Согласие на email-рассылку: требования закона и как правильно оформить
Email-рассылки остаются одним из самых эффективных маркетинговых каналов. Но отправлять письма всем подряд без разбора - верный способ нарваться на неприятности. Причём не только на отписки и жалобы, но и на вполне реальные штрафы.
Для законной email-рассылки нужно соблюсти требования сразу двух законов: 152-ФЗ «О персональных данных» (email - это персональные данные) и 38-ФЗ «О рекламе» (рассылка - это реклама, если содержит коммерческое предложение). Два закона - два комплекта правил.
Почему email - это персональные данные
Email-адрес сам по себе может не идентифицировать конкретного человека. Но на практике вы почти никогда не собираете email в вакууме. Обычно рядом есть поле «Имя» или рассылка привязана к аккаунту клиента. В связке с другими данными email однозначно относится к персональным данным.
Даже если вы собираете только email без имени, Роскомнадзор склонен считать это персональными данными. Особенно если адрес содержит имя и фамилию (типа ivan.petrov@mail.ru).
Это значит, что сбор email для рассылки подпадает под 152-ФЗ со всеми вытекающими. Нужна политика конфиденциальности, нужно согласие на обработку, нужна правовая база для обработки.
Что требует 152-ФЗ
По закону о персональных данных вы обязаны получить согласие на обработку ПД. Для email-рассылки это означает следующее.
Человек должен знать, что его email будет использоваться для отправки писем. Это должно быть прямо указано в целях обработки. Нельзя собрать email «для регистрации», а потом использовать его для маркетинговых рассылок - цели не совпадают.
Согласие должно быть конкретным и информированным. Общая фраза «Согласен на обработку персональных данных» не покрывает рассылку, если рассылка не указана как цель в политике конфиденциальности или тексте согласия.
И ещё момент - согласие на рассылку должно быть отдельным от других согласий. Нельзя одной галочкой закрыть и обработку ПД для оказания услуги, и маркетинговую рассылку. Это разные цели обработки, и согласия на них должны быть раздельными.
Что требует закон о рекламе
Статья 18 закона «О рекламе» (38-ФЗ) говорит чётко: распространение рекламы по электронной почте допускается только при условии предварительного согласия адресата. При этом рассылка считается рекламной, если содержит информацию, направленную на привлечение внимания к товару, услуге или компании.
Информационные письма (подтверждение заказа, уведомление о статусе доставки) - не реклама. Но как только вы добавляете в такое письмо блок «Вам также может понравиться» или «Скидка 20% на следующий заказ» - оно становится рекламным.
Закон о рекламе требует, чтобы в каждом рекламном письме была возможность отказаться от рассылки. Кнопка «Отписаться» в подвале письма - это не просто хороший тон, а обязательное требование.
Два согласия или одно?
Технически вам нужно и согласие на обработку ПД (152-ФЗ), и согласие на получение рекламы (38-ФЗ). На практике их можно совместить в одной форме, но важно, чтобы человек понимал, на что именно соглашается.
Хороший вариант: форма подписки с текстом «Подписываясь, вы соглашаетесь на обработку вашего email-адреса для отправки маркетинговых рассылок в соответствии с Политикой конфиденциальности». Здесь в одном предложении и цель обработки (рассылка), и согласие на рекламу, и ссылка на политику.
Плохой вариант: просто поле email и кнопка «Подписаться» без какого-либо текста. Формально вы не получили ни согласия на обработку, ни согласия на рекламу.
Как правильно оформить форму подписки
Разберём по элементам, что должно быть в форме подписки на рассылку.
Поле ввода email. Тут всё понятно. Если собираете ещё и имя - дополнительное поле.
Чекбокс или текст согласия. Чекбокс предпочтительнее, потому что это активное действие пользователя. Не отмеченный по умолчанию - человек сам должен поставить галочку. Текст рядом с чекбоксом: «Я согласен(-на) получать email-рассылку и соглашаюсь с обработкой моих персональных данных в соответствии с Политикой конфиденциальности» (с активной ссылкой на политику).
Кнопка подписки. Активна только после простановки чекбокса (если используете чекбокс).
Некоторые используют double opt-in - после заполнения формы на указанный email приходит письмо с просьбой подтвердить подписку. Это не обязательно по российскому законодательству, но очень рекомендуется. Во-первых, это дополнительное доказательство согласия. Во-вторых, защищает от того, что кто-то подпишет чужой email.
Что писать в политике конфиденциальности
В политике конфиденциальности вашего сайта должна быть отражена рассылка как цель обработки данных. Конкретно нужно указать: какие данные собираются (email, имя), для чего (отправка информационных и маркетинговых материалов), срок хранения (до момента отписки), способ отказа (ссылка отписки в каждом письме).
Если вы используете сервис рассылок (Unisender, Sendsay, MailChimp и т.д.), это тоже нужно отразить. Вы передаёте email-адреса третьему лицу для обработки. В политике должны быть перечислены такие третьи лица или хотя бы категории получателей.
Сервис ПоряДок при генерации политики конфиденциальности учитывает, используете ли вы рассылки, и включает соответствующие пункты в документ. Не нужно дописывать вручную - просто отметьте в анкете, что ведёте email-рассылку.
Double opt-in: зачем и как
Double opt-in (двойное подтверждение) работает так: человек заполняет форму подписки, получает письмо на указанный email, кликает по ссылке подтверждения. Только после этого он добавляется в базу рассылки.
Юридически в России double opt-in не обязателен. Но он решает несколько проблем. Подтверждает, что человек реально владеет этим email-адресом. Создаёт дополнительное доказательство согласия (логируется клик по ссылке). Снижает количество жалоб на спам, потому что случайные или чужие адреса отсеиваются.
