Представьте ситуацию: вы потратили недели на сбор базы, настроили идеальную цепочку писем, и вот - первая рассылка улетает тысячам клиентов. Через пару дней вы получаете уведомление о проверке из ФАС или жалобу от разгневанного пользователя. Итог? Штраф до 300 000 рублей за одно «неправильное» письмо. В 2026 году правила игры стали жестче: теперь нельзя просто «зашить» согласие на рекламу в пользовательское соглашение или поставить галочку за клиента.
Многие предприниматели до сих пор думают, что если человек купил товар, то он автоматически согласен получать новости бренда. Это опасное заблуждение. Юридическая чистота email-маркетинга теперь строится на двух разных столпах: обработке данных и праве на рекламу. Если один из них рухнет, бизнес окажется под ударом.
Краткие тезисы для быстрого старта
- Маркетинговые письма требуют отдельного, явного согласия (нельзя объединять с офертой).
- Действует «правило двух согласий»: одно на персональные данные, второе на рекламу.
- Чекбоксы в формах подписки должны быть пустыми (пользователь ставит галочку сам).
- Отписка должна происходить в один клик, без паролей и регистраций.
- Сервисные письма (статусы заказа) можно слать без согласия на рекламу, если есть договор.
Разбираемся в законах: ФЗ-152 и закон «О рекламе»
Чтобы законно отправлять письма, нужно понимать разницу между двумя основными документами. Первый - ФЗ-152 «О персональных данных» is федеральный закон, регулирующий сбор, хранение и обработку личной информации граждан РФ. Email-адрес считается персональными данными. Если вы просто сохранили почту в базу - вы уже начали обработку данных.
Второй документ - Закон 38-ФЗ «О рекламе» is законодательный акт, который запрещает распространение рекламы без предварительного согласия получателя. Именно здесь кроется главный риск: если вы шлете скидки, акции или новости бренда без явного «Да, я хочу это получать», вы нарушаете статью 18 этого закона.
С 1 сентября 2025 года требования ужесточились. Теперь согласие на маркетинговую рассылку должно быть оформлено отдельным документом или отдельным действием. Вы не можете сказать: «Принимая условия договора, вы соглашаетесь на рассылку». ФАС и суды расценивают это как отсутствие выбора, а значит - согласие не считается действительным.
Правило двух согласий и работа с формами
Как правильно собрать базу, чтобы к вам не было вопросов? Используйте систему двойного подтверждения. В вашей форме подписки должно быть два разных чекбокса:
- Согласие на обработку персональных данных. Без этой галочки пользователь вообще не может отправить форму или сделать заказ. Это база для работы с данными по ФЗ-152.
- Согласие на получение рекламных материалов. Эта галочка должна быть непредзаполненной. Если пользователь ее проигнорировал, вы можете отправить ему письмо с подтверждением заказа, но не имеете права прислать купон на скидку в следующем письме.
Важный нюанс: если вы делаете подписку на рассылку обязательным условием для регистрации или покупки, это считается принуждением. В таком случае согласие признают недействительным. Дайте человеку выбор: «Зарегистрироваться» или «Зарегистрироваться и получать бонусы по почте».
| Признак | Сервисные письма | Маркетинговые письма |
|---|---|---|
| Цель | Информирование о заказе, сброс пароля | Продажи, акции, новости, прогрев |
| Основание | Исполнение договора (ст. 6 ФЗ-152) | Явное согласие абонента (38-ФЗ) |
| Требуется отдельный чекбокс? | Нет (если есть договор) | Да, обязательно |
| Риск при отсутствии согласия | Низкий | Высокий (штраф до 300к руб) |
Международные стандарты: GDPR и CAN-SPAM
Если вы работаете с клиентами из Европы или США, российских законов будет недостаточно. Вам придется настраивать систему под глобальные стандарты.
GDPR is General Data Protection Regulation - регламент ЕС, который требует максимально прозрачного сбора данных и дает пользователю право на «забвение» (полное удаление данных). Здесь согласие должно быть осознанным и активным. Никаких «предустановленных» галочек.
