инструкция 22 января 2027 По состоянию на 22 января 2027

Согласие на маркетинговые рассылки: 152-ФЗ + ФЗ-Реклама

Согласие на маркетинговые рассылки — это пересечение двух режимов: ст. 9 ФЗ-152 (персональные данные) и ст. 18 ФЗ «О рекламе» (реклама). Нарушение каждого из них влечёт самостоятельный штраф.

С 01.09.2025 согласие по ст. 9 ФЗ-152 оформляется отдельным документом (ФЗ-156 от 24.06.2025): объединить его с договором-офертой или политикой конфиденциальности больше нельзя. За нарушение требований к форме согласия — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽, при повторности — до 1 500 000 ₽.

Если вы юрист и проверяете форму подписки на рассылку — пройдите по шагам ниже: каждый шаг закрывает отдельный риск.

Маркетинговые рассылки создают двойной комплаенс-периметр. Первый — персональные данные: email, телефон, ФИО — это ПДн, и их обработка требует основания по ст. 6 ФЗ-152, а в случае, если оператор опирается на согласие, — соблюдения реквизитов ст. 9. Второй — рекламное законодательство: ст. 18 ФЗ «О рекламе» требует предварительного согласия абонента на получение рекламы. Оба режима действуют независимо: отсутствие одного из согласий не компенсируется наличием другого. Ниже — пошаговая инструкция для юриста, который выстраивает ОРД под маркетинговые рассылки с учётом редакции закона с 01.09.2025.

Шаг 1. Определите правовое основание обработки ПДн для рассылки

Перед тем как составлять форму согласия, юрист обязан зафиксировать, на каком основании по ст. 6 ФЗ-152 оператор вообще обрабатывает ПДн в целях маркетинга. Вариантов несколько, но большинство компаний выбирают согласие (п. 1 ч. 1 ст. 6). Это создаёт дополнительные требования: согласие должно быть конкретным, информированным, сознательным и добровольным.

Если рассылка направляется действующим клиентам по уже заключённому договору — обработка ПДн может быть обоснована исполнением договора (п. 5 ч. 1 ст. 6). Но это не освобождает от требования ст. 18 ФЗ «О рекламе»: рекламное согласие всё равно нужно отдельно. Смешение оснований — типичная ошибка, которая при проверке РКН фиксируется как нарушение принципа целевой обработки (ст. 5 ФЗ-152).

«Ст. 5 ФЗ-152 устанавливает принцип: цели обработки должны быть определены до начала обработки; объединение баз с несовместимыми целями — недопустимо. Использование контактных данных, собранных для исполнения договора, для маркетинговых рассылок без самостоятельного основания нарушает этот принцип.»

Зафиксируйте итог в реестре обработки ПДн (часть ОРД): цель «направление маркетинговых рассылок», основание — согласие субъекта по п. 1 ч. 1 ст. 6, правовой режим — ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

Шаг 2. Составьте согласие по ст. 9 ФЗ-152 в редакции с 01.09.2025

С 01.09.2025 согласие на обработку ПДн — отдельный документ. Его нельзя включать в текст договора, оферты, правил использования сайта или политики конфиденциальности. Это требование ФЗ-156 от 24.06.2025, внёсшего поправки в ч. 1 ст. 9 ФЗ-152. Ранее выданные согласия, которые были частью иного документа, по-прежнему действительны — обратной силы норма не имеет. Но все новые согласия, получаемые после 01.09.2025, обязаны соответствовать новому требованию.

Обязательные реквизиты согласия по ст. 9 ФЗ-152 для маркетинговых рассылок:

фамилия, имя, отчество субъекта;
контактные данные субъекта (email или телефон, на который направляется рассылка);
наименование и адрес оператора;
цель обработки — «направление маркетинговых и информационных рассылок»;
перечень ПДн — email-адрес, номер телефона, имя (в зависимости от формата рассылки);
перечень действий с ПДн — сбор, хранение, использование для формирования и отправки рассылок;
срок действия согласия или указание на бессрочный характер;
способ отзыва согласия — конкретный механизм (ссылка «отписаться» в письме, заявление на email, форма на сайте).

