транзакционные письма: исключение из правил
Закон о рекламе регулирует рекламные рассылки. Транзакционные письма - подтверждение заказа, сброс пароля, уведомление об отправке - не являются рекламой и не требуют отдельного согласия. Они отправляются в рамках исполнения договора.
Но границу легко перейти. Добавили в письмо о подтверждении заказа блок «Рекомендуемые товары» - и транзакционное письмо становится рекламным. Добавили промокод на следующую покупку - то же самое. Безопасный подход: транзакционные письма содержат только информацию по транзакции. Ничего лишнего.
Практический чек-лист: как привести рассылку в порядок
Если вы читаете это и понимаете, что часть требований не выполнена, - не паникуйте. Вот конкретные шаги, чтобы привести процессы в соответствие с законом.
Проверьте формы подписки. Отдельный чекбокс, не предзаполненный, с понятным описанием того, на что подписывается человек. Ссылка на политику конфиденциальности рядом с формой.
Внедрите double opt-in. Подтверждение по email - самое надёжное доказательство согласия. Большинство ESP поддерживают это из коробки.
Фиксируйте согласия. Для каждого подписчика сохраняйте: дату и время подписки, IP-адрес, текст согласия, источник (какая форма, какая страница). Храните эти данные отдельно от маркетинговой базы.
Проверьте механизм отписки. Ссылка «Отписаться» в каждом письме, отписка в один клик без авторизации. Обработка - мгновенная, не «в течение 10 дней».
Подайте уведомление в Роскомнадзор. Если ещё не подали - сделайте это через портал pd.rkn.gov.ru. Бесплатно, занимает полчаса.
Обновите политику конфиденциальности. Убедитесь, что она отражает реальные процессы: какие данные, зачем, как долго, кому передаёте. Опубликуйте на сайте в открытом доступе.
Почистите существующую базу. Удалите адреса, для которых нет подтверждённого согласия. Удалите невалидные и мёртвые адреса - они создают bounce, который привлекает внимание и провайдеров, и регуляторов.
Настройте suppression list. Адреса отписавшихся не удаляйте полностью - переносите в подавительный список, чтобы случайно не отправить им письмо при следующем импорте.
Валидация базы как часть compliance
Отдельно про очистку базы, потому что это пересекается и с юридическими, и с техническими требованиями.
Мёртвые адреса в базе - это не только технический вред (bounce rate, репутация домена). Это ещё и хранение персональных данных без действующего основания. Если человек не использует ящик два года - связь между ним и вашей рассылкой утрачена. Вы храните данные, но отправлять по ним ничего не можете. Формально это избыточная обработка.
Регулярная валидация базы закрывает обе задачи. Технически: снижает bounce rate, защищает репутацию домена, убирает спам-ловушки. Юридически: помогает поддерживать базу в актуальном состоянии, избавляясь от адресов, которые больше не работают.
Проверку стоит проводить перед каждой массовой рассылкой и как минимум раз в квартал для всей базы. Это не заменяет юридическую работу с согласиями, но дополняет её, снижая риск и с технической стороны.
Итог
ФЗ-152 и закон о рекламе - не формальность. Штрафы растут, Роскомнадзор активно проводит проверки, а почтовые провайдеры дополнительно наказывают отправителей с плохой репутацией. Соблюдение закона - это не бюрократическая нагрузка, а фундамент, на котором строится работающий email-маркетинг.
Собирайте согласия правильно. Фиксируйте их. Давайте возможность отписаться в один клик. Держите базу чистой. Это не так сложно, как кажется, и это защищает и ваш бизнес, и ваших подписчиков.
Первый шаг к чистой базе - проверить то, что есть. Загрузите базу в uChecker - валидация покажет невалидные адреса, спам-ловушки и рискованные контакты за пару минут.