SMS-маркетинг и 152-ФЗ
Роскомнадзор рассматривает SMS-маркетинг как обработку персональных данных: номер телефона — это ПДн по ст. 3 ФЗ-152. Рассылка без надлежащего согласия создаёт основание для протокола по ч. 1 или ч. 2 ст. 13.11 КоАП (в редакции с 30.05.2025). Инструкция ниже разбирает шесть шагов: от проверки правового основания до настройки процесса отзыва подписки и документирования согласий.
Шаг 1. Определите правовое основание для отправки SMS
Прежде чем собирать базу, определите, на каком основании из ст. 6 ФЗ-152 вы обрабатываете номер телефона в маркетинговых целях. Исполнение договора (п. 5 ст. 6) не покрывает рекламные рассылки — оно распространяется только на сообщения, необходимые для выполнения заказа: подтверждение, статус доставки, уведомление об изменении.
Для рекламных SMS, промоакций, уведомлений о скидках и программах лояльности единственное работающее основание — согласие субъекта по п. 1 ст. 6 и ст. 9 ФЗ-152. Согласие должно быть конкретным: указывать цель (маркетинговые рассылки), перечень действий (сбор, хранение, использование номера для отправки SMS), срок, способ отзыва.
Транзакционные SMS (подтверждение заказа, код 2FA, статус доставки) согласия не требуют — они попадают под п. 5 ст. 6 ФЗ-152 как необходимые для исполнения договора. Граница: если в транзакционное сообщение вставлен рекламный блок («Специально для вас: скидка 15%»), всё сообщение становится рекламным и требует отдельного согласия.
Шаг 2. Проверьте форму сбора согласий на соответствие требованиям с 01.09.2025
После вступления в силу ФЗ-156 от 24.06.2025 шаблон согласия должен содержать следующие обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок действия согласия, способ отзыва.
Что проверить в форме согласия для SMS-рассылки
- Согласие оформлено отдельным документом — не частью договора или оферты (ст. 9 ФЗ-152, ред. ФЗ-156)
- В тексте прямо указана цель: «маркетинговые и рекламные рассылки по SMS»
- Перечислены конкретные ПДн: номер телефона, имя (если используется персонализация)
- Указан срок действия согласия или условие его бессрочности
- Прописан способ отзыва: ответное SMS «СТОП», личный кабинет, письмо на email оператора
Чекбокс «Я согласен на рассылку» внутри формы регистрации или оформления заказа формально создаёт согласие, но его достаточность зависит от того, ведёт ли чекбокс к тексту с полным перечнем реквизитов ст. 9 ФЗ-152. Если текст согласия — только ссылка на политику конфиденциальности без раскрытия всех реквизитов, такое согласие не соответствует требованиям.
Ваша форма сбора номеров собирает согласие по новым требованиям ФЗ-156?
Если форма согласия не обновлялась после 01.09.2025 или согласие встроено в договор — каждая рассылка создаёт риск штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM проведут аудит форм сбора ПДн, шаблонов согласий и политики конфиденциальности интернет-магазина.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Настройте документирование согласий и ведение базы
Оператор обязан доказать факт получения согласия (ч. 3 ст. 9 ФЗ-152). При проверке РКН или споре с субъектом бремя доказывания лежит на операторе. Это означает: каждое согласие должно быть зафиксировано с отметкой о времени, источнике и версии текста согласия, которую пользователь принял.
Для интернет-магазина минимальный состав документирования: лог с timestamp (дата и время отметки чекбокса или подписи), IP-адрес, версия текста согласия (можно через хэш или ссылку на версионированный документ), идентификатор пользователя. При использовании SMS-провайдера или ESP-платформы — убедитесь, что они хранят подтверждение opt-in и передают вам эти данные по договору поручения (п. 3 ст. 6 ФЗ-152).
Если база номеров куплена или получена от партнёра — это обработка ПДн без согласия субъекта перед вашей компанией. Такая база не даёт правомерного основания для рассылки вне зависимости от того, кто первоначально собирал номера.
