инструкция 4 июня 2026 По состоянию на 4 июня 2026

Email-маркетинг и 152-ФЗ

Email-рассылка — это обработка персональных данных по ст. 3 ФЗ-152, и каждый адрес в базе требует отдельного правового основания.

С 30.05.2025 штраф за рассылку без надлежащего согласия достигает 700 000 ₽ по ч. 2 ст. 13.11 КоАП. При повторном нарушении — до 1 500 000 ₽.

Если вы маркетолог и база собрана через форму без явного opt-in — проверьте соответствие нормам до того, как это сделает РКН. →

Маркетолог отвечает за канал, который напрямую пересекается с требованиями ФЗ-152: сбор адресов, согласия, cookies, трекинг через GA4. С 01.09.2025 согласие на рассылку оформляется отдельным документом по ФЗ-156. С 30.05.2025 работают новые составы ст. 13.11 КоАП. Ниже — пошаговая инструкция: от проверки правового основания до настройки отзыва подписки.

Шаг 1. Определите правовое основание для каждого сегмента базы

Прежде чем отправлять письмо, установите, на каком основании вы обрабатываете email-адрес. Ст. 6 ФЗ-152 даёт 11 оснований. Для маркетинговых рассылок применимы два: согласие субъекта (п. 1) и исполнение договора (п. 5).

Согласие требуется, когда цель обработки — продвижение товаров, услуг, мероприятий. Это прямо следует из ст. 18 ФЗ «О рекламе». Согласие должно быть свободным, конкретным и информированным. Флажок, заранее проставленный в форме, — не согласие.

Договорное основание применимо ограниченно: транзакционные письма (подтверждение заказа, смена пароля) обрабатываются в рамках договора без отдельного согласия. Смешивать транзакционный и промо-контент в одном письме нельзя, если согласие на промо не получено.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): согласие на обработку ПДн оформляется отдельным документом и не объединяется с договором, офертой или политикой конфиденциальности.»

Проверьте каждый сегмент базы: откуда пришёл адрес, что именно отмечал пользователь в форме, была ли цель обработки указана явно. Базы, собранные через форму «Согласен с условиями» без отдельного чекбокса на рассылку, требуют переработки механики сбора.

Шаг 2. Приведите форму подписки и согласие в соответствие с ФЗ-156

С 01.09.2025 согласие на рассылку — отдельный документ или отдельный чекбокс с явным указанием цели. Объединить его с текстом договора или политикой конфиденциальности нельзя.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: наименование оператора, цель обработки, перечень обрабатываемых ПДн (как минимум — email), перечень действий (сбор, хранение, передача ESP), срок хранения или условие прекращения, способ отзыва.

Ранее собранные согласия переоформлять не требуется — ФЗ-156 не имеет обратной силы. Но если форма продолжает работать в старом виде после 01.09.2025, каждый новый подписчик создаёт риск по ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽ для юрлица).

«Ч. 2 ст. 13.11 КоАП (ред. с 30.05.2025): обработка ПДн без письменного согласия или с нарушением требований к составу согласия — штраф для юрлица 300 000 — 700 000 ₽. Повторно (ч. 2.1) — 1 000 000 — 1 500 000 ₽.»

Двойное подтверждение (double opt-in) снижает риск: пользователь подтверждает адрес кликом по ссылке в первом письме, и у вас есть лог с IP и временной меткой. Это доказательство согласия при проверке РКН или жалобе субъекта.

Формы подписки обновлены до 01.09.2025?

Если маркетолог не менял механику сбора адресов после вступления в силу ФЗ-156, каждый новый подписчик — потенциальный протокол по ч. 2 ст. 13.11. Срок на устранение после предписания РКН — 30 дней. Юристы DATUM проведут аудит форм, политики и базы подписчиков, составят корректное согласие и обновят ОРД.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте cookies и трекинг — это тоже ПДн

РКН придерживается позиции: cookie-файлы, позволяющие идентифицировать пользователя, — персональные данные. Это означает, что сбор cookies для аналитики, ретаргетинга и email-атрибуции требует согласия так же, как сбор адреса.

На сайте должен быть баннер согласия на cookies с возможностью отказа от нефункциональных категорий. Политика конфиденциальности обязана описывать, какие cookies используются, с какой целью и кому передаются данные (ESP, рекламные сети, аналитические платформы).

«Ч. 1 ст. 13.11 КоАП: обработка ПДн в случаях, не предусмотренных законом, — штраф для юрлица 150 000 — 300 000 ₽. Сбор cookies без согласия при наличии идентификации пользователя квалифицируется по этому составу.»

