От сбора данных до содержания сообщений
SMS-рассылки — один из оптимальных каналов связи с текущими и потенциальными клиентами, особенно в моменты, когда интернет работает с перебоями. С их помощью удобно оповещать о важных изменениях, рекламировать товары и услуги. Однако важно делать это правильно. Несоблюдение правовых норм может обернуться солидными штрафами. В статье расскажу, какие законы регулируют SMS-рассылки и как их правильно соблюдать.
Для запуска SMS-рассылок не требуется регистрации какого-то особого статуса. Можно быть индивидуальным предпринимателем, юридическим лицом или просто обычным гражданином, то есть физическим лицом. Требования к отправителям одинаковы вне зависимости от правового статуса (152-ФЗ, ст. 3).
Хотя закон фактически не запрещает физическим лицам проводить SMS-рассылки, на практике большинство сервисов и операторов связи работают только с ИП и ЮЛ. Это связано с безопасностью. Оператору нужно подтверждение, что тот, кто собирается рассылать SMS, имеет право использовать конкретное имя отправителя. Проверить бизнес-статус и документы компании гораздо проще, чем подтвердить личность и намерения обычного гражданина. Так операторы защищают пользователей от анонимного спама и мошенничества.
В частности, любой, кто собирает персональные данные, становится оператором. Соответственно, он обязан уведомить Роскомнадзор до начала сбора данных (152-ФЗ, ст. 22, ч. 1).
Важно уточнить, что под персональными данными подразумевается любая информация, которая прямо или косвенно относится к определённому или определяемому физическому лицу (152-ФЗ, ст. 3, ч. 1). То есть имя, фамилия, номер телефона — это всё персональные данные, поскольку они помогают идентифицировать человека. Дополнительная информация — пол, возраст, место проживания, семейное положение — сама по себе не является персональной, но может быть сочтена такой косвенно, если связана с конкретным лицом.
Заявление в РКН носит уведомительный порядок, то есть ждать разрешения не нужно — можно сразу после отправки документа начинать сбор данных. Оформляют уведомление в бумажном или электронном виде по утверждённой форме (Приказ РКН № 180 от 28.10.2022). В уведомлении обязательно указывают наименование или ФИО оператора и его адрес, цель обработки персональных данных, дату начала обработки и условия прекращения, место хранения базы (152-ФЗ, ст. 22).
Если сбор базы для SMS-рассылки происходит без уведомления РКН и / или указанная в уведомлении цель отличается от реальной, это является нарушением (КоАП РФ, ст. 13.11), за которое грозит административный штраф:
При повторном нарушении размер штрафа увеличивается до 15 000 –30 000 ₽, 100 000 – 200 000₽ и 300 000 – 500 000 ₽ соответственно.
Стоит отметить, что ИП несут ответственность в размере не меньшем, чем должностные лица — или в размере половины штрафа для юридического лица. А в отношении самозанятых граждан есть нюансы. ИП на НПД однозначно несёт ответственность как юридическое лицо. Самозанятые без статуса ИП теоретически приравниваются к гражданам, и штраф им назначают как для физлиц. Но есть вероятность, что суд может квалифицировать самозанятого как должностное лицо, если имело место получение прибыли. Достаточной судебной практики по этому вопросу пока нет.
Для законной отправки SMS-рассылок в первую очередь нужно получить согласие пользователя на обработку персональных данных (152-ФЗ, ст. 9). Оно должно быть конкретным, информированным и сознательным. При этом согласие необходимо оформить отдельным документом, то есть нельзя «зашить» его внутрь договора, оферты или иного документа.
Дальше всё зависит от того, какие именно рассылки планируется отправлять. Если это будут какие-то сервисные и транзакционные сообщения, то других согласий не потребуется (152-ФЗ, ст. 6, ч. 1, п. 5). Но если предполагается отправка маркетинговых рассылок, то нужно получить дополнительное согласие на получение рекламы (38-ФЗ «О рекламе», ст. 18, ч. 1).
Собирать данные можно как онлайн, так и офлайн. Например, можно использовать бумажные анкеты или формы сбора данных на сайте. Но в любом случае человек должен иметь возможность предварительно ознакомиться с политикой обработки персональных данных (152-ФЗ, ст. 18). То есть оператор должен опубликовать или обеспечить неограниченный доступ к документу.