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта персональных данных на обработку его ПДн оформляется в виде отдельного документа — на бумажном носителе или в форме электронного документа. Включение согласия в состав договора, оферты или политики конфиденциальности не допускается.»

Типичная ошибка в digital: чекбокс «Я согласен с Политикой конфиденциальности» не является согласием по ст. 9 ФЗ-152. Он закрывает только ознакомление с документом. Для согласия на рассылку нужен отдельный чекбокс с текстом, содержащим все обязательные реквизиты, или отдельная форма.

Согласия на рассылку ещё объединены с политикой конфиденциальности?

Если форма подписки на сайте содержит единый чекбокс «согласен с политикой» — это нарушение ч. 1 ст. 9 ФЗ-152 в редакции с 01.09.2025. Каждое новое согласие, полученное после этой даты, недействительно. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽.

Юристы DATUM подготовят комплект документов ОРД для маркетинговых рассылок: отдельное согласие по ст. 9, форму рекламного согласия по ФЗ «О рекламе», политику конфиденциальности и журнал учёта согласий.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите рекламное согласие по ст. 18 ФЗ «О рекламе»

Статья 18 ФЗ «О рекламе» запрещает распространение рекламы по сетям электросвязи — включая email и SMS — без предварительного согласия абонента или адресата. Согласие по ФЗ «О рекламе» — самостоятельное и не заменяется согласием по ст. 9 ФЗ-152. Это разные правовые режимы с разными надзорными органами: РКН контролирует ФЗ-152, ФАС — ФЗ «О рекламе».

Рекламное согласие по ФЗ «О рекламе» должно быть:

предварительным — получено до первой рассылки;
конкретным — из текста ясно, что речь идёт о рекламных сообщениях конкретного оператора;
добровольным — не обусловлено предоставлением услуги или скидки (бремя доказывания — на оператора).

На практике удобно совместить точки получения двух согласий: при регистрации на сайте — два отдельных чекбокса. Первый: «Даю согласие на обработку ПДн в целях маркетинговых рассылок» (ФЗ-152). Второй: «Согласен получать рекламные сообщения от [название компании]» (ФЗ «О рекламе»). Оба должны быть не проставлены по умолчанию — только явное действие пользователя.

«Ст. 18 ч. 1 ФЗ «О рекламе»: распространение рекламы по сетям электросвязи допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признаётся направленной без согласия, если рекламораспространитель не докажет обратное.»

Шаг 4. Включите рассылку в уведомление РКН и реестр обработки

Оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки (ст. 22 ФЗ-152). Форма подаётся через pd.rkn.gov.ru с УКЭП или через ЕСИА — по Приказу РКН №180 от 28.10.2022. Если маркетинговые рассылки — новое направление обработки, которого не было в первоначальном уведомлении, необходимо подать уведомление об изменении сведений.

Типичная ситуация: компания стоит в реестре как оператор ПДн для целей «исполнения договоров с клиентами», а фактически ведёт рассылки с рекламным контентом. Несоответствие между заявленными и фактическими целями — один из ключевых индикаторов риска при проверке РКН. Штраф за несвоевременное уведомление о намерении обрабатывать — по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

«Ст. 22 ФЗ-152: оператор обязан уведомить уполномоченный орган о своём намерении осуществлять обработку ПДн до начала такой обработки. Срок включения в реестр после уведомления — 30 дней.»

Одновременно ведите внутренний реестр обработки ПДн как часть ОРД. В него включается: цель, основание, состав ПДн, категория субъектов, срок обработки, меры защиты, наличие поручения подрядчику (если рассылку ведёт сторонний сервис — SendPulse, Unisender, GetResponse и т. д.). Поручение обработки оформляется договором с обработчиком по п. 3 ст. 6 ФЗ-152.

Шаг 5. Назначьте ответственного по ст. 22.1 и утвердите политику конфиденциальности

Оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн (ст. 22.1 ФЗ-152). Это не обязательно юрист или штатный DPO — требования к квалификации закреплены в ч. 4 ст. 22.1. Назначение оформляется приказом. Ответственный принимает меры по обеспечению соблюдения закона, организует внутренний контроль и взаимодействует с РКН при проверке.

