Законодательство email-маркетинга в России: 152-ФЗ
Правовые требования к email-маркетингу в России 2026: ФЗ-152, закон о рекламе, согласия, штрафы. Практический гайд по соблюдению закона.
Законодательство email-маркетинга в России: 152-ФЗ
Email-маркетинг в России регулируется несколькими законами, и их несоблюдение может привести к штрафам до 500 000 рублей и блокировке домена. В этой статье мы разберём все правовые требования к email-рассылкам, расскажем, как получать и хранить согласия, и дадим практические рекомендации по соблюдению законодательства.
Какие законы регулируют email-маркетинг
1. Федеральный закон N 152-ФЗ «О персональных данных»
Основной закон, регулирующий обработку персональных данных (ПД) в России. Email-адрес является персональными данными, если в сочетании с другой информацией (имя, телефон, история покупок) позволяет идентифицировать конкретного человека.
Ключевые требования:
- Согласие субъекта на обработку ПД
- Определение целей обработки
- Хранение данных на территории РФ
- Обеспечение безопасности данных
- Право субъекта на удаление данных
- Уведомление Роскомнадзора об обработке ПД
2. Федеральный закон N 38-ФЗ «О рекламе» (ст. 18)
Регулирует распространение рекламы по электронной почте.
Ключевые требования:
- Предварительное согласие адресата на получение рекламы
- Обязанность немедленно прекратить рассылку по требованию получателя
- Рекламодатель обязан доказать наличие согласия (бремя доказательства на отправителе)
3. Федеральный закон N 149-ФЗ «Об информации»
Регулирует общие принципы обмена информацией в электронном виде.
4. Закон о защите прав потребителей
Регулирует информирование потребителей о товарах и услугах.
Получение согласия
Виды согласия
Явное (explicit) согласие — человек совершает активное действие: ставит галочку, заполняет форму, нажимает кнопку «Подписаться». Это предпочтительный и наиболее защищённый вариант.
Конклюдентное согласие — согласие, вытекающее из действий. Например, клиент оставил email при оформлении заказа. Спорный вариант — рекомендуется получать явное.
Pre-checked checkbox — чекбокс, отмеченный по умолчанию («Я согласен получать рассылки»). Юридически спорный, не рекомендуется.
Как правильно получать согласие
На сайте (форма подписки):
- Чекбокс НЕ отмечен по умолчанию
- Текст: «Согласен на обработку персональных данных в соответствии с Политикой конфиденциальности и получение рассылок»
- Ссылка на Политику конфиденциальности
- Double opt-in (подтверждение через email)
При оформлении заказа:
- Отдельный чекбокс (не совмещённый с согласием на обработку заказа)
- Текст должен чётко указывать на маркетинговые рассылки
- Согласие на обработку ПД для заказа и согласие на рассылки — разные согласия
В offline (магазин, мероприятие):
- Бумажная форма с подписью
- Указание целей обработки
- Текст о праве отказа
Double opt-in
Рекомендуемый стандарт — двойное подтверждение:
- Пользователь заполняет форму — данные сохраняются с пометкой «не подтверждён»
- Система отправляет email с ссылкой подтверждения
- Пользователь кликает — статус меняется на «подтверждён»
- Только подтверждённые контакты получают рассылки
Преимущества: защита от ложных подписок, чистая база, юридическая защита.
Хранение данных
Локализация данных (242-ФЗ)
С 2015 года персональные данные граждан РФ должны храниться на серверах, расположенных на территории России. Это касается:
- Базы email-адресов
- Имён и фамилий
- Телефонов
- Истории покупок
- Любых данных, позволяющих идентифицировать человека
При использовании CDP-платформы убедитесь, что данные хранятся в российских дата-центрах. Trigly хранит все данные в PostgreSQL на серверах в России.
Сроки хранения
Закон не устанавливает конкретных сроков хранения ПД для маркетинга. Общие правила:
- Данные хранятся, пока действует цель обработки
- При отзыве согласия — удалить в течение 30 дней
- При отсутствии активности — рекомендуется удалять через 3 года
Политика конфиденциальности
Обязательный документ, который должен содержать:
- Оператор данных (название компании, реквизиты)
- Цели обработки ПД
- Категории собираемых данных
- Права субъекта (доступ, изменение, удаление)
- Меры защиты
- Контактные данные для обращений
Документ должен быть размещён на сайте и доступен по ссылке из форм сбора данных.
Обязательные элементы рассылки
Каждое маркетинговое письмо должно содержать:
1. Идентификация отправителя
- Название компании
- Юридический адрес или ОГРН
- Контактные данные
2. Механизм отписки
- Ссылка «Отписаться» в каждом письме
- Один клик — без необходимости логиниться
- Обработка отписки немедленно (максимум 10 дней по закону)
В Trigly ссылка отписки добавляется автоматически через List-Unsubscribe хедер и ссылку в подвале письма. Отписка обрабатывается мгновенно — поле is_unsubscribed устанавливается в true.