GA4 и трансграничная передача. Отправка данных в Google Analytics — передача ПДн в США, страну без решения об адекватной защите. По ч. 5 ст. 12 ФЗ-152 до такой передачи нужно уведомить РКН. Если уведомление не подавалось, а GA4 установлен — это нарушение ч. 1 ст. 13.11 и потенциально ч. 8 ст. 13.11 (неисполнение требования о локализации, 1 000 000 — 6 000 000 ₽).

Альтернативы: использовать серверный тег (server-side GTM) с маршрутизацией через российскую инфраструктуру, перейти на отечественные аналитические платформы или подать уведомление о трансграничной передаче и оформить соглашение с обработчиком.

Шаг 4. Разберитесь с ролью оператора при работе с ESP и маркетплейсами

Email-сервис (ESP — Unisender, SendPulse, ExpertSender и другие) — это лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Оператор — вы, как владелец базы. Поручение на обработку оформляется договором, где явно указаны: перечень ПДн, цели, допустимые действия, требования конфиденциальности и обязанность уничтожить данные после расторжения.

Если договор с ESP не содержит этих условий — вы нарушаете ст. 6 ФЗ-152 и несёте ответственность за действия подрядчика как оператор. Это подтверждено правоприменительной практикой: суды возлагают ответственность за утечку через подрядчика на оператора.

Маркетплейс как отдельный сценарий. Если вы продавец на маркетплейсе (Wildberries, Ozon, Яндекс Маркет), маркетплейс самостоятельно собирает данные покупателей для своих целей и выступает независимым оператором. Вы как продавец получаете только те данные, которые нужны для исполнения заказа. Использовать контакты покупателей для собственной рассылки без их согласия нельзя — у вас нет правового основания.

«П. 3 ст. 6 ФЗ-152: обработка ПДн по поручению оператора осуществляется на основании договора с обязательными условиями о перечне действий, целях, конфиденциальности и уничтожении данных.»

Если маркетолог использует ESP без договора поручения или отправляет рассылку по базе маркетплейса — есть риск по ч. 1 ст. 13.11 (до 300 000 ₽) и персональная жалоба субъекта в РКН. DATUM проверит договоры с подрядчиками и базы за 5 рабочих дней.

Заказать аудит 152-ФЗ

Шаг 5. Настройте механизм отзыва подписки и обработки запросов субъектов

Субъект вправе в любой момент отозвать согласие на обработку ПДн (ст. 9 ФЗ-152). Отзыв согласия прекращает правовое основание для рассылки. После отзыва оператор обязан прекратить обработку и уничтожить данные, если нет иного правового основания для хранения.

Ссылка «Отписаться» в каждом письме — требование не только ФЗ «О рекламе», но и ст. 9 ФЗ-152. Клик по ссылке должен запускать автоматический процесс: адрес удаляется из активных сегментов, фиксируется дата и способ отзыва. Хранить запись об отзыве нужно — она доказывает, что вы прекратили обработку.

На запрос субъекта об информации об обработке его ПДн (ст. 20 ФЗ-152) у вас 10 рабочих дней с даты обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Отсутствие ответа — ч. 4 ст. 13.11 КоАП (40 000 — 80 000 ₽).

«Ст. 21 ФЗ-152: при выявлении незаконной обработки или отзыве согласия оператор прекращает обработку и уничтожает ПДн в течение 7 рабочих дней. При невозможности — блокирует и уничтожает в течение 30 дней.»

Внедрите журнал обращений субъектов: входящее обращение, дата, суть запроса, дата ответа, принятые меры. Это первый документ, который запросит РКН при проверке.

Что подготовить для соответствия email-маркетинга 152-ФЗ

Согласие на рассылку — отдельный документ или чекбокс с обязательными реквизитами по ст. 9 ФЗ-152 (цель, перечень ПДн, действия, срок, способ отзыва)
Политика конфиденциальности с разделами: cookies, передача ESP, трансграничная передача через GA4
Договор поручения с ESP — перечень ПДн, цели, конфиденциальность, условие уничтожения
Баннер согласия на cookies с возможностью отказа от нефункциональных категорий
Журнал обращений субъектов и механизм автоматического отзыва подписки с логированием

Как это выглядит на практике: два сценария

Сценарий 1. Форма подписки без двойного opt-in, GA4 без уведомления РКН. Интернет-магазин (Центральный ФО, весна 2025) собирал адреса через форму с заранее проставленным флажком «Согласен на рассылку». GA4 передавал поведенческие данные на серверы Google. После жалобы пользователя РКН провёл внеплановую проверку: составлен протокол по ч. 1 ст. 13.11 (обработка без надлежащего согласия, cookies без баннера). Одновременно выявлена трансграничная передача без уведомления. Итог — два отдельных протокола, штрафы в совокупности в сотни тысяч рублей. Компания устраняла нарушения под предписанием с 30-дневным сроком.

