Перейти к содержанию
инструкция 21 января 2027 По состоянию на 21 января 2027

Double opt-in для рассылок

Double opt-in — двухэтапное подтверждение согласия на получение рассылок: сначала субъект вводит email, затем переходит по ссылке в письме. Без этой процедуры оператор не может доказать РКН, что согласие по ст. 9 ФЗ-152 получено надлежащим образом.
С 01.09.2025 согласие на обработку ПДн — отдельный документ (ФЗ-156 от 24.06.2025). Штраф за рассылку без согласия — 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП; повторно — 1 000 000–1 500 000 ₽.
Если вы юрист и выстраиваете ОРД для рассылок — ниже пошаговая инструкция с нормами, шаблонами реквизитов и чек-листом.

Double opt-in для рассылок — один из немногих практических инструментов, который одновременно закрывает требования ФЗ-152, Закона о рекламе и позиции РКН. После вступления в силу ФЗ-156 от 24.06.2025 правила усложнились: согласие больше нельзя «зашивать» в оферту или политику конфиденциальности. Инструкция описывает семь шагов — от уведомления РКН до архивации подтверждений — с указанием норм, сроков и документов.

Шаг 1. Проверьте уведомление в реестре операторов ПДн

До запуска любой рассылки оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные по ст. 22 ФЗ-152. Без этого каждое письмо подписчику — обработка ПДн без регистрации, что квалифицируется по ч. 10 ст. 13.11 КоАП: штраф 100 000–300 000 ₽ для юридического лица.

Форма уведомления утверждена Приказом РКН № 180 от 28.10.2022. Подача — через личный кабинет pd.rkn.gov.ru с УКЭП или через ЕСИА. Срок включения в реестр после подачи — 30 дней. Если компания уже в реестре, проверьте, что в уведомлении указана цель «направление рекламных и информационных рассылок» и категория «контактные данные».

«Ст. 22 ФЗ-152 обязывает оператора уведомить РКН до начала обработки ПДн. Форма и порядок — Приказ РКН № 180 от 28.10.2022.»

Шаг 2. Составьте отдельное согласие по требованиям ФЗ-156 от 24.06.2025

С 01.09.2025 согласие на обработку ПДн не может быть частью договора, оферты или политики конфиденциальности — это требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Документ должен существовать отдельно.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: фамилия, имя, отчество и контактные данные субъекта; наименование и адрес оператора; цель обработки; перечень персональных данных; перечень действий с ПДн; срок действия; способ отзыва. Для рассылки минимальный перечень ПДн — адрес электронной почты. Если собираете имя — включите его отдельной строкой.

Ранее полученные согласия переоформлять не требуется — ФЗ-156 обратной силы не имеет. Обязательство касается только согласий, получаемых с 01.09.2025.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025: согласие — отдельный документ с обязательными реквизитами. Действует с 01.09.2025.»

Согласие на рассылку уже встроено в оферту или политику конфиденциальности?

Если форма сбора email объединяет согласие с другими документами — с 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП с штрафом до 700 000 ₽. Срок для переработки форм — до начала следующей рассылки после 01.09.2025. Юристы DATUM соберут комплект ОРД под ключ: политика, согласия, приказы, регламент реагирования, журналы.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Настройте техническую реализацию double opt-in

Double opt-in — это последовательность: (1) субъект вводит email в форму на сайте и нажимает «Подписаться»; (2) система отправляет письмо с уникальной ссылкой подтверждения; (3) субъект переходит по ссылке; (4) система фиксирует дату, время и IP-адрес подтверждения. Только после шага 4 адрес считается включённым в базу рассылки.

С точки зрения ФЗ-152, шаг 1 — это оферта согласия, шаг 3 — акцепт. Доказательством наличия согласия служит лог подтверждения из шага 4. Без него оператор не может опровергнуть жалобу субъекта о том, что он согласия не давал.

Срок хранения лога подтверждений — до момента уничтожения ПДн плюс срок исковой давности. Практически — не менее трёх лет с даты последнего письма или отписки.

Шаг 4. Разместите политику конфиденциальности с обязательными разделами

Ст. 18.1 ФЗ-152 обязывает оператора опубликовать документ, определяющий политику обработки ПДн. Для сайта с формой подписки это означает: ссылка на политику должна быть доступна прямо с формы, а не только в подвале сайта.

Политика должна включать: наименование и реквизиты оператора; цели обработки; перечень обрабатываемых ПДн; правовые основания по ст. 6 ФЗ-152; категории субъектов; порядок и условия обработки; срок хранения; права субъекта и порядок их реализации; меры защиты. Если данные передаются подрядчику-рассыльщику (Unisender, SendPulse, GetResponse и аналоги) — в политике должны быть указаны третьи лица и основание передачи (поручение по п. 3 ч. 3 ст. 6 ФЗ-152).

