Перейти к содержанию
инструкция 24 февраля 2027 По состоянию на 24 февраля 2027

Политика для email-рассылок и Sendsay/Unisender

Политика обработки персональных данных для email-рассылок — это обязательный документ оператора по ч. 2 ст. 18.1 ФЗ-152, без которого платформы типа Sendsay и Unisender становятся источником административного риска.
С 30.05.2025 штраф за отсутствие политики — до 60 000 руб. по ч. 3 ст. 13.11 КоАП; за обработку без надлежащего согласия — до 700 000 руб. по ч. 2 ст. 13.11. Если оператор передаёт базу адресов в Sendsay или Unisender без договора поручения — это отдельное нарушение ст. 6 ФЗ-152.
→ Если вы юрист и готовите ОРД для оператора, использующего сервис рассылок — эта инструкция даёт пошаговый план документирования.

С 01.09.2025 вступил в силу ФЗ-156 от 24.06.2025: согласие на обработку персональных данных теперь оформляется отдельным документом и не может быть встроено в форму подписки, договор или оферту. Для операторов, использующих Sendsay, Unisender и аналогичные платформы, это означает полный пересмотр схемы сбора согласий. Инструкция охватывает шесть шагов: от проверки уведомления в реестре РКН до оформления договора поручения с сервисом рассылок.

Шаг 1. Проверьте уведомление в реестре операторов РКН

До начала любой обработки персональных данных оператор обязан направить уведомление в Роскомнадзор по ст. 22 ФЗ-152. Форма уведомления утверждена Приказом РКН №180 от 28.10.2022. Подача — через портал pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи. Срок включения в реестр после подачи — 30 дней.

«Ст. 22 ФЗ-152: оператор обязан уведомить РКН о намерении осуществлять обработку ПДн до начала обработки. Неуведомление или несвоевременное уведомление — штраф 100 000–300 000 руб. по ч. 10 ст. 13.11 КоАП (в ред. с 30.05.2025).»

Для рассылок через Sendsay или Unisender проверьте: указаны ли в уведомлении цели «маркетинговые коммуникации», «информирование о продуктах и услугах», а также категории субъектов — подписчики, пользователи сайта. Если обработка началась до подачи уведомления или реальный состав обработки шире задекларированного — нужно подать уточнение через ту же форму. Использование устаревшего или неполного уведомления само по себе является основанием для протокола при плановой проверке.

Шаг 2. Разработайте политику обработки персональных данных по ч. 2 ст. 18.1

Политика обработки персональных данных — публичный документ, который оператор обязан разместить на своём сайте в открытом доступе. Требования к содержанию закреплены в ч. 2 ст. 18.1 ФЗ-152. Для оператора, использующего сервис рассылок, политика должна отражать специфику этой обработки.

Обязательные разделы политики для email-рассылок:

  • Наименование и реквизиты оператора, контакты ответственного по ст. 22.1 ФЗ-152.
  • Цели обработки: маркетинговые рассылки, информирование о продуктах, программах лояльности.
  • Правовые основания обработки: согласие субъекта по ст. 9 ФЗ-152 (п. 1 ч. 1 ст. 6).
  • Перечень обрабатываемых данных: имя, email-адрес, история взаимодействия с рассылкой (открытия, клики — если фиксируются).
  • Порядок и условия передачи данных третьим лицам: Sendsay, Unisender как лица, осуществляющие обработку по поручению (п. 3 ст. 6 ФЗ-152).
  • Сроки обработки и условия уничтожения данных после отписки или отзыва согласия.
  • Права субъектов и порядок их реализации: отписка, отзыв согласия, запрос на уничтожение.
  • Меры защиты персональных данных.
«Ст. 18.1 ч. 2 ФЗ-152: политика должна содержать цели и правовые основания обработки, состав ПДн, порядок реализации прав субъектов, перечень третьих лиц, которым передаются данные. Отсутствие опубликованной политики или её несоответствие требованиям — штраф до 60 000 руб. по ч. 3 ст. 13.11 КоАП.»

Важно: политика не должна быть общей рыбой из интернета. Если в ней указан раздел о передаче данных третьим лицам, но не упомянут конкретный сервис рассылок — это несоответствие, которое РКН фиксирует при проверке. Ссылка на политику должна быть доступна с каждой страницы сайта, где собираются данные для рассылки.

Готовите ОРД для оператора с email-рассылками?

