Emailmatrix
Связаться с нами
Содержание
    20 марта 2026
    17 мин.
    Генерация лидов Емейл-маркетинг Закон Персональные данные Политика конфиденциальности

    Штрафы за нарушение закона о персональных данных и как их не получить

    Виктория Костюкова

    аккаунт-директор EMAILMATRIX

    Впервые опубликовано 27.06.2017. Обновили 20 марта 2026 года: актуализировали требования законов и суммы штрафов, рассказали о способах собирать и хранить персональные данные, добавили правила отписки от рассылки.

    Персональные данные (ПД) — это любая информация, которая относится к конкретному физическому лицу, то есть позволяет идентифицировать человека.

    В законах нет точного перечня данных, которые относятся к персональным, поэтому универсального списка не существует. Однако емейл-адрес пользователя может считаться ПД наряду с ФИО, номером телефона, датой рождения и некоторыми другими сведениями. Это подтверждено письмом Минцифры:

    Является ли почта персональными данными

    Емейл-адрес может оказаться ПД, если по нему можно идентифицировать конкретного человека:

    • test@mail.ru — не персональные данные

    • vasiliy.pupkin@emailmatrix.ru — персональные данные

    Персональные данные с 1 сентября 2025 года требуют от бизнеса особенно аккуратного обращения. С этого дня действуют поправки, которые усиливают требования к форме согласий и уведомлениям и ужесточают ответственность за нарушения. Разберёмся, что нужно учитывать емейл-маркетологу, чтобы рассылка приносила прибыль, а не штрафы за персональные данные.

    В конце вас будет ждать чек-лист. Он поможет быстро проверить, соблюдает ли компания требования законодательства о персональных данных.

    В этой статье расскажу, как правильно работать с ПД клиентов. Но закон «О персональных данных» — не единственный, который надо учитывать емейл-маркетологу. Рассылки регулируются и другими нормативными актами — в первую очередь законом «О рекламе». Обо всех основных юридических аспектах емейл-маркетинга читайте в нашем обзоре.

    Штрафы за неправильную обработку персональных данных

    На емейл-маркетинг распространяются все правила работы с ПД пользователей. Перед запуском рассылки нужно убедиться, что у компании есть все согласия и документы, иначе можно столкнуться со следующими штрафами:

    НарушениеКто нарушилШтраф за первое нарушение (руб.)Штраф за повторное нарушение (руб.)
    Отсутствие письменного согласия на обработку ПД, когда оно должно быть*
    Физлицо
    Должностное лицо
    ИП
    Юрлицо
    10 000 — 15 000
    100 000 — 300 000
    100 000 — 300 000
    300 000 — 700 000
    15 000 — 30 000
    300 000 — 500 000
    500 000 — 1 000 000
    1 000 000 — 1 500 000
    Фактическая обработка не соответствует заявленным целям или не предусмотрена законодательством
    Физлицо
    Должностное лицо
    ИП
    Юрлицо
    10 000 — 15 000
    50 000 — 100 000
    50 000 — 100 000
    150 000 — 300 000
    15 000 — 30 000
    100 000 — 200 000
    100 000 — 200 000
    300 000 — 500 000
    Отсутствие политики конфиденциальности в открытом доступе
    Физлицо
    Должностное лицо
    ИП
    Юрлицо
    1500 — 3000
    6 000 — 12 000
    10 000 — 20 000
    30 000 — 60 000
    аналогичный
    аналогичный
    аналогичный
    аналогичный
    Непредоставление человеку информации об обработке его персональных данных
    Физлицо
    Должностное лицо
    ИП
    Юрлицо
    2000 — 4000
    8000 — 12 000
    20 000 — 30 000
    40 000 — 80 000
    аналогичный
    аналогичный
    аналогичный
    аналогичный

    * О таких ситуациях читайте ниже.

    Штрафы за утечку персональных данных в 2026 году

    30 мая 2025 года вступили в силу поправки в закон «О персональных данных», которые повысили штрафы за неправильную обработку.

