Рассылки по общедоступным адресам электронных почт: правовое заключение

1. Введение

Актуальность проблемы email-рассылок по корпоративным адресам в B2B-сегменте

Email-маркетинг остается одним из ключевых инструментов для построения B2B-коммуникаций, привлечения потенциальных клиентов (лидогенерации) и информирования существующих партнеров о новых продуктах, услугах или изменениях в деятельности компании.¹ Эффективность этого канала во многом зависит от возможности охвата целевой аудитории, в том числе посредством рассылок на общедоступные корпоративные адреса электронной почты. Однако, по мере роста цифровизации бизнес-процессов, наблюдается параллельное ужесточение законодательства в сфере обработки персональных данных и распространения рекламы, а также усиление контроля со стороны надзорных органов. Это создает определенную “зону напряжения” для бизнеса: компании стремятся использовать эффективные и относительно недорогие каналы коммуникации, но при этом рискуют нарушить сложные и не всегда однозначно трактуемые правовые нормы, что может повлечь за собой значительные финансовые санкции и репутационные потери.

Особую сложность представляет правовая квалификация рассылок на так называемые “общие” или “общедоступные” адреса электронной почты компаний (например, info@company.ru, sales@company.ru). Существует распространенное заблуждение, что такие адреса не подпадают под действие законодательства о персональных данных, и на них можно беспрепятственно направлять любые сообщения. Как будет показано в настоящем исследовании, такая позиция является упрощенной и не учитывает всей полноты правового регулирования.

Краткий обзор ключевых законодательных актов и регуляторных органов

Правовое поле, регулирующее email-рассылки в России, является многослойным и затрагивает несколько ключевых законодательных актов:

Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных” (далее – ФЗ-152) ³, устанавливающий правила обработки любой информации, относящейся к физическому лицу.
Федеральный закон от 13.03.2006 № 38-ФЗ “О рекламе” (далее – ФЗ “О рекламе”) ⁵, регулирующий порядок распространения рекламной информации, включая требования к получению согласия адресата.
Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации” (далее – ФЗ “Об информации”) ⁷, закладывающий общие принципы работы с информацией и ее защиты.
Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), устанавливающий ответственность за нарушения в сфере персональных данных и рекламы.
Уголовный кодекс Российской Федерации (УК РФ), предусматривающий ответственность за более серьезные правонарушения, связанные с незаконным оборотом персональных данных и неправомерным доступом к компьютерной информации.

Ключевыми регуляторными органами в данной сфере являются:

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор, РКН) – уполномоченный орган по защите прав субъектов персональных данных.
Федеральная антимонопольная служба (ФАС России) – контролирующий орган в сфере соблюдения законодательства о рекламе.

Сложность правового регулирования email-рассылок обусловлена именно пересечением норм различных отраслей права. Отсутствие единого, всеобъемлющего “закона об email-маркетинге” вынуждает компании и юристов собирать применимые требования по частям из указанных (и некоторых других) нормативных правовых актов, анализируя их во взаимосвязи.

Цели и задачи исследования

Цель настоящего исследования – предоставить комплексный анализ правового регулирования и актуальной правоприменительной практики, связанной с осуществлением email-рассылок на общедоступные адреса электронной почты компаний в Российской Федерации.

Для достижения поставленной цели были определены следующие задачи:

Проанализировать релевантные положения российского законодательства, регулирующие обработку персональных данных, распространение рекламы и использование информационных технологий применительно к email-рассылкам.
Определить правовой статус общедоступных корпоративных email-адресов, включая адреса типа info@company.ru, с учетом последних тенденций судебной практики.
Рассмотреть детальные требования к получению согласия на обработку персональных данных и на получение рекламных сообщений, а также их отличия.
Оценить правомерность различных методов сбора email-адресов, включая автоматизированный сбор (парсинг) с общедоступных интернет-ресурсов.
Изучить официальные позиции и разъяснения Роскомнадзора и ФАС России по вопросам, связанным с темой исследования.
Проанализировать актуальную судебную практику, включая значимые прецеденты и определения высших судебных инстанций.
Описать виды и размеры юридической ответственности за нарушения законодательства при осуществлении email-рассылок.
Предложить практические рекомендации, а также технические и организационные меры, направленные на обеспечение законности email-коммуникаций в B2B-сегменте.

Структура документа

Настоящий документ структурирован следующим образом:

Раздел 2 посвящен обзору нормативно-правовой базы.
Раздел 3 анализирует правовой статус общедоступных email-адресов компаний.
Раздел 4 рассматривает правовые риски сбора (парсинга) email-адресов.
Раздел 5 детализирует требования к получению необходимых согласий.
Раздел 6 освещает практику контролирующих органов (Роскомнадзора и ФАС России).
Раздел 7 анализирует релевантную судебную практику.
Раздел 8 описывает виды и меры ответственности за нарушения.
Раздел 9 предлагает чек-лист технических и организационных мер.
Раздел 10 содержит заключение и ключевые выводы.

2. Нормативно-правовая база регулирования email-рассылок в России

Эффективное и законное осуществление email-рассылок требует глубокого понимания целого комплекса нормативно-правовых актов. Как уже отмечалось, единого закона, посвященного исключительно email-маркетингу, в России не существует. Регулирование складывается из норм законодательства о персональных данных, о рекламе, об информации, а также положений кодексов об административной и уголовной ответственности.

2.1. Федеральный закон № 152-ФЗ “О персональных данных” (ФЗ-152) ³

Данный закон является основополагающим при любой обработке информации, которая может быть отнесена к персональным данным физических лиц.

Основные понятия (ст. 3 ФЗ-152):

Персональные данные (ПДн): “любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)”.⁹Ключевым для понимания является связь информации с физическим лицом и возможность его идентификации. Применимость этого определения к корпоративным email-адресам будет подробно рассмотрена в Разделе 3.
Обработка ПДн: “любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных”. Таким образом, любая операция с email-адресом, если он признан ПДн (например, его сбор, хранение в базе, использование для отправки письма), будет считаться обработкой ПДн.
Субъект ПДн: физическое лицо, к которому относятся персональные данные.
Оператор: “государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными”. Компания, осуществляющая email-рассылку по базе адресов, является оператором ПДн, если эти адреса относятся к ПДн.

Условия обработки ПДн (ст. 6 ФЗ-152):

Обработка ПДн допускается в строго определенных случаях. Наиболее релевантным для email-рассылок является обработка с согласия субъекта ПДн.¹⁰ Однако закон предусматривает и другие основания, например:

Исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
Статистические или иные исследовательские цели при условии обязательного обезличивания ПДн.
Осуществление прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.
Обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных). Этот пункт требует особого внимания в контексте использования “общедоступных” email-адресов, однако его применение было существенно уточнено с введением статьи 10.1 ФЗ-152.

Общедоступные источники ПДн (ст. 8 ФЗ-152):

Статья 8 ФЗ-152 допускает создание общедоступных источников ПДн (например, справочников, адресных книг) в целях информационного обеспечения. В такие источники ПДн могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн, только с его письменного согласия.¹¹ Важно, что сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников по его требованию либо по решению суда или иных уполномоченных государственных органов.¹²

Следует отметить, что судебная практика ограничительно толкует понятие общедоступности. Например, Московский Арбитражный суд в определении по делу №А40-5250/17 (2017 г.) указал, что персональные данные, публикуемые в социальных сетях, не являются общедоступными в смысле ст. 8 ФЗ-152, а социальные сети не являются источником общедоступных сведений.¹¹ Это означает, что сам факт нахождения информации в открытом доступе в интернете не делает ее автоматически “общедоступной” в понимании ФЗ-152 для целей ее свободного использования без согласия.

Особенности обработки ПДн, разрешенных субъектом персональных данных для распространения (ст. 10.1 ФЗ-152) ¹⁰:

Эта статья, введенная Федеральным законом от 30.12.2020 № 519-ФЗ и вступившая в силу с 1 марта 2021 года ¹⁶, коренным образом изменила подход к использованию ПДн, которые субъект сделал доступными неограниченному кругу лиц. Введение данной нормы значительно усложнило процедуру получения согласия на распространение ПДн, что напрямую влияет на массовые рассылки, если используемые email-адреса признаются ПДн и их использование квалифицируется как распространение (например, передача базы адресов третьим лицам или даже массовая рассылка самой компанией, если это выходит за рамки первоначальной цели сбора).

Ключевые положения ст. 10.1 ФЗ-152:

Отдельное согласие на распространение: Согласие на обработку ПДн, разрешенных для распространения, должно быть получено отдельно от других согласий на обработку ПДн.¹³ Это означает, что общего согласия на обработку ПДн (например, при регистрации на сайте) недостаточно для того, чтобы считать эти данные разрешенными для распространения.
Возможность выбора субъектом: Оператор обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на их распространение.¹³
Молчание или бездействие не являются согласием: Ни при каких обстоятельствах молчание или бездействие субъекта ПДн не могут считаться согласием на обработку его ПДн, разрешенных для распространения.¹³
Право на запреты и условия: Субъект ПДн в своем согласии на распространение вправе устанавливать запреты на передачу (кроме предоставления доступа) этих ПДн оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц.¹³ Оператор не вправе отказать субъекту в установлении таких запретов и условий.
Обязанность оператора по публикации условий: Оператор обязан не позднее трех рабочих дней с момента получения соответствующего согласия субъекта ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных для распространения.¹³
Требование о прекращении распространения: Передача (распространение, предоставление, доступ) ПДн, разрешенных для распространения, должна быть прекращена в любое время по требованию субъекта ПДн.¹³

Для реализации положений ст. 10.1 ФЗ-152 был издан Приказ Роскомнадзора от 24.02.2021 № 18 “Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения” (далее – Приказ РКН №18).13 Этот приказ устанавливает исчерпывающие и весьма детализированные требования к содержанию такого согласия. Оно должно включать, в частности:

* Фамилию, имя, отчество (при наличии) субъекта ПДн.

* Контактную информацию субъекта ПДн (номер телефона, адрес электронной почты или почтовый адрес).

* Наименование (фамилию, имя, отчество (при наличии)) и адрес оператора, получающего согласие субъекта ПДн.

* Цель (цели) обработки ПДн.

* Категории и перечень ПДн, на обработку которых дается согласие субъекта ПДн.

* Категории и перечень ПДн, в отношении которых субъект ПДн устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов.

* Условия, при которых полученные ПДн могут передаваться оператором, осуществляющим их обработку, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных ПДн.

* Срок, в течение которого действует согласие субъекта ПДн.

* Информацию об информационных ресурсах оператора (адрес сайта в сети “Интернет”), посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с ПДн субъекта ПДн (в случае, если предполагается такое предоставление доступа).

Согласие на распространение ПДн может быть предоставлено оператору непосредственно или с использованием информационной системы Роскомнадзора.¹³

2.2. Федеральный закон № 38-ФЗ “О рекламе” ⁵

Данный закон регулирует отношения, возникающие в процессе производства, размещения и распространения рекламы.

Понятие рекламы (ст. 3 ФЗ “О рекламе”):

“Реклама – информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке”.1

Email-рассылка будет считаться рекламой, если ее содержание направлено на продвижение товаров, услуг, самой компании или иного объекта рекламирования.

ФАС России дает разъяснения относительно того, какая информация не является рекламой. Например, информация о производимых или реализуемых товарах, размещенная на официальном сайте производителя или продавца, если такая информация предназначена для информирования посетителей сайта об ассортименте товаров (услуг), правилах пользования и т.п., и не направлена на выделение конкретного товара или самой компании среди однородных, по общему правилу, рекламой не является.²⁵ Однако, активная email-рассылка, направляемая третьим лицам, как правило, выходит за рамки этих исключений и будет рассматриваться как реклама, если соответствует ее признакам.

Требования к рекламе, распространяемой по сетям электросвязи (ст. 18 ФЗ “О рекламе”) ¹:

Это ключевая статья для регулирования email-рассылок рекламного характера.

Предварительное согласие: Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи (и, соответственно, электронной почты), допускается только при условии предварительного согласия абонента или адресата на получение рекламы.¹
Бремя доказывания: Реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено.¹ Это означает, что обязанность доказать наличие согласия лежит на компании, осуществляющей рассылку.
Требование о прекращении (opt-out): Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.⁶

Пометка “Реклама”:

Согласно разъяснениям ФАС России, email-рассылки, как распространяемые по сетям электросвязи, формально не требуют обязательной пометки “Реклама”.²⁹ Однако, учитывая возможность различного толкования законодательства и в целях обеспечения большей прозрачности для получателей, рекомендуется включать такую пометку, а также указывать наименование и ИНН рекламодателя (или рекламораспространителя).²⁹

2.3. Федеральный закон № 149-ФЗ “Об информации, информационных технологиях и о защите информации” ⁷

Данный закон устанавливает общие принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации. Хотя он напрямую не регламентирует содержание email-рассылок, его положения важны с точки зрения:

Определения основных понятий (ст. 2 ФЗ “Об информации”) ⁸, таких как “информация”, “информационные технологии”, “информационная система”, “оператор информационной системы”.
Принципов правового регулирования (ст. 3 ФЗ “Об информации”) ⁸, включая свободу поиска, получения, передачи, производства и распространения информации любым законным способом, а также установление ограничений доступа к информации только федеральными законами.
Рассмотрения информации как объекта правовых отношений (ст. 5 ФЗ “Об информации”).⁸
Обязанностей обладателя информации ⁷: соблюдать права и законные интересы иных лиц, принимать меры по защите информации, ограничивать доступ к информации, если такая обязанность установлена федеральными законами.⁷ Это положение может быть релевантно при формировании и хранении баз email-адресов, особенно если они содержат ПДн или коммерческую тайну.

