152-ФЗ и рассылки: как соблюсти закон о персональных данных в email

Большинство российских компаний обращается с email-базой так, будто это просто список адресов. С точки зрения 152-ФЗ это картотека персональных данных, и любая рассылка — это обработка ПДн. После поправок 2022–2024 годов штрафы за нарушения выросли кратно, а Роскомнадзор стал заметно активнее по жалобам получателей. Параллельно ФЗ-38 «О рекламе» накладывает свой слой требований, и эти законы важно не путать.

Главное

Email-адрес — персональные данные. Для рассылки нужно конкретное и информированное согласие, локализация баз на территории РФ, уведомление Роскомнадзора и работающий механизм отписки. Штрафы по ст. 13.11 КоАП после поправок 2025 года достигают 18 млн рублей за повторные нарушения.

Что считается персональными данными

Согласно ст. 3 152-ФЗ, персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. Email вида «ivanov@company.ru» очевидно идентифицирует. Адрес «info@company.ru» формально безличный, но если за ним сидит конкретный сотрудник и компания малая, регулятор и суды чаще признают его ПДн.

Сочетание email + ФИО, должность, телефон, история покупок — это уже однозначно ПДн. В рассылочной практике рассматривайте любую вашу базу как картотеку ПДн.

Оператор и обработчик

Оператор ПДн — лицо, которое определяет цели и состав обрабатываемых данных. В рассылках оператор — это вы, владелец базы. Обработчик — лицо, которому вы поручили обработку (например, ESP-сервис). С обработчиком обязательно письменное соглашение о поручении обработки, в котором перечислены цели, состав ПДн, требования к защите.

Использование зарубежного ESP (Mailchimp, Brevo и т.д.) без первичной локализации в РФ — отдельная проблема. См. раздел о локализации ниже.

Согласие на обработку

152-ФЗ требует согласие субъекта на обработку ПДн в большинстве случаев обработки. Для рассылок в коммерческих целях согласие — практически безусловное требование, потому что оно дополняется ФЗ-38 «О рекламе» (ст. 18), который прямо запрещает распространение рекламы по сетям электросвязи без предварительного согласия абонента.

Действительное согласие должно быть:

Конкретным — указаны цели обработки и виды действий с ПДн.
Информированным — субъект понимает, кто оператор и что с данными будет.
Сознательным и однозначным — активное действие, не молчание.
Свободным — нельзя обусловить им доступ к услуге, не связанной с обработкой.

В практике это означает: чек-бокс «согласен на получение рассылки» отдельно от чек-бокса «согласен с условиями договора». Преднажатые галочки недопустимы. Текст согласия сохраняется в логах с датой, временем, IP, формулировкой — потому что бремя доказывания согласия на операторе.

Локализация баз в РФ

Часть 5 ст. 18 152-ФЗ требует, чтобы при сборе персональных данных граждан РФ оператор обеспечил запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории Российской Федерации.

Это означает: первичный сбор и хранение базы должны проходить на серверах в РФ. Допускается трансграничная передача после первичной локализации, при условии надлежащей правовой основы и уведомления Роскомнадзора. На практике это означает архитектуру вида: форма на российском сайте → запись в БД на российском хостинге → синхронизация в зарубежный ESP с уведомлением о трансграничной передаче.

После поправок 2022 года правила трансграничной передачи ужесточились: оператор обязан до начала такой передачи подать уведомление Роскомнадзору о трансграничной передаче и в ряде случаев получить отрицательное решение об отказе.

Уведомление Роскомнадзора

Большинство операторов обязаны уведомить Роскомнадзор о намерении обрабатывать ПДн (ст. 22 152-ФЗ) до начала обработки. Освобождения сильно сократились после поправок 2022 года: сегодня даже обработка ПДн работников по трудовому договору требует уведомления в большинстве случаев.

Уведомление подаётся через сайт Роскомнадзора, бесплатно, в электронной форме. После регистрации компания попадает в публичный реестр операторов ПДн. Отсутствие уведомления при фактической обработке — самостоятельное нарушение, штрафуется отдельно.

Уведомление — отдельное обязательство

Многие компании путают: согласие субъекта и уведомление Роскомнадзора — это два разных обязательства. Согласие получает каждый подписчик при подписке. Уведомление подаётся один раз компанией о факте обработки.

