Перейти к содержанию
инструкция 19 февраля 2027 По состоянию на 19 февраля 2027

Согласие на использование email в коммуникации

Email-адрес — это персональные данные по ст. 3 ФЗ-152. Его использование в любой коммуникации требует правового основания: чаще всего — согласия субъекта по ст. 9 ФЗ-152.
С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом: встраивать его в договор, оферту или политику конфиденциальности нельзя. Штраф за нарушение требований к составу согласия — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.
→ Если вы юрист и проверяете комплаенс компании по обработке email-адресов — ниже пошаговый порядок составления, проверки и хранения согласия.

До 01.09.2025 большинство компаний включали согласие на обработку email в трудовой договор, форму регистрации или оферту. ФЗ-156 от 24.06.2025 закрыл эту практику: согласие теперь существует только как самостоятельный документ. Одновременно ФЗ-420 от 30.11.2024 кратно увеличил штрафы по ст. 13.11 КоАП — повторное нарушение требований к согласию влечёт от 1 000 000 до 1 500 000 ₽ по ч. 2.1. Настоящая инструкция описывает шесть шагов: от определения правового основания до хранения согласия и реагирования на запрос об отзыве.

Шаг 1. Определите правовое основание для обработки email

Прежде чем составлять согласие, убедитесь, что оно вообще требуется. Ст. 6 ФЗ-152 предусматривает 11 оснований обработки персональных данных — согласие субъекта (п. 1) лишь одно из них. Email, используемый исключительно для исполнения договора, который субъект сам заключил с оператором, обрабатывается без отдельного согласия по п. 5 ч. 1 ст. 6 ФЗ-152. Если же цель выходит за рамки договора — маркетинговые рассылки, опросы, партнёрские предложения — нужно согласие.

Разграничение принципиально: если оператор обрабатывает email одновременно в двух целях (исполнение договора + маркетинг), ст. 5 ФЗ-152 запрещает объединять несовместимые цели в одной базе. Под каждую самостоятельную цель — отдельное основание и, при необходимости, отдельное согласие.

«Ст. 5 ФЗ-152 — один из принципов: недопустимость объединения баз с несовместимыми целями. Ст. 6 ч. 1 п. 5 — обработка без согласия допустима, если необходима для исполнения договора, стороной которого является субъект.»

Шаг 2. Проверьте реквизиты согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025

С 01.09.2025 согласие на обработку персональных данных должно существовать как отдельный документ. Ранее полученные согласия, встроенные в договор или иной документ, юридически действительны только в части, соответствующей требованиям ст. 9: если в них есть все обязательные реквизиты, переоформлять не нужно. Если реквизиты неполные — нужно получить новое.

Обязательные реквизиты согласия на использование email в коммуникации:

  • фамилия, имя, отчество субъекта персональных данных;
  • контактные данные субъекта (в данном случае — сам email, как идентификатор);
  • наименование и адрес оператора;
  • цель обработки персональных данных (конкретная: «направление новостной рассылки», «уведомления о заказе», «маркетинговые сообщения» — не «информирование»);
  • перечень персональных данных (email-адрес; если обрабатываются имя и фамилия для персонализации — включить);
  • перечень действий с персональными данными (сбор, хранение, использование, передача третьим лицам — если предусмотрена);
  • срок действия согласия или условие его прекращения;
  • способ отзыва согласия.
«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие оформляется отдельным документом. Ч. 2 ст. 9 — бремя доказывания наличия согласия лежит на операторе.»

Отсутствие хотя бы одного реквизита равнозначно отсутствию согласия: по позиции РКН неполное согласие не засчитывается. Штраф за обработку email без согласия или с нарушением его состава — 300 000–700 000 ₽ для юрлица по ч. 2 ст. 13.11 КоАП в редакции с 30.05.2025.

Составляете согласие или проверяете действующие формы?

