инструкция 16 февраля 2027 По состоянию на 16 февраля 2027

Договор с почтовым сервисом (рассылки)

Почтовый сервис рассылок — это обработчик персональных данных по поручению. Без договора поручения и комплекта ОРД оператор нарушает ст. 6, ст. 18.1 и ст. 22 ФЗ-152 одновременно.

С 30.05.2025 ст. 13.11 КоАП содержит 18 составов. Отсутствие договора поручения фиксируется при плановой проверке РКН как самостоятельное нарушение ч. 1 ст. 13.11 — штраф для юрлица от 150 000 до 300 000 ₽. Повторность удваивает нижний предел.

Если вы юрист компании и готовите ОРД или сопровождаете проверку РКН — ниже пошаговый порядок оформления отношений с почтовым сервисом и полный перечень документов.

Большинство компаний передают email-рассылки внешним сервисам: Unisender, SendPulse, GetResponse, Sendsay и аналогам. Каждый из них получает доступ к базе адресов, именам и иным атрибутам подписчиков. По ст. 3 ФЗ-152 это квалифицируется как обработка персональных данных по поручению оператора. Статья 6 ФЗ-152 требует письменного договора поручения с исчерпывающим перечнем допустимых действий. Статья 18.1 обязывает оператора утвердить политику обработки ПДн и назначить ответственного по ст. 22.1. Статья 22 требует, чтобы реестр операторов отражал фактическую цель и категорию передаваемых данных. Эта инструкция ведёт юриста по шести шагам — от аудита базы до фиксации в реестре РКН.

Шаг 1. Определите, какие данные передаёте почтовому сервису

Перед составлением договора нужно точно описать предмет передачи. Типичный состав данных в рассылочной базе: адрес электронной почты, имя (или псевдоним), дата подписки, история открытий и кликов, иные атрибуты сегментации. Это общие персональные данные по ст. 3 ФЗ-152. Если база содержит сведения о состоянии здоровья, политических взглядах или иные специальные категории по ст. 10 — условия договора и объём согласия существенно меняются.

Проверьте также, передаёте ли вы данные несовершеннолетних. Подписки, собранные через образовательные или детские продукты, требуют отдельного регулирования: согласие даёт законный представитель.

«Ст. 3 ФЗ-152 — персональные данные: любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Обработка по поручению возможна только на основании договора, определяющего перечень действий и цели обработки (п. 3 ст. 6 ФЗ-152).»

Итогом шага должен стать реестр данных: поля базы, категория ПДн, источник получения, основание обработки.

Шаг 2. Проверьте наличие и состав согласий подписчиков

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие субъекта на обработку его персональных данных оформляется отдельным документом — его нельзя встраивать в текст договора, оферты или политики конфиденциальности. До этой даты практика была иной, поэтому согласия, собранные через «галочку в условиях использования», с 01.09.2025 могут быть оспорены.

Для рассылок критично соблюдение двух оснований одновременно: согласие на обработку ПДн по ст. 9 ФЗ-152 и согласие на получение рекламной рассылки по ст. 18 ФЗ «О рекламе». Отсутствие любого из них — самостоятельный состав нарушения.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие на обработку ПДн оформляется отдельным документом, не совмещается с иными условиями. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Проверьте, что форма подписки на сайте содержит отдельный чекбокс согласия на обработку ПДн (не предзаполненный) и ссылку на актуальную политику конфиденциальности. Если согласия собирались до 01.09.2025 по старой форме — оцените риск: новые требования обратной силы не имеют, но РКН при проверке может запросить документальное подтверждение по любому подписчику из базы.

Согласия собраны до 01.09.2025 и включены в оферту?

С 01.09.2025 такая форма не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. При проверке РКН это — готовый протокол по ч. 2 ст. 13.11 КоАП, штраф для юрлица 300 000 — 700 000 ₽. Юристы DATUM проведут аудит форм согласия, подготовят шаблоны под новые требования и сформируют полный пакет ОРД для email-канала.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Составьте договор поручения обработки ПДн с почтовым сервисом

Договор поручения — обязательный документ по п. 3 ст. 6 ФЗ-152. Его отсутствие означает, что почтовый сервис обрабатывает данные без законного основания, а оператор несёт ответственность за неправомерную передачу.

Обязательные условия договора поручения:

Цель обработки: отправка транзакционных и маркетинговых рассылок.
Исчерпывающий перечень действий: сбор (загрузка базы), хранение, использование (формирование и отправка писем), удаление по требованию оператора.
Запрет на обработку в иных целях и передачу третьим лицам без письменного разрешения оператора.
Обязанность обработчика соблюдать конфиденциальность ПДн.
Срок обработки и порядок уничтожения данных после прекращения договора.
Обязанность обработчика уведомить оператора о факте инцидента в срок, позволяющий оператору выполнить требования ст. 21 ч. 3.1 ФЗ-152 (24/72 часа).