Шаг 4. Проверьте процесс отзыва подписки
Субъект вправе отозвать согласие в любой момент (ч. 2 ст. 9 ФЗ-152). После получения отзыва оператор обязан прекратить обработку в маркетинговых целях. Закон не устанавливает конкретный срок прекращения рассылки после отзыва, однако разумная практика и позиция РКН — не позднее 5 рабочих дней. Отправка SMS после подтверждённого отзыва — нарушение ч. 5 ст. 13.11 КоАП, штраф до 90 000 ₽.
Рекомендуемые механизмы отзыва для SMS-канала: ответное слово-команда («СТОП», «ОТПИСАТЬСЯ») с автоматической обработкой на стороне провайдера; ссылка на страницу личного кабинета с управлением подписками; форма на сайте с подтверждением по email или SMS. Важно: механизм отзыва должен быть описан в тексте самого согласия.
Если маркетолог получил жалобу субъекта на продолжение рассылки после отписки — есть риск протокола по ч. 5 ст. 13.11 КоАП. Проверьте цепочку от отзыва до фактического прекращения рассылки и устраните разрывы до первой жалобы в РКН.
Заказать аудит 152-ФЗШаг 5. Разберитесь с cookies, GA4 и трансграничной передачей
SMS-маркетинг в интернет-магазине неотделим от веб-аналитики: атрибуция конверсий, UTM-метки в SMS-ссылках, ретаргетинг через рекламные кабинеты. Здесь возникает отдельный блок рисков по 152-ФЗ.
Cookies, идентифицирующие пользователя, — это ПДн по позиции РКН. Использование Google Analytics 4 (GA4) означает передачу данных на серверы Google за пределами РФ. Это трансграничная передача по ст. 12 ФЗ-152: если Google не входит в перечень стран с адекватной защитой, требуется уведомление РКН до начала передачи. Отсутствие баннера cookies с запросом согласия создаёт риск по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица в редакции с 30.05.2025).
Для программ лояльности в e-commerce возникает ещё один аспект: если программа лояльности работает через маркетплейс или внешнюю платформу, необходимо разграничить роли операторов. Маркетплейс и продавец на платформе — самостоятельные операторы в части собственной обработки ПДн покупателей. Передача данных между ними требует либо согласия субъекта, либо договора поручения с чётко прописанными целями и перечнем действий.
Шаг 6. Обновите политику конфиденциальности и уведомление в реестре РКН
Политика конфиденциальности интернет-магазина должна описывать SMS-рассылку как отдельную цель обработки с указанием правового основания (согласие), перечня ПДн (номер телефона, имя), срока хранения и порядка отзыва. Публикация политики — обязанность по ч. 2 ст. 18.1 ФЗ-152. Отсутствие или неактуальность — ч. 3 ст. 13.11 КоАП, штраф 30 000–60 000 ₽.
Уведомление в реестре операторов ПДн (ст. 22 ФЗ-152) должно включать цель «маркетинговые рассылки» и номер телефона как категорию ПДн. Если сведения в реестре не соответствуют фактической обработке — это нарушение, которое фиксируется при проверке РКН. Изменение сведений подаётся через pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022.
Как это работает на практике: два сценария
Сценарий 1. Рассылка с устаревшим согласием. Интернет-магазин бытовой техники (Центральный ФО, осень 2025) использовал базу номеров, собранных до 01.09.2025. Согласие было включено в текст договора-оферты и не содержало отдельного блока с реквизитами ст. 9 ФЗ-152. После жалобы субъекта РКН возбудил дело по ч. 2 ст. 13.11 КоАП. Позиция защиты строилась на переходном характере норм и добросовестности оператора — удалось снизить штраф до нижней границы диапазона. Стоимость аудита и переоформления документов оказалась в несколько раз ниже итогового штрафа.