Если юрист готовит пакет документов для оператора, использующего Sendsay или Unisender, — стандартный шаблон политики не закрывает риски по передаче данных обработчику и новым требованиям к согласию с 01.09.2025. Ошибка в договоре поручения или форме согласия — это ч. 2 ст. 13.11 КоАП, штраф до 700 000 руб. Юристы DATUM соберут пакет ОРД под конкретную схему обработки: политика, согласия, договор поручения с сервисом рассылок, приказ о назначении ответственного.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Оформите согласие на рассылку по новым требованиям ст. 9 ФЗ-152 (ред. с 01.09.2025)

С 01.09.2025 согласие на обработку персональных данных для целей email-рассылки обязано быть отдельным документом. ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152: согласие не может объединяться с договором, офертой, формой регистрации или иным документом. Чекбокс «Согласен с политикой конфиденциальности» под формой подписки — недостаточное основание.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

  • Фамилия, имя, отчество субъекта персональных данных.
  • Контактные данные субъекта (email-адрес, на который будет осуществляться рассылка).
  • Наименование и реквизиты оператора, а также третьих лиц, в чью пользу дано согласие — если данные передаются Sendsay или Unisender для обработки в интересах оператора, это необходимо отразить.
  • Цель обработки: получение информационных и маркетинговых рассылок.
  • Перечень персональных данных: имя, email-адрес, данные об открытиях и кликах (если обрабатываются).
  • Перечень действий с ПДн: сбор, запись, хранение, передача обработчику, использование для формирования и отправки писем.
  • Срок действия согласия или указание на бессрочность.
  • Способ отзыва согласия: ссылка «Отписаться» в каждом письме и/или форма на сайте.
«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие — отдельный документ с обязательными реквизитами. Обработка без надлежащего согласия, когда оно требуется, — штраф 300 000–700 000 руб. по ч. 2 ст. 13.11 КоАП. Повторное нарушение — 1 000 000–1 500 000 руб. по ч. 2.1.»

Технически согласие в digital-среде может быть реализовано через отдельную форму с активным чекбоксом, не предзаполненным. Заголовок формы должен явно указывать на цель: «Согласие на получение маркетинговых рассылок». Текст согласия со всеми реквизитами должен быть доступен субъекту до момента нажатия кнопки подтверждения. Хранение фиксации согласия (дата, IP, идентификатор формы) — обязанность оператора как доказательная база при споре.

Как правильно оформить договор поручения с Sendsay и Unisender?

Sendsay и Unisender в отношениях с оператором действуют как лица, осуществляющие обработку персональных данных по поручению оператора (п. 3 ст. 6 ФЗ-152). Это означает, что передача базы подписчиков в платформу без надлежащего договора поручения является нарушением условий обработки по ст. 6 ФЗ-152 и создаёт риск по ч. 1 ст. 13.11 КоАП.

Договор поручения с сервисом рассылок должен содержать:

  • Исчерпывающий перечень действий, которые сервис вправе совершать с данными: передача, хранение, использование для отправки писем, формирование статистики.
  • Обязанность сервиса соблюдать конфиденциальность и не передавать данные третьим лицам без согласования с оператором.
  • Запрет на обработку данных в целях, не предусмотренных договором.
  • Обязанность сервиса уведомить оператора об инцидентах, которые могут квалифицироваться как утечка по ч. 3.1 ст. 21 ФЗ-152.
  • Условия возврата или уничтожения данных при расторжении договора.
  • Ответственность сервиса перед оператором за нарушения при обработке.
«П. 3 ст. 6 ФЗ-152: оператор вправе поручить обработку ПДн третьему лицу только на основании договора. Ответственность перед субъектом ПДн за действия обработчика несёт оператор. Судебная практика подтверждает: оператор отвечает за утечку через подрядчика.»

Большинство публичных договоров (оферт) Sendsay и Unisender содержат стандартные положения об обработке ПДн, но эти положения составлены в интересах платформы, а не в интересах соответствия требованиям ФЗ-152. Юристу следует проверить, соответствуют ли стандартные условия платформы требованиям п. 3 ст. 6 ФЗ-152, и при необходимости заключить дополнительное соглашение с перечнем обязательных условий.

Если вы юрист и проверяете комплаенс оператора с рассылками — договор поручения с сервисом и форма согласия с 01.09.2025 требуют актуализации. До проверки РКН времени может быть меньше, чем кажется. Юристы DATUM проведут аудит ОРД и обновят документы под действующую редакцию ФЗ-152.

