Разбор
Email-рассылки и 152-ФЗ: что проверить до отправки, чтобы не получить штраф
С 30 мая 2025 штрафы за нарушение 152-ФЗ выросли до 3 млн ₽ для юрлиц. Разбираем двойное согласие, российские ESP и что нельзя делать при сборе email-базы.
Ты запустил рассылку на 20 000 подписчиков. Открываемость отличная, продажи пошли. А через месяц пришло письмо от Роскомнадзора — проверка. Оказалось, что форма подписки на сайте не соответствует закону. Штраф — 300 000 рублей. За повторное нарушение — до 3 миллионов.
Антагонист этой истории — не Роскомнадзор. Это иллюзия простоты: «Человек оставил email — значит, я могу ему писать». Нет, не можешь. Точнее, можешь — но только если правильно оформил два разных согласия по двум разным законам.
Перевёртыш
Старое убеждение: «Достаточно одного чекбокса “Согласен на рассылку” — и можно отправлять»
Новая реальность: Нужны два отдельных согласия — на обработку персональных данных (152-ФЗ) и на получение рекламы (38-ФЗ). Одно без другого = нарушение. И штрафы за каждое — отдельные.
Что ты получишь: таблицу штрафов, интерактивный чеклист формы подписки, сравнение российских ESP, готовые формулировки согласий и квиз для проверки знаний.
Что изменилось с 30 мая 2025
По данным Роскомнадзора, в 2024 году количество проверок операторов персональных данных выросло на 40% год к году. С 30 мая 2025 вступили в силу новые размеры штрафов по ст. 13.11 КоАП РФ — и они кратно выше прежних.
Ключевые изменения:
- Штрафы выросли в 3—5 раз по сравнению с прежними
- Утечка данных — отдельный состав нарушения со штрафом до 15 млн рублей
- Повторное нарушение — автоматический множитель: до 3 млн для юрлиц
- Роскомнадзор получил право блокировать сайты за систематические нарушения
Вот полная таблица штрафов:
| Нарушение | Физлица | ИП | Юрлица |
|---|---|---|---|
| Первичное нарушение | 10—15 тыс. ₽ | 50—100 тыс. ₽ | 150—300 тыс. ₽ |
| Повторное нарушение | 15—30 тыс. ₽ | 100—300 тыс. ₽ | 1—3 млн ₽ |
| Утечка данных | 20—40 тыс. ₽ | 150—300 тыс. ₽ | 3—15 млн ₽ |
Для контекста: средний ROI email-маркетинга в России — около 30—35 рублей на каждый вложенный рубль. Один штраф в 300 тыс. рублей съедает годовую прибыль канала для малого бизнеса.
Сделай за 5 минут
Открой форму подписки на своём сайте. Посмотри, есть ли там два отдельных чекбокса — на обработку ПД и на рекламные рассылки. Если чекбокс один или его нет вовсе — ты уже в зоне риска.
152-ФЗ vs 38-ФЗ: два разных закона — два отдельных согласия
Большинство маркетологов путают эти два закона. По данным РАЭК, 67% российских интернет-компаний не разделяют согласие на обработку ПД и согласие на рекламу. Разберём разницу.
152-ФЗ «О персональных данных»
Регулирует сбор, хранение и обработку персональных данных. Email-адрес — это персональные данные (Консультант Плюс).
Что обязан сделать оператор:
- Уведомить Роскомнадзор о начале обработки ПД (включение в реестр)
- Получить согласие субъекта на обработку
- Указать конкретную цель обработки
- Хранить данные на серверах в РФ (с 1 сентября 2015)
38-ФЗ «О рекламе», статья 18
Регулирует распространение рекламы по электронной почте (Консультант Плюс).
Что обязан сделать рекламораспространитель:
- Получить предварительное согласие на получение рекламы
- Предоставить возможность отказаться в каждом письме
- Немедленно прекратить рассылку при отзыве согласия
Почему нужны два согласия
Согласие на обработку ПД — это разрешение хранить email. Согласие на рекламу — это разрешение отправлять на этот email рекламные письма. Человек может разрешить хранить свой email (для восстановления пароля, например), но запретить рекламу.
«Один чекбокс, объединяющий согласие на обработку ПД с согласием на рекламу, может быть признан недействительным при проверке — каждое согласие должно быть отдельным волеизъявлением»
— Разъяснение Роскомнадзора, 2024
Чеклист формы подписки
Проверь свою форму подписки по этому чеклисту. Каждый пропущенный пункт — потенциальный штраф. Если собираешь лиды и считаешь стоимость привлечения клиента, учти: один штраф в 300 тыс. рублей — это сотни потерянных лидов.
Чеклист: форма email-подписки по 152-ФЗ и 38-ФЗ
Примеры формулировок
Чекбокс 1 (152-ФЗ):
Даю согласие на обработку моих персональных данных (email-адрес) в соответствии с Политикой конфиденциальности. Цель обработки: отправка информационных и рекламных материалов.
Чекбокс 2 (38-ФЗ):
Соглашаюсь на получение рекламных рассылок по электронной почте. Понимаю, что могу отказаться в любой момент по ссылке в письме.