Сценарий 2. Продавец маркетплейса использовал контакты покупателей для промо-рассылки. Продавец (Уральский ФО, конец 2025) получил от маркетплейса данные покупателей для обработки заказов и запустил по этой базе промо-рассылку. Покупатели не давали согласия на рассылку от продавца — только маркетплейсу. Несколько жалоб в РКН привели к проверке. Протокол по ч. 2 ст. 13.11: рассылка без согласия субъектов — штраф в диапазоне 300 000 — 700 000 ₽. Правового основания для использования базы маркетплейса у продавца не было.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка форм, согласий, ESP-договоров, cookies и трансграничной передачи
Комплект ОРД под ключ — политика конфиденциальности, согласия, договор поручения с ESP, журналы
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1.1

Частые вопросы

1. Считаются ли cookies персональными данными?

РКН придерживается позиции: cookie-файлы, позволяющие идентифицировать пользователя (через связку с IP, аккаунтом, устройством), — персональные данные по ст. 3 ФЗ-152. Это означает, что их сбор требует правового основания — в большинстве случаев согласия субъекта. Технические cookies, необходимые для работы сайта, согласия не требуют. Маркетинговые, аналитические и ретаргетинговые — требуют. Отсутствие баннера согласия при их использовании квалифицируется по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽ для юрлица).

2. Можно ли использовать GA4 после ограничений?

Использовать GA4 можно, но это трансграничная передача ПДн в США — страну без решения РКН об адекватной защите. По ст. 12 ФЗ-152 до начала такой передачи нужно уведомить РКН. На практике часть компаний переходит на серверную обработку (server-side GTM) с маршрутизацией через РФ, другие подают уведомление и оформляют договор с Google как обработчиком. Полностью игнорировать вопрос — риск по ч. 1 и ч. 8 ст. 13.11 КоАП (до 6 000 000 ₽ за нарушение локализации).

3. Кто оператор — маркетплейс или продавец?

Маркетплейс и продавец — независимые операторы в отношении разных целей обработки. Маркетплейс собирает данные покупателей для проведения транзакций и обслуживания платформы. Продавец получает только данные, необходимые для исполнения конкретного заказа, и обрабатывает их в рамках договора купли-продажи. Использовать контакты покупателей для собственного email-маркетинга продавец вправе только при наличии отдельного согласия покупателя именно на рассылку от этого продавца. Иначе — нарушение ч. 2 ст. 13.11 КоАП.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера согласия при использовании идентифицирующих cookies — обработка ПДн без надлежащего основания. Квалификация: ч. 1 ст. 13.11 КоАП в редакции с 30.05.2025 — штраф для юрлица 150 000 — 300 000 ₽. При повторном нарушении (ч. 1.1) — 300 000 — 500 000 ₽. Если через cookies передаются данные за рубеж без уведомления РКН — добавляется риск по ч. 8 ст. 13.11 (1 000 000 — 6 000 000 ₽ за нарушение требований локализации).

5. Как оформить отзыв подписки по 152-ФЗ?

Ссылка «Отписаться» в каждом письме — обязательна по ФЗ «О рекламе» и является одновременно механизмом отзыва согласия по ст. 9 ФЗ-152. Клик должен: автоматически исключать адрес из активных сегментов, фиксировать дату и способ отзыва в журнале. После отзыва у оператора 7 рабочих дней на прекращение обработки и уничтожение ПДн (если нет иного основания хранить). Хранить запись о факте отзыва нужно — она доказывает, что обработка прекращена.

6. Какой объём ОРД нужен для email-маркетинга?

Минимальный пакет для email-маркетинга: политика конфиденциальности с разделами о cookies и рассылках (ст. 18.1 ФЗ-152), форма согласия с реквизитами по ст. 9, договор поручения с ESP (ст. 6 ФЗ-152), журнал обращений субъектов, уведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152), а при использовании GA4 — уведомление о трансграничной передаче. Отсутствие публичной политики конфиденциальности — отдельный состав по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽).

Итог

Email-маркетинг в 2026 году — это работа в условиях двух параллельных регуляторных сдвигов: новые составы ст. 13.11 КоАП с 30.05.2025 и требование отдельного согласия с 01.09.2025. Каждый элемент канала — форма подписки, cookies, ESP, база маркетплейса — проверяется на наличие правового основания. Ошибка в любом звене превращается в протокол РКН с суммой от 150 000 до 1 500 000 ₽.

Юристы DATUM специализируются на ПДн в цифровых продуктах и e-commerce: аудит форм, согласий и ESP-договоров, политика конфиденциальности с разделами о cookies и трансграничной передаче, сопровождение при проверках РКН и защита в арбитраже по ст. 13.11 КоАП.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

4 июня 2026 года