    Что изменилось в законе о персданных

    Что на самом деле изменилось в законах для CRM-маркетологов с 30 мая — разбор «Рунетлекс»

    Главные изменения связаны с утечками ПД. Во-первых, существенно выросли размеры штрафов. Во-вторых, поменялся подход к определению суммы. Если раньше она зависела от размера компании-нарушителя, то теперь — от объёма утечки.

    Мы собрали информацию об актуальных штрафах за утечку персональных данных в таблицу:

    НарушениеШтрафы до 30 мая 2025 года (руб.)Штрафы после 30 мая 2025 года (руб.)
    Утечка персональных данных
    • ИП и малые предприятия: 20 000 — 40 000;
    • остальные компании: 50 000 — 100 000.

    Утечка данных от 1000 до 10 000 человек и/или от 10 000 до 100 000 идентификаторов (ФИО, телефон и так далее):

    • граждане: 100 000 — 200 000;
    • должностные лица: 200 000 — 400 000;
    • ИП и компании: 3 000 000 — 5 000 000.

    От 10 000 до 100 000 человек и/или от 100 000 до 1 000 000 идентификаторов:

    • граждане: 200 000 — 300 000;
    • должностные лица: 200 000 — 400 000;
    • ИП и компании: 5 000 000 — 10 000 000.

    Более 100 000 человек и/или более 1 000 000 идентификаторов:

    • граждане: 300 000 — 400 000;
    • должностные лица: 400 000 — 600 000;
    • ИП и компании: 10 000 000 — 15 000 000.

    Утечка данных спецкатегорий:

    • граждане: 300 000 — 400 000;
    • должностные лица: 1 000 000 — 1 300 000;
    • ИП и компании: 10 000 000 — 15 000 000.

    Утечка биометрических ПД:

    • граждане: 400 000 — 500 000;
    • должностные лица: 1 300 000 — 1 500 000;
    • ИП и компании: 15 000 000 — 20 000 000.
    Повторная утечка

    Аналогичен штрафу за первую утечку

    Повторная утечка ПД:

    • граждане: 400 000 — 600 000;
    • должностные лица: 800 000 — 1 200 000;
    • ИП и компании: 1–3% выручки, но не менее 20 000 000 и не более 500 000 000.

    Повторная утечка данных спецкатегорий или биометрических ПД:

    • граждане: 500 000 — 800 000;
    • должностные лица: 1 500 000 — 2 000 000;
    • ИП и компании: 1–3% выручки, но не менее 25 000 000 и не более 500 000 000.
    Неуведомление или несвоевременное уведомление Роскомнадзора об утечке
    • граждане и ИП: 300 — 500;
    • малые предприятия: 1500 – 2000;
    • остальные компании: 3000 — 5000.
    • граждане: 50 000 — 100 000;
    • должностные лица: 400 000 — 800 000;
    • ИП и компании: 1 000 000 – 3 000 000.

    Также рассмотрим остальные нарушения, по которым изменились штрафы 30 мая 2025 года:

    НарушениеКто нарушилШтраф за первое нарушение (руб.)Штраф за повторное нарушение (руб.)
    Хранение ПД в базах вне территории РФ
    Физлицо
    Должностное лицо
    ИП
    Юрлицо
    30 000 — 50 000
    100 000 — 200 000
    1 000 000 — 6 000 000
    1 000 000 — 6 000 000
    50 000 — 100 000
    500 000 — 800 000
    6 000 000 — 18 000 000
    6 000 000 — 18 000 000
    Неуведомление или несвоевременное уведомление Роскомнадзора об обработке ПД
    Физлицо
    Должностное лицо
    ИП
    Юрлицо
    5000 — 10 000
    30 000 — 50 000
    100 000 — 300 000
    100 000 — 300 000
    аналогичный
    аналогичный
    аналогичный
    аналогичный
    Просроченное уточнение, блокирование или уничтожение ПД
    Физлицо
    Должностное лицо
    ИП
    Юрлицо
    2000 — 4000
    8000 — 20 000
    20 000 — 40 000
    50 000 — 90 000
    20 000 — 30 000
    30 000 — 50 000
    50 000 — 100 000
    300 000 — 500 000
    Невыполнение государственным или муниципальным органом обезличивания ПДДолжностное лицо6000 — 12 000аналогичный

    Формы подписки: как правильно взять согласие на обработку персональных данных

    Ссылка на документ об обработке данных

    По закону, форма сбора персональных данных должна давать человеку возможность узнать, как его данные будут обрабатываться.