Сценарий 2. Рассылка через подрядчика без договора поручения. Платформа e-commerce (Северо-Западный ФО, начало 2026) отправляла промо-SMS через внешний агрегатор. Договор с агрегатором не содержал положений о поручении обработки ПДн по п. 3 ст. 6 ФЗ-152. При внеплановой проверке РКН установил, что третье лицо получило доступ к базе номеров без надлежащего правового оформления. Оператор привлечён по ч. 1 ст. 13.11 КоАП. Согласно принципу ответственности оператора за действия обработчика, наличие или отсутствие договора поручения напрямую влияет на исход дела.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка форм согласий, политики и уведомления РКН
- Комплект ОРД под ключ — шаблоны согласий, политика, договоры поручения
- Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции РКН — да, если cookie идентифицирует конкретного пользователя (в связке с IP-адресом, профилем, историей покупок). Такие cookies подпадают под определение ПДн по ст. 3 ФЗ-152. Это означает: установка аналитических и рекламных cookies требует информирования пользователя и, при передаче третьим сервисам, — согласия по ст. 9 ФЗ-152. Технические cookies, необходимые для работы сайта (сессия, корзина), согласия не требуют.
2. Можно ли использовать GA4 после ограничений?
Использование GA4 формально возможно, но создаёт риск трансграничной передачи ПДн по ст. 12 ФЗ-152. Если данные российских пользователей уходят на серверы Google в странах без адекватной защиты — требуется уведомление РКН до начала передачи. Помимо этого, необходима локализация первичного сбора ПДн граждан РФ по ч. 5 ст. 18 ФЗ-152. Ряд компаний решает вопрос через серверную аналитику с предварительной обработкой и обезличиванием данных до передачи.
3. Кто оператор: маркетплейс или продавец?
Каждый из них — самостоятельный оператор в отношении ПДн, которые он обрабатывает в своих целях. Маркетплейс обрабатывает данные покупателя для обеспечения транзакции и работы платформы. Продавец — для исполнения своего договора с покупателем и (при наличии согласия) для маркетинга. Передача данных между ними не является автоматически правомерной: требуется либо согласие субъекта, либо договор с чётко ограниченными целями и перечнем действий по п. 3 ст. 6 ФЗ-152.
4. Что грозит за отсутствие баннера cookies?
Отсутствие информирования пользователей об использовании cookies, идентифицирующих личность, — нарушение принципов обработки ПДн по ст. 5 ФЗ-152 и оснований по ст. 6. На практике это квалифицируется по ч. 1 ст. 13.11 КоАП: обработка ПДн в случаях, не предусмотренных законом, штраф для юрлица 150 000–300 000 ₽ в редакции с 30.05.2025. Повторное нарушение по ч. 1.1 — 300 000–500 000 ₽.
5. Как оформить отзыв подписки на SMS?
Механизм отзыва должен быть описан непосредственно в тексте согласия. Рекомендуемые варианты: ответное слово-команда в SMS с автоматической обработкой на стороне провайдера, ссылка на страницу управления подписками в личном кабинете, письменное заявление на email оператора. После получения отзыва рассылка должна прекратиться в разумный срок. Продолжение отправки после подтверждённого отзыва — нарушение ч. 5 ст. 13.11 КоАП, штраф до 90 000 ₽ для юрлица.
6. Нужно ли переоформлять согласия, собранные до 01.09.2025?
ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025 в соответствии с требованиями, действовавшими на момент сбора, формально остаются действительными. Однако если прежнее согласие было включено в договор или оферту без выделения в отдельный документ — его правомерность может быть оспорена при проверке. Безопаснее провести аудит базы и переоформить спорные согласия при первом удобном взаимодействии с клиентом.
Итог
SMS-маркетинг в интернет-магазине требует отдельного согласия с реквизитами ст. 9 ФЗ-152, документирования факта согласия, рабочего механизма отзыва и договора поручения с провайдером рассылок. Цепочка нарушений по ст. 13.11 КоАП в редакции с 30.05.2025 складывается быстро: отсутствие согласия (ч. 2), продолжение рассылки после отзыва (ч. 5), несоответствие политики (ч. 3) — суммарно сотни тысяч рублей штрафов.
DATUM сопровождает интернет-магазины и e-commerce платформы по всему циклу: аудит форм сбора согласий, разработка шаблонов ОРД, проверка договоров с провайдерами рассылок, подготовка к проверкам РКН и защита от штрафов в арбитраже.
11 марта 2029 года