Рекламные звонки, СМС и массовые рассылки не запрещены — запрещена коммуникация без доказуемого согласия. С 2025 года согласие на обработку персональных данных больше не заменяет согласие на рекламу. Три отдельных документа, чистая CRM-база, работающая отписка и лог согласий — вот что защищает бизнес от штрафа до 1 млн рублей
Что изменилось в законах
До 2025 года большинство бизнесов работало по принципу «есть база — звоним». Суды и ФАС периодически штрафовали за нарушения, но системного давления не было. Ситуация изменилась дважды за один год.
41-ФЗ, подписан 1 апреля 2025 года. Закон ввёл пакет мер против телефонного мошенничества и спам-звонков: правила передачи номеров, маркировку вызовов, запрет на использование подменных номеров. С 1 сентября 2025 года массовые звонки и рассылки разрешены только при наличии предварительного согласия абонента.
Важный нюанс: закон касается не только рекламы. Под новые требования подпадают любые массовые вызовы — информационные, сервисные, опросные. Если это звонит робот или колл-центр на тысячи номеров, нужно согласие.
420-ФЗ, значимая часть вступила в силу 30 мая 2025 года. Ужесточена ответственность за нарушения в сфере персональных данных: выросли штрафы за утечки, появился оборотный штраф за повторные инциденты.
Новые правила
Ключевой сдвиг — не в размере штрафов, а в логике доказывания: раньше регулятор должен был доказать нарушение, теперь бизнес сам должен уметь доказать, что согласие было.
Три согласия, которые нельзя смешивать
Это самая частая ошибка. Разберём на конкретных сценариях:
Сценарий 1. Человек оставил телефон в форме заказа для доставки. Это согласие на обработку персональных данных для исполнения договора: подтвердить заявку, согласовать доставку, сообщить статус, передать данные курьеру — не разрешение звонить с акцией.
Сценарий 2. Клиент поставил галочку «Согласен с политикой конфиденциальности». Это основание хранить данные — не разрешение отправлять рекламную рассылку.
Сценарий 3. Человек когда-то что-то купил. Это вообще не согласие ни на что, кроме исполнения той конкретной покупки.
| Тип согласия | Что даёт | Чего не даёт |
|---|---|---|
| Согласие на обработку ПДн (152-ФЗ) | Право хранить и использовать данные | Права отправлять рекламу |
| Согласие на получение рекламы (38-ФЗ) | Право делать рекламные рассылки | Права на массовый обзвон без отдельного согласия |
| Предварительное согласие абонента (126-ФЗ, 41-ФЗ) | Право делать массовые вызовы | Ничего не говорит о праве хранить ПДн |
Вывод: нужны три отдельных документа под три отдельных цели.
Реклама или сервисное сообщение?
Это граница, на которой горит большинство бизнесов. Разобраться несложно:
| Сообщение | Статус |
|---|---|
| «Ваш заказ №123 передан в доставку» | Сервисное — можно без рекламного согласия |
| «Ваш заказ доставлен, а ещё ловите скидку 15% на следующий» | Рекламный элемент — нужно согласие |
| «Вы записаны на приём 15 мая в 14:00» | Сервисное |
| «Запишитесь на повторный приём со скидкой» | Реклама |
| «Код подтверждения: 4582» | Сервисное |
| «Ваш код 4582, а ещё у нас акция» | Высокий риск — смешанное сообщение |
| «Ваш платёж прошёл» | Сервисное |
| «Платёж прошёл, рекомендуем похожие товары» | Реклама |
Правило простое: если сообщение продвигает товар, услугу, акцию, скидку или бренд — это рекламная рассылка, нужно отдельное согласие на рекламу.
Матрица каналов: что хранить и чем рискуете
| Канал | Что считается рекламой | Какое согласие нужно | Кто штрафует | Главный риск |
|---|---|---|---|---|
| Звонок менеджера | Предложение купить, скидка, акция | Согласие на рекламу | ФАС | Нет доказательства согласия |
| Автообзвон, робот | Любой массовый вызов | Согласие на рекламу + предварительное согласие абонента | ФАС | Нет лога согласия, нет маркировки |
| СМС | Промокод, акция, приглашение | Отдельное рекламное согласие | ФАС | Жалоба абонента |
| Маркетинговая рассылка | Согласие на рекламу | ФАС / Роскомнадзор | Нет отписки и лога | |
| Push | Продвижение товара/услуги | Согласие на рекламу + обработка идентификаторов | ФАС / Роскомнадзор | Cookies, device ID |
| Мессенджер (WhatsApp, Telegram) | Акция, прогрев, реактивация | Согласие на рекламу + ПДн | ФАС / Роскомнадзор | Серые базы, иностранные сервисы |
За что могут оштрафовать
Штрафы за рекламу и персональные данные
| Нарушение | Норма | Для граждан | Для ИП и должностных лиц | Для юрлиц |
|---|---|---|---|---|
| Реклама по телефону/СМС без согласия (рассылка по сетям электросвязи) | Ч. 4.1 ст. 14.3 КоАП РФ | 10–20 тыс. ₽ | 20–100 тыс. ₽ | 300 тыс. — 1 млн ₽ |
| Нарушение 152-ФЗ (общий состав) | Ст. 13.11 КоАП РФ | 2–2,5 тыс. ₽ | 4–20 тыс. ₽ | 100–500 тыс. ₽ |
| Утечка 1 000–10 000 записей ПДн | 420-ФЗ / 13.11 КоАП РФ | — | — | 3–5 млн ₽ |
| Утечка 10 000–100 000 записей | — | — | — | 5–10 млн ₽ |
| Утечка свыше 100 000 записей | — | — | — | 10–15 млн ₽ |
| Повторная утечка (оборотный штраф) | 420-ФЗ | — | — | 1–3% выручки, не менее 20 млн и не более 500 млн ₽ |
По общему составу (ч. 1 ст. 14.3 КоАП РФ) штраф для юрлиц — от 100 тыс. до 500 тыс. ₽. Более строгий состав по ч. 4.1 применяется именно за рекламу по сетям электросвязи — телефон, СМС, мессенджеры.