    Как правильно создать форму для сбора персданных

    Эти правила необходимо закрепить в отдельном документе. Он может называться Политикой конфиденциальности, Политикой обработки персональных данных или иначе. Название непринципиально — главное, чтобы документ содержал все сведения, которые требует закон.

    Что должно быть в Политике обработки персональных данных

    Информация, которая должна быть в документе об обработке персональных данных

    Сам документ обычно размещают в футере сайта, а ссылку на него нужно добавить в форму подписки.

    Законная форма сбора персональных данных

    Законная форма сбора персональных данных на сайте Zarina

    Чекбокс для согласия

    Сама по себе форма не считается согласием на обработку ПД: важно, чтобы пользователь выразил активное согласие на это. Проще всего добиться этого, добавив в форму чекбокс. И лучше всего — пустой!

    А чтобы не нарушить закон о рекламе, добавьте в этот или отдельный чекбокс согласие на получение рекламной рассылки.

    Форма подписки на рассылку с объединённым чекбоксом

    Форма подписки на рассылку SELA с объединённым чекбоксом

    Форма подписки на емейл-рассылку с двумя чекбоксами

    Форма подписки на рассылку EMAILMATRIX с двумя чекбоксами

    Возможность подтверждения подписки

    Мы рекомендуем после подписки через форму отправлять пользователю письмо для подтверждения — Double Opt-in. Это дополнительное доказательство того, что человек самостоятельно выразил активное согласие на подписку, и защита на случай, если форму за него заполнил кто-то другой.

    Двойное подтверждение подписки приносит пользу не только в юридических, но и в других задачах. В частности, бережёт техническую репутацию отправителя и позволяет не тратить ресурсы на незаинтересованных подписчиков. Подробнее об этом — в нашей статье.

    Форма подписки на рекламную рассылку
    Пример Double Opt-in
    Double Opt-in «Вкусно — и точка»

    Доказательства получения согласия

    Ручное проставление галочки пользователем нужно фиксировать в лог-файлах. Если потребуется подтвердить корректность сбора ПД, у вас будут доказательства. Назначьте ответственного, который будет контролировать работоспособность лог-файлов и сможет их расшифровать.

    Лог-файл — это документ, который фиксирует все действия и события на сайте в хронологическом порядке.

    Согласие на обработку ПД должны дать именно вам, поэтому никогда не покупайте базы и работайте только со своей реальной аудиторией. Если пользователи из покупной базы и давали согласие на обработку, то оно относится к другой компании.

    Как правильно хранить персональные данные

    Локализация

    С 1 июля 2025 года закон обязывает использовать для сбора и дальнейшей обработки ПД только оборудование, расположенное на территории РФ. Невыполнение влечёт штраф для компании — от 1 000 000 до 6 000 000 рублей.

    Данные можно передавать за рубеж, но только в соответствии с требованиями закона и Приказа Роскомнадзора № 128. Вот что для этого нужно:

    1. Запросить у госорганов «страны-получателя» следующие сведения:

      • информацию о защите и об условиях прекращения обработки ПД;

      • информацию о правовом регулировании в области ПД (если страны нет в специальном перечне и она не относится к Конвенции Совета Европы);

      • наименование или ФИО, а также номера телефонов, почтовые и емейл-адреса иностранных получателей ПД.

    2. Направить Роскомнадзору уведомление о намерении трансграничной передачи ПД. Ответ поступит в течение десяти дней — после этого можно передавать данные.