Отсутствие политики или её непубликация — штраф по ч. 3 ст. 13.11 КоАП: 30 000–60 000 ₽ для юридического лица.

«Ст. 18.1 ФЗ-152: оператор обязан принять и опубликовать документ, определяющий политику обработки ПДн. Состав разделов — ч. 2 ст. 18.1.»

Что подготовить

  • Уведомление в реестр РКН с целью «рассылка» и категорией «контактные данные» (форма по Приказу РКН № 180)
  • Отдельный документ согласия с реквизитами по ст. 9 ФЗ-152 в ред. ФЗ-156 — не объединять с договором или политикой
  • Техническая реализация double opt-in с логом: дата, время, IP подтверждения
  • Политика конфиденциальности с ссылкой на форме подписки — разделы по ч. 2 ст. 18.1 ФЗ-152
  • Договор поручения обработки с рассыльщиком (Unisender / SendPulse / иное) по п. 3 ч. 3 ст. 6 ФЗ-152

Шаг 5. Оформите поручение обработки подрядчику-рассыльщику

Любой ESP (email service provider) — сторонний сервис рассылок — получает доступ к базе адресов. Без договора поручения обработки это передача ПДн третьему лицу без правового основания, что квалифицируется по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

Договор поручения строится на п. 3 ч. 3 ст. 6 ФЗ-152 и должен содержать: перечень действий, которые вправе совершать обработчик; цели обработки; обязанность соблюдать конфиденциальность; требования к защите ПДн; запрет передавать данные третьим лицам без согласования. Большинство крупных ESP предоставляют типовой DPA (Data Processing Agreement) — его достаточно подписать, предварительно проверив соответствие российским требованиям.

Если ESP расположен за рубежом — одновременно проверьте требования о трансграничной передаче по ст. 12 ФЗ-152 и необходимость уведомления РКН.

Шаг 6. Назначьте ответственного за обработку персональных данных

Ст. 22.1 ФЗ-152 обязывает каждого оператора — юридическое лицо назначить лицо, ответственное за организацию обработки ПДн. Без приказа о назначении у РКН есть основание для штрафа при любой внеплановой проверке.

Ответственный по ст. 22.1 — это не обязательно отдельная штатная единица. Функцию можно возложить на действующего сотрудника приказом с перечнем обязанностей или передать на аутсорсинг. Ответственный ведёт журнал обращений субъектов, отвечает на запросы в течение 10 рабочих дней по ст. 20 ФЗ-152, участвует в проверках РКН.

«Ст. 22.1 ФЗ-152: оператор-юрлицо обязан назначить ответственного за организацию обработки ПДн. Требования к квалификации — ч. 4 ст. 22.1.»

Если у вас нет назначенного ответственного по ст. 22.1 ФЗ-152 — РКН вправе зафиксировать это при первой же проверке. Ответственного по ст. 22.1 можно передать на аутсорсинг: функция включает ответы на запросы субъектов в 10-дневный срок и сопровождение проверок РКН.

Подключить DPO-аутсорсинг

Шаг 7. Настройте механизм отписки и архивацию подтверждений

Субъект вправе в любой момент отозвать согласие по ст. 9 ФЗ-152. Для рассылки это означает: в каждом письме — работающая ссылка «Отписаться», при переходе по которой адрес немедленно исключается из активной базы. Срок прекращения обработки после отзыва — не определён законом как фиксированный, но судебная практика ориентируется на разумный — как правило, несколько рабочих дней.

После отписки ПДн (адрес email) подлежат уничтожению или обезличиванию, если нет иного правового основания для хранения. Если адрес используется также в рамках договора с клиентом — основание хранения сохраняется на срок исполнения договора.

Лог подтверждений double opt-in — файл или запись в БД с датой, временем, IP и токеном подтверждения — следует хранить на весь период активности подписчика и три года после отписки. Это единственное доказательство при жалобе субъекта или претензии РКН.

Как это выглядит на практике: два сценария

Сценарий 1. Интернет-магазин без договора поручения с ESP

Ситуация: компания (Центральный ФО, осень 2025) использует зарубежный ESP для рассылок, договор поручения не заключён. РКН при плановой проверке фиксирует передачу адресной базы третьему лицу без правового основания.

Доказательства регулятора: скриншоты интеграции ESP в личном кабинете, отсутствие DPA в реестре договоров компании.

Исход: протокол по ч. 1 ст. 13.11 КоАП. Штраф в диапазоне 150 000–300 000 ₽. При устранении нарушения и наличии первичности — возможна попытка замены на предупреждение по ст. 4.1.1 КоАП для микропредприятий.

Стратегия: до проверки заключить DPA с ESP, внести сведения об обработчике в политику конфиденциальности и уведомление РКН.