Политика обработки ПДн публикуется на сайте в открытом доступе (ст. 18.1 ФЗ-152). Для операторов, ведущих маркетинговые рассылки, в политику включаются: цели маркетинговой обработки, основания, перечень ПДн, срок хранения, порядок отзыва согласия. Отсутствие политики или несоответствие её содержания требованиям ч. 2 ст. 18.1 — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽. Это один из самых простых для фиксации нарушений при плановой проверке.

«Ст. 18.1 ч. 2 ФЗ-152 устанавливает обязательный состав политики: перечень категорий обрабатываемых ПДн, цели обработки, правовые основания, порядок обработки, права субъектов, порядок ответа на запросы. Политика должна быть опубликована по адресу, доступному без регистрации.»

Что подготовить для маркетинговых рассылок

Отдельное согласие по ст. 9 ФЗ-152 с обязательными реквизитами — отдельный документ, не объединённый с договором или политикой конфиденциальности.
Рекламное согласие по ст. 18 ФЗ «О рекламе» — отдельный чекбокс, не проставленный по умолчанию.
Уведомление РКН о намерении обрабатывать ПДн для целей маркетинга — актуальная запись в реестре операторов (pd.rkn.gov.ru).
Договор поручения обработки ПДн с сервисом рассылок (если используется сторонний сервис) по п. 3 ст. 6 ФЗ-152.
Политика обработки ПДн с разделом о маркетинговой обработке — опубликована на сайте, соответствует ст. 18.1 ФЗ-152.

Как выглядят типовые нарушения на практике?

Сценарий 1. Единый чекбокс «согласен с политикой». Интернет-магазин собирает базу подписчиков через форму регистрации: пользователь проставляет галочку «Согласен с политикой конфиденциальности». Рассылки идут годами. При проверке РКН фиксирует: согласие на обработку ПДн для маркетинга не выделено в отдельный документ (нарушение ч. 1 ст. 9 ФЗ-152 в редакции с 01.09.2025); согласие по ФЗ «О рекламе» не получено вообще. Итог: протокол по ч. 2 ст. 13.11 КоАП (до 700 000 ₽) и направление предписания в ФАС по ст. 18 ФЗ «О рекламе». Стратегия защиты: переработать форму подписки, зафиксировать новое согласие у активных подписчиков, применить ст. 4.1.1 КоАП при первичном нарушении если компания является субъектом МСП.

Сценарий 2. Рассылка через подрядчика без договора поручения. Маркетинговое агентство или SaaS-платформа рассылки получают базу контактов клиентов без оформления договора поручения обработки ПДн. Фактически ПДн передаются третьему лицу, основание по ст. 6 ФЗ-152 для такой передачи отсутствует. При инциденте (утечка базы у подрядчика) оператор несёт ответственность наравне с подрядчиком: ВС РФ сформировал позицию, что оператор отвечает за утечку через подрядчика. Штраф по ч. 12–14 ст. 13.11 КоАП зависит от числа субъектов: при утечке от 10 000 субъектов — от 5 000 000 ₽. Стратегия: оформить договор с подрядчиком, включить перечень допустимых действий, меры защиты, запрет на субпоручение.

Сценарий 3. Цели в реестре РКН не соответствуют фактической обработке. Компания стоит в реестре операторов с целью «ведение клиентской базы», а фактически использует те же ПДн для таргетированной рекламы, передаёт их рекламным платформам. При внеплановой проверке (по жалобе субъекта) несоответствие между заявленными и фактическими целями фиксируется как нарушение принципа ст. 5 ФЗ-152 и основания ст. 6. Штраф по ч. 1 ст. 13.11 КоАП — от 150 000 до 300 000 ₽; при повторности по ч. 1.1 — до 500 000 ₽. Стратегия: актуализировать уведомление в реестре, ввести в ОРД отдельный реестр целей обработки.

Если вы юрист и один из трёх сценариев — ваш случай, DATUM оценит документы на соответствие ст. 9 ФЗ-152 в редакции с 01.09.2025 в рамках аудита за 5 рабочих дней. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽; стоимость аудита — от 100 000 ₽.