Double opt-in: не обязательно, но спасает
Double opt-in (двойное подтверждение) — это когда после заполнения формы подписчик получает письмо с просьбой подтвердить адрес. Формально закон не требует именно double opt-in. Но на практике он решает сразу три проблемы:
- Доказательство согласия. У тебя есть лог: человек нажал кнопку в письме — значит, он точно владелец email и точно хотел подписаться
- Чистота базы. Отсекает ошибочные адреса, ботов и случайные подписки — это напрямую влияет на конверсию рассылок
- Защита от жалоб. Если подписчик пожалуется в Роскомнадзор, ты можешь показать подтверждение
Важно: Без double opt-in ты не сможешь доказать, что именно этот человек дал согласие. Роскомнадзор может запросить подтверждение — и «он ввёл email на сайте» без лога подтверждения — слабый аргумент.
Большинство российских ESP (Unisender, DashaMail, NotiSend) поддерживают double opt-in из коробки. Настройка занимает 10 минут.
Выбор ESP: только российские серверы
С 1 сентября 2015 года 152-ФЗ обязывает хранить персональные данные россиян на серверах, расположенных на территории РФ. Это значит: если ты используешь Mailchimp, SendGrid или Brevo — ты нарушаешь закон.
| ESP | Серверы в РФ | 152-ФЗ | Double opt-in | Примечание |
|---|---|---|---|---|
| Unisender | Да | Да | Да | DPA доступен, популярен у SMB |
| DashaMail | Да | Да | Да | Только РФ, хороший для малого бизнеса |
| NotiSend | Да | Да | Да | Интеграции с CRM |
| Mindbox | Да | Да | Да | Enterprise, CDP + рассылки |
| Mailchimp | Нет (US/EU) | Нет | Да | Нарушение 152-ФЗ |
| SendGrid | Нет (US) | Нет | Да | Нарушение 152-ФЗ |
Подробное сравнение двух самых популярных российских платформ — в нашем обзоре Unisender vs DashaMail. А если выбираешь между email и мессенджерами — смотри разбор Email vs Telegram 2026.
Сделай за 5 минут
Зайди в настройки своего ESP. Найди раздел «Серверы» или «Data Residency». Если там указан US, EU или нет информации о расположении серверов — пора мигрировать на российскую платформу.
Журнал согласий: что и как хранить
Роскомнадзор может запросить доказательство согласия подписчика в любой момент. «Он сам подписался» — не аргумент без документального подтверждения.
Что фиксировать в журнале
- Дата и время получения согласия (с точностью до секунды)
- IP-адрес подписчика
- Текст согласия, который видел пользователь
- Источник — URL страницы с формой
- Тип согласия — на обработку ПД, на рекламу, или оба
- Подтверждение double opt-in — дата и время клика по ссылке
Срок хранения
Храни журнал согласий минимум 3 года после последнего взаимодействия с подписчиком. Если подписчик отписался — сохрани запись об отписке, но удали его из активной базы рассылок.
Unsubscribe = отзыв согласия на рекламу (38-ФЗ). По закону ты обязан прекратить отправку немедленно. На практике допускается задержка до 10 рабочих дней, но лучше настроить моментальную обработку через ESP.
Если ты считаешь LTV своих email-подписчиков, помни: отписавшийся клиент — это не потерянный LTV, а защита от штрафа. Чистая база — прибыльная база.
Квиз: проверь свои знания о 152-ФЗ и рассылках
FAQ: 5 частых вопросов
Информационные письма тоже требуют согласия?
Если письмо содержит только транзакционную информацию (подтверждение заказа, смена пароля) — согласие на рекламу не нужно. Но если ты добавляешь в транзакционное письмо блок «Рекомендуем также» — это уже реклама, и нужно согласие по 38-ФЗ.
Можно ли купить email-базу и делать рассылку?
Нет. Покупка базы не даёт согласия на обработку ПД и на рекламу. Рассылка по купленной базе — это двойное нарушение: 152-ФЗ (обработка без согласия) + 38-ФЗ (реклама без согласия). Штрафы суммируются.
B2B-рассылки тоже под 152-ФЗ?
Да, если ты отправляешь на именной email (ivan@company.ru). Корпоративные email вида info@company.ru формально не являются персональными данными, но рассылка рекламы на них всё равно регулируется 38-ФЗ.
Что если подписчик дал согласие до 30 мая 2025?
Ранее полученные согласия действительны, если они были оформлены в соответствии с законом. Но если согласие было получено через pre-checked чекбокс или объединённое с условиями использования — оно может быть признано недействительным.
Нужно ли уведомлять Роскомнадзор?
Да, если ты обрабатываешь персональные данные (а email — это ПД), нужно подать уведомление в Реестр операторов персональных данных. Это бесплатно и занимает 15 минут. Штраф за отсутствие уведомления — от 3 до 5 тыс. рублей для ИП и от 15 до 75 тыс. рублей для юрлиц.
Что дальше
152-ФЗ — не бюрократическая формальность. С новыми штрафами это прямой финансовый риск для бизнеса. Хорошая новость: привести рассылки в порядок можно за один рабочий день. Вернись к чеклисту выше, исправь пробелы — и спи спокойно.
Если ты только выстраиваешь email-канал — начни с welcome-последовательности, а для продвинутой работы с базой изучи стратегии сегментации. Следи за изменениями законодательства в нашем разделе новостей — обновления 152-ФЗ выходят регулярно.
А чтобы понять, сколько стоит один подписчик и окупаются ли рассылки, используй калькулятор ROAS и калькулятор медиабюджета.
Что дальше?
В Telegram-канале @lexamarketolog разбираем реальные кейсы штрафов и делимся шаблонами документов для 152-ФЗ. Подпишись, чтобы не пропустить.
Также: видео на MAX · разборы в ВК · сторис @loading_express
Пока без комментариев. Будьте первым.