«П. 3 ст. 6 ФЗ-152 — оператор вправе поручить обработку ПДн другому лицу на основании договора. Обработчик обязан соблюдать принципы и правила ФЗ-152. Ответственность перед субъектом несёт оператор.»

Большинство российских почтовых сервисов предлагают типовое «Соглашение об обработке персональных данных» как приложение к основному договору на оказание услуг. Проверьте, чтобы оно соответствовало перечню выше. Иностранные сервисы часто не содержат российско-правовой терминологии — договор придётся составлять самостоятельно и добиваться подписи либо использовать российский аналог.

Как проверить, соответствует ли договор требованиям ФЗ-152?

После получения проекта договора от сервиса проведите юридический скрининг по следующим критериям.

Первое: указаны ли конкретные категории ПДн и перечень полей. Формулировка «персональные данные пользователей» без расшифровки не соответствует принципу соответствия объёма целям (ст. 5 ФЗ-152).

Второе: ограничена ли цель обработки. Если договор допускает использование данных в маркетинговых целях самого сервиса — это нарушение.

Третье: предусмотрен ли порядок уничтожения базы после прекращения договора и в какой срок. Ст. 21 ФЗ-152 требует уничтожения данных при достижении цели.

Четвёртое: есть ли механизм уведомления оператора об инциденте. Без него оператор рискует пропустить срок 24 часа на уведомление РКН (ч. 3.1 ст. 21 ФЗ-152) и получить штраф по ч. 11 ст. 13.11 КоАП — от 1 000 000 до 3 000 000 ₽.

Пятое: урегулирована ли ответственность сторон за утечку. По общему правилу перед субъектом отвечает оператор, но суброгационный иск к обработчику возможен при наличии соответствующего условия в договоре.

Шаг 4. Обновите политику обработки персональных данных

Статья 18.1 ФЗ-152 обязывает оператора публиковать политику обработки ПДн. Её содержание должно отражать фактическую практику, включая передачу данных обработчикам. Если вы заключили договор с почтовым сервисом, но не внесли его в политику — это нарушение ч. 2 ст. 18.1 ФЗ-152 и состав по ч. 3 ст. 13.11 КоАП (штраф 30 000 — 60 000 ₽).

«Ч. 2 ст. 18.1 ФЗ-152 — политика обработки ПДн должна содержать: цели, правовые основания, перечень обрабатываемых ПДн, порядок и условия обработки, перечень лиц, которым ПДн передаются, сроки обработки, порядок уничтожения.»

Конкретные изменения в политику при работе с почтовым сервисом:

Раздел «Цели обработки» — добавить: «отправка информационных и рекламных рассылок».
Раздел «Передача третьим лицам» — указать категорию обработчика (почтовый сервис), цель передачи и ссылку на наличие договора поручения.
Раздел «Согласие» — описать механизм получения согласия на рассылку и на обработку ПДн в соответствии с актуальной редакцией ст. 9 ФЗ-152.
Раздел «Сроки хранения» — указать срок хранения адресов в системе почтового сервиса после отписки или расторжения договора.

Политику публикуют на сайте в открытом доступе — как правило, в подвале на странице «Политика конфиденциальности». Использовать шаблон из интернета без адаптации под фактическую структуру обработки недопустимо: РКН при проверке сверяет политику с реальными потоками данных.

Если вы юрист и политика конфиденциальности компании не обновлялась последние 12 месяцев — она почти наверняка не соответствует актуальным требованиям ст. 18.1 ФЗ-152 и ФЗ-156. Каждый раздел ОРД проверяется при плановой проверке РКН. Юристы DATUM соберут пакет документов под ключ за фиксированную стоимость.

Собрать ОРД под ключ

Шаг 5. Назначьте ответственного за обработку персональных данных

Статья 22.1 ФЗ-152 обязывает юридическое лицо назначить лицо, ответственное за организацию обработки ПДн. Это не техническая роль — ответственный принимает запросы субъектов, ведёт журнал обращений, взаимодействует с РКН при проверке и фиксирует инциденты.

Требования к назначению:

Оформить приказом руководителя организации.
Указать конкретное физическое лицо (не должность).
Ознакомить назначенного с нормами ФЗ-152 и внутренними регламентами.
Контактные данные ответственного опубликовать в политике или на сайте — субъект должен знать, куда обращаться.

«Ст. 22.1 ФЗ-152 — оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Ч. 4 ст. 22.1 устанавливает требования к квалификации и функциям ответственного.»