3. Основание для получения
Рекомендуется (хотя не обязательно по закону) указывать, почему получатель получает это письмо: «Вы получаете это письмо, потому что подписались на рассылку на сайте example.ru».
Штрафы и ответственность
Административная ответственность
| Нарушение | Штраф (юр. лица) | Статья |
|---|---|---|
| Рассылка без согласия | 100 000-500 000 руб. | ст. 14.3 КоАП |
| Нарушение порядка обработки ПД | 60 000-100 000 руб. | ст. 13.11 КоАП |
| Повторное нарушение обработки ПД | 100 000-300 000 руб. | ст. 13.11 КоАП |
| Нелокализация данных | 1 000 000-6 000 000 руб. | ст. 13.11 КоАП |
| Отказ от удаления ПД | 25 000-45 000 руб. | ст. 13.11 КоАП |
Блокировка
Роскомнадзор может заблокировать сайт за систематические нарушения обработки ПД. Email-провайдеры (Mail.ru, Яндекс) могут заблокировать домен отправителя при превышении порога жалоб на спам (>0,1%).
Практические рекомендации
Чек-лист соответствия
- Политика конфиденциальности опубликована на сайте
- Формы подписки содержат чекбокс согласия (не отмечен по умолчанию)
- Реализован double opt-in
- Каждое письмо содержит ссылку отписки
- Отписка обрабатывается мгновенно
- Данные хранятся на серверах в РФ
- Ведётся журнал согласий (кто, когда, как подписался)
- Уведомление Роскомнадзора подано
- Есть процедура удаления данных по запросу
- Suppression-лист (список отписавшихся) ведётся и проверяется
Журнал согласий
Храните доказательство каждого согласия:
- Дата и время подписки
- IP-адрес
- Страница, с которой подписался
- Текст согласия, которое видел пользователь
- Статус double opt-in
В Trigly журнал согласий ведётся автоматически: ContactChange (changelog) фиксирует все изменения профиля, включая дату подписки и отписки.
Suppression List
Ведите suppression list — список адресов, которым запрещено отправлять рассылки:
- Отписавшиеся
- Пожаловавшиеся на спам
- Hard bounce (несуществующие адреса)
- Ручные исключения
В Trigly suppression list — отдельный модуль с API: добавление, проверка, bulk-загрузка. Перед каждой отправкой система автоматически проверяет suppression list.
Особенности разных типов рассылок
Маркетинговые рассылки
Требуют явного согласия. Это промо-акции, скидки, новости, дайджесты — всё, что содержит элемент рекламы.
Транзакционные уведомления
Не требуют отдельного маркетингового согласия, если содержат только информацию о заказе клиента: подтверждение, статус доставки, чек. Но если в транзакционное письмо добавлен рекламный блок — оно становится рекламным.
Сервисные уведомления
Информирование о существенных изменениях (смена условий, обновление политики) — не является рекламой и может отправляться без маркетингового согласия.
Тренды законодательства 2026
Ужесточение штрафов. Размер штрафов за нарушение обработки ПД продолжает расти. Планируются оборотные штрафы (процент от годовой выручки).
Право на портативность данных. Обсуждается обязанность оператора предоставить данные субъекта в машиночитаемом формате для переноса в другую систему.
Сертификация операторов. Планируется система добровольной сертификации операторов ПД, подтверждающая соответствие требованиям.
FAQ
Нужно ли согласие на транзакционные email?
Для чисто транзакционных писем (подтверждение заказа, статус доставки) отдельного маркетингового согласия не требуется — они являются частью выполнения договора с клиентом. Но любой рекламный контент (баннер, промо-блок, рекомендации товаров) превращает письмо в рекламное и требует согласия на рассылку.
Как правильно обрабатывать запрос на удаление данных?
По закону вы обязаны прекратить обработку ПД и удалить данные в течение 30 дней после получения запроса. Практические шаги: 1) подтвердить получение запроса, 2) удалить данные из всех систем (CDP, email-сервис, CRM), 3) добавить email в suppression list (чтобы случайно не подписать заново), 4) уведомить субъекта об удалении.
Можно ли отправлять рассылки клиентам, которые сделали заказ?
Только если при оформлении заказа клиент дал отдельное согласие на маркетинговые рассылки (не совмещённое с согласием на обработку данных для заказа). Факт покупки сам по себе не является согласием на рассылку. Исключение: информационные письма, связанные с конкретным заказом (статус, доставка).
Заключение
Соблюдение законодательства — не обременение, а конкурентное преимущество. Компании с прозрачной политикой данных получают более качественную базу, меньше жалоб на спам и более лояльных клиентов.
Используйте платформу, которая помогает соблюдать закон автоматически. Trigly включает double opt-in, suppression lists, автоматическую обработку отписок, журнал согласий и хранение данных на территории РФ. Подробнее о защите персональных данных.