    Вступление в реестр операторов

    Все компании, работающие с ПД, должны быть включены в реестр операторов персональных данных — иначе бизнесу грозит штраф от 100 000 до 300 000 рублей.

    Для этого до начала обработки ПД нужно отправить в Роскомнадзор уведомление: через сайт, «Госуслуги», по почте или в отделении РКН по месту регистрации. В течение 30 дней ведомство внесёт компанию в реестр — и только после этого можно приступать к сбору и обработке ПД.

    Техническая защита персональных данных

    Персональные данные — это конфиденциальные сведения, поэтому любая компания, которая их получает, обязана обеспечить их безопасность.

    Меры безопасности зависят от способа обработки данных. Если компания ведёт автоматизированную обработку (то есть не на бумаге), на неё распространяются требования Правительства и Федеральной службы по техническому и экспортному контролю. Чтобы выполнить эти требования, нужно привлекать технических специалистов или арендовать сервер компании, которая уже соблюдает эти правила.

    Как мы защищаем персональные данные клиентов на практике

    Нюансов обработки ПД крайне много. Наш главный принцип на всех этапах подготовки рассылки — соблюдать закон. Вот основные правила EMAILMATRIX в работе с ПД клиентов:

    1. обрабатываем только те ПД, которые разрешил пользователь самостоятельно;
    2. не выходим за пределы согласия на обработку;
    3. соблюдаем сроки хранения;
    4. обеспечиваем мощную техническую защиту.
    Если вы подписаны на нашу рассылку, то уже получаете классные и законные письма. Если ещё не подписались, то самое время это исправить!

    Когда мы создаём рассылки для подписчиков наших клиентов и работаем с их базами, то также обеспечиваем полную безопасность ПД. Чтобы передача данных нам была правомерной, клиент запрашивает у пользователей соответствующее согласие через свою Политику конфиденциальности. А гарантию соблюдения этого правила мы закрепляем во всех договорах:

    Передача персданных третьим лицам

    Частые вопросы: что ещё нужно знать о штрафах за персональные данные

    Обязательно ли добавлять чекбокс в форму подписки, где собирается только емейл?

    И да, и нет.

    Если говорить о необходимости вообще брать согласие на обработку ПД, когда не собираются имя или телефон, — да, это нужно делать. Потому что емейл-адрес также может оказаться персональными данными, если по нему можно установить личность человека.

    При этом в законе не говорится о том, что согласие нужно получать именно через чекбокс. Мы рекомендуем его, потому что это самый простой и безопасный способ, соответствующий разъяснениям Роскомнадзора и судебной практике.

    Нужно получать согласие каждый раз во всех формах или достаточно одного раза?

    Если данные не изменились, то повторное получение согласия не требуется. Но с технической точки зрения сложно настроить показ формы только тем, кто её ещё не заполнял. Поэтому проще предлагать её всем пользователям.

    При сборе новых или дополнительных данных о пользователе нужно получать отдельное согласие.

    Можно ли получить согласие через кнопку, прописав в форме сбора ПД, что нажатием пользователь даёт это согласие?

    Если до нажатия пользователь имеет возможность ознакомиться с условиями обработки (в форме есть ссылка на документ), то да, это приемлемый вариант. Но обязательно нужно фиксировать в лог-файлах доказательства получения согласия: дату, IP-адрес пользователя и другие параметры, которые помогут его идентифицировать.

    Согласие на обработку персданных в форме подписки

    Подписка с согласием на обработку ПД через кнопку в форме 12 STOREEZ

    Использовать кнопку или чекбокс в форме сбора ПД — зависит от целей сбора:

    • Если согласие нужно для одноразового использования, то можно обойтись кнопкой.

    • Если вы планируете использовать ПД регулярно, то это уже дополнительная цель сбора данных. Пользователь должен сам решить, желает ли он постоянно взаимодействовать с компанией, — согласие через чекбокс будет более явным.

    Когда для емейл-рассылки требуется письменное согласие на обработку персональных данных?

