Как соответствовать 152-ФЗ в email и SMS маркетинге

С 2025 года штрафы за нарушение 152-ФЗ выросли в разы: до 18 миллионов рублей за повторные нарушения. Каждое маркетинговое письмо или SMS, отправленное без правильного согласия, — потенциальный штраф. Но соблюдать закон несложно, если выстроить процессы правильно. Это руководство поможет привести ваш маркетинг в соответствие с 152-ФЗ и ФЗ «О рекламе» без юридического образования.

Какие законы регулируют маркетинговые рассылки в РФ

На email и SMS маркетинг влияют три основных закона:

152-ФЗ «О персональных данных»

Регулирует сбор, хранение и обработку персональных данных (email, телефон, имя, история покупок). Ключевые требования:

• Наличие правового основания для обработки (чаще всего — согласие)
• Уведомление Роскомнадзора как оператора ПДн
• Хранение данных на территории РФ (локализация)
• Обеспечение безопасности данных
• Право субъекта на отзыв согласия

38-ФЗ «О рекламе» (ст. 18)

Запрещает распространение рекламы по сетям электросвязи (email, SMS, мессенджеры) без предварительного согласия адресата. Каждое рекламное сообщение должно содержать возможность отказа.

149-ФЗ «Об информации»

Регулирует рассылку электронных сообщений и обязывает идентифицировать отправителя.

Что является персональными данными в маркетинге

В контексте Trigly, персональными данными являются:

• Email-адрес
• Номер телефона
• Имя и фамилия
• Город, адрес
• История покупок и действий
• Telegram chat_id
• IP-адрес (при определённых условиях)
• Cookie-идентификаторы
• Любые кастомные поля, идентифицирующие человека

Все эти данные хранятся в CDP Trigly и требуют правового основания для обработки.

Пошаговый план соответствия 152-ФЗ

Шаг 1: Подготовьте правовые документы

Политика конфиденциальности: Разместите на сайте документ, описывающий:

• Какие данные вы собираете
• Цели обработки (маркетинг, аналитика, улучшение сервиса)
• Сроки хранения
• Права пользователей (доступ, изменение, удаление)
• Контакты ответственного за обработку ПДн

Согласие на обработку персональных данных: Форма согласия должна содержать:

• Наименование оператора (ваша компания)
• Цель обработки
• Перечень обрабатываемых данных
• Перечень действий с данными
• Срок действия согласия
• Порядок отзыва

Согласие на получение рекламных рассылок: Отдельное от согласия на обработку ПДн! По 38-ФЗ, это два разных согласия.

Шаг 2: Настройте сбор согласий

В Trigly есть несколько механизмов для правильного сбора согласий:

Виджеты подписки:

1. Перейдите в Каналы > Виджеты подписки.
2. Создайте виджет с чекбоксом согласия.
3. Текст чекбокса: «Я согласен на обработку персональных данных в соответствии с [Политикой конфиденциальности] и получение рекламных материалов».
4. Чекбокс НЕ должен быть отмечен по умолчанию (pre-checked).

Формы импорта: При импорте контактов через CSV убедитесь, что для каждого контакта есть подтверждение согласия. Добавьте колонку consent_date в файл импорта.

SDK-подписка: Эндпоинт /api/v1/sdk/channels/subscribe позволяет записать подписку с пометкой о согласии.

Шаг 3: Реализуйте Double Opt-In (рекомендуется)

Double Opt-In — двойное подтверждение подписки. Это не обязательно по закону, но крайне рекомендуется:

1. Пользователь вводит email → получает письмо с ссылкой подтверждения.
2. Кликает по ссылке → подписка активируется.
3. Trigly записывает факт подтверждения с датой и IP-адресом.

Преимущества Double Opt-In:

• Юридическая защита — есть доказательство согласия
• Чистая база — нет случайных и фейковых адресов
• Лучшая доставляемость — провайдеры доверяют DOI-базам

Настройте DOI через приветственный флоу в Trigly.

Шаг 4: Настройте механизм отписки

По 38-ФЗ, каждое рекламное сообщение должно содержать возможность отказа от получения рекламы.

Email: Trigly автоматически добавляет:

• Ссылку отписки в футере каждого письма
• Заголовок List-Unsubscribe (одноклиточная отписка в Gmail/Mail.ru)
• Публичный эндпоинт /api/v1/campaigns/track/unsubscribe

SMS: Каждое SMS должно содержать инструкцию: «Отписаться: СТОП на номер XXXX» или ссылку на отписку.

Telegram: Пользователь может заблокировать бота в любой момент. Trigly обрабатывает это через вебхук.

Push-уведомления: Пользователь отписывается через настройки браузера. Trigly обрабатывает ошибки 410/404 и автоматически очищает невалидные подписки.

Шаг 5: Настройте список подавления

Список подавления в Trigly — это защита от отправки тем, кто не должен получать рассылки:

1. Перейдите в CDP > Список подавления.
2. Убедитесь, что автоматически добавляются:
   • Отписавшиеся (unsubscribe)
   • Хард-баунсы (несуществующие адреса)
   • Жалобы на спам (spam complaints)
3. Добавьте вручную контакты, которые отозвали согласие другим способом (звонок, письмо).

Trigly автоматически проверяет suppression list перед каждой отправкой и не включает заблокированные контакты.

Шаг 6: Обеспечьте право на удаление данных

Если клиент запросит удаление своих данных (право на «забвение»), вы обязаны:

1. Удалить все персональные данные из CDP.
2. Прекратить все активные флоу для этого контакта.
3. Добавить email/телефон в suppression list (чтобы не собрать данные повторно).
4. Подтвердить удаление клиенту в течение 30 дней.