2.4. Кодекс Российской Федерации об административных правонарушениях (КоАП РФ)

КоАП РФ устанавливает административную ответственность за нарушения законодательства о персональных данных и о рекламе.

Статья 13.11 КоАП РФ: Нарушение законодательства Российской Федерации в области персональных данных 2:

Эта статья содержит несколько частей, предусматривающих ответственность за различные нарушения ФЗ-152. Наиболее актуальные для email-рассылок:

Часть 1: Обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями сбора ПДн. Штрафы для юридических лиц – от 60 000 до 100 000 рублей; за повторное – от 100 000 до 300 000 рублей.²⁸
Часть 2: Обработка ПДн без согласия в письменной форме субъекта ПДн на обработку его ПДн, когда такое согласие должно быть получено в соответствии с законодательством, либо обработка ПДн с нарушением установленных законодательством требований к составу сведений, включаемых в такое согласие. Штрафы для юридических лиц – от 150 000 до 300 000 рублей.³⁰ Эта часть особенно важна, если email-адрес признается ПДн и отсутствует надлежащее согласие на его обработку, включая согласие по ст. 10.1 ФЗ-152.
Часть 2.1: Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи. Штрафы для юридических лиц – от 300 000 до 700 000 рублей.³⁰
Часть 5.1: Невыполнение оператором при сборе ПДн, в том числе посредством сети “Интернет”, обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения ПДн граждан РФ с использованием баз данных, находящихся на территории РФ (требование о локализации). Штрафы для юридических лиц – от 1 000 000 до 6 000 000 рублей; за повторное – до 18 000 000 рублей.³³

Статья 14.3 КоАП РФ: Нарушение законодательства о рекламе ¹:

Часть 1: Нарушение рекламодателем, рекламопроизводителем или рекламораспространителем законодательства о рекламе (за исключением случаев, предусмотренных иными частями данной статьи и другими статьями КоАП). Штрафы для юридических лиц – от 100 000 до 500 000 рублей.³⁶ До недавнего времени это была основная статья для привлечения к ответственности за email-спам без согласия.
Часть 4.1 (введена Федеральным законом от 06.05.2024 № 78-ФЗ, вступила в силу с 17 мая 2024 года): Нарушение установленных законодательством о рекламе требований к рекламе, распространяемой по сетям электросвязи. Штрафы для юридических лиц – от 200 000 до 1 000 000 рублей.¹ Эта новая часть теперь является специальной нормой для ответственности за спам (включая email-спам) и предусматривает более высокие штрафы. Усиление ответственности по данной статье является явным сигналом о намерении законодателя активнее бороться с нежелательными рекламными рассылками.

2.5. Уголовный кодекс РФ (УК РФ)

В наиболее серьезных случаях нарушения законодательства при осуществлении email-рассылок, особенно связанных с незаконным сбором и использованием персональных данных, возможно наступление уголовной ответственности.

Статья 137 УК РФ: Нарушение неприкосновенности частной жизни.² Предусматривает ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия. Штраф до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательные работы, либо исправительные работы, и т.д.
Статья 272 УК РФ: Неправомерный доступ к компьютерной информации.⁴³ Может быть применима, если сбор email-адресов (парсинг) осуществлялся путем взлома или обхода технических средств защиты веб-сайтов, и это повлекло уничтожение, блокирование, модификацию либо копирование информации.
Статья 272.1 УК РФ (относительно новая): Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения.⁴³ Данная статья представляет собой серьезную угрозу для лиц, занимающихся систематическим незаконным сбором (например, парсингом), хранением и использованием баз персональных данных, включая email-адреса, если они признаются ПДн и отсутствуют законные основания для таких действий. Санкции по этой статье значительно серьезнее административных штрафов и могут включать лишение свободы на срок до 4 лет, а при наличии квалифицирующих признаков – и более длительные сроки.⁴³

Приведенный обзор законодательства показывает, что email-рассылки, особенно “холодные” и массовые, находятся на стыке нескольких правовых режимов, каждый из которых предъявляет свои требования и устанавливает свои санкции.

Таблица 1: Ключевые нормативно-правовые акты, регулирующие email-рассылки в России

Наименование НПА	Краткое описание релевантных положений	Основной регулятор	Ссылки на текст
Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных”	Определения ПДн, оператора, обработки; условия обработки ПДн; согласие на обработку и распространение ПДн (ст. 3, 6, 8, 9, 10.1).	Роскомнадзор	³
Приказ Роскомнадзора от 24.02.2021 № 18	Требования к содержанию согласия на распространение ПДн.	Роскомнадзор	²¹
Федеральный закон от 13.03.2006 № 38-ФЗ “О рекламе”	Определение рекламы; требования к рекламе по сетям электросвязи; необходимость предварительного согласия на получение рекламы (ст. 3, 18).	ФАС России	⁵
Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации”	Общие принципы оборота информации, обязанности обладателей информации.	–	⁷
Кодекс РФ об административных правонарушениях (КоАП РФ)	Ответственность за нарушения в области ПДн (ст. 13.11) и рекламы (ст. 14.3, включая новую ч. 4.1).	Роскомнадзор, ФАС России, Суды	³⁰
Уголовный кодекс РФ (УК РФ)	Ответственность за нарушение неприкосновенности частной жизни (ст. 137), неправомерный доступ к компьютерной информации (ст. 272), незаконный оборот ПДн (ст. 272.1).	Правоохранительные органы, Суды	⁴⁵

Данная таблица предоставляет структурированный обзор основной законодательной базы, которая будет подробно анализироваться в последующих разделах. Она наглядно демонстрирует многоуровневый характер правового регулирования email-рассылок в России.

3. Правовой статус общедоступных адресов электронной почты компаний

Одним из наиболее дискуссионных и практически значимых вопросов является определение правового статуса email-адресов компаний, размещенных в открытом доступе, в частности, их отнесение к персональным данным и возможность их использования для рассылок без предварительного согласия.

3.1. Определение “общедоступных” email-адресов компаний

Под “общедоступными” email-адресами компаний обычно понимают адреса электронной почты, которые юридическое лицо самостоятельно или через уполномоченных лиц размещает в открытых источниках для установления связи с ним. Типичными примерами являются:

Общие корпоративные адреса: info@company.ru, contact@company.ru, office@company.ru.
Функциональные адреса отделов: sales@company.ru, support@company.ru, hr@company.ru.
Адреса, указанные на официальных сайтах компаний в разделе “Контакты”, в публичных реестрах, на визитных карточках, в рекламных материалах.

Принципиальное отличие таких адресов от персональных email-адресов сотрудников (например, ivanov.i.i@company.ru или petr.sidorov@company.ru) заключается в том, что общие корпоративные адреса, как правило, не привязаны к конкретному физическому лицу, а предназначены для коммуникации с организацией в целом или ее структурным подразделением. Доступ к таким почтовым ящикам обычно имеют несколько сотрудников.

Информация, размещенная на официальном сайте компании, включая контактные данные, имеет определенный правовой статус. Например, ФАС России разъясняет, что информация о собственных товарах и услугах, размещенная на сайте производителя или продавца, как правило, не является рекламой, если она направлена на информирование посетителей об ассортименте и условиях, а не на выделение конкретного товара или самой организации.²⁵ Однако это разъяснение касается характера информации (рекламная/нерекламная), а не правового статуса самого email-адреса как объекта данных.

3.2. Являются ли корпоративные email-адреса персональными данными?

Вопрос отнесения email-адресов к персональным данным является ключевым, поскольку от ответа на него зависит применимость всего комплекса требований ФЗ-152.

Позиция Минцифры России и традиционный подход Роскомнадзора:

Министерство цифрового развития, связи и массовых коммуникаций РФ в своих разъяснениях (например, письмо от 17.03.2022 № П25-5623-ОГ) указывает, что адрес электронной почты может быть признан персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу.10 Это происходит, когда email-адрес ассоциируется с другой личной информацией, например, содержит имя, фамилию, отчество или другие идентифицирующие детали, либо когда он используется в совокупности с такими данными. Роскомнадзор исторически придерживался схожей позиции, склоняясь к достаточно широкому толкованию понятия персональных данных и включая в них email-адреса, если по ним можно идентифицировать физическое лицо.11 Однако, в отношении общих корпоративных адресов типа “info@” четких официальных разъяснений от Роскомнадзора о том, являются ли они безусловно персональными данными, не было представлено.48

Анализ Определения Верховного Суда РФ от 21.07.2023 № 305-ЭС23-12160 (дело СК “Арсеналъ”):

Значительное влияние на практику отнесения email-адресов к персональным данным оказало Определение Верховного Суда РФ от 21 июля 2023 г. № 305-ЭС23-12160 по делу ООО “Страховая компания “Арсеналъ””.2

Суть дела: Роскомнадзор привлек страховую компанию к ответственности за то, что на ее сайте через форму обратной связи собирались email-адреса и номера телефонов потенциальных клиентов без получения их согласия на обработку персональных данных. Форма не требовала указания ФИО или иных прямых идентификаторов.⁵²
Позиция судов (поддержана ВС РФ): Суды всех инстанций, включая Верховный Суд, который отказал в передаче кассационной жалобы Роскомнадзора для рассмотрения, пришли к выводу, что адрес электронной почты и номер телефона сами по себе, в отсутствие дополнительных идентифицирующих сведений (таких как ФИО), не являются персональными данными. Аргументация судов строилась на том, что такая информация не позволяет однозначно идентифицировать конкретное физическое лицо.⁴⁹ Суды указали, что форма обратной связи использовалась не для идентификации потребителя с целью заключения договора, а для последующего контакта сотрудника компании с потенциальным клиентом, которым могло быть и юридическое лицо или ИП.⁵² Также была проведена аналогия с изменчивостью email-адресов и телефонных номеров: они могут быть удалены, переданы другому пользователю, что не позволяет говорить об их однозначной и постоянной привязке к конкретному физлицу без дополнительных данных.⁵⁴

Значение Определения ВС РФ для корпоративных email (типа info@):

Данное Определение ВС РФ создает важный прецедент. Исходя из логики судов, общий корпоративный email-адрес (например, info@company.ru, sales@company.ru), который по своей природе предназначен для коммуникации с юридическим лицом в целом или его функциональным подразделением и не используется для идентификации конкретного физического лица, с высокой долей вероятности не будет признаваться персональными данными. Такие адреса не содержат ФИО и не направлены на идентификацию конкретного сотрудника. Доступ к ним, как правило, имеют несколько уполномоченных сотрудников, и письма, направленные на такой адрес, адресуются организации, а не персонально кому-либо из ее работников.

Таким образом, если к общему корпоративному адресу не прилагаются иные сведения, позволяющие в совокупности идентифицировать конкретное физическое лицо (например, ФИО менеджера, ответственного за обработку писем с данного ящика, в контексте конкретной переписки), то такой адрес, согласно позиции ВС РФ, не должен подпадать под регулирование ФЗ-152.

Ограничения и необходимость осторожного подхода:

Несмотря на позитивное для бизнеса Определение ВС РФ, эксперты и юридические комментаторы рекомендуют сохранять консервативный подход.2 Во-первых, решение было вынесено по конкретному делу с конкретными обстоятельствами. Во-вторых, Роскомнадзор может пытаться ограничить применение этого прецедента. В-третьих, если общий корпоративный email-адрес обрабатывается в информационной системе (например, CRM) вместе с другими данными, которые в совокупности позволяют идентифицировать конкретное физическое лицо (например, история переписки с конкретным менеджером, который отвечал с адреса info@, и его ФИО зафиксированы в системе), то такая совокупность данных может быть признана персональными данными.

Различие между email физического лица и email юридического лица:

ФЗ-152 направлен на защиту персональных данных именно физических лиц. Email-адрес, принадлежащий юридическому лицу и используемый для официальной коммуникации с ним (например, info@company.ru), сам по себе не является персональными данными какого-либо физического лица, если только через него или в совокупности с ним не происходит идентификация конкретного сотрудника, и коммуникация не нацелена на этого сотрудника персонально.

3.3. Является ли размещение email на сайте компании согласием на получение рассылок?

Этот вопрос имеет два аспекта: согласие на получение рекламы и согласие на обработку персональных данных (если email признается ПДн).

Согласие на получение рекламы:

Позиция Федеральной антимонопольной службы (ФАС России) здесь однозначна и последовательна: нет, не является. Сам по себе факт размещения компанией своего email-адреса на официальном сайте или в других открытых источниках не означает ее согласия на получение рекламных сообщений от третьих лиц.25 Для направления рекламной рассылки требуется явное предварительное согласие адресата, соответствующее требованиям статьи 18 ФЗ “О рекламе”.

Эта позиция подтверждается и судебной практикой, в частности, Постановлением Пленума Высшего Арбитражного Суда РФ от 08.10.2012 № 58 “О некоторых вопросах практики применения арбитражными судами Федерального закона “О рекламе”.¹ В данном Постановлении указано, что согласие на получение рекламы должно быть получено таким образом, чтобы можно было не только однозначно идентифицировать лицо (подписчика, абонента, адресата), которое дало это согласие, но и подтвердить его волеизъявление на получение рекламы от конкретного рекламораспространителя. Согласие на получение от конкретного лица информации справочного характера (например, о прогнозе погоды, курсах валют) не может быть истолковано как согласие на получение от этого лица рекламы.

Следовательно, даже если общий корпоративный email-адрес (info@company.ru) не будет признан персональными данными физического лица, отправка на него рекламных сообщений без предварительного явного согласия самой компании (как адресата) будет являться нарушением ФЗ “О рекламе”.