Если к вам придёт претензия от человека, который утверждает, что не подписывался на вашу рассылку, double opt-in - ваша страховка. Вы сможете показать, что подтверждение было.
Большинство сервисов рассылок поддерживают double opt-in из коробки. В Unisender, Sendsay, GetResponse - это стандартная опция.
Как хранить доказательства согласия
Одно из самых слабых мест у многих компаний - невозможность доказать, что согласие было получено. Человек жалуется в ФАС на спам, а вы не можете показать, когда и как он подписался.
Что нужно хранить: дату и время подписки, IP-адрес (опционально, но полезно), текст согласия, который был показан пользователю, факт проставления чекбокса, результат double opt-in (если используется).
Технически это реализуется логированием. При каждой подписке сохраняйте запись с перечисленными данными. Сервисы рассылок обычно хранят дату подписки, но не всегда сохраняют текст согласия. Позаботьтесь об этом отдельно.
Срок хранения - весь период, пока вы отправляете письма этому подписчику, плюс разумный период после отписки (для защиты на случай претензий). Обычно хватает 3 лет - это общий срок исковой давности.
Отписка: обязательные требования
Каждое рекламное письмо должно содержать возможность отписки. Это требование закона о рекламе, и оно не обсуждается.
Отписка должна быть простой. В идеале - один клик по ссылке. Не нужно заставлять человека логиниться, заполнять форму с причиной отписки, проходить капчу или ждать 10 рабочих дней.
После отписки рассылка должна прекратиться. Закон о рекламе говорит: обязанность прекратить рассылку возникает «немедленно» после получения отказа. На практике допустимо 1-2 дня на техническую обработку, но не больше.
Частая ошибка: человек отписался от рассылки, а через месяц его email снова попал в базу через другую форму. Или компания запустила «новую» рассылку и решила, что старые отписки не считаются. Считаются. Если человек отказался получать от вас рекламу по email, он отказался. Точка.
Купленные базы email: почему нельзя
Соблазн велик - купить базу в тысячу email-адресов и начать рассылку. Стоит недорого, адреса «целевые». Проблема в том, что это незаконно с обеих сторон.
По 152-ФЗ - вы обрабатываете персональные данные без согласия субъектов. Люди из этой базы не давали вам разрешения использовать их email. По 38-ФЗ - вы рассылаете рекламу без предварительного согласия адресата.
Штрафы за рассылку без согласия - до 500 000 рублей для юрлиц по закону о рекламе. Плюс штрафы за нарушение 152-ФЗ сверху.
Помимо штрафов, массовая рассылка по купленной базе - это быстрый путь в чёрные списки почтовых сервисов. Ваш домен заблокируют, и даже легитимные письма клиентам перестанут доходить.
Партнёрские рассылки
Ещё один серый вариант - рассылка «от имени партнёра». Компания А собрала базу подписчиков, а потом разослала по ней рекламу компании Б. С формальной точки зрения, подписчики компании А не давали согласия на рекламу компании Б.
Если вы хотите включить партнёрские материалы в свою рассылку, это нужно предусмотреть заранее. В тексте согласия должна быть фраза о том, что рассылка может содержать информацию от партнёров. Или нужно получать отдельное согласие на партнёрскую рекламу.
Транзакционные vs маркетинговые письма
Не все письма требуют согласия на рассылку. Транзакционные письма - подтверждение заказа, чек, уведомление о доставке, сброс пароля - отправляются в рамках исполнения договора. Для них достаточно общего согласия на обработку ПД.
Но грань тонкая. Если в письмо с подтверждением заказа добавить рекламный баннер - оно уже частично рекламное. Почтовые сервисы и регулятор могут расценить это как рекламную рассылку без согласия.
Рекомендация: разделяйте транзакционные и маркетинговые письма. Отправляйте их с разных адресов (orders@company.ru и news@company.ru). Не добавляйте рекламу в транзакционные письма. Это и юридически безопаснее, и для репутации домена лучше.
Рассылка по существующим клиентам
Распространённый вопрос: «У меня есть клиенты, они оставляли email при заказе. Могу ли я отправить им рассылку?»
Нет, не можете - если при сборе email целью была обработка заказа, а не рассылка. Цели обработки должны совпадать. Клиент дал email для получения чека, а не для маркетинговых писем.
Что делать? Отправить одно письмо с предложением подписаться на рассылку. Одно - это ключевое слово. Не серию из пяти «напоминалок». Одно письмо, в котором вы объясняете, что хотите отправлять полезные материалы, и даёте возможность подписаться или отказаться.
Либо, что правильнее, добавить чекбокс согласия на рассылку прямо в форму заказа. Отдельный от остальных согласий, не отмеченный по умолчанию.
Документы для сайта: полный комплект
Email-рассылка - это только один аспект работы с персональными данными на сайте. Полный список документов, которые нужны сайту, включает политику конфиденциальности, пользовательское соглашение, оферту (для интернет-магазинов) и другие документы.
Генератор ПоряДок создаёт все основные документы для сайта с учётом вашей специфики. Если вы ведёте рассылку, собираете данные через формы, используете cookie - всё это будет учтено в сгенерированных документах. Заполните анкету один раз и получите полный комплект за несколько минут.
Не забудьте также про согласие на обработку персональных данных для форм на сайте - это отдельный документ от согласия на рассылку, и он тоже необходим.
Коротко: что нужно для законной рассылки
Форма подписки с чекбоксом и текстом согласия. Ссылка на политику конфиденциальности, где рассылка указана как цель обработки. Double opt-in (рекомендуется). Кнопка отписки в каждом письме. Хранение доказательств согласия. Раздельные согласия на обработку ПД и на рассылку. Никаких купленных баз.
Настройте всё один раз - и рассылайте спокойно, не оглядываясь на ФАС и Роскомнадзор.