Сценарий 2. SaaS-платформа: согласие объединено с офертой до 01.09.2025

Ситуация: B2B-сервис (Северо-Западный ФО, конец 2025) фиксировал согласие на рассылку единым чекбоксом при акцепте оферты. После 01.09.2025 форма не переработана.

Доказательства: веб-архив формы регистрации, жалоба подписчика в РКН о нежелательной рассылке.

Исход: протокол по ч. 2 ст. 13.11 КоАП — обработка без надлежащего согласия. Штраф 300 000–700 000 ₽. При повторном нарушении — ч. 2.1, до 1 500 000 ₽.

Стратегия: немедленно разделить согласие и оферту; провести повторный opt-in по существующей базе с новой формой; задокументировать дату переработки форм.

Сценарий 3. Отсутствие уведомления в реестре РКН

Ситуация: стартап запустил рассылку через неделю после регистрации юридического лица. Уведомление РКН не подавалось — «руки не дошли».

Доказательства: отсутствие компании в реестре pd.rkn.gov.ru, факт рассылки (жалоба от субъекта).

Исход: протокол по ч. 10 ст. 13.11 КоАП — неуведомление об обработке ПДн, штраф 100 000–300 000 ₽.

Стратегия: подать уведомление через pd.rkn.gov.ru немедленно; при рассмотрении дела ссылаться на отсутствие умысла и оперативное устранение; для микропредприятий — заявить ст. 4.1.1 КоАП.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн для законной рассылки?

Минимальный пакет: уведомление в реестре РКН с целью «рассылка» (ст. 22 ФЗ-152, Приказ РКН № 180), отдельный документ согласия с реквизитами по ст. 9 ФЗ-152 в ред. ФЗ-156, политика конфиденциальности с разделами по ч. 2 ст. 18.1 ФЗ-152, договор поручения обработки с ESP по п. 3 ч. 3 ст. 6 ФЗ-152, приказ о назначении ответственного по ст. 22.1 ФЗ-152, лог подтверждений double opt-in.

2. Как составить политику обработки ПДн для сайта с рассылками?

Политика должна включать: реквизиты оператора, цели обработки, перечень ПДн и действий с ними, правовые основания по ст. 6 ФЗ-152, срок хранения, права субъектов и порядок их реализации, меры защиты, сведения о третьих лицах (ESP). Ссылка на политику должна быть размещена непосредственно у формы подписки — не только в подвале сайта. Отсутствие публикации — штраф по ч. 3 ст. 13.11 КоАП до 60 000 ₽.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным может быть любой сотрудник, на которого возложены функции приказом руководителя, либо внешний исполнитель по договору DPO-аутсорсинга. Требования к квалификации — ч. 4 ст. 22.1 ФЗ-152. Ответственный ведёт журнал обращений субъектов, отвечает на запросы в срок 10 рабочих дней (ст. 20 ФЗ-152) и участвует в проверках РКН.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Нет — без адаптации. Шаблон не учитывает реальные цели обработки вашей компании, конкретных обработчиков (ESP, CRM, аналитику), категории субъектов и сроки хранения. РКН при проверке сверяет политику с фактической обработкой: несоответствие фиксируется как нарушение ст. 18.1 ФЗ-152 независимо от того, есть ли документ формально. Использование чужого шаблона также не закрывает требование об отдельном согласии по ФЗ-156 от 24.06.2025.

5. Какие согласия нужно переработать после 01.09.2025?

Переработке подлежат формы, получающие новые согласия начиная с 01.09.2025: если согласие объединено с договором, офертой или политикой — это нарушение ч. 1 ст. 9 ФЗ-152 в ред. ФЗ-156. Ранее полученные согласия обратной силы не имеют и переоформлять их не требуется. Однако если старая форма продолжает использоваться после 01.09.2025 — каждое новое согласие, полученное через неё, будет ненадлежащим.

6. Что делать, если подписчик подал жалобу в РКН на нежелательную рассылку?

Необходимо немедленно исключить адрес из базы, собрать доказательства наличия согласия (лог double opt-in с датой, временем и IP подтверждения) и подготовить письменный ответ РКН в течение 10 рабочих дней. Если лог сохранён корректно — жалоба, как правило, не влечёт административного производства. Если доказательств нет — РКН вправе возбудить дело по ч. 2 ст. 13.11 КоАП.

Итог

Double opt-in для рассылок — это не маркетинговый инструмент, а документационная конструкция, выдерживающая проверку РКН. Семь шагов выше формируют полный контур: регистрация в реестре, надлежащее согласие по ФЗ-156, техническая фиксация акцепта, политика конфиденциальности, договор с ESP, назначение ответственного по ст. 22.1, механизм отписки с архивацией логов.

Практика DATUM охватывает сопровождение операторов ПДн при внеплановых проверках РКН по рассылкам, составление ОРД под ключ и защиту по ст. 13.11 КоАП в арбитраже.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.

21 января 2027 года