Если вы юрист и сейчас проверяете пакет ОРД компании — задача не только в согласии. Политика обработки ПДн по ст. 18.1, уведомление в реестре РКН по ст. 22, приказ об ответственном по ст. 22.1 — каждый из документов создаёт самостоятельное основание для штрафа при его отсутствии. Ошибка в одном документе обнуляет защиту по всем остальным.

Заказать комплект ОРД

Ответим в течение рабочего дня · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Учтите требования к форме согласия — бумага или электронная форма?

Ст. 9 ФЗ-152 допускает согласие в любой форме — письменной или электронной. Ключевое требование: возможность подтвердить факт получения согласия. Для email-коммуникации чаще используются три варианта.

Вариант А: галочка на сайте (чекбокс). Допустима при условии, что чекбокс не проставлен заранее, ссылка ведёт на текст согласия со всеми реквизитами, факт отметки логируется с привязкой к IP, дате и времени. Хранение лога — на весь срок действия согласия плюс срок исковой давности.

Вариант Б: double opt-in (подтверждение по email). После заполнения формы субъект получает письмо и переходит по ссылке подтверждения. Факт перехода фиксируется в системе. Это надёжнее чекбокса: оператор доказывает, что согласие исходило именно с этого email-адреса.

Вариант В: бумажное согласие. Применяется в офлайн-точках. Оригинал хранится у оператора. Минус — сложнее масштабировать; плюс — доказательная сила максимальна.

«Ч. 2 ст. 9 ФЗ-152 — обязанность оператора доказать наличие согласия. Отсутствие доказательства приравнивается к отсутствию согласия.»

Шаг 4. Включите email-согласие в политику обработки персональных данных

Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 должна быть доступна неограниченному кругу лиц — размещается на сайте оператора. В политике необходимо отразить email как категорию обрабатываемых данных, цели обработки, основания, срок хранения и порядок уничтожения.

Распространённая ошибка: политика на сайте описывает обработку email только для контактной формы, а фактически оператор ведёт рассылки через стороннюю ESP-платформу. Ст. 5 ФЗ-152 (принцип достаточности) и ст. 18.1 требуют, чтобы политика отражала все фактические операции с данными. Расхождение между политикой и реальной обработкой — самостоятельное нарушение.

Если оператор передаёт email в ESP (например, для рассылки) — это поручение обработки по п. 3 ст. 6 ФЗ-152. Поручение оформляется договором или соглашением, в котором фиксируются: перечень действий, обязанность конфиденциальности, запрет использования данных в собственных целях обработчика.

«Ст. 18.1 ч. 2 ФЗ-152 — обязательные разделы политики: категории субъектов, цели, правовые основания, перечень действий, сроки обработки и уничтожения данных. Ст. 6 п. 3 — поручение обработки третьему лицу требует письменного договора.»

Если политика конфиденциальности на сайте не обновлялась после 01.09.2025 — она не отражает требования ФЗ-156. Штраф за отсутствие или несоответствие политики — 30 000–60 000 ₽ по ч. 3 ст. 13.11 КоАП. Юристы DATUM проверят политику и приведут её в соответствие.

Заказать аудит 152-ФЗ

Шаг 5. Настройте хранение согласий и реестр субъектов

Согласие хранится на весь срок обработки email плюс три года (типовой срок исковой давности). Если оператор прекращает рассылку по субъекту — факт отзыва согласия и дата уничтожения данных также фиксируются.

Удобная практика — единый реестр согласий: для каждого субъекта хранятся дата получения согласия, версия формы (если форма менялась), дата отзыва (при наличии), статус данных. Реестр облегчает ответ на запрос субъекта по ст. 20 ФЗ-152: оператор обязан предоставить информацию об обработке в течение 10 рабочих дней с момента обращения.

«Ст. 20 ФЗ-152 — срок предоставления субъекту информации об обработке его персональных данных: 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.»