CAN-SPAM Act is американский закон, который фокусируется на честности отправителя и обязательном наличии ссылки для отписки. В отличие от GDPR, он более лоялен к способам сбора, но крайне строг к идентификации отправителя и скорости обработки запроса на отписку.
Как организовать идеальную отписку
Отписка - это не просто ссылка внизу письма. Это юридический механизм прекращения обработки данных для маркетинговых целей. Почтовые сервисы, такие как Яндекс, Mail.ru и Gmail, следят за тем, насколько легко пользователь может покинуть вашу рассылку. Если процесс сложный, они начнут отправлять ваши письма в спам, даже если вы законно собрали базу.
Золотые правила отписки:
- Один клик. Пользователь не должен вводить пароль, авторизовываться в личном кабинете или заполнять анкету «Почему вы уходите?». Переход по ссылке должен сразу отписывать его.
- Скорость. Отписка должна произойти мгновенно. Если письмо с акцией пришло человеку через час после того, как он нажал «Отписаться», это повод для жалобы в ФАС.
- Прозрачность. Ссылка «Отписаться» должна быть заметной. Не пытайтесь спрятать ее, используя светло-серый шрифт на белом фоне.
Рекомендую хранить лог-файлы действий пользователей (кто, когда и с какого IP нажал кнопку подписки или отписки) в течение трех лет. В случае проверки ФАС именно эти логи станут вашим главным доказательством того, что человек сам решил получать ваши письма.
Офлайн-сбор адресов: как не ошибиться
Часто бизнес собирает почты на мероприятиях, в магазинах или через анкеты. Ошибка здесь в том, что люди просто записывают email в блокнот или таблицу. С точки зрения закона - это незаконный сбор данных.
Если вы получаете адрес в офлайне, у вас есть два пути:
- Бумажное согласие. Клиент подписывает физический лист, где четко указано, на что он согласен (обработка данных + рассылка рекламы).
- Double Opt-In (DOI). Вы вносите адрес в базу, но не отправляете рекламу, пока человек не перейдет по ссылке из первого приветственного письма и не подтвердит подписку. Это самый надежный способ защиты для бизнеса.
Можно ли слать письма тем, кто просто оставил заявку на сайте?
Только сервисные письма. Например, «Ваша заявка принята» или «Ваш заказ готов». Чтобы отправить им предложение о скидке или новость о компании, они должны поставить отдельную галочку «Согласен на получение рекламных рассылок».
Что будет, если я просто удалю человека из базы после отписки?
Это правильное действие. Однако рекомендуется не удалять запись полностью, а перевести ее в статус «Отписан» (blacklist). Так вы будете уверены, что этот адрес случайно не попадет в базу снова при импорте новых списков.
Считается ли сообщение в Telegram или WhatsApp рекламой?
Да, если оно содержит предложение товара или услуги. Для мессенджеров действуют те же правила: нужно получить согласие пользователя на получение сообщений. Спам в мессенджерах сейчас карается так же строго, как и email-спам.
Где должны храниться данные подписчиков?
Согласно закону о персональных данных, первичный сбор и хранение данных граждан РФ должны осуществляться на серверах, физически расположенных на территории России.
Как доказать в ФАС, что пользователь сам подписался?
Вам понадобятся логи сервера: дата и время нажатия кнопки, IP-адрес пользователя, версия браузера и скриншот формы подписки, которая была активна в тот момент. Скриншоты текущего сайта часто не принимаются, если вы меняли форму с тех пор.
Что делать дальше: чек-лист по безопасности
Если вы поняли, что ваша текущая система сбора базы «дырявая», не паникуйте. Лучше исправить всё сейчас, чем ждать жалобы. Вот пошаговый план действий:
- Проверьте все формы захвата на сайте. Уберите предзаполненные галочки.
- Разделите чекбоксы: «Согласие с политикой конфиденциальности» $\rightarrow$ «Согласие на рассылку».
- Добавьте в каждое письмо ссылку на отписку в один клик.
- Проверьте, чтобы в письмах была ссылка на актуальную политику обработки данных.
- Если база старая и согласия не фиксировались - проведите кампанию по «реактивации»: попросите пользователей подтвердить подписку, иначе вы их удалите. Это единственный законный способ легализовать старую базу.