Заказать аудит 152-ФЗ

Частые вопросы

1. Какие документы должны быть у оператора ПДн, который ведёт маркетинговые рассылки?

Минимальный комплект ОРД включает: уведомление РКН по ст. 22 ФЗ-152 (актуальная запись в реестре), политику обработки ПДн по ст. 18.1, приказ о назначении ответственного по ст. 22.1, отдельное согласие по ст. 9 ФЗ-152 (в редакции с 01.09.2025), рекламное согласие по ст. 18 ФЗ «О рекламе», журнал учёта согласий с датой и способом получения, договор поручения обработки с сервисом рассылок. Отсутствие любого из этих документов создаёт самостоятельное основание для штрафа при проверке РКН.

2. Как составить политику обработки ПДн для сайта с рассылками?

Политика конфиденциальности по ст. 18.1 ФЗ-152 должна содержать: цели обработки ПДн (в том числе маркетинговые), правовые основания по ст. 6, перечень категорий ПДн, сроки обработки и хранения, порядок реализации прав субъекта (отзыв согласия, блокирование, уничтожение), порядок обращения с запросами. Шаблон из интернета не подходит: политика должна отражать фактические процессы конкретного оператора. Использование чужого шаблона без адаптации — одна из наиболее частых причин штрафа по ч. 3 ст. 13.11 КоАП.

3. Кого назначить ответственным за обработку ПДн по ст. 22.1?

По ст. 22.1 ФЗ-152 оператор-юрлицо назначает лицо, ответственное за организацию обработки ПДн. Это может быть юрист, специалист по ИБ или любой сотрудник с достаточной квалификацией — требования к квалификации закреплены в ч. 4 ст. 22.1. Ответственный не обязан быть отдельным штатным специалистом: в малом бизнесе это часто совмещённая функция. Альтернатива — DPO-аутсорсинг по договору с профильной организацией: в этом случае функция ответственного передаётся внешнему исполнителю.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Нет. Шаблон может не учитывать фактические цели, состав ПДн и подрядчиков конкретного оператора. При проверке РКН инспектор сверяет политику с реальными процессами: если политика не отражает передачу ПДн в сервис рассылок или не упоминает цели маркетинговой обработки — это фиксируется как нарушение ч. 2 ст. 18.1 ФЗ-152. Штраф по ч. 3 ст. 13.11 КоАП — от 30 000 до 60 000 ₽. Политику необходимо адаптировать под конкретного оператора.

5. Какие согласия нужно переоформить после 01.09.2025?

Переоформлять согласия, полученные до 01.09.2025, не требуется — ФЗ-156 не имеет обратной силы. Переоформление нужно, если согласие было юридически дефектным изначально (например, отсутствовали обязательные реквизиты по ст. 9 ФЗ-152) или если срок согласия истёк. Все согласия, которые получает оператор начиная с 01.09.2025, обязаны соответствовать новой редакции: быть оформлены отдельным документом. На практике это означает переработку форм подписки на сайте и обновление скриптов получения согласий в CRM.

Итог

Маркетинговые рассылки требуют двух самостоятельных согласий — по ст. 9 ФЗ-152 и по ст. 18 ФЗ «О рекламе» — плюс полного ОРД: уведомления РКН, политики конфиденциальности, договора поручения с сервисом рассылок и приказа о назначении ответственного. После 01.09.2025 согласие по ФЗ-152 обязано быть отдельным документом — объединение с политикой или офертой недопустимо. Штраф за каждое из нарушений самостоятелен и суммируется.

DATUM сопровождает операторов при выстраивании ОРД для маркетинговых рассылок: подготовка согласий по ст. 9 ФЗ-152 и ФЗ «О рекламе», актуализация уведомления РКН, разработка политики конфиденциальности, договоры с подрядчиками-обработчиками.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов включая согласия, политику, регламент реагирования
Аудит соответствия 152-ФЗ — проверка форм согласия и ОРД по чек-листу из 38 пунктов
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1, ответы на запросы субъектов

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия по ст. 9 ФЗ-152 в ред. ФЗ-156, обработка ПДн в КЭДО и HR, сопровождение проверок РКН в HR-департаментах.

22 января 2027 года