Назначение ответственного за организацию обработки персональных данных по ст. 22.1 ФЗ-152 — обязательное требование для юрлица. Приказ о назначении хранится вместе с остальным пакетом ОРД. Ответственный ведёт журнал обращений субъектов и контролирует исполнение запросов в установленные сроки.

Шаг 6. Обеспечьте процедуру отзыва согласия и уничтожения данных

Субъект вправе отозвать согласие в любой момент — ст. 9 ч. 2 ФЗ-152. Оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если нет иного правового основания для дальнейшей обработки. Исключение: данные нужны для исполнения договора, исполнения обязательств, установленных законом, или для защиты прав оператора в суде.

Процедура отзыва должна быть описана в самом согласии (реквизит) и дублирована в политике конфиденциальности. Типовые каналы отзыва: ссылка «отписаться» в каждом письме рассылки, форма на сайте, письменное заявление на email оператора. Все три канала должны реально работать — РКН проверяет это при плановых и внеплановых проверках.

«Ст. 9 ч. 2 ФЗ-152 — право субъекта на отзыв согласия. Ст. 21 ч. 1 — оператор обязан прекратить обработку и уничтожить данные в течение 30 дней с момента отзыва.»

Факт уничтожения данных фиксируется актом или записью в системе с указанием даты, объёма и метода уничтожения. Это доказательство при возможной проверке.

Что подготовить юристу для комплаенса по email-согласиям

  • Текст согласия с восемью обязательными реквизитами по ст. 9 ФЗ-152 в редакции с 01.09.2025 — как отдельный документ, не встроенный в договор или оферту.
  • Лог получения согласия: для онлайн-форм — дата, время, IP, версия формы; для бумажных — оригинал с подписью субъекта.
  • Актуальная политика обработки персональных данных на сайте — с описанием email как категории ПДн, целей, оснований и сроков.
  • Договор поручения с ESP-платформой или иным обработчиком, которому передаётся email-адрес.
  • Приказ о назначении ответственного по ст. 22.1 ФЗ-152 и журнал обращений субъектов.

Типовые сценарии нарушений: как это выглядит на практике

Сценарий 1. Согласие встроено в оферту до 01.09.2025, новых форм нет. Ситуация: компания принимает оферты с 2022 года; согласие на рассылку — отдельный пункт внутри текста договора. После 01.09.2025 такая форма не соответствует требованию об отдельном документе по ФЗ-156. Доказательства нарушения: РКН при проверке запрашивает образец согласия — оператор предоставляет текст договора. Вероятный исход: протокол по ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽. Стратегия: разработать отдельную форму согласия, получить новые согласия от активных подписчиков, устаревшие базы — заблокировать до получения переоформленных документов.

Сценарий 2. ESP-платформа в иностранной юрисдикции, уведомление о трансграничной передаче не подавалось. Ситуация: оператор использует зарубежный сервис email-рассылки; email-адреса передаются на серверы за рубежом. Ст. 12 ФЗ-152 требует уведомить РКН до трансграничной передачи в страну, не обеспечивающую адекватную защиту ПДн. Доказательства нарушения: технический анализ трафика, DNS-запросы к зарубежным серверам. Вероятный исход: штраф по ч. 8 ст. 13.11 КоАП (нарушение локализации) — 1 000 000–6 000 000 ₽ при первичном нарушении. Стратегия: подать уведомление о трансграничной передаче, оценить альтернативы с российскими ESP или серверами в РФ.

Сценарий 3. Субъект отправил отзыв согласия, рассылка продолжается. Ситуация: пользователь направил заявление об отзыве через форму на сайте; из-за технического сбоя email-адрес не был удалён из базы ESP. Через две недели пользователь получил очередное письмо и подал жалобу в РКН. Доказательства нарушения: жалоба субъекта с вложением письма и скриншотом заявления. Вероятный исход: внеплановая проверка, протокол по ч. 5 ст. 13.11 КоАП (невыполнение требования об уничтожении), штраф 50 000–90 000 ₽; при повторности по ч. 5.1 — 300 000–500 000 ₽. Стратегия: немедленно уничтожить данные, зафиксировать актом, настроить автоматическую синхронизацию отзывов между CRM и ESP-платформой.