В Trigly используйте функцию удаления контакта в разделе Контакты — она каскадно удалит все связанные данные.

Шаг 7: Уведомите Роскомнадзор

Если вы обрабатываете ПДн (а вы обрабатываете, раз делаете рассылки), необходимо:

1. Зарегистрироваться как оператор ПДн на сайте Роскомнадзора.
2. Подать уведомление об обработке ПДн.
3. Назначить ответственного за обработку ПДн в компании.

Шаг 8: Обеспечьте безопасность данных

Trigly обеспечивает:

• Шифрование данных при передаче (HTTPS/TLS)
• JWT-авторизацию для API
• Мультитенантную изоляцию (данные одной организации недоступны другой)
• Rate limiting для защиты от брутфорса
• HMAC-подписи для вебхуков

С вашей стороны необходимо:

• Использовать сложные пароли для аккаунтов
• Ограничить доступ сотрудников по ролям (owner/admin/member)
• Не хранить пароли от Trigly в открытом виде
• Регулярно менять API-ключи

Чек-лист соответствия 152-ФЗ для маркетолога

Распечатайте и проверьте каждый пункт:

• Политика конфиденциальности размещена на сайте
• Согласие на обработку ПДн собирается через чекбокс (не pre-checked)
• Отдельное согласие на рекламные рассылки
• Реализован Double Opt-In (или есть доказательство Single Opt-In)
• Каждое письмо содержит ссылку отписки
• SMS содержат инструкцию по отписке
• Список подавления активен и обновляется автоматически
• Процедура удаления данных по запросу клиента существует
• Уведомление Роскомнадзора подано
• Ответственный за ПДн назначен
• Данные хранятся на территории РФ
• Доступ к данным ограничен по ролям
• Аудит изменений контактов ведётся

Штрафы за нарушения (2026)

Нарушение	Штраф для ИП	Штраф для юрлица
Обработка ПДн без согласия	100-300 тыс. ₽	300 тыс. - 6 млн ₽
Повторное нарушение	500 тыс. - 1 млн ₽	6-18 млн ₽
Рассылка без согласия (38-ФЗ)	10-20 тыс. ₽	100-500 тыс. ₽
Нелокализация данных	1-6 млн ₽	6-18 млн ₽
Отсутствие уведомления РКН	3-5 тыс. ₽	30-50 тыс. ₽

Типичные ошибки

Ошибка 1: «Мы купили базу — можем рассылать»

Покупка базы email-адресов не даёт согласия на рассылку. Даже если продавец утверждает обратное. Согласие должно быть дано именно вашей компании.

Ошибка 2: «Клиент купил у нас товар — значит, согласен на рассылку»

Совершение покупки ≠ согласие на маркетинговые рассылки. Транзакционные письма (подтверждение заказа, чек) — можно. Рекламные — нет, без отдельного согласия.

Ошибка 3: «У нас маленькая база — нас не проверят»

Роскомнадзор проверяет по жалобам. Достаточно одного недовольного получателя.

Ошибка 4: «Мы добавили ссылку отписки — этого достаточно»

Ссылка отписки — это требование 38-ФЗ. Но 152-ФЗ требует полноценного согласия на обработку ПДн ДО начала рассылки.

Ошибка 5: Нет разделения транзакционных и маркетинговых писем

Транзакционные письма (подтверждение заказа, смена пароля) не требуют согласия на рекламу. Но не добавляйте рекламный контент в транзакционные письма — это нарушение.

Как Trigly помогает с compliance

Trigly включает несколько встроенных механизмов для соответствия 152-ФЗ:

• Автоматический List-Unsubscribe в каждом email
• Suppression list с автоматическим пополнением (баунсы, жалобы, отписки)
• Аудит изменений (changelog) — кто, когда и какие данные изменял
• Ролевая модель доступа — owner/admin/member с разными правами
• Мультитенантная изоляция — данные разных организаций полностью разделены
• Частотные ограничения (frequency capping) — защита от чрезмерных рассылок
• Вебхуки провайдеров — автоматическая обработка отписок и жалоб
• Проверка качества данных — выявление невалидных контактов

FAQ

Распространяется ли 152-ФЗ на email-рассылки зарубежным клиентам?

Если вы обрабатываете данные граждан РФ — да, 152-ФЗ применяется вне зависимости от местоположения получателя. Если вы рассылаете письма гражданам ЕС, дополнительно применяется GDPR. Trigly помогает соблюдать оба закона через механизмы согласия и отписки. Подробнее в нашем обзоре GDPR и 152-ФЗ.

Нужно ли согласие для отправки push-уведомлений?

Браузерные push-уведомления требуют явного согласия пользователя (разрешение в браузере), что является достаточным техническим согласием. Однако если вы отправляете рекламные push, рекомендуется иметь дополнительное маркетинговое согласие. Trigly фиксирует подписку через SDK endpoint с записью времени и источника.

Как долго нужно хранить согласия на рассылку?

Согласие необходимо хранить на весь период обработки данных и ещё 3 года после прекращения (срок исковой давности). Trigly сохраняет историю изменений контакта в журнале аудита, включая дату подписки и отписки. Не удаляйте эти записи — они могут понадобиться при проверке Роскомнадзора.

---

Не уверены, что ваш маркетинг соответствует 152-ФЗ? Создайте аккаунт в Trigly — платформа поможет настроить правильные процессы сбора согласий, отписки и обработки данных с первого дня.