инструкция 19 апреля 2028 По состоянию на 19 апреля 2028

Отзыв подписки на маркетинговые рассылки

Отзыв подписки на маркетинговые рассылки — это реализация права субъекта на отзыв согласия по ст. 9 ФЗ-152 применительно к email- и SMS-коммуникациям, которые интернет-магазин или маркетплейс ведёт на основании согласия.

Нарушение порядка отзыва — основание для протокола по ч. 2 ст. 13.11 КоАП: штраф до 700 000 ₽ за обработку без надлежащего согласия. Параллельно действуют нормы ФЗ «О рекламе», запрещающие рассылки после отзыва.

Если вы маркетолог и не уверены, что механизм отписки в вашем интернет-магазине соответствует требованиям 152-ФЗ, — эта инструкция даёт пошаговый порядок.

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом (ФЗ-156 от 24.06.2025). Это изменило логику подписных форм: согласие на рассылку больше нельзя объединять с пользовательским соглашением или офертой. Механизм отзыва такого согласия должен быть не менее простым, чем его получение, — это принцип ст. 9 ФЗ-152. Инструкция охватывает шесть шагов: от аудита текущей базы до настройки автоматического подтверждения отписки.

Что подготовить перед началом

Выгрузку базы подписчиков с датами получения согласий и их основаниями (согласие / договор / иное)
Актуальную форму согласия на рассылку — проверить, не является ли она частью договора или политики конфиденциальности
Регламент обработки запросов на отписку с фиксацией сроков исполнения
Техническую документацию ESP (email service provider) о механизме unsubscribe-ссылки
Журнал обращений субъектов за последние 12 месяцев

Шаг 1. Определите правовое основание рассылки

Прежде чем настраивать механизм отписки, определите, на каком основании вы вообще ведёте рассылку. По ст. 6 ФЗ-152 обработка персональных данных допустима по нескольким основаниям. Для маркетинговых рассылок актуальны два: согласие субъекта (п. 1 ч. 1 ст. 6) и исполнение договора (п. 5 ч. 1 ст. 6).

Рассылки на основании договора — например, транзакционные письма о статусе заказа — не требуют отдельного согласия. Отзыв подписки в таком случае не прекращает обработку: вы вправе направлять уведомления о заказе. Маркетинговые рассылки — акции, персональные предложения, триггерные цепочки — ведутся только на основании согласия. Их нужно прекращать по первому требованию субъекта.

«Ст. 9 ФЗ-152: субъект вправе отозвать согласие на обработку персональных данных в любой момент. После отзыва оператор обязан прекратить обработку и уничтожить данные, если иное основание для обработки отсутствует.»

Если в вашей базе смешаны транзакционные и маркетинговые адреса без разграничения оснований, первый шаг — их разделить. Программы лояльности в этом отношении наиболее уязвимы: согласие на участие в программе и согласие на рассылку — два разных документа.

Шаг 2. Проверьте соответствие форм согласия требованиям с 01.09.2025

С 01.09.2025 согласие на обработку персональных данных, включая согласие на маркетинговую рассылку, должно быть оформлено отдельным документом (ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Галочка «принимаю условия договора» или чекбокс внутри пользовательского соглашения — недействительная форма согласия с этой даты.

Обязательные реквизиты согласия: наименование оператора, цель обработки (маркетинговые коммуникации), перечень персональных данных (email, телефон, история покупок при использовании), перечень действий (сбор, хранение, использование для направления рассылок), срок действия, способ отзыва.

«Ст. 9 ч. 4 ФЗ-152: согласие считается полученным, если субъект совершил активное действие, подтверждающее его волеизъявление. Молчание, бездействие, предварительно проставленная отметка не признаются согласием.»

Проверьте все точки сбора согласий: форму подписки на сайте, мобильное приложение, кассовую зону (если собираете email офлайн), форму регистрации в программе лояльности. Каждая должна содержать отдельный чекбокс с явным текстом о маркетинговых рассылках.

Форма подписки объединена с договором или политикой?

Если маркетолог обнаружил, что согласие на рассылку включено в текст оферты или пользовательского соглашения — с 01.09.2025 это основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM проверят все подписные формы и приведут документацию в соответствие с требованиями ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Настройте механизм отзыва согласия

Механизм отписки должен быть доступен в каждом письме рассылки — это требование ФЗ «О рекламе» и одновременно способ исполнения обязанности по ст. 9 ФЗ-152. Минимальный состав механизма: ссылка unsubscribe в подвале каждого письма, обработка клика в течение не более 10 рабочих дней, автоматическая пометка в базе с датой отзыва согласия.

