О чём данная статья:

С 30 мая 2025 года вступили в силу новые правила обработки персональных данных в России. Нарушения, которые раньше обходились в 100 тысяч рублей, теперь могут стоить миллионы. Разбираемся, что изменилось, почему об этом говорят именно сейчас и что делать, чтобы не попасть под штрафы.

А еще показываем конкретные схемы и примеры, как собирать согласие на рассылку законно и эффективно: на сайтах, через ботов, QR-коды, email и офлайн.

Главные изменения: что теперь под запретом и сколько это стоит

Мы уже рассказывали, какие законы регулируют сбор персональных данных (ПДн). В России этим занимается Федеральный закон № 152-ФЗ «О персональных данных». Он требует: 

  • получать согласие на обработку;
  • указывать цель обработки;
  • защищать данные от утечек;
  • раскрывать права пользователей.

Контролирует соблюдение Роскомнадзор. Он же принимает уведомления от компаний, которые собирают и используют ПДн.

Узнайте больше в нашей статье: Как собирать персональные данные в чат-ботах и не нарушать закон

Ниже — кратко о ключевых изменениях в законе и новых штрафах.

  1. Цель сбора должна совпадать с целью рассылки

Если вы собираете данные «для обратной связи», а потом отправляете рекламную рассылку — это нарушение. Такие действия подпадают под два закона одновременно: «О персональных данных» и «О рекламе». И теперь штрафы выросли кратно:

  • Юрлица от 150 000 ₽ до 300 000 ₽ за первое нарушение, до 500 000 за повторное
  • ИП до 500 000 ₽
  • Должностные лица до 200 000 ₽
  1. Штрафы за утечку данных увеличились в разы

Раньше утечки почти не регулировались. Теперь:

  • Утечка до 10 000 человек — до 5 млн ₽
  • Утечка до 100 000 человек — до 10 млн ₽
  • Утечка более 100 000 человек — до 15 млн ₽
  • Повторная утечка — до 3% от годовой выручки, даже если прибыли нет

Особенно жесткие штрафы, если утекли чувствительные данные: здоровье, политические взгляды и т.д. до 15 млн ₽, биометрия до 20 млн ₽.

  1. О каждой утечке нужно сообщать в Роскомнадзор

Случилась утечка — уведомите Роскомнадзор. Если не сделать этого, будет еще один штраф до 3 млн ₽. 

  1. Ужесточение требований к локализации данных

Теперь операторы персональных данных обязаны собирать, хранить и обрабатывать ПДн исключительно на территории России. Если нужна передача данных за границу,  сначала отправьте уведомление в Роскомнадзор. А если вы пользуетесь Google Analytics или другими иностранными сервисами, пора отказаться от них и выбрать аналог с локализацией в России.

Telegram и WhatsApp сами по себе не запрещены. Но если вы используете их в связке с платформами, где данные хранятся на зарубежных серверах, — это трансграничная передача. В этом случае вы обязаны получить согласие пользователя на такую передачу (это можно сделать прямо в форме согласия) и уведомить РКН.

Также обязательно подавать уведомление в Роскомнадзор о намерении обрабатывать ПДн. Сделать это нужно до начала сбора и обработки персональных данных. Это требование закреплено в статье 22 Федерального закона № 152-ФЗ и касается почти всех компаний и ИП, кроме отдельных исключений (например, если вы обрабатываете данные только на бумаге и не используете автоматизацию).

Уведомление можно подать онлайн. В нем нужно указать:

  • кто вы и где находитесь: юрлицо или ИП;
  • цель обработки ПДн;
  • какие меры защиты применяете, например, шифрование;
  • кто отвечает за работу с ПДн;
  • дату начала и сроки обработки;
  • будет ли передача данных за границу;
  • где хранится база данных с ПДн;
  • кто еще имеет доступ к данным и на каком основании.

После подачи уведомления Роскомнадзор в течение 30 дней вносит вас в реестр операторов ПДн. Эти сведения (кроме информации о мерах безопасности) становятся публичными.

Если вы уже работаете с персональными данными, но уведомление не подавали, сделайте это как можно скорее, чтобы избежать штрафов и претензий со стороны РКН.

Какие виды согласий бывают и где их собирать

Перед тем как запускать рассылки, убедитесь, что у вас оба варианта согласий от клиентов:

  1. На обработку персональных данных: общее согласие на сбор, хранение и использование информации (например, имени, телефона, email). Требуется по закону № 152-ФЗ «О персональных данных».
  2. На получение рекламных материалов: отдельное согласие на отправку рассылок, акций, уведомлений и пр. Требуется по закону №38-ФЗ «О рекламе».

Для любых рассылок и обработки персональных данных необходимо явное, добровольное и информированное согласие пользователя.

