GDPR и email рассылки: как не словить штраф и не убить базу

Чем GDPR и российские законы опасны для ваших рассылок

GDPR — это не «страшилка юристов из ЕС», а реальный набор правил, по которым вам разрешают (или запрещают) работать с персональными данными людей в Европе. Для email‑маркетинга это значит: каждый адрес в вашей базе — персональные данные, а каждое письмо — обработка этих данных.

С 2018 года по GDPR выписаны штрафы на миллиарды евро, включая кейсы Amazon и Meta за нарушения в работе с данными и рекламой. Формально планка такая: до 20 млн евро или до 4% годового оборота компании — берётся большее значение.

В России параллельно работают свои правила игры. За нарушения требований закона «О персональных данных» № 152‑ФЗ и связанных норм КоАП штрафы для юрлиц измеряются сотнями тысяч рублей, а за рассылку рекламы без согласия по закону «О рекламе» № 38‑ФЗ в тяжёлых кейсах можно получить и до 1 млн рублей.

Важно: если вы работаете в России, но в базе есть граждане ЕС или вы целитесь в рынок ЕС, GDPR к вам всё равно применяется — поверх российских норм, а не вместо них.

Какие риски вы реально несёте за рассылки

Чтобы понимать, зачем вообще всё это, полезно смотреть не только на нормы, но и на риски. Для email‑канала они делятся на три слоя.

Юридические риски:

• штрафы по GDPR — до десятков миллионов евро или 4% оборота, по российским КоАП‑статьям за нарушение 152‑ФЗ и 38‑ФЗ — сотни тысяч и до 1 млн рублей для юрлиц;
• предписания, проверки, обязательства изменить процессы и удалить данные;
• потенциальные иски от субъектов данных с требованиями удалить информацию, исправить ошибки или ограничить обработку.

Репутационные риски:

• рассылки без согласия раздражают людей, они жалуются, пишут негатив, перестают доверять бренду;
• публичный кейс «компания X нарушила GDPR/152‑ФЗ» живёт в новостях и выдаче гораздо дольше, чем одна неудачная рассылка.

Технические риски:

• массовые жалобы на спам и высокие bounce’ы портят репутацию домена и IP: письма начинают лететь в «Спам» даже лояльной аудитории;
• утечки баз и плохая защита данных — это отдельные санкции и по GDPR, и по 152‑ФЗ, плюс расходы на ликвидацию последствий.

Здоровый подход: выстроить рассылки так, чтобы одновременно не нарушать закон и не убивать deliverability. В итоге это выгоднее, чем экономить час на настройке согласий, а потом платить юристам и чинить репутацию домена.

Что считается «законной» email‑рассылкой

Если сильно упростить, законность email‑рассылок и по GDPR, и по российскому праву упирается в две вещи:

• у вас есть правовое основание обрабатывать email‑адрес именно в маркетинговых целях;
• вы уважаете права пользователя: он понимает, на что подписывается, может легко отписаться и попросить удалить свои данные.

Правовое основание: не любой email даёт право слать рекламу

По GDPR любая обработка персональных данных (в том числе email для рассылок) должна опираться на одно из правовых оснований:

• Согласие. Свободное, конкретное, информированное и однозначное. Пользователь сам ставит галочку или нажимает кнопку под понятным текстом, что он хочет получать маркетинговые письма.
• Легитимный интерес. Компания может обосновать, что у неё есть законный интерес отправлять письма (например, действующим клиентам), и это не перевешивает права и свободы пользователя. Но если человек возражает, маркетинг надо остановить.

Ключевой момент: то, что человек оставил email для оформления заказа или регистрации, даёт право использовать этот адрес в рамках этих целей — отправить чек, статус заказа, важное сервисное уведомление. Как только вы начинаете использовать этот же email для рассылки акций, дайджестов и прочего маркетинга, вы выходите за рамки первоначальной цели и вам нужно отдельное маркетинговое основание (согласие или очень аккуратно оформленный легитимный интерес).

В России логика похожа. По 152‑ФЗ обработка email‑адреса в маркетинговых целях допускается только при наличии отдельного, конкретного и информированного согласия субъекта персональных данных. По сути:

• одно согласие — на обработку данных для исполнения договора (доставка, чек, доступ к сервису);
• другое согласие — на получение рекламных и информационных рассылок.

Плюс закон «О рекламе» № 38‑ФЗ: рассылать рекламу по сетям электросвязи (включая email) можно только при предварительном согласии адресата; если человек возражает, рекламу нужно прекратить.

Права пользователя: на что он действительно имеет право

GDPR даёт пользователю целый набор прав по отношению к его данным:

• право на доступ (узнать, какие данные вы храните);
• право на исправление;
• право на удаление («право быть забытым»);
• право на ограничение обработки;
• право на переносимость данных;
• право возражать против обработки для целей прямого маркетинга — и это прямой стоп‑сигнал для рассылки.