Практика РКН показывает два типичных нарушения. Первое: ссылка unsubscribe есть, но рассылки продолжаются ещё 2–4 недели. Это нарушение ст. 9 ФЗ-152 — обработка после отзыва согласия. Второе: отписка работает от одного типа рассылок, но не от всех. Субъект, отписавшийся от акций, продолжает получать письма о персональных предложениях — при разных основаниях это допустимо, но требует явного объяснения субъекту.

Для интернет-магазинов и маркетплейсов с несколькими типами коммуникаций рекомендуется страница управления подпиской (preference center), где субъект видит все типы рассылок и управляет согласием на каждый отдельно. Это одновременно снижает число полных отписок и обеспечивает документированное согласие по каждому типу обработки.

Шаг 4. Разграничьте ответственность между маркетплейсом и продавцом

Вопрос о том, кто является оператором персональных данных покупателя — маркетплейс или продавец, — принципиален для определения того, кто несёт ответственность за рассылки. По ст. 3 ФЗ-152 оператор — лицо, определяющее цели и состав обработки. Маркетплейс, собирающий данные покупателя при регистрации и используемый продавцом через API, является самостоятельным оператором в части данных, собранных платформой.

Продавец на маркетплейсе, получающий контактные данные покупателя для исполнения заказа, также становится оператором — в части обработки этих данных для своих целей. Если продавец использует данные для маркетинговых рассылок за пределами платформы, он обязан иметь отдельное согласие субъекта на такую обработку. Маркетплейс, передающий данные продавцу, должен иметь поручение на обработку по ст. 6 ФЗ-152 и контролировать соблюдение требований закона.

«Ст. 6 ч. 3 ФЗ-152: поручение оператора на обработку персональных данных третьему лицу не освобождает оператора от ответственности перед субъектом. Третье лицо несёт ответственность перед оператором.»

Если вы маркетолог маркетплейса или интернет-магазина с подрядными рассылками — проверьте, есть ли поручения на обработку с каждым ESP и агрегатором. Штраф за рассылку без надлежащего основания — до 700 000 ₽ (ч. 2 ст. 13.11 КоАП), при повторности — до 1 500 000 ₽.

Оценить риски по 152-ФЗ

Шаг 5. Урегулируйте cookies как персональные данные

Cookies, используемые для идентификации пользователя и таргетирования рассылок, позиция РКН квалифицирует как персональные данные. Это означает, что баннер cookies — не просто требование ePrivacy, а обязательный инструмент получения согласия по ст. 9 ФЗ-152 применительно к маркетинговым cookies. Отсутствие баннера создаёт нарушение по ч. 6 ст. 13.11 КоАП.

Для интернет-магазина, использующего GA4, Meta Pixel или Яндекс.Метрику с передачей данных за рубеж, возникает дополнительная тема — трансграничная передача персональных данных. По ст. 12 ФЗ-152 передача данных в страну, не включённую в перечень адекватной защиты, требует уведомления РКН. США в этот перечень не входят, поэтому использование GA4 с включённой функцией сбора User ID или Client ID — потенциальный состав нарушения.

Практический минимум для маркетолога: настроить баннер cookies с раздельными категориями (необходимые / аналитические / маркетинговые), сделать согласие на маркетинговые cookies необязательным для использования сайта, зафиксировать факт получения согласия с датой и версией политики cookies.

Шаг 6. Настройте документирование и автоматические подтверждения

Каждый факт отзыва согласия на рассылку должен быть задокументирован. Минимальный набор: дата и время запроса на отписку, канал (клик по ссылке / обращение через форму / письмо субъекта), дата фактического прекращения рассылок, идентификатор субъекта в системе.

Субъекту направляется автоматическое подтверждение отписки. Это не обязательное требование закона, но доказательство исполнения в случае жалобы в РКН или иска. Подтверждение должно содержать дату, с которой прекращаются рассылки, и указание на то, какие типы коммуникаций затронуты.

Журнал отзывов согласий хранится в соответствии со сроком исковой давности по спорам из договоров — минимум три года. При использовании CRM или ESP убедитесь, что система не удаляет записи об отписках при очистке базы неактивных контактов: удалённая запись об отзыве согласия — это потенциально возобновлённая рассылка по истечении срока хранения.