Услуги DATUM по теме

  • Комплект ОРД под ключ — 38 документов, включая форму согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025
  • Аудит соответствия 152-ФЗ — проверка всех оснований обработки email, политики и реестра операторов
  • DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, включая ответы на запросы субъектов в 10 рабочих дней

Частые вопросы

1. Какие документы должны быть у оператора ПДн при обработке email?

Минимальный пакет включает: уведомление о намерении обрабатывать ПДн в реестре РКН (ст. 22 ФЗ-152), политику обработки персональных данных на сайте (ст. 18.1), форму согласия как отдельный документ по ст. 9 в редакции с 01.09.2025, приказ о назначении ответственного по ст. 22.1, договор поручения с третьими лицами, которым передаётся email. Отсутствие любого из них — самостоятельный состав по ст. 13.11 КоАП.

2. Как составить политику обработки персональных данных по ст. 18.1 ФЗ-152?

Политика должна содержать: категории субъектов и перечень обрабатываемых данных, цели и правовые основания по каждой категории, перечень действий, сроки хранения и порядок уничтожения, сведения о трансграничной передаче (если есть), порядок реализации прав субъектов. Email описывается отдельно: цель — «рассылки» или «уведомления», основание — согласие по п. 1 ч. 1 ст. 6 ФЗ-152, срок — до отзыва согласия. Шаблон из интернета без адаптации к реальной обработке не соответствует требованиям: РКН проверяет соответствие политики фактической деятельности оператора.

3. Кого назначить ответственным за обработку персональных данных по ст. 22.1 ФЗ-152?

Ст. 22.1 ФЗ-152 требует назначить физическое лицо — сотрудника оператора — ответственным за организацию обработки ПДн. Это не обязательно юрист: им может быть любой сотрудник, которому оператор вменяет функцию. Ч. 4 ст. 22.1 устанавливает квалификационные требования. Назначение оформляется приказом; ответственный не несёт административной ответственности вместо оператора, но получает полномочия контролировать соблюдение требований внутри компании.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Формально закон не запрещает. Практически — опасно. Шаблон описывает абстрактные категории данных и цели; политика должна отражать реальные операции конкретного оператора. Если в политике не указана передача email в ESP-платформу, а фактически она происходит — это нарушение принципа прозрачности по ст. 5 ФЗ-152. При проверке РКН сопоставляет политику с фактической инфраструктурой оператора.

5. Какие согласия нужно переоформить после 01.09.2025 в связи с ФЗ-156?

Переоформлению подлежат согласия, которые встроены в текст другого документа (договора, оферты, политики, пользовательского соглашения) и не могут существовать как самостоятельный документ. Согласия, оформленные до 01.09.2025 в виде отдельного документа с полным набором реквизитов по ст. 9 ФЗ-152, — действительны. ФЗ-156 обратной силы не имеет. Проверьте: если удалить основной документ, согласие сохранится самостоятельно? Если нет — нужно переоформить.

Итог

Согласие на использование email в коммуникации — не формальность, а доказательство законности обработки. С 01.09.2025 требования к нему ужесточились: отдельный документ, восемь обязательных реквизитов, доказуемый способ получения. Штрафы по ст. 13.11 КоАП за нарушение этих требований в редакции с 30.05.2025 начинаются от 300 000 ₽ и при повторности достигают 1 500 000 ₽.

Практика DATUM охватывает составление, проверку и обновление пакетов ОРД, включая формы согласий под конкретные цели обработки email: рассылки, уведомления, маркетинг, поручение обработки ESP-платформам. Сопровождаем компании при проверках РКН и помогаем оспорить протоколы по ст. 13.11 КоАП в арбитраже.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

19 февраля 2027 года