Согласие на обработку персональных данных:

Аналогично, если email-адрес (даже общедоступный) все же признается персональными данными в конкретной ситуации, его размещение на сайте не означает автоматического согласия на его обработку для любых целей, особенно для целей, не связанных с первоначальным размещением (например, для включения в базу данных для массовых рассылок).14 Для такой обработки требуются законные основания согласно ФЗ-152, одним из которых является согласие субъекта. Если речь идет о распространении этих ПДн (например, путем массовой рассылки), то требуется специальное согласие по правилам статьи 10.1 ФЗ-152 и Приказа РКН №18.

Таким образом, Определение ВС РФ № 305-ЭС23-12160, потенциально выводящее общие корпоративные email-адреса из-под действия ФЗ-152, не отменяет требований ФЗ “О рекламе”. Это означает, что для отправки рекламных сообщений на любой email-адрес (включая info@company.ru) по-прежнему требуется предварительное согласие адресата. Это ключевое различие, которое компании часто упускают из виду. Если же рассылка не является рекламной (например, информационное письмо действующему партнеру по условиям договора), то вопрос о согласии по ФЗ “О рекламе” не стоит, но может стоять вопрос о законности обработки email как ПДн, если он таковым признается.

Возникает практический вопрос: если адресатом рекламной рассылки на info@company.ru является юридическое лицо, то чье именно согласие и в какой форме должно быть получено? Предполагается, что согласие должно быть выражено уполномоченным представителем юридического лица. Однако механизм получения такого “превентивного” согласия от компании до первой “холодной” рассылки не всегда очевиден. Практика ФАС чаще всего формируется на основании жалоб от физических лиц, получивших спам. Однако жалоба от юридического лица на нежелательную рекламу, поступившую на его официальный адрес, также будет рассматриваться ФАС на предмет нарушения статьи 18 ФЗ “О рекламе”.

Таблица 2: Сравнительный анализ статуса Email-адреса как ПДн и объекта рекламного регулирования

Тип Email	Потенциальное отнесение к ПДн (ФЗ-152)	Обоснование (включая Определение ВС РФ № 305-ЭС23-12160)	Необходимость согласия на обработку ПДн (ФЗ-152)	Необходимость согласия на получение рекламы (ФЗ “О рекламе”)	Обоснование (ФЗ “О рекламе”, ПП ВАС №58)
Личный email сотрудника(например, ivanov.i@company.ru)	Да, если позволяет идентифицировать физ. лицо.	Относится к конкретному физ. лицу. Определение ВС РФ не исключает такие адреса из ПДн, если есть идентификация.	Да, если нет иных законных оснований. Для распространения – по ст. 10.1 ФЗ-152.	Да, от физического лица.	Ст. 18 ФЗ “О рекламе” требует согласия абонента/адресата.
Общий корпоративный email (например, info@company.ru, sales@company.ru)	Вероятно, нет, если используется изолированно и не позволяет идентифицировать конкретное физ. лицо.	Определение ВС РФ № 305-ЭС23-12160: email сам по себе без доп. идентификаторов физ. лица не является ПДн. Адрес относится к юр. лицу.	Вероятно, нет, если не признается ПДн физ. лица. Если в совокупности с др. данными идентифицирует физ. лицо – то да.	Да, от юридического лица (адресата).	Ст. 18 ФЗ “О рекламе” требует согласия адресата. Размещение на сайте не является согласием. ПП ВАС №58.

Эта таблица наглядно демонстрирует, что даже если общий корпоративный email-адрес может быть выведен из-под действия законодательства о персональных данных благодаря Определению ВС РФ, это не освобождает от необходимости получать согласие на отправку рекламных сообщений согласно ФЗ “О рекламе”.

4. Сбор (парсинг) email-адресов с общедоступных источников: правовые риски

Парсинг (или веб-скрейпинг) email-адресов с веб-сайтов является распространенной практикой для формирования баз данных для последующих “холодных” рассылок. Однако такая деятельность сопряжена со значительными правовыми рисками.

4.1. Технические аспекты парсинга/скрейпинга

Парсинг представляет собой автоматизированный сбор данных с веб-страниц с использованием специальных программных средств – парсеров, ботов или скриптов. Эти инструменты способны быстро обходить большое количество сайтов, извлекать email-адреса (а также другую контактную информацию) и сохранять их в структурированном виде, формируя обширные базы данных.

4.2. Юридическая оценка парсинга в контексте ФЗ-152 и ФЗ “О рекламе”

С точки зрения ФЗ-152 “О персональных данных”:

Если собираемые email-адреса (даже общие корпоративные, если они в конкретном контексте или в совокупности с другой информацией будут признаны персональными данными) обрабатываются, то их сбор (парсинг) без согласия субъекта или иного законного основания является нарушением ФЗ-152.33 Парсинг – это одна из форм “сбора” персональных данных. Цель такого сбора (например, для последующих маркетинговых рассылок) должна быть заранее определена, законна, и на такую обработку должно быть получено соответствующее согласие субъекта ПДн.

Даже если email-адрес взят с “общедоступного” веб-сайта, это не отменяет общих правил обработки ПДн, если этот адрес признается таковым. Статья 10.1 ФЗ-152, регулирующая обработку ПДн, разрешенных субъектом для распространения, устанавливает строгие требования к получению отдельного, информированного согласия именно на распространение. Автоматический сбор адресов с сайтов с целью формирования базы для массовых рассылок вряд ли будет соответствовать этим требованиям, так как такое согласие от каждого субъекта, чей email (если он ПДн) попал в базу, не получается.

С точки зрения ФЗ “О рекламе”:

Сам по себе процесс сбора email-адресов ФЗ “О рекламе” напрямую не регулирует. Однако использование такой спарсенной базы для рассылки рекламных сообщений без предварительного согласия адресатов будет являться прямым нарушением статьи 18 ФЗ “О рекламе”. Бремя доказывания наличия такого согласия лежит на рекламораспространителе, и при использовании спарсенных баз предоставить такие доказательства практически невозможно.

С точки зрения законодательства об информации и базах данных:

Веб-сайт, его контент, включая структурированные списки email-адресов (если таковые имеются и представляют собой результат творческого труда по подбору и расположению материалов), может рассматриваться как база данных, охраняемая авторским правом или смежными правами изготовителя базы данных (ГК РФ, Часть IV).60 Несанкционированный парсинг (извлечение и использование существенной части такой базы данных) может нарушать исключительные права владельца сайта (изготовителя базы данных). Кроме того, условия использования многих веб-сайтов (пользовательские соглашения, terms of service) часто содержат прямой запрет на автоматизированный сбор данных (скрейпинг). Нарушение этих условий может повлечь гражданско-правовую ответственность.

В некоторых случаях, если парсинг связан с обходом технических средств защиты сайта (например, капчи, ограничений на количество запросов) или осуществляется с использованием вредоносного ПО, это может быть квалифицировано как неправомерный доступ к компьютерной информации по статье 272 УК РФ.⁴⁴

4.3. Официальная позиция регуляторов по парсингу

Роскомнадзор: Занимает последовательно негативную позицию в отношении сбора персональных данных без законных оснований. Парсинг email-адресов (если они признаются ПДн) для формирования баз данных без соответствующего согласия субъектов будет рассматриваться как нарушение ФЗ-152. Встречаются упоминания о прямом запрете на парсинг для сбора клиентских баз.²

ФАС России: Напрямую не регулирует сам процесс парсинга, но активно пресекает распространение рекламы (спама) по базам, собранным без согласия получателей. Если на ФАС поступит жалоба на рекламную рассылку, осуществленную по спарсенной базе, и рекламораспространитель не сможет доказать наличие предварительного согласия каждого адресата, последуют санкции по статье 14.3 КоАП РФ.

4.4. Судебная практика по делам о парсинге

Одним из наиболее известных дел, связанных с парсингом, является дело “ВКонтакте против Дабл”.⁶¹ Компания “Дабл” осуществляла парсинг данных пользователей из социальной сети “ВКонтакте” для последующего использования в скоринговых моделях. Дело прошло несколько инстанций с различными решениями, что свидетельствует о сложности и неоднозначности правового регулирования парсинга общедоступной информации и прав на базы данных. Хотя это дело напрямую не касалось email-рассылок, оно подняло фундаментальные вопросы о допустимости автоматизированного сбора данных из открытых источников.

В американской судебной практике существуют прецеденты, когда скрейпинг публичных сайтов не признавался нарушением некоторых федеральных законов (например, Computer Fraud and Abuse Act по делу LinkedIn против HiQ Labs).⁶² Однако, важно понимать, что это практика другой юрисдикции, и она не отменяет требований российского законодательства о персональных данных, рекламе и защите баз данных.

В целом, незаконность парсинга email-адресов для маркетинговых рассылок имеет многоаспектный характер. Это не только потенциальное нарушение ФЗ-152 (если email является ПДн и отсутствует согласие на сбор для конкретных целей), но и ФЗ “О рекламе” (если по этим адресам осуществляется рекламная рассылка без согласия адресатов). Кроме того, это может быть нарушением прав на базу данных и, в отдельных случаях, даже уголовного законодательства (статьи 272, 272.1 УК РФ).

Даже если Определение ВС РФ по делу СК “Арсеналъ” будет широко толковаться в пользу того, что изолированный общий корпоративный email не является ПДн, это напрямую не легализует сам процесс парсинга. Массовый автоматизированный сбор контактных данных с сайтов без ведома и согласия их владельцев (компаний) для последующего использования в коммерческих (рекламных) рассылках остается высокорискованной практикой с точки зрения ФЗ “О рекламе” и потенциальных претензий от владельцев сайтов за нарушение условий использования их ресурсов или прав на базы данных.

4.5. Ответственность за незаконный сбор ПДн путем парсинга

Если в результате парсинга собираются email-адреса, которые являются персональными данными, и такой сбор осуществляется без законных оснований (например, без согласия субъектов ПДн), наступает ответственность:

Административная ответственность:

Статья 13.11 КоАП РФ: предусматривает штрафы за обработку ПДн без согласия, незаконный сбор ПДн, обработку ПДн, несовместимую с целями сбора. Размеры штрафов для юридических лиц могут достигать сотен тысяч рублей, а за повторные нарушения – и более.² Например, за незаконный сбор ПДн (включая парсинг email из открытых источников без разрешения) штрафы для юрлиц могут составлять до 700 000 рублей, а при повторном нарушении – до 1 500 000 рублей.³³

Уголовная ответственность:

Статья 272.1 УК РФ: “Незаконные сбор, хранение, использование или распространение персональных данных”. Данная статья предусматривает серьезные санкции, вплоть до лишения свободы, особенно если деяние совершено группой лиц, с использованием служебного положения или повлекло тяжкие последствия.⁴³
Статья 137 УК РФ: “Нарушение неприкосновенности частной жизни”.
Статья 272 УК РФ: “Неправомерный доступ к компьютерной информации”, если парсинг был сопряжен с преодолением технических средств защиты.

Категорически запрещенными и незаконными методами формирования баз для рассылок являются:

Добавление в базу email-адресов тех, кто обращался в компанию по другим вопросам, без их явного согласия на получение рассылок.²
Поиск и скачивание готовых баз email-адресов в интернете.²
Покупка баз контактов у третьих лиц.² Такие базы почти всегда содержат адреса, собранные без надлежащего согласия, и их использование неминуемо приведет к нарушениям.
Сбор email-адресов из социальных сетей, с классифайдов и других онлайн-платформ без явного согласия пользователей этих платформ на такое использование их данных.²

Использование таких методов не только незаконно, но и неэффективно с точки зрения маркетинга, так как приводит к низкому качеству базы, жалобам на спам и ущербу для репутации отправителя.

5. Требования к согласию на рассылку и обработку данных

Для законного осуществления email-рассылок необходимо четко различать и правильно получать два основных вида согласия: согласие на получение рекламных сообщений и согласие на обработку персональных данных (если используемые email-адреса признаются ПДн). Смешение или подмена этих согласий является распространенной ошибкой, ведущей к нарушениям законодательства.

5.1. Согласие на получение рекламных сообщений (по ФЗ “О рекламе”)

Необходимость: В соответствии со статьей 18 ФЗ “О рекламе”, распространение рекламы по сетям электросвязи (включая email) допускается только при условии предварительного согласия абонента или адресата на ее получение.¹ Это требование распространяется на любые рекламные рассылки, независимо от того, является ли email-адрес получателя персональными данными.
Форма и способы получения: Закон не устанавливает строгую письменную форму для такого согласия, но оно должно быть предварительным, явным и недвусмысленным. Получатель должен четко понимать, что он соглашается именно на получение рекламы от конкретной компании.
- Рекомендуемые способы получения согласия:
  - Отдельный чек-бокс на сайте или в форме подписки с текстом вроде: “Я согласен(на) получать рекламные и информационные рассылки от [Название компании] на указанный email-адрес”.² Важно, чтобы чек-бокс не был предустановлен (т.е. не был отмечен по умолчанию).
  - Подписка на рассылку через специальную форму с ясной и прозрачной формулировкой цели подписки (например, “Подпишитесь на наши новости и специальные предложения”).²
  - Метод Double Opt-In (двойное подтверждение): после того как пользователь оставил свой email и выразил первичное согласие, ему на почту отправляется письмо со ссылкой для подтверждения подписки. Клик по этой ссылке окончательно подтверждает его намерение получать рассылки.² Хотя Double Opt-In не является прямым требованием закона, он считается “золотым стандартом” и лучшим способом доказать наличие информированного и сознательного согласия.
- Согласие должно быть получено таким образом, чтобы можно было однозначно идентифицировать лицо (абонента или адресата), давшее согласие, и подтвердить его волеизъявление на получение рекламы от конкретного рекламораспространителя.¹
Бремя доказывания: Обязанность доказать факт получения предварительного согласия адресата на получение рекламы лежит на рекламораспространителе.¹ Поэтому крайне важно не только правильно получить согласие, но и обеспечить надежное хранение доказательств его получения (например, лог-файлы сервера с данными о подписке, IP-адрес, дата и время согласия, текст формы, с которой было дано согласие, скриншоты и т.д.).²
Отличие от согласия на обработку ПДн: Согласие на получение рекламы и согласие на обработку персональных данных – это два разных юридических согласия, которые регулируются разными законами и не подменяют друг друга.¹ Наличие у компании согласия на обработку ПДн клиента (например, полученного при заключении договора) не означает автоматически, что клиент согласен получать от этой компании рекламные рассылки. Для этого требуется отдельное, явное согласие.
Содержание письма: Каждое рекламное письмо должно содержать достоверную информацию о рекламораспространителе (наименование, место нахождения, контактные данные).² Как отмечалось ранее, рекомендуется также указывать пометку “Реклама” и ИНН компании.²⁹

5.2. Согласие на обработку персональных данных (по ФЗ-152) (если email признается ПДн)

Если используемый для рассылки email-адрес (или совокупность данных, включающая email) признается персональными данными физического лица, то для его обработки (сбора, хранения, использования для рассылки и т.д.) необходимо получить согласие субъекта ПДн, если отсутствуют иные законные основания для такой обработки, предусмотренные статьей 6 ФЗ-152.

