Email как ПДн: правила обработки и согласия
Email-адрес встречается в каждой форме на сайте, каждой анкете клиента и каждом трудовом договоре. Между тем статус email как ПДн до сих пор вызывает споры на практике: одни считают корпоративный адрес нейтральным идентификатором, другие — что любой адрес требует согласия. Ниже — разбор по ст. 3, 5, 6 и 9 ФЗ-152 с учётом практики 2025–2026 годов.
Является ли email персональными данными по ст. 3 ФЗ-152?
По ст. 3 ФЗ-152 персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Email идентифицирует лицо прямо, если содержит имя или фамилию (ivan.petrov@company.ru), и косвенно, если адрес уникален и привязан к аккаунту. Корпоративный адрес формата имя.фамилия@домен.ру — персональные данные работника. Служебный адрес без имени (info@company.ru или support@company.ru) относится к юридическому лицу и ПДн не является.
Роскомнадзор в разъяснениях квалифицирует email как ПДн при наличии возможности соотнести адрес с конкретным человеком — даже если сам адрес не содержит имени, но обрабатывается вместе с ФИО или номером телефона. Принцип соотносимости: если оператор может установить личность субъекта, имея адрес и иные данные в своей системе, — адрес является ПДн.
На каком основании можно обрабатывать email?
Ст. 6 ФЗ-152 устанавливает одиннадцать правовых оснований обработки ПДн. Для email на практике применяются четыре.
Согласие субъекта (п. 1 ч. 1 ст. 6). Универсальное основание. С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется отдельным документом — его нельзя объединять с договором, офертой или политикой конфиденциальности. Реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контакт, наименование оператора, цель, перечень ПДн (включая email), перечень действий, срок, способ отзыва.
Исполнение договора (п. 5 ч. 1 ст. 6). Применяется, когда субъект — сторона договора и email используется для его исполнения: направление счетов, уведомлений о статусе заказа, технической поддержки. Ключевое условие: обработка строго в рамках исполнения, не для маркетинга.
Законный интерес оператора (п. 7 ч. 1 ст. 6 — в ред. поправок). Применяется ограниченно, при условии, что интерес оператора не перевешивает интересы субъекта. Для рассылок это основание фактически не работает — РКН квалифицирует массовые коммуникации как требующие согласия.
Трудовые отношения (п. 2 ч. 1 ст. 6 × ст. 86–88 ТК). Работодатель обрабатывает корпоративный email работника без отдельного согласия в рамках трудовых обязательств. Личный email работника — только с согласия, если не указан как контактный в трудовом договоре.
Согласия на email в формах до 01.09.2025 — нужно переделывать?
ФЗ-156 требует отдельного согласия с 01.09.2025, но обратной силы не имеет. Риск — в новых формах и в тех старых документах, где согласие встроено в договор после этой даты. Если юрист проверяет пакет ОРД и формы на сайте — лучше начать с аудита: он покажет, какие согласия переделать в первую очередь.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Какие принципы ст. 5 ФЗ-152 важны при работе с email?
Ст. 5 ФЗ-152 закрепляет семь принципов обработки. Три из них наиболее часто нарушаются при работе с email-адресами.
Конкретность целей. Цель должна быть определена до начала обработки. «Маркетинг» — слишком широко. Корректно: «направление информационных рассылок об акциях и новых продуктах компании». Если email собирается для рассылки, а потом используется для напоминаний о брошенной корзине — это уже другая цель, требующая отдельного основания.
Недопустимость объединения баз. Нельзя объединять базы email-адресов, собранных для разных несовместимых целей: адреса с формы регистрации (цель — исполнение договора) нельзя переносить в CRM для рассылок без отдельного согласия.
Уничтожение при достижении цели. Когда цель обработки достигнута — договор исполнен, согласие отозвано, субъект потребовал удаления — email должен быть удалён из баз в установленный срок. Хранение «на всякий случай» нарушает этот принцип.
Что проверить юристу при аудите обработки email
- Наличие правового основания для каждой точки сбора email (форма на сайте, анкета клиента, трудовой договор)
- Соответствие формы согласия требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025 — отдельный документ, полные реквизиты
- Соответствие фактического использования email заявленным целям в политике и согласии
- Наличие механизма отзыва согласия и фактического удаления адреса из баз
- Включение email-рассылок в уведомление РКН по ст. 22 ФЗ-152
Как применяется ст. 9 ФЗ-152 к email-рассылкам после 01.09.2025?
С 01.09.2025 согласие на обработку ПДн, включая email, должно быть оформлено отдельным документом (ФЗ-156 от 24.06.2025). Распространённые ошибки, которые создают риск по ч. 2 ст. 13.11 КоАП (штраф до 700 000 ₽):
Согласие встроено в пользовательское соглашение.» «Нажимая «Зарегистрироваться», вы соглашаетесь с...» — такая конструкция после 01.09.2025 недопустима для получения согласия на обработку ПДн.
Нет перечня конкретных действий. Согласие должно содержать исчерпывающий перечень операций с email: сбор, запись, хранение, использование (направление сообщений), передача (если есть подрядчики-рассыльщики). Формулировка «обработка ПДн» без расшифровки недостаточна.