Вот что это значит на практике: пользователь сам и осознанно подтверждает согласие, нажимает кнопку «Подписаться» в мессенджере или ставит галочку на сайте.

Способы сбора согласия с примерами

Показываем варианты, как получать согласие на рассылку в разных каналах: на сайте, в офлайн-точках и в мессенджерах. 

1. Через виджеты на сайте

На сайт можно встроить для сбора согласий на рекламные рассылки.

Как это обычно выглядит: в форме регистрации или заявки указываются номер телефона или контакт, рядом чекбокс «Согласен на получение рекламных сообщений» и ссылки на политику конфиденциальности и политику обработки персональных данных.

Виджет на сайте для сбора согласия на ПДн

В TextBack создан WhatsApp Hunter, виджет для сбора двух типов согласий: на обработку персональных данных и на отправку маркетинговых рассылок. Подробнее в нашей Базе Знаний.

2. Через посадочные страницы и формы

Еще один вариант получить сразу номер телефона и согласие на обработку ПДн.

Как это работает:

  • На лендинге размещается простая форма, где пользователь вводит минимум данных — обычно номер телефона или выбор мессенджера: WhatsApp, Telegram, ВКонтакте.
  • В форме может быть несколько опций для подписки, например, чекбоксы или выпадающий список с выбором канала.
  • Важно сразу обозначить, что подписка подразумевает рассылку маркетинговых или рекламных сообщений, с ссылкой на политику конфиденциальности.

Если на лендинге вы что-то предлагаете: скидку, гайд, PDF или промокод — это считается рекламной активностью. А значит, вам нужно взять отдельное согласие именно на рекламную рассылку.

Примеры раздельного сбора согласий на обработку персональных данных и получение рекламных материалов

3. При первом взаимодействии в мессенджере

Лучший момент — самое первое сообщение после старта диалога.

Как это работает:

  • Пользователь переходит в чат по ссылке с сайта, email или QR-кода.
  • Бот отправляет приветственное сообщение с объяснением, что за рассылка его ждет, и спрашивает разрешение.
  • Только после явного согласия (например, нажатия кнопки «Да, получать») бот добавляет пользователя в сегмент для рассылок.

Примеры сбора согласия на WhatsApp-рассылку от Jack Wolfskin и Takko Fashion

4. Оффлайн-точки и QR-коды

Если у вас есть физические точки контакта с клиентом, используйте их для сбора согласий.

Как это работает:

  • На кассе, упаковке, витрине или флаере размещается QR-код с призывом:
     «Сканируйте — получите скидку/подарок/кэшбек в мессенджере».
  • Код ведет в бот в WhatsApp, Telegram или ВКонтакте.
  • Бот отправляет приветственное сообщение и предлагает подписаться на рассылку.
  • Пользователь подтверждает согласие нажатием кнопки.

Важно:

  • Даже если пользователь сам инициировал контакт и просканировал QR, нужно все равно собрать явное подтверждение.
  • Бонус или подарок за подписку отлично работает как мотивация, но не отменяет необходимости запроса согласия.

Например, компания Коркунов размещает QR-коды на продукции и берет согласия на рассылки и участие в акции через сайт.  Для этого используется Double Opt-In, механизм двойного подтверждения через чекбоксы. 

  • Пользователь ставит галочку в нужных чекбоксах и подтверждает свое согласие на обработку персональных данных и получение рекламы.
  • После этого пользователь получает дополнительное подтверждение: письмо, сообщение в чате или боте.

Важно: чекбоксы должны быть пустыми по умолчанию. Предзаполненные галочки незаконны, такое «согласие» не считается добровольным.

Пример сбора согласий от Коркунов в мессенджере и на сайте через чекбоксы

Как фиксировать и хранить согласия

Согласие должно быть документально подтверждено и зафиксировано, чтобы при необходимости вы могли подтвердить: пользователь действительно дал разрешение на рассылку.

Что важно хранить:

  • дату и время получения согласия;
  • канал: WhatsApp, Telegram, ВКонтакте и др;
  • действие пользователя: нажал кнопку, ввел номер, ответил на сообщение;
  • содержание сообщения, в котором было получено согласие.

Если этого нет, юридически у вас нет согласия.

Важно: фиксация должна происходить до начала рассылки — это ваша подстраховка и залог законного общения с аудиторией.

Что компании делают сейчас: три стратегии после изменений

Прямо сейчас многие компании адаптируют свои процессы. Вот три самых распространенных подхода.

Пересобирают согласия по базе

Компании, которые раньше не фиксировали согласие корректно или не указывали, что подписка — это рекламная рассылка, сейчас заново запрашивают согласие.

Например, Kokoc Group заново собирают согласия на рассылку по своей базе в Telegram.