Общие требования к согласию на обработку ПДн (ст. 9 ФЗ-152):

Согласие должно быть конкретным, информированным и сознательным.
Оно может быть дано субъектом ПДн или его представителем в любой форме, позволяющей подтвердить факт его получения, если иное не установлено федеральным законом. В ряде случаев (например, для обработки специальных категорий ПДн, биометрических ПДн, трансграничной передачи в страны, не обеспечивающие адекватную защиту) требуется письменная форма согласия.
Согласие на обработку ПДн должно включать в себя, в частности:
1. Фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.
2. Наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта ПДн.
3. Цель обработки ПДн.
4. Перечень ПДн, на обработку которых дается согласие субъекта ПДн.
5. Наименование (фамилию, имя, отчество) и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу.
6. Перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн.
7. Срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва.
8. Подпись субъекта ПДн (для письменной формы или ее аналогов). ⁶⁴

Особые требования к согласию на обработку ПДн, разрешенных субъектом ПДн для распространения (ст. 10.1 ФЗ-152, Приказ РКН №18):

Как было подробно рассмотрено в Разделе 2.1, если ПДн (включая email, если он признан ПДн) предполагается сделать доступными неограниченному кругу лиц или иным образом распространять, то требуется получение отдельного согласия, соответствующего жестким требованиям статьи 10.1 ФЗ-152 и Приказа РКН №18.10

Ключевые особенности такого согласия:

Оформляется отдельно от иных согласий на обработку ПДн.
Субъект ПДн должен иметь возможность определить конкретный перечень ПДн, разрешаемых для распространения.
Субъект ПДн вправе установить запреты и условия на обработку отдельных категорий своих ПДн неограниченным кругом лиц.
Согласие должно содержать исчерпывающий перечень сведений, установленных Приказом РКН №18 (включая ФИО, контакты субъекта, данные оператора, цели, перечни ПДн, условия и запреты, срок действия, информацию об информресурсах оператора для публикации ПДн и др.).
Оператор обязан опубликовать информацию об условиях обработки и о наличии запретовне позднее трех рабочих дней с момента получения согласия.¹³

Практическая реализация требований к согласию на распространение ПДн для целей “холодных” массовых рассылок (если используемые email-адреса признаются ПДн) представляется крайне затруднительной. Получить такое детализированное и специфическое согласие от лица, с которым нет предварительных отношений (например, при использовании спарсенного адреса или адреса из общедоступного источника, где субъект не давал такого специального согласия именно этому оператору), практически невозможно. Это делает статью 10.1 ФЗ-152 и Приказ РКН №18 мощным барьером для использования ПДн из “открытых источников” для массовых рассылок без явного предварительного согласия, полученного в строгом соответствии с этими правилами.

5.3. Механизм отписки (opt-out)

Независимо от того, на каком основании осуществляется рассылка, у получателя всегда должна быть возможность легко и без затруднений отказаться от ее дальнейшего получения.

Обязательность по ФЗ “О рекламе”: Статья 18 ФЗ “О рекламе” прямо обязывает рекламораспространителя немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.⁶
Обязательность по ФЗ-152: Субъект ПДн вправе в любое время отозвать свое согласие на обработку ПДн. Для ПДн, разрешенных для распространения, статьей 10.1 ФЗ-152 предусмотрен специальный порядок прекращения их передачи (распространения, предоставления, доступа) по требованию субъекта ПДн.¹³
Практическая реализация: Каждое email-сообщение (особенно рекламное) должно содержать явную, хорошо заметную и легкодоступную ссылку или инструкцию для отписки от рассылки (например, ссылка “Отписаться от рассылки” в футере письма).² Процесс отписки должен быть максимально простым и не требовать от пользователя ввода дополнительных данных или выполнения сложных действий. Запросы на отписку должны обрабатываться и выполняться немедленно или в кратчайшие сроки.²

Таблица 3: Сравнительный анализ требований к согласиям: на обработку ПДн, на распространение ПДн и на получение рекламы

Аспект согласия	Согласие на обработку ПДн (ст. 9 ФЗ-152)	Согласие на распространение ПДн (ст. 10.1 ФЗ-152 + Приказ №18)	Согласие на получение рекламы (ст. 18 ФЗ “О рекламе”)
Нормативный акт	ФЗ-152 “О персональных данных”	ФЗ-152 “О персональных данных”, Приказ РКН №18 от 24.02.2021	ФЗ-38 “О рекламе”
Необходимость получения	Да, если email – ПДн и нет иных законных оснований.	Да, если ПДн (включая email, если он ПДн) предполагается распространять (делать доступным неограниченному кругу лиц).	Да, для любой рекламной рассылки по сетям электросвязи.
Форма согласия	Любая, позволяющая подтвердить получение (если иное не установлено ФЗ). Для некоторых случаев – письменная.	Отдельно от иных согласий. Форма должна позволять определить перечень ПДн, условия и запреты. Может быть через систему РКН.	Любая, позволяющая подтвердить предварительное, явное согласие. Рекомендуется Double Opt-In.
Ключевые элементы содержания	ФИО, адрес субъекта; данные оператора; цель; перечень ПДн; действия с ПДн; срок; способ отзыва; подпись (для письменной).	ФИО, контакты субъекта; данные оператора; цели; категории и перечни ПДн для распространения; категории и перечни ПДн с условиями/запретами; сами условия/запреты; срок; информресурсы оператора.	Ясное волеизъявление на получение рекламы от конкретного рекламораспространителя.
Кто доказывает наличие	Оператор ПДн.	Оператор ПДн.	Рекламораспространитель.
Возможность отзыва/отписки	Да, субъект вправе отозвать согласие.	Да, субъект вправе требовать прекращения распространения.	Да, адресат вправе требовать немедленного прекращения. Обязательна ссылка для отписки.
Когда особенно актуально для email-рассылок	Если email (особенно личный или в совокупности с др. данными) является ПДн.	Если ПДн (включая email, если он ПДн) извлекаются из открытых источников для массовых рассылок или передаются третьим лицам.	Для всех email-рассылок, содержащих признаки рекламы, независимо от статуса email как ПДн.

Данная таблица помогает четко разграничить три вида согласий, их юридическую природу и практические требования, что критически важно для обеспечения комплаенса при осуществлении email-рассылок.

6. Практика контролирующих органов (Роскомнадзор, ФАС России)

Понимание позиций и правоприменительной практики Роскомнадзора и ФАС России имеет решающее значение для оценки рисков и выстраивания законных процессов email-коммуникаций.

6.1. Позиция Роскомнадзора (РКН)

Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных и осуществляет контроль за соблюдением ФЗ-152.

Отнесение email к ПДн:

Исторически Роскомнадзор придерживался достаточно широкого толкования понятия “персональные данные”, включая в него адреса электронной почты, если они позволяют прямо или косвенно идентифицировать физическое лицо.11 Часто цитируемое ведомством письмо Минцифры России (от 17.03.2022 № П25-5623-ОГ) также указывает, что email-адрес является персональными данными, если он содержит ФИО или иные идентифицирующие сведения, либо используется в совокупности с ними.10 В отношении общих корпоративных адресов (типа info@company.ru) позиция РКН оставалась менее определенной.48

Влияние Определения ВС РФ № 305-ЭС23-12160 на практику РКН:

Определение Верховного Суда РФ от 21.07.2023, согласно которому email-адрес сам по себе (без дополнительных идентификаторов) может не являться ПДн, несомненно, окажет влияние на правоприменительную практику Роскомнадзора. На текущий момент официальных разъяснений или изменений в методических рекомендациях РКН, выпущенных после этого определения и прямо его комментирующих, не опубликовано. Можно ожидать, что Роскомнадзор будет вынужден учитывать позицию высшей судебной инстанции. Однако не исключено, что ведомство будет стремиться толковать данное определение ограничительно, применительно к конкретным обстоятельствам дела СК “Арсеналъ”, и по-прежнему занимать более консервативную позицию в иных ситуациях, особенно если помимо email собираются другие данные или если email позволяет косвенно идентифицировать лицо. Общие тенденции указывают на усиление контроля РКН за обработкой ПДн в интернете.65

Обработка ПДн из общедоступных источников:

Роскомнадзор последовательно указывает на необходимость соблюдения требований статей 8 и 10.1 ФЗ-152 при обработке ПДн, ставших доступными неограниченному кругу лиц.10 Если компания размещает на своем сайте персональные данные сотрудников (например, ФИО, фото, должность, рабочий email), то для такого размещения (распространения) требуется получение от сотрудника согласия по правилам статьи 10.1 ФЗ-152 и Приказа РКН №18.14 Это означает, что даже если email сотрудника опубликован на сайте компании, это не дает автоматического права третьим лицам использовать его для массовых рассылок без получения отдельного согласия от самого сотрудника.

Уведомление Роскомнадзора об обработке ПДн (ст. 22 ФЗ-152):

По общему правилу, операторы (юридические и физические лица), осуществляющие обработку ПДн, обязаны уведомить Роскомнадзор о своем намерении осуществлять такую обработку до ее начала.1 Существуют исключения из этой обязанности (например, обработка ПДн только сотрудников в рамках трудовых отношений, если данные не передаются третьим лицам без согласия), но они достаточно узки.

Уведомление подается в электронной форме через портал Роскомнадзора или портал Госуслуг, либо на бумажном носителе.1 Операторы обязаны своевременно вносить изменения в сведения, содержащиеся в уведомлении (например, при изменении целей обработки, категорий ПДн, места нахождения баз данных).1 За непредставление или несвоевременное представление уведомления, а также за представление недостоверных сведений предусмотрена административная ответственность по статье 19.7 КоАП РФ.2

Практика рассмотрения жалоб РКН:

Роскомнадзор рассматривает обращения (жалобы) граждан и организаций на нарушения законодательства о персональных данных.15

Порядок подачи жалобы: Жалоба может быть подана в электронной форме (через сайт РКН, Госуслуги, по email) или в письменном виде. Она должна содержать ФИО заявителя, контактные данные, суть нарушения, сведения о нарушителе (если известны) и подтверждающие документы.¹⁵
Действия РКН: По результатам рассмотрения жалобы РКН может провести проверку, выдать предписание об устранении нарушений, возбудить дело об административном правонарушении. Роскомнадзор также вправе обращаться в суд с исками в защиту прав субъектов ПДн, в том числе неопределенного круга лиц.¹⁵
Особый порядок для жалоб на неправомерное распространение ПДн: Согласно части 14 статьи 10.1 ФЗ-152, субъект ПДн, чьи данные были распространены с нарушением, вправе сначала потребовать от лица, распространившего данные, прекратить их передачу (распространение, предоставление, доступ). Если это требование не выполнено, субъект обращается в Роскомнадзор.¹⁵

6.2. Позиция Федеральной антимонопольной службы (ФАС России)

ФАС России контролирует соблюдение законодательства о рекламе, включая требования к распространению рекламы по сетям электросвязи.

Квалификация email-рассылок как рекламы:

ФАС России исходит из определения рекламы, данного в статье 3 ФЗ “О рекламе”. Если содержание email-рассылки направлено на привлечение внимания к объекту рекламирования (товару, услуге, компании), формирование или поддержание интереса к нему и его продвижение на рынке, такая рассылка будет признана рекламой.1 ФАС анализирует содержание и цель каждого конкретного сообщения.

Требования к согласию на получение рекламы:

ФАС России занимает строгую позицию в отношении необходимости получения предварительного согласия адресата на получение рекламы по сетям электросвязи, как того требует статья 18 ФЗ “О рекламе”.1 Бремя доказывания наличия такого согласия всегда лежит на рекламораспространителе.

Размещение email на сайте как согласие:

ФАС России последовательно и неоднократно разъясняла, что сам факт размещения email-адреса на сайте (включая официальные сайты компаний) не является согласием на получение рекламных сообщений от третьих лиц.25 Для отправки рекламы требуется отдельное, явное и предварительное согласие. Эта позиция полностью соответствует духу и букве статьи 18 ФЗ “О рекламе” и поддерживается судебной практикой.