По 152‑ФЗ пользователь так же может потребовать прекратить обработку его персональных данных в маркетинговых целях и удалить их; оператор обязан отреагировать и перестать отправлять письма.

В рабочем переводе на язык маркетинга формула такая:

«Мы можем слать маркетинговые письма только тем, кто явно дал нам на это основание — и должны быть готовы в любой момент по запросу человека остановиться и убрать его из базы».

Подписка по‑взрослому: как оформить согласие на письма без серых зон

GDPR требует, чтобы согласие было свободно данным, конкретным, информированным и однозначным. Российский 152‑ФЗ по сути о том же: отдельное согласие, понятные цели обработки, возможность отзыва.

Что это значит для форм подписки

1. Никаких автогалочек.
   Заранее отмеченный чекбокс «подписаться на новости» — это не согласие ни по GDPR, ни по 152‑ФЗ. Человек сам должен поставить галочку или нажать кнопку.
2. Понятный текст рядом с чекбоксом.
   Вместо «согласен на обработку персональных данных…» используйте человеческие формулировки, например:
   • «Хочу получать по email новости, статьи и спецпредложения от <название компании>»;
   • «Соглашаюсь получать по почте подборки материалов и персональные рекомендации от <название компании>».

Ниже — ссылка на политику конфиденциальности, где подробно описано, как именно вы обрабатываете email‑адрес и поведение в письмах.

3. Разделить регистрацию и подписку.
   Регистрация в сервисе ≠ согласие на маркетинговую рассылку. В форме регистрации можно сделать:
   • обязательный блок (данные, без которых сервис не работает);
   • отдельный опциональный чекбокс про email‑рассылку.
4. Фиксировать факт согласия.
   В ESP/CRM желательно хранить: дату и время подписки, источник (форма/лендинг), текст или версию формы, под которой человек подписался.

В России логика почти такая же: по 38‑ФЗ без предварительного согласия рассылать рекламу нельзя, а 152‑ФЗ обязывает оформлять согласие на обработку персональных данных и даёт человеку право в любой момент его отозвать — после этого вы должны прекратить рассылки и удалить данные в разумный срок.

Double opt‑in: не обязанность, а «страховка»

GDPR прямо не требует double opt‑in, но многие рассматривают его как best practice: человек не только оставляет email, но и подтверждает подписку по письму.

Плюсы:

• меньше спама от «подписок за друга» и ошибочных адресов;
• проще доказать факт согласия при споре или проверке;
• база растёт медленнее, но становится более вовлечённой (open rate и CTR по ней обычно выше, чем по «сырым» single opt‑in базам).

Мини‑кейс: B2B‑сервис, который работал и с РФ, и с ЕС, сначала использовал single opt‑in и столкнулся с высоким bounce rate и жалобами. После перехода на double opt‑in и явный текст согласия для EU‑сегмента complaints заметно снизились, deliverability улучшилась, а при юридических проверках у компании оказались журналы подтверждений подписки.

Политика конфиденциальности: как объяснить про email нормальным языком

Политика конфиденциальности email — это не PDF «для галочки», а страница, где вы честно объясняете, как работаете с персональными данными подписчиков.

Что важно прописать для email‑части:

• Что собираете. Email, имя, поведение в письмах (открытия, клики), возможные технические данные.
• Зачем используете. Отправка рассылок, персонализация, сегментация, аналитика эффективности кампаний.
• На каком основании. Согласие, договор (для сервисных писем), легитимный интерес — в зависимости от кейса и консультации с юристами.
• Как отписаться и отозвать согласие. Ссылка в письмах, контакты для запросов на удаление данных.
• Сколько храните и когда удаляете. Например, «до отзыва согласия или неактивности более X месяцев», с понятными правилами.
• Кому передаёте данные. ESP, CRM, подрядчики — с формулировкой, что с ними есть договоры на обработку персональных данных.

Хороший тест: открыть политику и честно ответить себе, поймёт ли маркетолог/клиент без юриста, что там происходит с его email.

Отписка от рассылки: один клик вместо войны с ФАС и спам‑фильтрами

GDPR требует, чтобы отозвать согласие было так же просто, как его дать. В российской практике ФАС исходит из того же: если человек явно попросил прекратить рассылку, игнорировать этот запрос нельзя, иначе это нарушение 38‑ФЗ.

Рабочая модель отписки:

• в каждом письме есть заметная ссылка «отписаться»;
• отписка не требует авторизации и паролей;
• после клика человек либо сразу отписан, либо попадает на простой экран с выбором типов рассылок и кнопкой «отписаться от всех»;
• после этого маркетинговые письма реально перестают приходить (транзакционные уведомления выносите отдельно и не маскируйте под маркетинг).