Заказать аудит 152-ФЗ

Шаг 5. Назначьте ответственного за обработку персональных данных по ст. 22.1 ФЗ-152

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных, — требование ст. 22.1 ФЗ-152. Это может быть штатный сотрудник или внешний исполнитель по договору DPO-аутсорсинга. Назначение оформляется приказом руководителя с указанием конкретных функций.

Функции ответственного по ст. 22.1 применительно к email-рассылкам:

  • Контроль соблюдения требований ФЗ-152 при сборе и хранении согласий подписчиков.
  • Организация ответов на запросы субъектов: отписка, запрос на уничтожение, предоставление информации об обработке — в срок 10 рабочих дней по ст. 20 ФЗ-152.
  • Взаимодействие с Sendsay/Unisender по вопросам соблюдения условий поручения.
  • Организация уведомления РКН об инцидентах в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152.
  • Ведение журнала обращений субъектов.

Отсутствие назначенного ответственного — один из стандартных выводов при плановой проверке РКН. Формально это не отдельный состав КоАП, но влечёт предписание и создаёт контекст для более широкого исследования соответствия при повторной проверке.

Шаг 6. Сформируйте чек-лист ОРД для оператора с email-рассылками

После выполнения предыдущих шагов оператор должен располагать полным пакетом организационно-распорядительной документации. Ниже — минимальный состав для случая, когда обработка ПДн ограничена email-рассылками через Sendsay или Unisender.

Что подготовить оператору с email-рассылками

  • Уведомление в реестре операторов РКН (pd.rkn.gov.ru) с корректными целями и составом обработки по ст. 22 ФЗ-152 и Приказу РКН №180.
  • Политика обработки персональных данных, опубликованная на сайте, с разделами по ч. 2 ст. 18.1 ФЗ-152, включая раздел о передаче данных обработчику (сервису рассылок).
  • Форма согласия на рассылку как отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (требование с 01.09.2025).
  • Договор поручения обработки персональных данных с Sendsay/Unisender по п. 3 ст. 6 ФЗ-152.
  • Приказ о назначении лица, ответственного за организацию обработки ПДн, по ст. 22.1 ФЗ-152.

Типичные ошибки операторов: три сценария

Сценарий 1. Согласие встроено в форму регистрации. Оператор использует форму «Зарегистрироваться и подписаться на рассылку» с единым чекбоксом. С 01.09.2025 это нарушение ФЗ-156: согласие на рассылку должно быть отдельным документом. При проверке РКН — протокол по ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 руб. Стратегия: разделить форму регистрации и форму подписки; хранить фиксацию каждого согласия с датой и идентификатором.

Сценарий 2. База подписчиков передана в Unisender без договора поручения. Оператор загружает CSV с email-адресами в платформу, опираясь на публичную оферту сервиса, не проверяя её соответствие п. 3 ст. 6 ФЗ-152. При утечке данных через платформу оператор несёт ответственность перед субъектами и РКН в полном объёме — включая штраф по ч. 12–14 ст. 13.11 КоАП (от 3 до 15 млн руб. в зависимости от числа субъектов). Стратегия: заключить дополнительное соглашение с сервисом с обязательными условиями поручения.

Сценарий 3. Политика конфиденциальности не обновлялась с 2022 года. Оператор разместил политику при создании сайта и с тех пор не актуализировал её. В ней нет раздела о передаче данных сервису рассылок, нет порядка отзыва согласия, нет ссылки на ответственного. При плановой проверке — предписание об устранении нарушений и штраф по ч. 3 ст. 13.11 КоАП. Стратегия: проводить актуализацию политики не реже одного раза в год и при каждом изменении состава обработки.

Как это применяется на практике

Кейс 1. Интернет-магазин (Центральный ФО, начало 2026 года) получил предписание РКН по итогам плановой проверки. Выявлено: политика конфиденциальности опубликована, но не содержит раздела о передаче данных сервису email-рассылок; форма подписки объединена с договором-офертой. Оператор самостоятельно обратился к юристам после получения предписания. Актуализация политики, разделение форм согласия и корректировка договора с сервисом позволили устранить нарушения в установленный РКН срок и избежать штрафа по ч. 2 ст. 13.11 КоАП.