Практика рассмотрения жалоб на спам:

ФАС России активно рассматривает жалобы граждан и организаций на получение нежелательной рекламы (спама), в том числе по электронной почте.34

Подать жалобу можно, в частности, через специальный раздел на официальном сайте ФАС России.⁷⁴
По результатам рассмотрения жалобы и подтверждения факта нарушения ФАС возбуждает дело об административном правонарушении по статье 14.3 КоАП РФ и привлекает виновных лиц (рекламодателя, рекламораспространителя) к ответственности в виде штрафа. Также ФАС выдает предписание о прекращении нарушения.³⁴

Необходимость пометки “Реклама” в email-рассылках:

Как уже упоминалось, по мнению ФАС России, для email-рассылок, как распространяемых по сетям электросвязи, формально пометка “Реклама” не является обязательной.29 Однако, учитывая, что закон может трактоваться субъективно, и в целях повышения прозрачности и снижения рисков, ФАС часто рекомендует включать такую пометку, а также указывать полное наименование и ИНН рекламодателя.29

Разъяснения ФАС по интернет-рекламе (например, Письмо ФАС России от 25.09.2019 N АК/83509/19) 25:

В своих разъяснениях ФАС затрагивает различные аспекты рекламы в интернете. Важно отметить, что исключения из понятия рекламы (например, информация о собственных товарах на сайте производителя/продавца, если она не направлена на выделение конкретного товара или самой компании среди других) 25, как правило, не применимы к активным email-рассылкам, направляемым широкому кругу третьих лиц с целью продвижения. ФАС также уделяет внимание вопросам идентификации рекламодателя и рекламораспространителя в интернете.

Важно понимать, что Определение ВС РФ № 305-ЭС23-12160, касающееся статуса email как персональных данных, не влияет на позицию ФАС России относительно необходимости получения явного предварительного согласия на получение рекламы в соответствии со статьей 18 ФЗ “О рекламе”. Эти требования остаются неизменными и строгими для любых рекламных рассылок, независимо от того, признается ли конкретный email-адрес персональными данными или нет.

Компании, осуществляющие email-рассылки, могут столкнуться с претензиями как со стороны Роскомнадзора (за нарушение законодательства о персональных данных), так и со стороны ФАС России (за нарушение законодательства о рекламе). Вполне возможна ситуация, когда за одну и ту же незаконную рассылку компания будет привлечена к ответственности обоими ведомствами по разным основаниям.

7. Судебная практика по спорам, связанным с email-рассылками

Анализ судебной практики позволяет выявить основные подходы судов к разрешению споров, связанных с email-рассылками, и оценить риски для бизнеса.

7.1. Анализ ключевых судебных решений по ст. 13.11 КоАП РФ (персональные данные)

Судебная практика по статье 13.11 КоАП РФ в контексте email-рассылок часто связана с отсутствием надлежащего согласия на обработку персональных данных, если email-адрес признается таковым. Компании привлекаются к ответственности за:

Сбор и использование email-адресов без согласия субъектов ПДн.³²
Отсутствие или ненадлежащее содержание политики обработки персональных данных, размещенной на сайте.
Неподачу или несвоевременную подачу уведомления в Роскомнадзор об обработке ПДн.
Нарушение требований к содержанию согласия на обработку ПДн.

Например, в одном из дел оператор был оштрафован за обработку ПДн без письменного согласия субъекта, когда оно было необходимо, либо за обработку данных с нарушением требований к составу сведений, включаемых в такое согласие (штраф для граждан от 3 тыс. рублей).³² Размеры штрафов для юридических лиц по различным частям статьи 13.11 КоАП РФ могут быть весьма значительными, достигая сотен тысяч и даже миллионов рублей за повторные или грубые нарушения (например, за несоблюдение требований о локализации баз данных).³⁰

Определение ВС РФ № 305-ЭС23-12160, рассмотренное ниже, может существенно повлиять на будущую судебную практику по статье 13.11 КоАП РФ в отношении email-адресов, особенно общих корпоративных. Если суды будут последовательно придерживаться позиции, что изолированный email (без ФИО и других идентификаторов) не является ПДн, то количество дел по этой статье, связанных исключительно со сбором таких email, может сократиться. Однако это не отменяет ответственности за нарушения при обработке email-адресов, которые однозначно являются ПДн (например, личные адреса сотрудников, содержащие ФИО, или адреса, обрабатываемые в совокупности с идентифицирующими данными).

7.2. Анализ ключевых судебных решений по ст. 14.3 КоАП РФ (реклама)

Судебная практика по статье 14.3 КоАП РФ в отношении email-рассылок однозначно подтверждает позицию ФАС России о необходимости предварительного согласия адресата на получение рекламы.

Дело “Мегафон” (август 2020 г.): ПАО “Мегафон” было оштрафовано ФАС России на 100 000 рублей за отправку одного рекламного email-сообщения без согласия получателя. Получатель пожаловался в ФАС, и компания не смогла доказать наличие предварительного согласия.²Этот случай наглядно демонстрирует, что даже единичное нарушение может повлечь существенный штраф.
В другом деле, также связанном с ПАО “Мегафон” (речь шла о SMS-рассылках, но подход судов аналогичен), суды трех инстанций поддержали решение ФАС о нарушении части 1 статьи 18 ФЗ “О рекламе” из-за рассылки рекламы кредитов без согласия абонента. Аргумент компании о том, что абонент дал согласие при заключении договора оказания услуг связи, был отклонен, так как не было доказано согласие именно на получение рекламы финансовых услуг от конкретного источника.⁷⁵
Суды последовательно указывают, что бремя доказывания наличия предварительного согласия адресата на получение рекламы лежит на рекламораспространителе.³⁸ При отсутствии убедительных доказательств такого согласия (например, логов подписки, подтвержденных действий пользователя) суды, как правило, встают на сторону ФАС и подтверждают законность наложенных штрафов.

Судебная практика в целом подтверждает строгость регуляторов (особенно ФАС) в отношении требований о согласии на рекламу. Это создает сильный стимул для бизнеса внедрять надежные механизмы получения и хранения согласий.

7.3. Споры, связанные с использованием корпоративных email-адресов (info@ и т.п.)

Специализированной судебной практики, где бы отдельно и подробно рассматривался правовой статус именно общих корпоративных email-адресов (типа info@company.ru) в контексте получения ими спама и необходимости согласия юридического лица, в представленных материалах немного. Чаще всего такие адреса фигурируют в делах о спаме наравне с личными адресами физических лиц, если на них поступает нежелательная реклама, и ФАС рассматривает жалобу от имени компании (адресата).

Определение ВС РФ № 305-ЭС23-12160 может изменить подход судов к таким адресам, если спор инициирован Роскомнадзором по статье 13.11 КоАП РФ (и РКН пытается доказать, что info@ – это ПДн некоего физлица). Однако для споров по статье 14.3 КоАП РФ (реклама), инициированных ФАС, статус адреса как ПДн физического лица менее важен, чем сам факт отсутствия согласия адресата (в данном случае – юридического лица) на получение рекламы. Юридическое лицо, как адресат, также имеет право не получать нежелательную рекламу на свои официальные контактные адреса.

7.4. Споры, связанные с парсингом и использованием собранных баз

Судебная практика по делам, непосредственно связанным с парсингом email-адресов для маркетинговых рассылок, не так обширна и однозначна, как по делам о спаме на уже существующие контакты.

Дело “ВКонтакте против Дабл” ⁶¹ касалось парсинга данных из социальной сети и нарушения прав на базу данных, а также недобросовестной конкуренции. Оно продемонстрировало сложность доказывания и неоднозначность подходов судов к оценке правомерности извлечения информации из общедоступных источников.
Часто споры, связанные с использованием спарсенных баз, не доходят до суда или остаются на уровне предписаний Роскомнадзора (если речь идет о ПДн) или ФАС (если речь идет о последующей рассылке спама).

Отсутствие обширной и однозначной судебной практики именно по парсингу корпоративных email-адресов с общедоступных сайтов для последующих B2B-рассылок создает определенную зону правовой неопределенности. Большинство дел касается либо явного спама физическим лицам, либо нарушения прав на базы данных в более широком смысле. Это может быть связано с тем, что жалобы от юридических лиц на “холодные” рассылки на их общие адреса реже доходят до суда, или такие дела не получают широкой огласки. Тем не менее, риски, связанные с ФЗ “О рекламе” при использовании таких баз, остаются высокими.

7.5. Детальный разбор Определения Верховного Суда РФ от 21.07.2023 № 305-ЭС23-12160 (дело СК “Арсеналъ”)

Это судебное решение заслуживает особого внимания, так как оно внесло существенную ясность (или, по мнению некоторых, создало новые вопросы) в понимание того, что является персональными данными в контексте контактной информации.

Факты дела: Управление Роскомнадзора по Центральному федеральному округу провело проверку сайта ООО “Страховая компания “Арсеналъ””. На сайте имелась форма обратной связи “Заявка на оформление полиса”, в которой пользователи указывали только свой адрес электронной почты и/или номер телефона. ФИО или другие прямые идентификаторы не запрашивались. Роскомнадзор счел, что сбор email и телефона без согласия на обработку ПДн является нарушением ФЗ-152, и выдал компании требование об устранении нарушений. Компания оспорила действия Роскомнадзора в арбитражном суде.⁵²
Аргументы Роскомнадзора: Ведомство настаивало, что адрес электронной почты и номер телефона являются персональными данными, поскольку они уникальны и позволяют идентифицировать пользователя. Следовательно, их сбор требует получения согласия субъекта ПДн.⁴⁹
Аргументы СК “Арсеналъ” и позиция судов (Арбитражный суд г. Москвы, Девятый арбитражный апелляционный суд, Арбитражный суд Московского округа):
1. Форма обратной связи на сайте не была предназначена для идентификации конкретного физического лица с целью заключения договора страхования, а служила лишь для последующего контакта сотрудника компании с потенциальным клиентом. Таким клиентом могло быть не только физическое лицо, но и индивидуальный предприниматель или юридическое лицо.⁵²
2. Сами по себе адрес электронной почты и номер телефона, без указания ФИО или иных сведений, позволяющих прямо или косвенно определить конкретное физическое лицо, не являются персональными данными по смыслу ФЗ-152. Совокупность данных, получаемых через спорную форму, не позволяла достоверно установить, какому именно физическому лицу они принадлежат.⁴⁹
3. Суды провели аналогию между email и номером телефона, указав на их свойство изменяемости: email-адрес может быть удален, после чего идентичный адрес может быть зарегистрирован новым пользователем; аналогично телефонный номер может быть передан новому абоненту. Это не позволяет говорить об их неизменной и однозначной привязке к конкретному лицу без дополнительных идентификаторов.⁵⁴
4. Суды также отметили, что размещение на сайте информации о руководстве и участниках компании, а также реестра страховых агентов и брокеров, осуществлялось во исполнение требований законодательства (например, Закона “Об организации страхового дела в РФ”) и не преследовало рекламных целей, а потому не требовало отдельного согласия на распространение ПДн в этих случаях.⁵²
Мотивировка Верховного Суда РФ: Судья Верховного Суда РФ, изучив кассационную жалобу Роскомнадзора, не нашел оснований для ее передачи на рассмотрение в Судебной коллегии по экономическим спорам. Таким образом, ВС РФ согласился с выводами нижестоящих судов.⁴⁹Суд подтвердил, что в рассматриваемом деле совокупность данных (только email и/или телефон без ФИО) не позволяла идентифицировать конкретное физическое лицо, следовательно, эти данные не являлись персональными.⁴⁹
Выводы и значение для практики:
1. Важный прецедент: Данное Определение ВС РФ создает важный прецедент в толковании понятия “персональные данные”. Оно указывает, что не любая контактная информация автоматически является ПДн. Ключевым критерием является возможность идентификации конкретного физического лица.
2. Снижение регуляторной нагрузки: Для бизнеса это решение может означать снижение регуляторной нагрузки в части получения согласий на обработку ПДн для простых форм обратной связи, где собираются только email и/или телефон без ФИО.
3. Не отменяет ФЗ “О рекламе”: Важно подчеркнуть, что данное Определение касается только ФЗ-152 “О персональных данных”. Оно не отменяет и не изменяет требований статьи 18 ФЗ “О рекламе” о необходимости получения предварительного согласия адресата на получение рекламных сообщений. То есть, даже если email (например, info@company.ru) не признан ПДн, слать на него рекламу без согласия самой компании-адресата по-прежнему нельзя.
4. Риск расширительного толкования и необходимость консервативного подхода:Существует риск, что некоторые компании могут неверно истолковать это решение как полную “амнистию” для любых рассылок на любые email-адреса. Юристы рекомендуют занимать более консервативную позицию и тщательно анализировать каждую ситуацию.²Если помимо email собираются другие данные (ФИО, история покупок и т.д.), или если email сам по себе содержит идентифицирующую информацию (например, petr.ivanov.1985@mail.ru), то он, скорее всего, будет признан ПДн.
5. Противоречие с подходом GDPR: Отмечается, что такой подход российских судов расходится с практикой применения Общего регламента по защите данных (GDPR) в Европейском союзе, где даже минимальный набор сведений, который может быть связан с физическим лицом (включая IP-адреса, cookie, email), часто признается персональными данными.⁵⁷

Определение ВС РФ № 305-ЭС23-12160, хотя и является позитивным сигналом для бизнеса в части снижения рисков по ФЗ-152 для определенных сценариев сбора email, может создать ложное чувство безопасности в отношении B2B-рассылок на общие корпоративные адреса. Компании могут ошибочно полагать, что если адрес info@company.ru не является персональными данными, то на него можно свободно отправлять рекламные сообщения, забывая о строгих требованиях ФЗ “О рекламе”.