Отписка и права субъекта

Субъект ПДн вправе в любой момент отозвать согласие на обработку (ст. 9 152-ФЗ). После отзыва оператор обязан прекратить обработку и уничтожить ПДн в срок не позднее 30 дней, если иное не предусмотрено законом. Для email-рассылок это значит: получили запрос на отписку — отключили из рассылки и удалили из активной базы (минимальный «список подавления» можно сохранять для предотвращения повторной рассылки).

Помимо отзыва согласия, субъект имеет права:

Получить сведения об операторе и о составе обрабатываемых ПДн.
Требовать уточнения, блокирования или уничтожения данных, если они неполные, устаревшие или незаконно получены.
Обжаловать действия оператора в Роскомнадзоре или в суде.

Срок ответа на запрос — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней с уведомлением субъекта.

Штрафы по ст. 13.11 КоАП

После поправок 2025 года ответственность по ст. 13.11 КоАП существенно усилилась. Ключевые ставки для юридических лиц:

Обработка без согласия (ч. 2): 300 000 – 700 000 рублей; повторно — 1 – 1,5 млн.
Невыполнение обязанности по локализации (ч. 8): 1 – 6 млн; повторно — 6 – 18 млн.
Утечка ПДн (новые составы): оборотные штрафы до 3% от выручки за повторные крупные утечки.
Невыполнение требования прекратить обработку: 300 000 – 700 000.

Для должностных лиц предусмотрена дисквалификация в части составов. Повторные нарушения после административного предупреждения резко увеличивают санкции.

Соотношение с ФЗ-38 «О рекламе»

ФЗ-38 параллельно регулирует распространение рекламы. Ст. 18 прямо требует предварительного согласия абонента на рассылку рекламы по электросвязи. Контролирующий орган здесь — ФАС, а не Роскомнадзор. Штрафы по КоАП ст. 14.3 за рекламу без согласия для юрлиц — 100 000 – 500 000 рублей.

То есть рассылка рекламы без согласия одновременно нарушает 152-ФЗ (нет правовой основы для обработки в целях рекламы) и ФЗ-38 (нет согласия абонента). Жалоба может пойти в обе инстанции, штрафы складываются.

Практический чек-лист

Уведомление в Роскомнадзор подано, компания в реестре операторов ПДн.
Форма подписки даёт явное, отдельное согласие на email-рассылку с конкретными целями.
Текст согласия и факт его получения хранятся (дата, время, IP, формулировка).
Первичная база ПДн физически в РФ; трансграничная передача — с уведомлением.
Каждое письмо содержит данные оператора, способ связи, ссылку на отписку.
Отписка обрабатывается за минуты, удаление — в течение 30 дней.
Реестр запросов субъектов ведётся, ответы — в 10 рабочих дней.
Договор с ESP оформлен как поручение обработки ПДн.

Часто задаваемые вопросы

Можно ли отправлять рассылку по базе, купленной у другой компании?

Практически — нет. Согласие, выданное одному оператору, не передаётся другому. Покупка базы без переуступки согласий означает, что у вас нет правовой основы для обработки. Это обработка без согласия по ч. 2 ст. 13.11 КоАП.

Нужно ли согласие на B2B-рассылку, если адрес взят с сайта компании?

Да. 152-ФЗ не делает исключений для B2B. ФЗ-38 «О рекламе» требует согласия абонента — публикация адреса на сайте не приравнена к согласию на рекламу. Холодная B2B-рассылка в РФ юридически рискованна и регулярно становится поводом для жалоб.

Где можно хранить базу: только в РФ или допустимо облако за рубежом?

Первичная запись и систематизация — в РФ. После этого допустима трансграничная передача с уведомлением Роскомнадзора. Архитектура «форма пишет напрямую в Mailchimp» нарушает требование о локализации.

В какой срок надо отвечать на запрос подписчика об отписке?

Отписку технически реализуйте сразу — это и требование разумности, и снижение деливерабилити-рисков. Удаление ПДн из активной базы — в течение 30 дней с момента отзыва согласия. На запрос о составе обрабатываемых данных — 10 рабочих дней.