Если назначить штатного сотрудника нет возможности (малый штат, конфликт интересов, недостаточная квалификация) — закон не запрещает DPO-аутсорсинг. Аутсорсинговый ответственный оформляется через договор оказания услуг с соответствующим приказом о назначении внутри компании.

Шаг 6. Обновите уведомление в реестре операторов РКН

Статья 22 ФЗ-152 требует уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки. Если вы добавляете новый вид обработки (рассылки) или новую категорию данных — уведомление нужно обновить. Форма подаётся через портал pd.rkn.gov.ru по Приказу РКН №180 от 28.10.2022.

«Ст. 22 ФЗ-152 — оператор обязан уведомить уполномоченный орган до начала обработки ПДн. Срок включения в реестр — 30 дней с момента уведомления.»

Что проверить в уведомлении при работе с почтовым сервисом:

Цель обработки: включена ли «рассылка рекламных и информационных сообщений».
Категория субъектов: клиенты, подписчики, пользователи.
Категория данных: адрес электронной почты, имя, дополнительные атрибуты.
Передача данных третьим лицам: указан ли факт передачи обработчику и страна нахождения серверов.
Меры защиты: организационные и технические меры в соответствии со ст. 19 ФЗ-152.

Неуведомление РКН или несвоевременное уведомление о намерении обрабатывать — ч. 10 ст. 13.11 КоАП, штраф для юрлица от 100 000 до 300 000 ₽. Это первое, что проверяет инспектор при плановой проверке.

Практические сценарии: что происходит при нарушениях

Три типовые ситуации, с которыми юристы сталкиваются при сопровождении компаний.

Сценарий 1. Договор с сервисом есть, но в нём нет условий о поручении. Компания заключила стандартный договор на оказание услуг email-маркетинга без раздела о поручении обработки ПДн. При проверке РКН такой договор не засчитывается как договор поручения по п. 3 ст. 6 ФЗ-152. Инспектор квалифицирует обработку как осуществлённую без законного основания — ч. 1 ст. 13.11 КоАП, штраф 150 000 — 300 000 ₽. Стратегия: до проверки заключить дополнительное соглашение с явным указанием на поручение, перечнем действий и ограничением цели.

Сценарий 2. Иностранный почтовый сервис, серверы за рубежом. Загрузка базы российских подписчиков на серверы за пределами РФ — потенциальная проблема локализации по ч. 5 ст. 18 ФЗ-152. Если первичный сбор происходит в РФ, а обработка (хранение, извлечение) — за рубежом, возникает состав по ч. 8 ст. 13.11 КоАП — штраф от 1 000 000 до 6 000 000 ₽. Дополнительно требуется уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152. Стратегия: использовать сервис с российскими серверами либо подготовить уведомление о трансграничной передаче и хранить доказательства локализации первичной базы в РФ.

Сценарий 3. Утечка через взлом почтового сервиса. Инцидент произошёл на стороне обработчика. Оператор несёт ответственность перед субъектами и РКН вне зависимости от вины: именно оператор обязан уведомить РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152). Если договор не обязывает обработчика немедленно информировать оператора — оператор узнаёт об инциденте с опозданием и пропускает срок. Штраф по ч. 11 ст. 13.11 КоАП — от 1 000 000 до 3 000 000 ₽. Дополнительно — штраф за утечку по ч. 12–14 в зависимости от объёма базы. Стратегия: включить в договор поручения обязанность обработчика уведомить оператора в течение 4 часов с момента обнаружения инцидента.

Как это применяется на практике

Кейс 1. Торговая компания (Центральный ФО, весна 2026) использовала международный почтовый сервис без договора поручения и без уведомления РКН о трансграничной передаче. При плановой проверке РКН инспектор запросил договор с сервисом и выписку из реестра операторов. Компания получила протоколы по ч. 1 и ч. 8 ст. 13.11 КоАП. Юрист до вынесения постановления подготовил дополнительное соглашение с сервисом и обновил уведомление РКН. Суд снизил штраф до минимального предела по каждому составу с учётом устранения нарушений до разбирательства.