Бонус: нормальная отписка снижает жалобы на спам и помогает держать репутацию домена и IP в зелёной зоне.

Обработка персональных данных и локализация: что важно именно для РФ

Любая рассылка — это маленькая система обработки персональных данных: вы собираете адреса, храните, используете, передаёте и когда‑то удаляете. GDPR требует, чтобы на каждом шаге была понятная логика, договорённости с подрядчиками и разумные меры защиты.

В России добавляется история с локализацией:

• данные граждан РФ (включая email, телефоны, CRM‑записи) должны в первую очередь записываться и храниться в базах на территории России;
• Роскомнадзор с 2025 года активно проверяет исполнение требований по локализации, а штрафы за нарушения могут достигать миллионов рублей в расчёте на одну базу.

Практически это означает:

• если ваш ESP/CRM физически хранит российские базы только на серверах за пределами РФ, это риск;
• при выборе сервиса для рассылок и CRM смотрите не только на функции, но и на юридическую сторону: наличие дата‑центров в РФ, договоров по 152‑ФЗ и адекватной документации по обработке персональных данных.

Для подписчиков из ЕС можно использовать отдельную инфраструктуру, совместимую с GDPR (серверы в ЕС, стандартные договорные положения и т.п.), но это уже архитектурный вопрос, который лучше решать вместе с юристами и безопасностью.

Типичные ошибки в рассылках и как их не допустить

Ошибка 1. «Клиент → можно слать всё»

Факт покупки или регистрации ещё не даёт права отправлять все маркетинговые письма подряд. В ряде кейсов можно аккуратно опереться на легитимный интерес или soft opt‑in (похожие предложения действующим клиентам), но это требует юридической оценки.

Осмысленный подход: разделить сервисные письма (чек, статус заказа, важные обновления) и маркетинговые (акции, новости, контент) и получать отдельное согласие именно на маркетинг.

Ошибка 2. Импорт старых CRM‑баз без проверки согласий

«У нас в CRM куча адресов, давайте сделаем рассылку всем» — классика. При этом часто нет ни явных согласий, ни понимания, кто и когда давал разрешение на рекламу.

Что делать:

• сегментировать базу: EU / РФ / остальное, текущие клиенты / старые контакты;
• по «серым» сегментам запускать re‑permission (кампанию реподписки) с честным объяснением, что и зачем вы хотите отправлять;
• не рассылать промо тем, по кому у вас нет чистого основания.

Ошибка 3. Отписка «для вида»

Скрытая ссылка, требование авторизоваться или отписка, которая не отключает письма — прямой путь к жалобам и претензиям регуляторов.

Что делать:

• сделать отписку заметной и одношаговой;
• не ставить дополнительных барьеров;
• сразу выключать маркетинговые письма после отписки.

Ошибка 4. Политика конфиденциальности, в которой про email ни слова

Когда политика есть, но в ней нет слова «рассылка», не описаны цели обработки email‑адресов, срок хранения и права пользователя, это выглядит плохо и для пользователей, и для проверяющих.

Что делать:

• добавить отдельный раздел про email‑рассылки и уведомления;
• описать типы писем, цели обработки и права пользователя человеческим языком;
• обновлять документ при изменении стека инструментов или схем обработки.

Короткий чек‑лист для маркетолога

Чтобы не превращать тему GDPR и 152‑ФЗ в бесконечный страх, держите хотя бы базовый чек‑лист на уровне команды (это не заменяет юриста, но сильно снижает риски):

1. Согласия:
   • есть отдельный opt‑in на маркетинговые письма (не «зашитый» в пользовательское соглашение);
   • текст понятен и честно описывает, что человек будет получать;
   • факт согласия логируется (дата, время, источник).
2. Прозрачность:
   • форма подписки объясняет типы рассылок и примерную частоту;
   • в политике конфиденциальности есть блок про email‑маркетинг.
3. Отписка:
   • в каждом письме есть рабочая ссылка «отписаться»;
   • отписка не требует логина и реально обрубает маркетинг.
4. Права пользователя:
   • понятен процесс обработки запросов на удаление/выгрузку данных;
   • вы знаете, где физически лежат email‑адреса (ESP, CRM, бэкапы).
5. Локализация и инструменты:
   • для граждан РФ данные записываются и хранятся в базах на территории России, как того требуют 152‑ФЗ и свежие требования по локализации;
   • для подписчиков из ЕС используются схемы и сервисы, совместимые с GDPR.

 

GDPR и российские законы про персональные данные — это не стоп‑сигнал для email‑маркетинга. Это рамки, внутри которых можно вполне спокойно строить рассылки, автоматизацию и сложные сценарии, если не пытаться «хитрить» с согласиями и отпиской. Чем раньше вы выстроите юридическую и техническую основу, тем проще будет масштабировать рассылки, не переживая за штрафы, блокировки и внезапные проверки.