Защита ПДн в email рассылках: согласие и шифрование в 2026 году
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я видел десятки случаев, когда email рассылки приводили к утечкам ПДн и штрафам. В этой статье — только практика: как получить законное согласие на рассылку и защитить данные шифрованием по 152 ФЗ.
В 2026 году email маркетинг остаётся мощным инструментом, но он же — зона высокого риска для ПДн. По 152 ФЗ вы обязаны:
• получить явное согласие на обработку и рассылку;
• защитить данные от утечки;
• дать возможность отписаться в один клик.
Разберём, как это сделать без ошибок.
Что говорит закон
По ст. 7 и 9 152 ФЗ:
• Согласие на обработку ПДн должно быть конкретным, информированным и однозначным. Чекбокс «согласен с политикой» без уточнения рассылки — не подходит.
• Согласие на рассылку — отдельное действие (двойное подтверждение — лучший вариант).
• Право на отписки — в каждом письме должна быть ссылка «Отписаться».
• Хранение базы — только в РФ (если вы оператор по 152 ФЗ), с защитой от несанкционированного доступа.
Ответственность за нарушения:
• ст. 13,11 КоАП РФ — штраф до 75 000 руб. за обработку без согласия;
• ст. 13,12 КоАП РФ — штраф до 100 000 руб. за утечку данных.
Как получить законное согласие
Варианты получения законного согласия:
1. Двойное подтверждение (Double Opt In):
пользователь заполняет форму подписки;
получает письмо с просьбой подтвердить подписку;
переходит по ссылке в письме — только после этого попадает в базу рассылок.
Мой комментарий: это самый безопасный вариант по 152 ФЗ. Он исключает жалобы «я не подписывался» и снижает риск штрафов.
2. Чекбокс с чёткой формулировкой:
разместите чекбокс отдельно от других согласий (не прячьте в политике обработки ПДн);
формулировка: «Я согласен получать email рассылки с новостями и предложениями компании»;
не ставьте галочку по умолчанию — пользователь должен поставить её сам.
Пример корректной формулировки:
«Да, я хочу получать email рассылки о новых продуктах и акциях ООО „Старт“ (не чаще 2 раз в неделю). Я понимаю, что могу отписаться в любой момент».
3. Форма подписки с явным действием:
кнопка «Подписаться» вместо «Отправить»;
рядом — краткое объяснение: «Вы получите подтверждение на email. Без него рассылка не начнётся»;
ссылка на политику обработки ПДн.
4. Подписка через соцсети или мессенджеры:
если собираете email через соцсети, всё равно нужно явное согласие на рассылку;
добавьте сообщение: «Подтвердите подписку: ответьте „ДА“ на это сообщение»;
сохраняйте логи подтверждений.
Важно: без явного согласия рассылка считается незаконной. Роскомнадзор может оштрафовать на 75 000 руб. по ст. 13,11 КоАП РФ.
Технические меры защиты
1. Шифрование писем:
• S/MIME: подходит для корпоративной почты, требует установки сертификатов на стороне отправителя и получателя;
• PGP: более гибкий, но сложнее в настройке;
• TLS: шифрование канала передачи (автоматически в большинстве почтовых сервисов).
Мой совет: включите TLS на сервере рассылки. Это минимум, который защитит данные при передаче. Для особо чувствительных данных (медицинские, финансовые) используйте S/MIME.
2. Аутентификация отправителя:
• SPF (Sender Policy Framework): указывает, с каких серверов можно отправлять письма от имени вашего домена;
• DKIM (DomainKeys Identified Mail): цифровая подпись письма, подтверждает подлинность отправителя;
• DMARC (Domain-based Message Authentication, Reporting & Conformance): объединяет SPF и DKIM, снижает риск попадания в спам.
Как настроить: обратитесь к хостинг провайдеру или администратору почты. Обычно это делается через DNS записи.
3. Защита базы подписчиков:
• храните базу в защищённом хранилище (с шифрованием AES 256);
• ограничьте доступ: только ответственные сотрудники;
• настройте регулярное резервное копирование (см. нашу статью «Резервное копирование ПДн: как настроить правильно»);
• используйте сервисы рассылок с сертификатами безопасности (например, Mailchimp, UniSender — проверьте, где хранятся данные: для 152 ФЗ — только РФ).
Типичные ошибки и штрафы
1. Рассылка без явного согласия.
Пример: компания импортировала базу email из соцсетей и начала рассылку.
Последствия: жалобы в Роскомнадзор, штраф 75 000 руб., блокировка домена.
Как избежать: используйте Double Opt In.
2. Отсутствие ссылки на отписку.
Пример: в письмах нет кнопки «Отписаться» или она не работает.
Последствия: штраф до 100 000 руб. по ст. 13,12 КоАП РФ за нарушение прав субъекта ПДн.
Как избежать: добавьте ссылку в подвал каждого письма. Проверьте, что она работает.
3. Утечка базы подписчиков.
Пример: хакеры взломали сервер и украли базу email.
Последствия: штраф до 6 млн руб. за утечку ПДн, репутационные потери.
Как избежать: шифруйте базу, ограничьте доступ, используйте двухфакторную аутентификацию.
4. Хранение данных за рубежом.
Пример: база рассылок хранится в облаке США без дублирования в РФ.
Последствия: нарушение ст. 18 152 ФЗ, штраф, запрет на обработку ПДн.
Как избежать: выбирайте сервисы с дата центрами в РФ или гибридной схемой хранения.
Реальный случай: клиент использовал сервис рассылок без DMARC. Письма попадали в спам, а конкуренты скопировали базу. Ущерб — 200 000 руб. на восстановление репутации. Урок: технические меры — не роскошь, а необходимость.
Заключение
Защита ПДн в email рассылках — это комплекс мер:
• получите явное согласие (Double Opt In — лучший вариант);
• настройте шифрование (TLS минимум, S/MIME для чувствительных данных);
• включите аутентификацию (SPF, DKIM, DMARC);
• защитите базу (шифрование, доступ, бэкапы);
• дайте возможность отписаться в один клик.
Сделайте это сейчас:
• проведите аудит текущих рассылок — проверьте наличие согласий, ссылок на отписку, настроек шифрования;
• обновите формы подписки на сайте — добавьте чёткие формулировки;
• настройте DMARC для домена — это снизит риск попадания в спам и повысит доверие получателей.
Если нужна помощь с аудитом рассылок, настройкой шифрования или подготовкой документов для Роскомнадзора — обращайтесь в «ЛЕГАС». Мы поможем защитить ваши ПДн по закону и без лишних затрат.
• Скачайте чек лист «Аудит email рассылок по 152 ФЗ» (, 2026) — 15 пунктов для самопроверки перед проверкой Роскомнадзора.
• Поделитесь статьёй с маркетологом или ИТ специалистом — пусть тоже проверит свои рассылки.
• Подпишитесь на legascom.ru — разбираем сложное просто: защита ПДн, кибербезопасность, налоговые риски.