Разница между «общим составом» и «ч. 4.1 ст. 14.3» важна: общий состав применяется к базовым нарушениям 152-ФЗ, а более строгий — конкретно за рекламу по сетям электросвязи (звонки, СМС). ФАС и Роскомнадзор штрафуют независимо друг от друга: одно нарушение может потянуть сразу два состава.
Показательный кейс: кафе отправило рекламное СМС человеку без согласия. Компания пыталась ссылаться на ошибку и недоказанность вины — суд штраф не снял. Отсутствие умысла не освобождает от ответственности.
Уведомление об утечке
При утечке персональных данных у бизнеса два жёстких дедлайна:
- 24 часа — уведомить Роскомнадзор о факте утечки;
- 72 часа — передать результаты внутреннего расследования.
Пропущенный дедлайн — отдельное нарушение, отдельный штраф.
Какие ещё новшества вводит закон
Что делать со старой базой
Это самый острый вопрос для бизнеса с CRM за несколько лет. Холодная база, купленная база, контакты с выставки, номера с кассы офлайн — у каждой категории свой правовой статус.
Аудит базы за 30 минут — проверьте каждый сегмент по этим критериям:
- Откуда контакт: сайт, офлайн, партнёр, купленная база, квиз, вебинар?
- Есть ли договор или заявка, подтверждающая обращение?
- Есть ли отдельное согласие на рекламную рассылку?
- Есть ли текст согласия на дату его получения?
- Есть ли доказательство действия пользователя (клик, галочка, подпись)?
- Есть ли возможность отписки?
По результатам аудита база делится на три категории:
Можно использовать — есть доказуемое рекламное согласие с датой, источником и текстом.
Нужен re-consent — контакт реальный, но согласие на рекламу не зафиксировано или не подтверждается. Сначала отправьте запрос на подтверждение, и только после ответа — рекламные коммуникации.
Исключить из рекламных кампаний — купленные базы, базы от партнёров без явной передачи согласий, контакты без документации. Нельзя считать, что согласие «передалось автоматически» вместе с базой.
Как настроить сайт и CRM
Чек-лист формы на сайте:
- Отдельный чекбокс на обработку ПДн (обязательный для отправки формы)
- Отдельный чекбокс на получение рекламы (добровольный, не предустановленный)
- Активные ссылки на тексты согласий
- Конкретная цель обработки, срок хранения
- Логирование: дата, время, IP, версия текста согласия, источник формы
Пример безопасной формы:
Нажимая кнопку, я соглашаюсь на обработку персональных данных для обработки моего обращения. [ ] Я согласен получать рекламные сообщения, предложения и информацию об акциях по СМС, телефону, email и в мессенджерах.
Пример рискованной формы:
Нажимая кнопку, вы соглашаетесь со всем.
Проблема: слишком общее согласие, не разделены цели, нет отдельного рекламного согласия.
Обязательные поля CRM:
- consent_personal_data: yes/no — указывает, даёт ли клиент согласие на обработку персональных данных.
- consent_ads: yes/no — разрешает ли использование данных для рекламных и/или маркетинговых целей.
- consent_calls: yes/no — разрешает ли обработку данных для звонков и телефонных контактов.
- consent_source: site_form / offline / call / partner — источник, где получено согласие.
- consent_datetime — дата и время, когда клиент дал согласие.
- consent_text_version — версия текста согласия, с которой пользователь соглашался.
- unsubscribe_status — статус отписки.
- unsubscribe_datetime — дата и время, когда клиент отписался или отозвал согласие.
Чек-лист перед запуском обзвона:
- База получена законным путём — есть подтверждение.
- Есть согласие на рекламу по каждому номеру.
- При массовом обзвоне — есть предварительное согласие абонента.
- Номер не в стоп-листе (включая отказы через оператора связи).
- Есть скрипт оператора с обязательной фиксацией отказа.
- Подрядчик связан договором с ответственностью за соблюдение требований.
- Есть порядок обработки жалоб ФАС и Роскомнадзора.
Пример скрипта оператора:
«Мы звоним по заявке, которую вы оставили на сайте [дата/источник]. Подскажите, вам удобно обсудить вопрос? Если вы не хотите получать такие звонки, мы зафиксируем отказ».
Маркировка звонков и отказ через оператора
Это два новых риска, которые большинство бизнесов пока игнорирует.
Маркировка звонков — при вызове абонент видит информацию об организации или ИП. Без маркировки звонок может быть расценён как нарушение.
Отказ через оператора связи — абонент теперь может отписаться от массовых вызовов прямо через своего оператора, без обращения к бизнесу. Это значит: даже если у вас есть зафиксированное согласие, оно может быть отозвано на уровне оператора. Нужно получать актуальный статус перед каждой волной обзвона.
Звонки и рассылки не запрещены. Запрещена коммуникация, по которой вы не можете доказать: кто, когда, где и на что согласился. Главный риск — не сам звонок, а дыра между CRM, сайтом, подрядчиком и юридическими документами.