Таблица 4: Ключевые судебные решения по вопросам email-рассылок и ПДн

№ дела (если известно) и Суд	Дата решения	Краткая суть спора	Позиция истца/заявителя	Позиция ответчика/регулятора	Итог и ключевые выводы суда	Ссылка на источник
Определение ВС РФ № 305-ЭС23-12160 (дело А40-139096/2022, ООО “СК “Арсеналъ”)	21.07.2023	Признание незаконными действий Роскомнадзора по признанию неправомерной обработки ПДн (сбор email/телефона через форму без ФИО).	Сбор email/телефона без ФИО не является обработкой ПДн, т.к. не позволяет идентифицировать физ. лицо.	Email/телефон являются ПДн, их сбор требует согласия.	Суды всех инстанций (включая ВС РФ) поддержали компанию. Email/телефон сами по себе без доп. идентификаторов не являются ПДн.	⁵⁰
Дело ПАО “Мегафон” (ФАС России)	Август 2020 г.	Штраф за отправку рекламного email-сообщения без согласия получателя.	– (жалоба от получателя)	Нарушение ст. 18 ФЗ “О рекламе”.	ФАС оштрафовала “Мегафон” на 100 000 руб. Согласие отсутствовало.	²⁹
Дело “ВКонтакте против Дабл” (разные инстанции)	Разные даты	Правомерность парсинга данных пользователей из соцсети “ВКонтакте”.	“Дабл” нарушает права “ВКонтакте” на базу данных, недобросовестная конкуренция.	Действия “Дабл” правомерны, т.к. данные общедоступны.	Решения судов были различными на разных этапах, что говорит о неоднозначности практики. Подняты вопросы прав на базы данных.	⁶¹

Эта таблица систематизирует примеры судебной практики, позволяя увидеть общие тенденции и подходы судов к различным аспектам проблемы email-рассылок.

8. Ответственность за нарушения при осуществлении email-рассылок

Нарушения законодательства при осуществлении email-рассылок могут повлечь за собой административную, уголовную и гражданско-правовую ответственность. Тенденция последних лет свидетельствует о значительном ужесточении санкций, особенно в сфере оборота персональных данных и распространения спама.

8.1. Административная ответственность

Штрафы по ст. 13.11 КоАП РФ (нарушение законодательства Российской Федерации в области персональных данных):

Данная статья предусматривает ответственность за широкий спектр нарушений ФЗ-152. Ключевые составы и размеры штрафов для юридических лиц (актуальные на момент подготовки отчета, рекомендуется проверять действующие редакции):

Ч. 1: Обработка ПДн в случаях, не предусмотренных законодательством, либо обработка, несовместимая с целями сбора ПДн: штраф для юридических лиц от 60 000 до 100 000 рублей; за повторное нарушение – от 100 000 до 300 000 рублей.²⁸
Ч. 2: Обработка ПДн без согласия в письменной форме субъекта ПДн (когда оно требуется) или с нарушением требований к содержанию такого согласия: штраф для юридических лиц от 150 000 до 300 000 рублей.³⁰ Ранее размеры штрафов по этой части были выше (до 700 000 рублей по ред. от 12.12.2023 N 589-ФЗ ³⁰). Это касается и нарушений требований к согласию на распространение ПДн по ст. 10.1 ФЗ-152.
Ч. 2.1: Повторное совершение правонарушения, предусмотренного ч. 2 ст. 13.11: штраф для юридических лиц от 300 000 до 700 000 рублей.³⁰
Ч. 8: Невыполнение оператором обязанности по локализации баз данных ПДн граждан РФ на территории России: штраф для юридических лиц от 1 000 000 до 6 000 000 рублей; за повторное нарушение – от 6 000 000 до 18 000 000 рублей.³³
Ответственность также предусмотрена для граждан и должностных лиц.³⁰

Штрафы по ст. 14.3 КоАП РФ (нарушение законодательства о рекламе):

Ч. 1: Нарушение рекламодателем, рекламопроизводителем или рекламораспространителем законодательства о рекламе (общее нарушение): штраф для юридических лиц от 100 000 до 500 000 рублей.³⁶
Ч. 4.1 (новая, с 17.05.2024): Нарушение установленных законодательством о рекламе требований к рекламе, распространяемой по сетям электросвязи (включая email-спам): штраф для граждан от 10 000 до 30 000 рублей; для должностных лиц – от 30 000 до 100 000 рублей; для юридических лиц – от 200 000 до 1 000 000 рублей.¹ Введение этой части со значительно увеличенными штрафами является прямым ответом на проблему спама.
Ч. 15, 16, 17 (касаются маркировки интернет-рекламы): Непредоставление информации в ЕРИР, отсутствие токена и т.д. Штрафы для юридических лиц по этим частям могут составлять от 200 000 до 500 000 рублей за каждое нарушение.³³ Хотя маркировка email-рассылок – отдельная тема, если рассылка подпадает под требования о маркировке, за их несоблюдение также грозят штрафы.

Статья 19.7 КоАП РФ: Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление таких сведений (информации) в неполном объеме или в искаженном виде. Штрафы для юридических лиц – от 3 000 до 5 000 рублей.² Это может применяться, например, за неподачу или несвоевременную подачу уведомления в Роскомнадзор об обработке ПДн.⁷⁰

8.2. Уголовная ответственность

В случаях серьезных нарушений, связанных с персональными данными, возможно привлечение к уголовной ответственности.

Статья 137 УК РФ (Нарушение неприкосновенности частной жизни): Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия. Наказание – от штрафа до 200 000 рублей до лишения свободы на срок до двух лет (с квалифицирующими признаками – до пяти лет).²
Статья 272 УК РФ (Неправомерный доступ к компьютерной информации): Если сбор email-адресов (парсинг) был сопряжен с неправомерным доступом к охраняемой законом компьютерной информации (например, взлом сайта, обход систем защиты), что повлекло уничтожение, блокирование, модификацию либо копирование информации. Наказание – от штрафа до лишения свободы на срок до семи лет (в зависимости от части статьи и последствий).⁴³
Статья 272.1 УК РФ (Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения): Эта статья, введенная в декабре 2024 года ⁴³, предусматривает ответственность за незаконный оборот баз персональных данных. Наказание может включать лишение свободы на срок от 4 до 10 лет.⁴³ Это наиболее прямая и серьезная уголовная угроза для лиц, занимающихся созданием и использованием “серых” баз email-адресов, если эти адреса содержат ПДн.

8.3. Иные меры

Помимо штрафов и уголовного преследования, к нарушителям могут быть применены иные меры:

Предписания Роскомнадзора и ФАС России об устранении допущенных нарушений (например, прекратить незаконную обработку ПДн, прекратить рассылку спама, удалить незаконно собранные данные).
Блокировка интернет-ресурсов: Роскомнадзор вправе требовать через суд ограничения доступа к ресурсам, на которых осуществляется обработка ПДн с нарушением законодательства.
Гражданско-правовая ответственность: Субъекты персональных данных, чьи права были нарушены, или получатели спама вправе обратиться в суд с исками о возмещении причиненных убытков, а также компенсации морального вреда.

Важно отметить, что ответственность может наступать не только для юридического лица, но и для его должностных лиц (например, генерального директора, руководителя отдела маркетинга), а в некоторых случаях и для рядовых сотрудников, непосредственно осуществлявших незаконные действия. Кроме того, если одна и та же рассылка нарушает и законодательство о персональных данных, и законодательство о рекламе, компания может быть привлечена к ответственности кумулятивно – то есть получить отдельные штрафы от Роскомнадзора и от ФАС России.

Таблица 5: Виды и размеры ответственности за нарушения при email-рассылках

Вид нарушения	Норма (статья КоАП/УК)	Субъект ответственности (гражданин, ДЛ, ЮЛ)	Размер штрафа / Иное наказание (для ЮЛ, если не указано иное)	Примечание
Обработка ПДн без согласия (или с нарушением требований к нему)	Ч. 2 ст. 13.11 КоАП РФ	Гражданин, ДЛ, ЮЛ	ЮЛ: 150 000 – 300 000 руб. (по ред. от 30.11.2024)	Актуально для email, признанных ПДн.
Повторная обработка ПДн без согласия	Ч. 2.1 ст. 13.11 КоАП РФ	Гражданин, ДЛ, ЮЛ	ЮЛ: 300 000 – 700 000 руб.
Незаконный сбор ПДн (в т.ч. парсинг)	Ч. 1 ст. 13.11 КоАП РФ (если цель несовместима) / другие части	Гражданин, ДЛ, ЮЛ, ИП	ЮЛ: до 700 000 руб. ³³	Зависит от квалификации конкретных действий.
Невыполнение обязанности по локализации баз ПДн	Ч. 8 ст. 13.11 КоАП РФ	Гражданин, ДЛ, ЮЛ	ЮЛ: 1 млн – 6 млн руб. (повторно до 18 млн руб.)	Если собираются ПДн граждан РФ.
Нарушение законодательства о рекламе (общее)	Ч. 1 ст. 14.3 КоАП РФ	Гражданин, ДЛ, ЮЛ	ЮЛ: 100 000 – 500 000 руб.
Реклама по сетям электросвязи без согласия (спам)	Ч. 4.1 ст. 14.3 КоАП РФ	Гражданин, ДЛ, ЮЛ	ЮЛ: 200 000 – 1 000 000 руб.	Основная статья за email-спам.
Непредставление уведомления в РКН	Ст. 19.7 КоАП РФ	Гражданин, ДЛ, ЮЛ	ЮЛ: 3 000 – 5 000 руб.
Нарушение неприкосновенности частной жизни	Ст. 137 УК РФ	Физ. лицо	Штраф до 200 000 руб. / лишение свободы до 2 лет (и выше).	Если сбор затрагивает личную/семейную тайну.
Неправомерный доступ к компьютерной информации	Ст. 272 УК РФ	Физ. лицо	Штраф / лишение свободы до 7 лет.	Если парсинг связан со взломом.
Незаконный сбор, хранение, использование ПДн	Ст. 272.1 УК РФ	Физ. лицо	Лишение свободы до 4-10 лет.	За незаконный оборот баз ПДн.

Эта таблица наглядно демонстрирует серьезность возможных последствий и необходимость тщательного соблюдения законодательства.

9. Технические и организационные меры для обеспечения законности email-рассылок (Чек-лист)

Для минимизации правовых рисков и обеспечения законности email-рассылок компаниям необходимо внедрить комплекс юридических, организационных и технических мер.

9.1. Юридические и организационные меры

Разработка и публикация Политики обработки персональных данных:
- Политика должна быть разработана в соответствии с требованиями статьи 18.1 ФЗ-152 и Рекомендациями Роскомнадзора.⁶⁶
- Она должна быть общедоступна, как правило, путем публикации на официальном сайте компании, особенно если через сайт осуществляется сбор ПДн.⁶⁶
- В Политике необходимо четко указать цели обработки ПДн, категории обрабатываемых ПДн, правовые основания обработки, сроки обработки и хранения, порядок уничтожения, права субъектов ПДн, сведения об операторе и ответственных лицах.
Назначение ответственного за организацию обработки персональных данных (DPO):
- Юридические лица, являющиеся операторами ПДн, обязаны назначить лицо, ответственное за организацию обработки ПДн.⁶⁵ Это может быть как штатный сотрудник, так и привлеченный специалист.
Получение и хранение доказательств согласий:
- Согласие на обработку ПДн (если email признается ПДн):
  - Использовать четкие и недвусмысленные формулировки.
  - Чек-боксы для выражения согласия не должны быть предустановлены.
  - Обеспечить хранение логов получения согласия (IP-адрес, дата, время, текст формы, версия Политики, с которой ознакомился субъект).
- Согласие на получение рекламы (по ст. 18 ФЗ “О рекламе”):
  - Получать отдельно от согласия на обработку ПДн.
  - Использовать отдельные чек-боксы с явной формулировкой о согласии на получение именно рекламных материалов от вашей компании.²
  - Рекомендуется внедрение процедуры Double Opt-In.²
  - Хранить доказательства получения согласия (логи подписок, email-подтверждения и т.д.).²
- Согласие на распространение ПДн (по ст. 10.1 ФЗ-152):
  - Если предполагается распространение ПДн (например, публикация email сотрудника на сайте или передача базы третьим лицам), необходимо получить отдельное согласие, соответствующее всем требованиям Приказа РКН №18.¹³
Обеспечение возможности отзыва согласия и отписки от рассылок:
- В каждом email-сообщении (особенно рекламном) должна быть четкая, заметная и легкодоступная ссылка “Отписаться” или аналогичная инструкция.²
- Процесс отписки должен быть максимально простым и не требовать от пользователя дополнительных усилий (например, ввода пароля или объяснения причин).
- Запросы на отписку должны обрабатываться немедленно или в кратчайший установленный законом срок.
- Необходимо также предусмотреть механизм отзыва согласия на обработку ПДн в соответствии с Политикой обработки ПДн.
Уведомление Роскомнадзора об обработке ПДн:
- Своевременно подать уведомление в Роскомнадзор о намерении осуществлять обработку ПДн, если отсутствуют установленные законом исключения.¹
- Регулярно проверять и при необходимости актуализировать сведения, содержащиеся в Реестре операторов ПДн.
Проведение внутренних аудитов (комплаенс-проверок):
- Регулярно проверять процессы сбора, хранения и использования email-адресов и других ПДн на соответствие законодательству и внутренним документам.
Обучение сотрудников:
- Проводить обучение сотрудников (особенно отделов маркетинга, продаж, IT), работающих с email-рассылками и базами данных, по вопросам соблюдения законодательства о персональных данных и рекламе.
Заключение договоров поручения на обработку ПДн:
- Если для осуществления рассылок используются сторонние сервисы (ESP – Email Service Providers) или подрядчики, и им передаются ПДн, необходимо заключить с ними договор поручения на обработку ПДн, соответствующий требованиям статьи 6 ФЗ-152. В договоре должны быть определены цели, перечень действий, обязанности по защите ПДн.
Отказ от покупки и использования “серых” баз данных:
- Категорически избегать покупки готовых баз email-адресов или их сбора незаконными методами (парсинг без согласия, сбор из соцсетей и т.д.).² Такие базы практически всегда нелегитимны и их использование влечет высокие риски.
Локализация баз данных ПДн граждан РФ:
- При сборе ПДн граждан РФ (включая email, если они ПДн) обеспечить их запись, систематизацию, накопление, хранение, уточнение, извлечение с использованием баз данных, находящихся на территории Российской Федерации (требование ч. 5 ст. 18 ФЗ-152).