Нет способа отзыва. В согласии должен быть указан конкретный механизм отзыва: ссылка на личный кабинет, email оператора, почтовый адрес. «Обратитесь к нам» без деталей — нарушение.
Если в компании есть формы сбора email и рассылки — проверьте согласия на соответствие редакции ст. 9 ФЗ-152, действующей с 01.09.2025. Штраф по ч. 2 ст. 13.11 за нарушение требований к согласию — до 700 000 ₽, при повторном нарушении — до 1 500 000 ₽.
Заказать аудит 152-ФЗПрактические ситуации: как применяются нормы на деле
Ситуация 1. Email собирают через форму на сайте без отдельного согласия. Компания (интернет-магазин, Центральный ФО, начало 2026) при регистрации на сайте включала в форму чекбокс «Согласен с политикой конфиденциальности» без отдельного документа согласия. РКН по результатам проверки составил протокол по ч. 2 ст. 13.11. Поскольку нарушение было первичным, суд применил ст. 4.1.1 КоАП и заменил штраф на предупреждение. После проверки компания переоформила все формы под требования ФЗ-156.
Ситуация 2. Email передан подрядчику для рассылки без поручения. Производственное предприятие (Уральский ФО, осень 2025) передало базу клиентских email внешнему агентству для рассылки без заключения договора поручения обработки по п. 3 ст. 6 ФЗ-152. Субъект пожаловался в РКН после получения рекламы от агентства, с которым не вступал в отношения. Проверка выявила отсутствие документа, разграничивающего ответственность оператора и обработчика. Штраф по ч. 1 ст. 13.11 — в диапазоне сотен тысяч рублей; договор поручения и обновлённое согласие с указанием агентства оформлены по итогам.
Ситуация 3. Корпоративный email уволенного работника. После увольнения работника работодатель продолжал хранить его корпоративный email в базе CRM, направлять туда уведомления и включил адрес в рассылку партнёров. Работник обратился с требованием об уничтожении ПДн по ст. 21 ФЗ-152. Работодатель не исполнил в установленный срок. Итог — протокол по ч. 5 ст. 13.11 и дополнительное требование об уточнении данных.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка всех оснований обработки, форм согласий, ОРД
- Комплект ОРД под ключ — политика, согласия, договоры поручения, журналы
- DPO-аутсорсинг — ответы на запросы субъектов, сопровождение по ст. 22.1
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
По ст. 3 ФЗ-152 обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже однократное сохранение email-адреса в базе данных — уже обработка, требующая правового основания.
2. На основании чего можно обрабатывать ПДн?
Ст. 6 ФЗ-152 содержит одиннадцать оснований. Для email наиболее актуальны: согласие субъекта (п. 1), исполнение договора, стороной которого является субъект (п. 5), и исполнение обязанностей, предусмотренных законом (п. 2). Обработка без одного из этих оснований — нарушение ч. 1 ст. 13.11 КоАП.
3. Что грозит за нарушение 152-ФЗ?
В редакции с 30.05.2025 (ФЗ-420 от 30.11.2024) ст. 13.11 КоАП содержит 18 частей. Для email-нарушений типичны: ч. 1 (обработка без основания) — 150 000–300 000 ₽, ч. 2 (нарушение требований к согласию) — 300 000–700 000 ₽, ч. 2.1 (повторное по ч. 2) — 1 000 000–1 500 000 ₽. При утечке более 100 000 субъектов — ч. 14, штраф 10–15 млн ₽.
4. Нужно ли уведомлять РКН малому бизнесу?
По ст. 22 ФЗ-152 уведомить РКН обязан любой оператор ПДн до начала обработки, если не подпадает под исключения ч. 2 ст. 22. Исключения узкие — в основном государственные органы и случаи, когда ПДн не включаются в базы. Малый бизнес, ведущий базу клиентских email, под исключения не подпадает. Неуведомление — штраф по ч. 10 ст. 13.11 до 300 000 ₽.
5. С какого возраста нужно согласие на ПДн?
ФЗ-152 не устанавливает единого возрастного порога. По общему правилу гражданского законодательства субъект до 14 лет не может самостоятельно давать согласие — требуется согласие родителя или законного представителя. От 14 до 18 лет вопрос решается с учётом дееспособности и характера обработки. Для email-рассылок образовательных и детских сервисов рекомендуется получать согласие родителей для лиц до 18 лет.
Итог
Email — персональные данные в большинстве практических ситуаций: корпоративный адрес с именем, адрес из формы регистрации, адрес в CRM клиента. Обработка требует одного из оснований ст. 6 ФЗ-152; согласие с 01.09.2025 — отдельный документ по ст. 9. Передача email подрядчику без договора поручения создаёт самостоятельный риск по ч. 1 ст. 13.11.
Юристы DATUM сопровождают аудиты обработки ПДн в компаниях, где email используется в маркетинге, HR и клиентском сервисе — от проверки оснований и форм согласий до подготовки полного пакета ОРД.
3 сентября 2027 года