Как это применяется на практике

Кейс 1. Интернет-магазин в Центральном ФО (осень 2025) использовал единую форму регистрации, в которой согласие на маркетинговые рассылки было включено в текст пользовательского соглашения. После получения жалобы от субъекта РКН провёл внеплановую проверку и возбудил дело по ч. 2 ст. 13.11 КоАП. Директор по маркетингу был привлечён к административной ответственности, компания — к штрафу в диапазоне нескольких сотен тысяч рублей. Нарушение устранили переносом чекбокса согласия в отдельную форму до завершения производства — суд учёл это как смягчающее обстоятельство.

Кейс 2. Продавец на крупном российском маркетплейсе (Северо-Западный ФО, начало 2026) использовал контактные данные покупателей, полученные через API платформы, для собственных email-рассылок без отдельного согласия. Маркетплейс, обнаружив нарушение при аудите API-обращений, приостановил доступ к данным. Параллельно один из покупателей направил жалобу в РКН. Продавцу потребовалось получить ретроспективное согласие от активной части базы (с неизбежными потерями) и оформить поручение на обработку. Часть базы была уничтожена как полученная без надлежащего основания.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка подписных форм, cookies, поручений на обработку, комплекта ОРД
Комплект ОРД под ключ — политика конфиденциальности, формы согласий, регламент отзыва, журналы
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookies позволяют идентифицировать конкретного пользователя (Client ID, User ID, связка с профилем). В таком случае установка маркетинговых cookies без согласия субъекта нарушает ст. 9 ФЗ-152 и создаёт состав по ч. 6 ст. 13.11 КоАП. Функциональные cookies, необходимые для работы сайта, к этой категории не относятся и согласия не требуют.

2. Можно ли использовать GA4 после ограничений?

GA4 можно использовать, но с ограничениями. Передача данных в Google (США) — трансграничная передача по ст. 12 ФЗ-152, требующая уведомления РКН. Если включён сбор User ID или Client ID, эти данные квалифицируются как ПДн. Минимальная мера — настройка IP-анонимизации и отключение персонализированной рекламы в настройках ресурса, а также подача уведомления о трансграничной передаче.

3. Кто оператор: маркетплейс или продавец?

Оба являются операторами, но в отношении разных массивов данных и целей. Маркетплейс — оператор данных, собранных при регистрации и использовании платформы. Продавец становится самостоятельным оператором, если использует переданные ему данные для собственных целей (например, для рассылок вне платформы). В этом случае продавцу нужно отдельное согласие субъекта и поручение от маркетплейса по ст. 6 ФЗ-152.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies при использовании маркетинговых cookies — нарушение ст. 9 ФЗ-152 (обработка без согласия). Состав по ч. 2 ст. 13.11 КоАП: штраф для юридического лица от 300 000 до 700 000 ₽. При повторном нарушении — от 1 000 000 до 1 500 000 ₽ по ч. 2.1. РКН фиксирует нарушения в том числе по результатам дистанционного мониторинга сайтов.

5. Как оформить отзыв подписки?

Отзыв подписки — это реализация права на отзыв согласия по ст. 9 ФЗ-152. Субъект направляет оператору требование в любой форме: через ссылку unsubscribe в письме, через форму обратной связи, письменно. Оператор обязан прекратить маркетинговую обработку и направить подтверждение. Факт отзыва фиксируется в журнале с датой, каналом и датой исполнения. Срок исполнения — не позднее 10 рабочих дней с момента получения требования.

6. Нужно ли переоформлять согласия, полученные до 01.09.2025?

ФЗ-156 обратной силы не имеет. Согласия, полученные до 01.09.2025 в рамках тогдашних требований, юридически действительны. Переоформление требуется, если согласие нарушало требования и до ФЗ-156 — например, не содержало обязательных реквизитов по ст. 9 ФЗ-152. На практике рекомендуется провести аудит старых форм и при выявлении дефектов обновить согласия при следующем взаимодействии с субъектом.

Итог

Отзыв подписки на маркетинговые рассылки — это не технический процесс в ESP, а юридическая процедура по ст. 9 ФЗ-152. Ненадлежащий механизм отписки, согласие внутри договора или отсутствие баннера cookies создают реальные составы по ч. 2 и ч. 6 ст. 13.11 КоАП с суммарным штрафом до 1 400 000 ₽ за одно юридическое лицо при первичном нарушении.

Юристы DATUM сопровождают интернет-магазины, маркетплейсы и продавцов на платформах по вопросам соответствия 152-ФЗ в части digital-маркетинга: аудит подписных форм, приведение согласий к требованиям ФЗ-156, настройка регламентов отзыва, подготовка поручений на обработку с ESP и подрядчиками.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов.

19 апреля 2028 года