9.2. Технические меры

Безопасное хранение данных:
- Обеспечить надлежащие технические меры для защиты баз данных email-адресов и других ПДн от несанкционированного доступа, утечек, уничтожения или модификации.⁶⁸
- Использовать шифрование, межсетевые экраны, антивирусное ПО.
Контроль доступа:
- Разграничить доступ сотрудников к базам данных и системам рассылок в соответствии с их должностными обязанностями.
- Использовать надежные пароли, двухфакторную аутентификацию.⁷¹
Настройка CRM и ESP для учета согласий:
- Используемые системы управления взаимоотношениями с клиентами (CRM) и платформы для email-рассылок (ESP) должны позволять фиксировать и отслеживать наличие и тип полученных согласий (на обработку ПДн, на получение рекламы, на распространение ПДн), а также дату их получения и отзыва.
Аутентификация домена отправителя:
- Настроить для домена, с которого осуществляются рассылки, записи SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting and Conformance).⁷⁶ Это технические стандарты, которые помогают почтовым провайдерам идентифицировать легитимного отправителя, снижают риск попадания писем в спам и защищают от фишинга от имени вашего домена.
Регулярная гигиена базы подписчиков:
- Удалять неактивные, несуществующие, заблокированные email-адреса.
- Своевременно обрабатывать запросы на отписку и удаление данных.
Использование официальных и проверенных сервисов рассылок:
- Выбирать ESP, которые соблюдают требования российского законодательства и предоставляют инструменты для управления согласиями и отписками.
Недопущение добавления рекламы в транзакционные письма без согласия:
- Транзакционные письма (подтверждение заказа, уведомление о доставке, восстановление пароля и т.п.) не должны содержать рекламной информации, если на ее получение не было дано отдельного согласия.²

Таблица 6: Чек-лист ключевых мер для обеспечения законности email-рассылок

№	Мера	Ответственный (пример)	Статус (Внедрено/Планируется/Неприменимо)	Примечание
Юридические и организационные
1	Разработана и опубликована Политика обработки ПДн	Юридический отдел, DPO		Соответствует ст. 18.1 ФЗ-152
2	Назначен ответственный за обработку ПДн (DPO)	Руководство		Приказ о назначении
3	Внедрен процесс получения и хранения согласий на обработку ПДн	Маркетинг, IT, Юристы		Чек-боксы, логи, Double Opt-In (для ПДн и рекламы)
4	Внедрен процесс получения отдельного согласия на рекламу	Маркетинг		Отдельно от ПДн, Double Opt-In
5	Внедрен процесс получения согласия на распространение ПДн (если применимо)	Юристы, Маркетинг		По Приказу РКН №18
6	Обеспечен простой механизм отписки в каждом письме	Маркетинг, IT		Ссылка “Отписаться”, немедленная обработка
7	Подано (актуализировано) уведомление в Роскомнадзор	DPO, Юристы		Если требуется по закону
8	Проводятся регулярные внутренние аудиты комплаенса	DPO, Внутренний аудит
9	Проводится обучение сотрудников	HR, DPO, Юристы
10	Используются договоры поручения с ESP/подрядчиками	Юристы, Закупки		Соответствуют ст. 6 ФЗ-152
11	Отказ от покупки/использования “серых” баз	Маркетинг, Руководство		Принцип “чистой” базы
12	Обеспечена локализация баз ПДн граждан РФ	IT, Руководство
Технические
13	Обеспечено безопасное хранение баз данных	IT-отдел		Шифрование, защита от НСД
14	Настроен контроль доступа к данным и системам	IT-отдел
15	CRM/ESP настроены для учета согласий и отписок	IT, Маркетинг
16	Настроены SPF, DKIM, DMARC для домена	IT-отдел
17	Проводится регулярная гигиена базы подписчиков	Маркетинг
18	Транзакционные письма не содержат несанкционированную рекламу	Маркетинг, IT

Этот чек-лист не является исчерпывающим, но охватывает основные меры, которые помогут компаниям снизить риски при осуществлении email-рассылок.

10. Заключение и рекомендации

Проведенное исследование правового регулирования и правоприменительной практики в сфере email-рассылок по общедоступным адресам электронной почты компаний в России выявляет ряд ключевых моментов и тенденций, которые необходимо учитывать бизнесу для минимизации рисков и обеспечения законности своей деятельности.

Основные выводы:

Комплексность регулирования: Email-рассылки находятся на стыке законодательства о персональных данных (ФЗ-152), о рекламе (ФЗ “О рекламе”), об информации (ФЗ “Об информации”), а также норм КоАП РФ и УК РФ. Это требует от компаний комплексного подхода к обеспечению комплаенса. Растущая цифровизация B2B-коммуникаций постоянно сталкивается с ужесточением законодательных требований, что создает “зону напряжения” и повышенные риски для бизнеса, не уделяющего должного внимания правовым аспектам.
Различие между согласием на обработку ПДн и согласием на получение рекламы: Это два самостоятельных юридических требования. Получение одного вида согласия не отменяет необходимости получения другого, если рассылка является рекламной и затрагивает персональные данные. Смешение этих понятий – частая ошибка.
Статус корпоративных email-адресов как ПДн: Определение Верховного Суда РФ от 21.07.2023 № 305-ЭС23-12160 (дело СК “Арсеналъ”) внесло важный прецедент, согласно которому адрес электронной почты (как и номер телефона) сам по себе, без дополнительных идентификаторов физического лица (таких как ФИО), может не признаваться персональными данными. Это потенциально выводит общие корпоративные email-адреса (типа info@company.ru), не позволяющие идентифицировать конкретное физическое лицо, из-под действия ФЗ-152. Однако, несмотря на это позитивное для бизнеса решение, рекомендуется сохранять осторожность, так как Роскомнадзор может пытаться ограничить его применение, а также в случае обработки таких email в совокупности с другими данными, позволяющими идентифицировать физлицо, они могут быть признаны ПДн.
Неизменность требования о согласии на рекламу: Независимо от того, признается ли email-адрес персональными данными, статья 18 ФЗ “О рекламе” требует получения предварительного согласия адресата на получение любых рекламных сообщений. ФАС России последовательно придерживается позиции, что размещение email-адреса на сайте не является таким согласием. Это означает, что “холодные” рекламные рассылки на любые адреса (включая общие корпоративные) без предварительного согласия адресата (юридического лица) являются незаконными.
Сложность согласия на распространение ПДн: Если email-адрес все же признается ПДн и предполагается его “распространение” (например, массовая рассылка по базе, собранной из открытых источников), то статья 10.1 ФЗ-152 и Приказ Роскомнадзора №18 устанавливают крайне детализированные и трудновыполнимые на практике требования к содержанию такого согласия. Это делает использование ПДн из открытых источников для массовых “холодных” рассылок высокорискованным.
Незаконность парсинга и покупки баз: Сбор (парсинг) email-адресов с веб-сайтов без согласия и правовых оснований, а также покупка готовых баз данных, являются незаконными практиками, влекущими ответственность по ФЗ-152 (если затрагиваются ПДн), ФЗ “О рекламе” (при последующей рассылке спама), а потенциально и по УК РФ (ст. 272, 272.1).
Ужесточение ответственности: Наблюдается тенденция к существенному увеличению размеров административных штрафов (в частности, введена новая часть 4.1 статьи 14.3 КоАП РФ со штрафами до 1 млн рублей за спам по сетям электросвязи) и криминализации нарушений в сфере оборота ПДн (статья 272.1 УК РФ). Это свидетельствует о серьезном внимании государства к данной проблематике.
Бремя доказывания: Во всех спорах, связанных с отсутствием согласия (как на обработку ПДн, так и на получение рекламы), бремя доказывания наличия такого согласия лежит на операторе/рекламораспространителе. Судебная практика показывает, что при отсутствии четких доказательств суды чаще всего встают на сторону регуляторов или заявителей.

Рекомендации для бизнеса:

Провести аудит текущих процессов email-маркетинга: Оценить, как собираются email-адреса, какие согласия получаются, как они хранятся, соответствует ли содержание рассылок законодательству.
Приоритет – получение явного согласия на рекламу: Для любых рекламных рассылок (включая B2B на общие корпоративные адреса) необходимо получать предварительное, явное и доказуемое согласие адресата в соответствии со статьей 18 ФЗ “О рекламе”. Рекомендуется использовать механизм Double Opt-In.
Аккуратное обращение с персональными данными:
- Разработать и внедрить Политику обработки персональных данных.
- Назначить ответственного за обработку ПДн.
- Если email-адреса могут быть отнесены к ПДн, получать согласие на их обработку в соответствии с ФЗ-152. Для распространения ПДн – соблюдать крайне строгие требования статьи 10.1 ФЗ-152 и Приказа РКН №18.
- Обеспечить локализацию баз данных ПДн граждан РФ.
Отказаться от незаконных методов сбора баз: Не использовать парсинг без правовых оснований, не покупать готовые базы email-адресов. Формировать базу подписчиков легитимными способами на основе добровольного и информированного согласия.
Обеспечить простой механизм отписки: В каждом письме должна быть легкодоступная ссылка для отписки от рассылки.
Внедрить технические меры защиты: Использовать SPF, DKIM, DMARC для аутентификации домена, обеспечить безопасное хранение данных, настроить CRM/ESP для учета согласий.
Регулярно актуализировать знания: Законодательство и правоприменительная практика постоянно развиваются. Необходимо отслеживать изменения и адаптировать свои процессы.
Консультироваться с юристами: При возникновении сомнений или для выстраивания сложных процессов email-коммуникаций рекомендуется обращаться за квалифицированной юридической помощью.

Соблюдение законодательных требований не только минимизирует риски штрафов и других санкций, но и способствует построению доверительных отношений с клиентами и партнерами, что в долгосрочной перспективе является более выгодной стратегией, чем сиюминутная выгода от агрессивных и не всегда законных методов email-маркетинга. Определение ВС РФ № 305-ЭС23-12160 дает некоторую степень определенности в отношении общих корпоративных email, но не должно восприниматься как разрешение на бесконтрольные рассылки. Ключевым остается принцип уважения к получателю и соблюдение его права не получать нежелательную информацию.