Кейс 2. Образовательная платформа (Сибирский ФО, осень 2025 года) использовала Sendsay для рассылки по базе из нескольких тысяч подписчиков. После утечки данных через инфраструктуру платформы оператор направил первичное уведомление в РКН в течение 24 часов. В ходе расследования выяснилось, что договор поручения с Sendsay не содержал обязанности сервиса уведомлять оператора об инцидентах. РКН вынес предписание об устранении нарушений в части условий поручения. Штраф ограничился диапазоном ч. 1 ст. 13.11 КоАП, поскольку оперативное уведомление было признано смягчающим обстоятельством. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн, который использует email-рассылки?

Минимальный пакет включает: уведомление в реестре операторов РКН по ст. 22 ФЗ-152 (форма по Приказу РКН №180), политику обработки персональных данных по ч. 2 ст. 18.1, отдельное согласие на рассылку по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025, договор поручения обработки с сервисом рассылок по п. 3 ст. 6 ФЗ-152 и приказ о назначении ответственного по ст. 22.1 ФЗ-152. Отсутствие любого из этих документов даёт РКН основание для выдачи предписания.

2. Как составить политику обработки персональных данных для оператора с рассылками?

Политика должна соответствовать ч. 2 ст. 18.1 ФЗ-152 и отражать конкретную схему обработки. Обязательные разделы: цели и правовые основания обработки, состав персональных данных, перечень третьих лиц, которым передаются данные (включая наименование сервиса рассылок), сроки обработки и уничтожения, порядок реализации прав субъектов — отписка, отзыв согласия, запрос информации. Использовать готовые шаблоны без адаптации к конкретной схеме обработки недопустимо: они, как правило, не содержат раздела об обработчике и не соответствуют новым требованиям к согласию с 01.09.2025.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным может быть штатный сотрудник (юрист, специалист по информационной безопасности, HR-менеджер) или внешний исполнитель по договору DPO-аутсорсинга. Ключевое требование ч. 4 ст. 22.1 ФЗ-152 — достаточная квалификация для выполнения функций. Назначение оформляется приказом с перечнем конкретных функций. Для небольших операторов, использующих только рассылки, DPO-аутсорсинг экономически целесообразнее штатной единицы.

4. Можно ли использовать шаблон политики обработки ПДн из интернета?

Использование готового шаблона без адаптации создаёт риск несоответствия реальной схеме обработки. Политика должна точно отражать, какие данные обрабатываются, на каком основании, кому передаются и в какие сроки уничтожаются. Типовые шаблоны, как правило, не учитывают передачу данных сервисам рассылок как обработчикам и не содержат новый порядок согласия по ФЗ-156 от 24.06.2025. Такое несоответствие выявляется при первой же проверке РКН.

5. Какие согласия нужно переоформить после 01.09.2025?

ФЗ-156 от 24.06.2025 не имеет обратной силы: ранее полученные согласия переоформлять не требуется. Новые требования применяются к согласиям, которые собираются после 01.09.2025. Если форма подписки на сайте объединяет согласие на обработку ПДн с иным документом (договором, офертой, регистрационной формой) — эту форму необходимо изменить до 01.09.2025 или, если срок пропущен, — немедленно. Каждое новое согласие, полученное с нарушением ФЗ-156, является основанием для протокола по ч. 2 ст. 13.11 КоАП.

6. Что делать, если Sendsay или Unisender сообщили об утечке данных?

Оператор обязан направить первичное уведомление в РКН в течение 24 часов с момента обнаружения инцидента по ч. 3.1 ст. 21 ФЗ-152. Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Срок 24 часа не восстанавливается. Неуведомление или несвоевременное уведомление — штраф 1 000 000–3 000 000 руб. по ч. 11 ст. 13.11 КоАП. Договор поручения должен обязывать сервис немедленно уведомлять оператора об инцидентах.

Итог

Политика для email-рассылок — не формальный документ на сайте, а элемент системы соответствия, которая охватывает уведомление в РКН, форму согласия, договор поручения с сервисом рассылок и назначение ответственного. Начиная с 01.09.2025 несоответствие формы согласия требованиям ФЗ-156 от 24.06.2025 создаёт отдельный риск по ч. 2 ст. 13.11 КоАП при каждом новом подписчике.

Юристы DATUM сопровождают операторов ПДн с 2014 года в рамках практики «Ветров и партнёры». Опыт включает разработку ОРД для операторов, использующих внешние сервисы обработки данных, сопровождение проверок РКН и актуализацию документации под изменения ФЗ-152.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в ред. ФЗ-156, КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

24 февраля 2027 года