Подробнее об особенностях и форматах сбора базы для SMS-рассылок читайте в отдельном материале «Конверта».
Также желательно предоставить доступ к политике конфиденциальности, которую обязан соблюдать оператор ПДн (152-ФЗ, ст. 7). Закон не требует отдельного документа и его часто совмещают с политикой обработки ПДн. Но важно различать нюансы. Документ про обработку данных объясняет принципы работы с информацией согласно законодательным нормам. А вот политика конфиденциальности — это «правило хорошего тона». Она является своего рода подтверждением секретности со стороны оператора, то есть она направлена на повышение доверия.
Таким образом, при офлайн-сборе данных необходимо предоставить человеку для ознакомления политику обработки ПДн и политику конфиденциальности. В онлайне ссылки на эти документы должны присутствовать в форме сбора данных рядом с чекбоксами или кнопкой отправки.
При сборе данных действия должны однозначно идентифицировать абонента (126-ФЗ «О связи», ст. 44.1). Это значит, что в офлайне человек сам оставляет личную подпись. А в онлайне — пользователь сам кликает по кнопке «Отправить» или «Зарегистрироваться». При этом система фиксирует IP-адрес, дату и время нажатия кнопки, привязанные данные.
Но также важно помнить, что действие должно быть активным. Соответственно, галочка в чек-боксе онлайн-формы не должна стоять по умолчанию. Если пользователь просто нажал кнопку «Зарегистрироваться», а галочка уже была проставлена за него — это «молчаливое согласие», которое по закону (152-ФЗ, ст. 9, ч. 1) считается недействительным. Человек должен сам совершить клик.
Если при проверке по факту жалобы Роскомнадзор выяснит, что данные собирались с нарушениями, то будет наложен штраф (ст. 13.11 КоАП РФ). Например, за сбор данных без согласия:
Также предусмотрены штрафные санкции за несоответствие цели сбора данных, отсутствие политики обработки ПДн и прочие нарушения. При повторном нарушении штрафы возрастают и могут достигать нескольких миллионов рублей в зависимости от статуса нарушителя.
Внимание! Пользователь даёт согласие на обработку своих данных конкретному лицу или компании (оператору). Поэтому собранные персональные данные нельзя передавать иным лицам без согласия владельца (152-ФЗ, ст. 7). По этой же причине использовать купленные или арендованные базы номеров для SMS-рассылки незаконно.
Важно помнить, что наличие согласий могут проверить в любой момент. В случае если кто-то пожалуется на оператора, Роскомнадзор может прийти с проверкой — и в таком случае нужно представить доказательства легального сбора базы.
В качестве доказательств можно использовать:
Внимание! Все логи должны храниться на том же сервере, где находится сайт. При хранении на разных серверах сложнее доказать связь между ресурсами. Данные, которые хранятся в CRM, доказательством не являются.
Отсутствие доказательств приравнивают к сбору персональных данных без согласия и налагают соответствующий штраф. При этом технические сбои или случайная потеря данных не являются оправданием — если оператор не может представить доказательства, он признается виновным. Бремя доказывания всегда лежит на операторе. Пользователь может просто заявить, что он не давал согласия, а вот оператор обязан опровергнуть это фактами (152-ФЗ, ст. 9, ч. 3; 38-ФЗ, ст. 18, ч. 1).
С 1 июля 2025 года были ужесточены требования к локализации данных. В частности, хранить базу персональных данных можно только на серверах, расположенных на территории Российской Федерации (152-ФЗ, ст. 18, ч. 5). За нарушение этого требования предусмотрены крупные штрафы с повышением при повторном нарушении (КоАП РФ, ст. 13.11, ч.ч. 8-9):
Кроме того, важно обеспечить безопасность персональных данных при обработке (152-ФЗ, ст. 19). Это значит, что нужно ограничить сторонний доступ к информации, предусмотреть вероятность взлома и кражи и назначить ответственных лиц (152-ФЗ, ст. 22.1).
Необеспечение должных условий хранения и обработки ПДн чревато штрафом от 1500 ₽ до 18 млн ₽, в зависимости от статуса нарушителя, способа обработки и повтора нарушения (КоАП РФ, ст. 13.11, ч.ч. 6-9).