Источники

Правовое регулирование email-рассылок – DashaMail, дата последнего обращения: июня 4, 2025, https://dashamail.ru/blog/legal_adv_letters/
Холодные рассылки по открытым адресам компаний: детальное …, дата последнего обращения: июня 4, 2025, https://dzen.ru/a/aD7rxmnoGDSdvGFe
Закон о персональных данных – Документы системы ГАРАНТ, дата последнего обращения: июня 4, 2025, https://base.garant.ru/12148567/
Федеральный закон “О персональных данных” от 27.07.2006 N …, дата последнего обращения: июня 4, 2025, https://www.consultant.ru/document/cons_doc_LAW_61801/
Федеральный закон от 13.03.2006 N 38-ФЗ (ред. от 23.04.2024) “О рекламе” – mos.ru, дата последнего обращения: июня 4, 2025, https://www.mos.ru/upload/documents/files/7516/38-FZ-2024.pdf
Федеральный закон “О рекламе” от 13 марта 2006 г. N 38-ФЗ …, дата последнего обращения: июня 4, 2025, https://base.garant.ru/12145525/
Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации – WIPO, дата последнего обращения: июня 4, 2025, https://wipolex-res.wipo.int/edocs/lexdocs/laws/ru/ru/ru229ru.html
Федеральный закон “Об информации, информационных …, дата последнего обращения: июня 4, 2025, https://www.consultant.ru/document/cons_doc_LAW_61798/
Владельцам сайтов: изменения в законе о персональных данных – Tilda Education, дата последнего обращения: июня 4, 2025, https://tilda.education/articles-personal-data-law
12.05.2022 Относится ли адрес электронной почты к персональным данным физического лица? – 1С:ИТС, дата последнего обращения: июня 4, 2025, https://its.1c.ru/db/content/newsclar/src/479090.htm
Персональные данные | О персональных данных (ПДн) – InfoWatch, дата последнего обращения: июня 4, 2025, https://www.infowatch.ru/faq/personalnye-dannye-pdn
Статья 8. Общедоступные источники персональных данных – КонсультантПлюс, дата последнего обращения: июня 4, 2025, https://www.consultant.ru/document/cons_doc_LAW_61801/cd0d49f816bca2fb01994515ed3223a96dd38629/
Статья 10.1. Особенности обработки персональных данных …, дата последнего обращения: июня 4, 2025, https://www.consultant.ru/document/cons_doc_LAW_61801/591acc70f577873c1ee54765eda110b7a0271eaf/
Согласие на обработку персональных данных: практические рекомендации и требования – Калуга Астрал, дата последнего обращения: июня 4, 2025, https://astral.ru/aj/elem/kakie-soglasiya-na-obrabotku-personalnykh-dannykh-vam-deystvitelno-nuzhny-prakticheskoe-rukovodstvo/
Как правильно подать жалобу в Роскомнадзор на нарушение …, дата последнего обращения: июня 4, 2025, https://astral.ru/aj/elem/kak-pravilno-podat-zhalobu-v-roskomnadzor/
Как работать с персональными данными сотрудников в 2021 году из-за изменений в законах – Контур.Школа, дата последнего обращения: июня 4, 2025, https://school.kontur.ru/publications/2047
Согласие на обработку персональных данных в 2024 году – Контур.Экстерн, дата последнего обращения: июня 4, 2025, https://www.kontur-extern.ru/info/25593-oformit_soglasie_na_obrabotku_personalnyx_dannyx
Проект Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций “Об утверждении Требований по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона “О персональных данных” (подготовлен Роскомнадзором 25.08.2022) (документ принят) – Документы системы ГАРАНТ, дата последнего обращения: июня 4, 2025, https://base.garant.ru/56931329/
Передача персональных данных работника третьим лицам: как не нарушить закон, дата последнего обращения: июня 4, 2025, https://ppt.ru/art/personal-data/peredacha-personalnykh-dannykh-rabotnika-tretim-litsam
Правила работы с персданными. 10 рекомендаций эксперта, дата последнего обращения: июня 4, 2025, https://e.korpurist.ru/1019983
Приказ Федеральной службы по надзору в сфере связи …, дата последнего обращения: июня 4, 2025, http://publication.pravo.gov.ru/Document/View/0001202104210039
Приказ Роскомнадзора от 24.02.2021 N 18 “Об утверждении …, дата последнего обращения: июня 4, 2025, https://www.consultant.ru/document/cons_doc_LAW_382687/
ПРИКАЗ Роскомнадзора от 24.02.2021 N 18 “ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К СОДЕРЖАНИЮ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗРЕШЕННЫХ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ” (Зарегистрировано в Минюсте РФ 21.04.2021 N 63204) – Банк данных “Нормативно-правовые акты, зарегистрированные в Министерстве юстиции Российской Федерации”, дата последнего обращения: июня 4, 2025, https://minjust.consultant.ru/documents/26574?items=10
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.12.2021 N 253 “Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в – Документы системы ГАРАНТ – Система ГАРАНТ, дата последнего обращения: июня 4, 2025, https://base.garant.ru/403583410/
<Письмо> ФАС России от 25.09.2019 N АК/83509/19 “О …, дата последнего обращения: июня 4, 2025, https://www.consultant.ru/document/cons_doc_LAW_334032/
Как не получить штраф за Email-рассылку в 2025 году – Retail Rocket, дата последнего обращения: июня 4, 2025, https://retailrocket.ru/blog/tolko-po-soglasiju-kak-otpravljat-klientam-reklamnye-rassylki-i-ne-poluchit-shtraf/
Законная рассылка: 4 основных правила работы без штрафов, дата последнего обращения: июня 4, 2025, https://emailmatrix.ru/blog/law-mailing/
Как использовать телемаркетинг, не нарушая закон о персональных данных, дата последнего обращения: июня 4, 2025, https://astral.ru/aj/elem/kak-pravilno-rabotat-s-telemarketingom-ne-narushaya-zakonodatelstvo-o-personalnykh-dannykh/
Email и закон: как не получить штраф за рассылку – Unisender, дата последнего обращения: июня 4, 2025, https://www.unisender.com/ru/blog/rassylki-i-zakon/
КоАП РФ Статья 13.11. Нарушение законодательства …, дата последнего обращения: июня 4, 2025, https://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/
Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных – Документы системы ГАРАНТ, дата последнего обращения: июня 4, 2025, https://base.garant.ru/12125267/b369434ee740927935cc6f0a04242543/
Судебные прецеденты между Операторами персональных данных и Роскомнадзором, дата последнего обращения: июня 4, 2025, https://www.ec-rs.ru/blog/zashhita-personalnyh-dannyh/sudebnye-pretsedenty-mezhdu-operatorami-personalnykh-dannykh-i-roskomnadzorom/
Штрафы и санкции за рассылку рекламы, как на них не напороться – RuSender, дата последнего обращения: июня 4, 2025, https://rusender.ru/blog/shtrafy-i-sankczii-za-rassylku-reklamy-kak-na-nih-ne-naporotsya/
Как бороться со спамом? – Адвокатская газета, дата последнего обращения: июня 4, 2025, https://www.advgazeta.ru/ag-expert/advices/kak-borotsya-so-spamom/
Чем опасна отправка рассылки без согласия получателя – Skillbox, дата последнего обращения: июня 4, 2025, https://skillbox.ru/media/marketing/chem-opasna-otpravka-rassylki-bez-soglasiya-poluchatelya/
Статья 14.3. КоАП РФ Нарушение законодательства о рекламе …, дата последнего обращения: июня 4, 2025, https://base.garant.ru/12125267/45c7159d1431fa030f3a50def1cdf355/
Миллион за спам: как бизнес накажут за недобросовестную рекламу | БУХ.1С, дата последнего обращения: июня 4, 2025, https://buh.ru/articles/shtrafy-za-spam-kak-biznes-nakazhut-za-nedobrosovestnuyu-reklamu.html
Штраф в 1 млн за спам компания получит, даже если есть согласие клиента. Как защититься, дата последнего обращения: июня 4, 2025, https://e.law.ru/1096075
Штрафы за маркировку рекламы в интернете: судебная практика – Unisender, дата последнего обращения: июня 4, 2025, https://www.unisender.com/ru/blog/shtrafy-za-markirovku-reklamy-v-internete-sudebnaya-praktika/
Нарушение рекламодателем, рекламопроизводителем или рекламораспространителем законодательства о рекламе | Мой бизнес Кузбасс, дата последнего обращения: июня 4, 2025, https://www.moibiz42.ru/services/podderzhka-biznesa/prover-svoj-biznes/tipovye-narusheniya/narushenie-reklamodatelem-reklamoproizvoditelem-ili-reklamorasprostranitelem-zakonodatelstva-o-reklame/
РКН и ФАС выпишут штрафы, если не найдет двух важных согласий на вашем сайте! Вот инструкция, как их составить – Habr, дата последнего обращения: июня 4, 2025, https://habr.com/ru/articles/862782/
Персональные данные: как работать без штрафов – Фирммейкер, дата последнего обращения: июня 4, 2025, https://firmmaker.ru/blog/personalnye-dannye-kak-rabotat-bez-shtrafov
С 30 мая штрафы до 500 млн рублей. Бизнес на прицеле РКН — что срочно пересмотреть в работе с персональными данными – Клерк.ру, дата последнего обращения: июня 4, 2025, https://www.klerk.ru/blogs/e-office24/647981/
272 УК РФ (неправомерный доступ) | Комментарии Примеры Пояснения 2021 год | RTM Group, дата последнего обращения: июня 4, 2025, https://rtmtech.ru/articles/prestupleniya-v-sfere-kompyuternoj-informatsii-st-272-uk-rf/
Статья 272 УК РФ. Неправомерный доступ к компьютерной информации, дата последнего обращения: июня 4, 2025, https://rulaws.ru/uk/Razdel-IX/Glava-28/Statya-272/
Статья 272. Неправомерный доступ к компьютерной информации – Уголовный кодекс, дата последнего обращения: июня 4, 2025, https://ukrfkod.ru/statja-272/
УК РФ Статья 272.1. Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее… \ КонсультантПлюс, дата последнего обращения: июня 4, 2025, https://www.consultant.ru/document/cons_doc_LAW_10699/deefead19003ba8266e85fbf42fc31f60ed3c698/
Разъяснения Роскомнадзора по порядку защиты персональных …, дата последнего обращения: июня 4, 2025, https://drc.law/blog/roskomnadzor-personalnye-dannye/
Определение Верховного Суда РФ от 21 июля 2023 г. N 305-ЭС23-12160 по делу N А40 … – ГАРАНТ, дата последнего обращения: июня 4, 2025, https://www.garant.ru/products/ipo/prime/doc/407321338/
Определение Верховного Суда РФ от 21.07.2023 N 305-ЭС23-12160 по делу N А40-139096/2022, дата последнего обращения: июня 4, 2025, https://legalacts.ru/sud/opredelenie-verkhovnogo-suda-rf-ot-21072023-n-305-es23-12160-po-delu-n-a40-1390962022/
Верховный суд РФ не признал адрес электронной почты персональными данными, дата последнего обращения: июня 4, 2025, https://denuo.legal/ru/insights/news/230830/
Телефон и е-mail — персональные данные или нет? Верховный …, дата последнего обращения: июня 4, 2025, https://vc.ru/legal/823106-telefon-i-e-mail-personalnye-dannye-ili-net-verhovnyi-sud-rf-vyrazil-svoe-mnenie
Форма на сайте = штраф от 100 тысяч. Многие даже не подозревают / Комментарии / Хабр – Habr, дата последнего обращения: июня 4, 2025, https://habr.com/ru/articles/910752/comments/
Электронная почта и номер телефона не являются персональными данными – 1С:ИТС, дата последнего обращения: июня 4, 2025, https://its.1c.ru/db/newsprac/content/485700/hdoc
Верховный суд отказался признать персональными данными контакты лица без привязки к ФИО – ЦПО групп, дата последнего обращения: июня 4, 2025, https://pravorf.ru/blog/verhovnyy-sud-otkazalsya-priznat-personalnymi-dannymi-kontakty-litsa-bez-privyazki-k-fio-1
Телефон и электронная почта – это персональные данные? – IT-юристы | ШЕВЦОВ.РУ, дата последнего обращения: июня 4, 2025, https://shewzov.ru/articles/phone-and-email-is-personal-data/
Какие данные не являются персональными? – True Legal Services, дата последнего обращения: июня 4, 2025, https://truelegal.ru/tpost/cnb7ra2i11-kakie-dannie-ne-yavlyayutsya-personalnim
Постановление Пленума ВАС РФ от 08.10.2012 N 58 “О …, дата последнего обращения: июня 4, 2025, https://www.consultant.ru/document/cons_doc_LAW_137349/
3. Обязательное требование: недобросовестной признается реклама, которая содержит некорректные сравнения рекламируемого товара с находящимися в обороте товарами, которые произведены другими изготовителями или реализуются другими продавцами (пункт 1… \ КонсультантПлюс, дата последнего обращения: июня 4, 2025, https://www.consultant.ru/document/cons_doc_LAW_478673/65053fbd4b79ad2b4a295f73f37fa37d1c31c559/
Парсинг сайтов: законно или нет? Юридические способы защиты, дата последнего обращения: июня 4, 2025, https://ezybrand.ru/blog/kak-zashhitit-svoj-veb-resurs-ot-kopirovaniya/
Допустимость парсинга в отношении информации, доступной неопределенному кругу лиц (на примере дела ВК против Дабл № А40-18827/2017) – Журнал Суда по интеллектуальным правам, дата последнего обращения: июня 4, 2025, https://ipcmagazine.ru/articles/1729100/
Скрапинг сайтов как нарушение: российская правоприменительная практика – Гардиум, дата последнего обращения: июня 4, 2025, https://legal-support.ru/information/blog/ip-daidzhest/skraping-saitov-kak-narushenie-rossiiskaya-pravoprimenitelnaya-praktika/
Как привлекать клиентов письмами, не привлекая внимания ФАС – Контур, дата последнего обращения: июня 4, 2025, https://kontur.ru/compass/spravka-compass/44380-privlechenie_klientov_pismami
152 ФЗ – Что? Как? Когда? Методическое пособие для руководителей ИТ службы – 4CIO, дата последнего обращения: июня 4, 2025, https://4cio.ru/content/152%20FZ/Posobie.pdf
Новые правила работы с данными: как избежать штрафа – Mailganer, дата последнего обращения: июня 4, 2025, https://mailganer.com/ru/explanation/novye-pravila-raboty-s-dannymi
Штраф за отсутствие политики обработки персональных данных – Б-152, дата последнего обращения: июня 4, 2025, https://b-152.ru/otsutstvie-politiki-obrabotki-personalnyh-dannyh-shtraf
Как уведомить Роскомнадзор об обработке персональных данных: пошаговая инструкция для ИТ-компаний и стартапов – Habr, дата последнего обращения: июня 4, 2025, https://habr.com/ru/articles/914414/
Обработка персональных данных: инструкция для организаций – Клерк.ру, дата последнего обращения: июня 4, 2025, https://www.klerk.ru/blogs/fedresurs/634762/
Как уведомить Роскомнадзор об обработке персональных данных: ответ эксперта, дата последнего обращения: июня 4, 2025, https://www.kontur-extern.ru/info/25487-kto_i_kogda_dolzhen_uvedomit_roskomnadzor_ob_obrabotke_personalnyx_dannyx
Обработка персональных данных с 30 мая 2025 года: как подать уведомление и не получить штраф от Роскомнадзора – Калуга Астрал, дата последнего обращения: июня 4, 2025, https://astral.ru/products/152doc/uvedomlenie-ob-obrabotke-personalnykh-dannykh/
Подготовка к проверке Роскомнадзора – ООО «УИБ, дата последнего обращения: июня 4, 2025, https://uibcom.ru/services/zashchita-personalnykh-dannykh/podgotovka-k-proverke-roskomnadzora/
Уведомление в Роскомнадзор об обработке персональных данных в 2025 году: образец и сроки подачи – Центр бухгалтерского обслуживания, дата последнего обращения: июня 4, 2025, https://buhuslugispb.com/novosti/uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnyx-dannyx-v-2025-godu-obrazec-i-sroki-podachi/
️ Внимание: фейковая рассылка! Зафиксирована рассылка фейковых электронных писем якобы от имени Роскомнадзора… 2025 | ВКонтакте, дата последнего обращения: июня 4, 2025, https://vk.com/wall-76229642_262765
Как избежать получения нежелательного спама. Судебная практика и рекомендации, дата последнего обращения: июня 4, 2025, https://www.klerk.ru/user/52431/598626/
Кассация поддержала штраф для «Мегафона» за спам-рассылки – ПРАВО.Ru, дата последнего обращения: июня 4, 2025, https://pravo.ru/news/248248/
SPF, DKIM, DMARC: что всё это значит для email-рассылки, как настроить и проверить работу – RetailCRM, дата последнего обращения: июня 4, 2025, https://www.retailcrm.ru/blog/spf-dkim-dmarc
Гайд по антиспам-настройкам: DKIM, SPF, DMARC, дата последнего обращения: июня 4, 2025, https://emailsoldiers.ru/blog/antispam-settings-in-email-marketing