Кейс 2. EdTech-компания (Сибирский ФО, лето 2026) получила жалобу подписчика на рассылку без его согласия. РКН возбудил дело по ч. 2 ст. 13.11. Проверка показала, что согласие было встроено в текст пользовательского соглашения до 01.09.2025 и не переоформлялось после вступления в силу ФЗ-156. Юрист компании оспорил квалификацию, указав на отсутствие обратной силы у нового требования для ранее полученных согласий. Арбитражный суд региона согласился частично: нарушение зафиксировано только для подписок, собранных после 01.09.2025. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Что подготовить для работы с почтовым сервисом

Договор поручения обработки ПДн с перечнем действий, запретом на иные цели и механизмом уведомления об инциденте (п. 3 ст. 6 ФЗ-152).
Отдельные формы согласия подписчиков на обработку ПДн с реквизитами ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025) и согласие на рекламную рассылку по ст. 18 ФЗ «О рекламе».
Актуальная политика обработки ПДн с разделом о передаче данных почтовому сервису (ч. 2 ст. 18.1 ФЗ-152).
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с контактными данными в публичном доступе.
Актуальное уведомление в реестре операторов РКН (ст. 22 ФЗ-152, Приказ РКН №180), включающее цель «рассылки» и факт передачи обработчику.

Услуги DATUM по теме

Комплект ОРД под ключ — договор поручения, политика, согласия, приказы для email-канала.
Аудит соответствия 152-ФЗ — проверка всего комплекта документов по чек-листу из 38 пунктов.
DPO-аутсорсинг — назначение ответственного по ст. 22.1 на абонентское обслуживание.

Частые вопросы

1. Какие документы должны быть у оператора ПДн, работающего с почтовым сервисом?

Минимальный обязательный комплект: договор поручения с почтовым сервисом (п. 3 ст. 6 ФЗ-152), политика обработки ПДн с описанием передачи данных (ст. 18.1 ФЗ-152), отдельные согласия подписчиков по ст. 9 ФЗ-152 в редакции с 01.09.2025, приказ о назначении ответственного (ст. 22.1), актуальное уведомление в реестре РКН (ст. 22). Дополнительно: регламент реагирования на инциденты и журнал обращений субъектов.

2. Как составить политику обработки персональных данных для компании с рассылками?

Политика должна содержать обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели обработки (включая «рассылки»), правовые основания, перечень категорий ПДн, порядок и условия обработки, перечень третьих лиц (почтовый сервис — как обработчик по поручению), сроки хранения, порядок уничтожения. Политику размещают на сайте в открытом доступе. Шаблон из интернета требует обязательной адаптации под фактические потоки данных.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным назначают конкретное физическое лицо — штатного сотрудника или аутсорсингового DPO. Ч. 4 ст. 22.1 устанавливает требования к квалификации: знание ФЗ-152, умение организовать внутренний контроль, навык взаимодействия с РКН. Ответственный принимает запросы субъектов в срок до 10 рабочих дней (ст. 20 ФЗ-152), ведёт журнал обращений, уведомляет РКН об инцидентах.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Использовать шаблон как отправную точку — допустимо. Но применять его без адаптации нельзя: РКН при проверке сверяет текст политики с фактическими потоками данных компании. Несоответствие (например, политика не упоминает почтовый сервис, хотя данные ему передаются) — нарушение ч. 2 ст. 18.1 ФЗ-152, состав по ч. 3 ст. 13.11 КоАП.

5. Какие согласия нужны после 01.09.2025 для email-рассылки?

После 01.09.2025 (ФЗ-156 от 24.06.2025) требуются два отдельных документа: согласие на обработку ПДн по ст. 9 ФЗ-152 — с полными реквизитами (оператор, цель, перечень ПДн, действия, срок, способ отзыва), и согласие на получение рекламной рассылки по ст. 18 ФЗ «О рекламе». Оба не могут быть совмещены с офертой, договором или политикой конфиденциальности. Согласия, полученные до 01.09.2025 по старым формам, обратной силе новых требований не подлежат, но риск оспаривания существует.

6. Что делать, если почтовый сервис — иностранный и серверы за рубежом?

При передаче данных российских подписчиков на иностранные серверы возникает требование уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152 и риск нарушения локализации по ч. 5 ст. 18 ФЗ-152. Состав по ч. 8 ст. 13.11 КоАП — штраф от 1 000 000 до 6 000 000 ₽. Решения: переход на российский сервис с локальными серверами, либо подготовка уведомления о трансграничной передаче и документация первичного сбора данных в РФ.

Итог

Договор с почтовым сервисом — это не технический формальный документ, а юридическая основа законной передачи персональных данных. Без него оператор работает вне правового поля по п. 3 ст. 6 ФЗ-152, а его совокупный риск по ст. 13.11 КоАП при проверке РКН складывается из нескольких составов: незаконная передача, отсутствие политики, нарушение требований согласия, отсутствие уведомления в реестре.

DATUM сопровождает операторов при составлении договоров поручения, адаптации политик конфиденциальности под требования ФЗ-156 и прохождении плановых и внеплановых проверок РКН. Практика охватывает e-commerce, EdTech, медицину и b2b-сервисы.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.

16 февраля 2027 года