Если всё-таки произошла утечка данных, то оператор обязан уведомить Роскомнадзор в течение 24 часов (152-ФЗ, ст. 21, ч. 3.1). За неуведомление или несвоевременное уведомление предусмотрен штраф (КоАП РФ, ст. 13.11, ч. 11) от 50 000 до 3 млн ₽.
При отправке SMS особое внимание нужно уделить их содержанию, которое зависит от типа сообщений.
Сервисные / транзакционные сообщения. Такие SMS не требуют согласия на получение рекламы — они просто передают важную информацию. Поэтому в сообщении должно быть только уведомление об успешном или неуспешном совершении действия. Например, «Ваш заказ №000 оплачен», «Статус вашей заявки: на рассмотрении» и подобное. Никакой иной информации и особенно рекламы быть не должно.
Маркетинговые / рекламные сообщения. Здесь вступают в силу рекламные нормы. В тексте обязательно должна присутствовать ссылка на отписку, чтобы у пользователя была возможность отказаться от получения рассылки (38-ФЗ, ст. 18, ч. 1; 152-ФЗ, ст. 15, ч. 2).
Учтите, что малейший намёк на рекламу в сервисном сообщении автоматически приравнивает его к рекламным SMS. Нарушение «Закона о рекламе» может обернуться штрафом от 2000 до 6 млн ₽, в зависимости от статуса нарушителя и тяжести проступка (ст. 14.3 КоАП РФ).
Внимание! Тщательно проверяйте ссылки в рекламных SMS. Законом запрещена реклама ресурсов, доступ к которым ограничен Роскомнадзором. Если сайт находится в «чёрном списке» или принадлежит иноагенту, можно получить штраф от 50 000 до 6 млн ₽.
Что касается способа отправки, то независимо от типа сообщений, действует запрет на массовую SMS-рассылку с личного номера. Это считается нарушением порядка оказания услуг связи и наказывается штрафом от 2000 до 500 000 ₽ (ч. 1, ст. 14.3 КоАП РФ). Кроме того, оператор связи может заблокировать отправителя за рассылку спама.
Любая рассылка должна идти через официальный договор с оператором связи (126-ФЗ, ст. 44.1, ч. 2). При этом регистрируется идентификатор отправителя — это может быть как номер телефона, закрепленный за компанией, так и буквенное альфа-имя (название бренда).
Теоретически можно самостоятельно заключить прямые договоры с каждым оператором связи отдельно. Но на практике проще и быстрее работать через сервисы SMS-рассылок. У них уже налажены процессы со всеми ведущими операторами, что позволяет быстрее оформить все необходимые документы и слать сообщения абонентам разных сетей через один личный кабинет.
Пользователь имеет право в любой момент отказаться от получения рассылки. Сделать это в случае с SMS сложнее, чем при отправке email: как правило, пользователь должен либо отключить сообщения в личном кабинете, либо и вовсе звонить менеджеру.
При получении соответствующего запроса отправитель обязан незамедлительно прекратить отправку сообщений (38-ФЗ, ст. 18, ч. 1). При этом оператор также обязан прекратить обработку персональных данных и удалить номер из активной базы (152-ФЗ, ст. 21).
За продолжение рекламной рассылки после отказа абонента предусмотрен штраф от 2000 до 500 000 ₽ (ч. 1 ст. 14.3 КоАП РФ). Если номер остался в базе, то есть продолжается обработка ПДн, то это также может обернуться штрафом от 2000 до 500 000 ₽ (ч.5 и ч.5.1, ст. 13.11 КоАП РФ).
Как согласие, так и отказ от него нужно хранить в течение трех лет после отказа от рассылки (п. 441 Приказа Росархива № 236). Отсутствие доказательств получения согласия до истечения срока давности приравнивается к обработке персональных данных без согласия и грозит штрафом от 10 000 до 1,5 млн ₽ (ч.ч. 2-2.1, ст. 13.11 КоАП РФ).
Прогревайте аудиторию через имейл,
а срочные сообщения отправляйте в СМС. В связке каналы создают надёжный контакт с клиентами и увеличивают
ROI на ~56%.
Удобное управление всеми рассылками в одном аккаунте Unisender.
Искренние письма о работе и жизни, эксклюзивные кейсы и интервью с экспертами диджитала.
Проверяйте почту — письмо придет в течение 5 минут (обычно мгновенно)