Рассылка от Kokoc Group с запросом согласия на продолжение коммуникации по новым правилам

Переводят пользователей в другие каналы

Речь о механике перелива: отправить пользователя туда, где уже всё настроено корректно, например, в Telegram-бот с офертой и фиксацией действий.

Как это работает:

  • В письмах, уведомлениях или на сайте появляется CTA вроде:
     «Получайте обновления в удобном мессенджере — Telegram, WhatsApp или ВКонтакте».
  • Пользователь кликает → переходит в нужный мессенджер → бот отправляет сообщение и предлагает подтвердить подписку.
  • После нажатия кнопки согласие фиксируется.

Например, Золотое Яблоко отправляет своим клиентам email-рассылку с предложением перейти в Telegram-бот. Там пользователь подтверждает согласие на обработку данных и получение сообщений.

Email-рассылка Золотого Яблока с предложением сгенерировать промокод Лендинг со скидкой и кнопкой перехода в Telegram-бот для получения промокода Telegram-бот Золотого Яблока с запросом согласия на обработку персональных данных

Временно приостанавливают работу в мессенджерах

Некоторые компании решили взять паузу и отключили работу мессенджеров, чтобы подготовить юридическую и техническую инфраструктуру. Такой подход позволяет избежать риска штрафов и претензий от регулятора.

Объявление о приостановке работы мессенджеров Ostrovok

Типичные ошибки, которые могут стоить дорого

Если вы продолжаете использовать мессенджеры, проверьте, как именно собираете и оформляете согласия. Показываем распространенные ошибки.

Согласие на ПД без отдельного согласия на рекламу

Фраза «Согласен на обработку ПДн и получение новостей» — это нарушение. Закон требует раздельных согласий: одно — на обработку, другое — на рассылку.

Чекбокс по умолчанию

Нельзя заранее отмечать галочку за пользователя, согласие должно быть выражено явно. Если чекбокс уже активен при загрузке страницы, это считается навязанным согласием.

 

Использование контакта для рекламы без нужного согласия

Если человек оставил контакт «для подтверждения бронирования», нельзя использовать его для рассылки вебинаров или акций. Это разные цели обработки — нужно отдельное согласие.

Что нужно сделать уже сейчас

  1. Убедитесь, что вы подали уведомление в Роскомнадзор

Если вы используете любые персональные данные,  например, имя, номер телефона, e-mail, вы обязаны уведомить Роскомнадзор о том, что собираете и обрабатываете ПДн. Это касается всех компаний, работающих с клиентскими данными.

  1. Опубликуйте свою политику обработки ПД

Не копируйте чужую. Документ должен отражать вашу деятельность и быть доступен для клиентов. Обратитесь к юристам, возможно, у них уже есть подходящий шаблон. Если нет, опишите, как вы работаете с данными, и они помогут составить документ по закону.

Готовую политику опубликуйте на сайте. Добавьте на нее ссылки везде, где собираете согласия:в чат-ботах, формах, попапах. Это обязательное требование закона.

  1. Перепроверьте форму согласия

Укажите:

  • Цель обработки
  • Какие данные собираются
  • Срок хранения
  • Реквизиты компании

Важно: по общему правилу согласие на обработку персональных данных должно храниться три года после того, как истек срок действия согласия или его отзыва. Это определяется Перечнем к Приказу Росархива от 20.12.2019 № 236. То есть данные могут быть уничтожены, а согласия хранятся еще минимум три года. 

  1. Соберите согласие на рекламу с существующей базы

Если рассылали раньше, но не собирали согласие на рекламу, сделайте это сейчас. И зафиксируйте, кто, когда и как согласился. Учтите, что согласие нужно именно для того канала, в котором вы планируете отправлять рекламу. Например, согласие на email не дает права слать сообщения в Telegram без дополнительного подтверждения. 

Если вы заранее собирали единое согласие на несколько каналов — это допустимо. Просто убедитесь, что все используемые каналы прописаны в тексте согласия и в политике обработки данных.

  1. Уважайте право отписаться

Добавляйте кнопку «Отписаться» или простую команду для выхода — это не только требование закона, но и уважение к пользователю. А после того как человек отписался, отправьте подтверждение и исключите такого получателя из списка рассылки.

WhatsApp-рассылка Экспресс Офис и Bulanti

Читайте также: Как правильно работать с отписками в WhatsApp Business API

 

Теперь вы знаете главное:

  • Новые штрафы за нарушения в рассылках достигают миллионов рублей.
  • Согласие должно быть явным, осознанным и правильно оформленным.
  • Ранее собранные согласия нужно перепроверить.

С TextBack вы сможете выстроить и автоматизировать этот процесс, сделать его удобным и прозрачным.

Нужна помощь? Оставьте заявку: расскажем, как выстроить opt-in цепочку под ваш бизнес, канал и цели.