    Письменное согласие нужно для обработки специальных категорий ПД. Они касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

    Письменное согласие нужно не всегда: закон предусматривает исключения. Например, прислать результаты анализов в письме клиника может без него:

    Когда не нужно письменное согласие на обработку персданных

    А вот если клиника захочет добавить результаты анализов в профиль клиента в базе (для персонализированных предложений), на это уже потребуется письменное согласие.

    Рассылка с использованием спецкатегорий персданных

    Рассылка «Гемотеста» с использованием специальных категорий ПД

    Если вы не работаете со специальными категориями ПД, то письменное согласие вам не нужно — будет достаточно обычной формы на сайте.

    Нужно ли добавлять согласие на обработку ПД в письмо, подтверждающее подписку?

    Это необязательно, так как согласие размещается в самой форме подписки. Но если вы хотите повторно обратить на него внимание, то можете его продублировать.

    Сколько раз можно отправлять письмо с подтверждением подписки, если с первого раза пользователь не подтвердил?

    Рекомендуем отправлять не больше двух писем. Первое — сразу после заполнения формы, пока человек не отвлёкся от намерения подписаться. Если оно проигнорировано, можно послать напоминание через 1–2 дня.

    Цепочка подтверждения подписки на рассылку

    Цепочка подтверждения подписки на рассылку Askona

    Если ответа нет, прекратите взаимодействие с пользователем, иначе либо он сам, либо почтовик отправят вас в спам. Это снизит репутацию отправителя, ухудшит доставляемость и эффективность емейл-маркетинга в целом.

    Чек-лист: что проверить емейл-маркетологу, чтобы избежать штрафов за персональные данные

    • Компания включена в реестр операторов ПД.

    • ПД собираются и хранятся в России.

    • Вы работаете со своей базой, а не купленной.

    • Все согласия пользователь дал именно вашей компании, а не кому-то другому.

    • Соблюдены требования к защите ПД.

    • В формах сбора ПД есть ссылка на документ с правилами обработки.

    • В формах сбора ПД есть чекбокс для согласия без предустановленной галочки.

    • Настроено хранение лог-файлов и назначен ответственный за их расшифровку.

    • Письмо с подтверждением подписки отправляется не больше двух раз.

    Штрафы за нарушение закона о персональных данных: выводы

    Емейл-маркетинг постоянно развивается — в том числе его юридическая сторона. С 30 мая 2025 года штрафы за неправильную работу с персональными данными значительно выросли. Чтобы не столкнуться с ними, нужно:

    • изучить и соблюдать законы о рекламе и о персональных данных, отслеживать законодательные изменения через первоисточники и вовремя на них реагировать;

    • не работать с покупными базами;

    • пользоваться нашим чек-листом для самопроверки

    Хотите отправлять эффективные письма и не беспокоиться о возможных штрафах? Проведём аудит вашего емейл-маркетинга, возьмём рассылку на себя, создадим правильные формы. Обращайтесь!
    Чек-лист эффективной рассылки
    Пришлём на почту
    Имя
    Email *
    Рекомендуем
    Не только эмодзи. Что ещё можно добавить к теме письма, чтобы выделиться в инбоксе
    Мемы в емейл-рассылках: используем правильно
    Как увеличить средний доход с одного пользователя (ARPU): считаем, прогнозируем, управляем
    Почему гифки хороши для писем и как их эффективно использовать: 20 примеров
    Array
(
    [0] => WP_Term Object
        (
            [term_id] => 1425
            [name] => Статьи
            [slug] => articles
            [term_group] => 0
            [term_taxonomy_id] => 1907
            [taxonomy] => category
            [description] => 
            [parent] => 0
            [count] => 797
            [filter] => raw
            [cat_ID] => 1425
            [category_count] => 797
            [category_description] => 
            [cat_name] => Статьи
            [category_nicename] => articles
            [category_parent] => 0
        )

)
    Поделиться статьёй
    Подписаться на рассылку
    Угадайте, кто использует куки? Правильно, мы. Подробности тут
    Все статьи Справочник Сервисы События