Законодательное регулирование рассылок: какие требования есть сейчас и что поменяется в 2024-ом году

Типы клиентских рассылок

Существуют 5 основных типов клиентских рассылок:

1. Триггерные — сообщения, которые отправляются пользователю после определённых действий. Например, клиент оставил в корзине товар, но не оформил заказ. Спустя несколько дней ему на почту придёт письмо с напоминанием. 
2. Сервисные — сообщения с информацией о статусе заказа или услуги. А также сообщения-ответ на какое-либо действие клиента. Например, подтверждения заказа на сайте. 
3. Авторизационные — сообщения, которые подтверждают действие пользователя. Например, одноразовые коды.
4. Транзакционные — сообщения с информацией о движениях на счетах абонента. Как правило, используются только банками и финансовыми организациями. По закону «О национальной платежной системе» такие уведомления обязательны.
5. Рекламно-информационные — сообщения, в которых компания показывает новые товары, рассказывает об услугах, скидках и делится своими новостями. 

Перед отправкой любого типа рассылок нужно получить согласие пользователей на обработку персональных данных, а для рекламных рассылок — на получение рекламы.

При этом реклама может содержаться в информационных, транзакционных и триггерных рассылках, если бизнес предлагает через них товары и услуги.

По теме: 10 фраз, которые лучше не использовать в рекламе, чтобы не нарваться на серьезные штрафы

Формы согласий для получения рассылок

Получить согласия на обработку персональных данных можно в письменной форме, через СМС, в мессенджере или через чекбокс на сайте.

Бумажные документы лучше всегда сканировать, чтобы быстро получать к ним доступ, а если пользователи нажимают «галочку» на сайте — сохранять логи. Согласия должны храниться на протяжении трёх лет после истечения срока их действия. 

Заграничные рассылки

С 1 марта 2023 года необходимо сообщать Роскомнадзору о трансграничной передаче персональных данных.

Требование актуально, если компания делится личной информацией пользователей с зарубежными партнёрами или использует для хранения данных иностранные серверы.

Например, бизнес  который интегрировал СRM-систему с WhatsApp* Business API для общения с клиентами, должен проинформировать об этом РКН.

По теме: Как 94% рекламодателей ошибаются при настройке контекстной рекламы

Рекламные рассылки

Допустимый контент в рекламных рассылках определён в законах «О рекламе» и «О связи». Требования распространяются на содержание электронных писем, СМС и ММС, а с 2019 и на сообщения в мессенджерах.  

Если говорить коротко, то в рассылках нельзя:

• сравнивать товар с продуктами конкурентов;
• использовать материалы, которые защищены авторским правом;
• включать в содержание информацию, которая может порочить чью-либо честь, достоинство или деловую репутацию;
• рекламировать товары и услуги из запрещенного списка.

Перед отправкой рекламных рассылок у клиента нужно запросить согласие на получение именно рекламных сообщений.

В законе не указаны конкретные требования к такому документу, но практика показывает, что это может быть отдельный пункт в политике обработки персональных данных.

Нельзя заранее ставить «галочку» или прятать рекламу в других типах рассылок. В случае жалобы ФАС встанет на сторону потребителя.

Рассылки через мобильных операторов

Не нарушить закон и собрать контакты релевантной аудитории помогают большие данные сотовых операторов. В их базы попадают только те пользователи, которые дали нужные согласия при заключении договора.

Сервисы операторов связи собирают и обрабатывают информацию о геолокации и интересах абонентов — это помогает настроить подходящие для бизнеса таргеты. 

Ещё один вариант использования бигдаты  операторов — это верификация существующей базы. Если оказалось, что согласий части клиентов нет, то можно обезопасить компанию с помощью таргета «Согласие».  

За что можно получить штраф при несоблюдении закона

Персональные данные

Если бизнес обрабатывает личные данные пользователей, то об этом нужно сообщить Роскомнадзору — лично, через сайт или «Госуслуги».

В случае использования персональных данных без разрешения придётся заплатить штраф. При первом нарушении он составит от 20 000 до 150 000 рублей — в зависимости от формы ведения бизнеса.

Если закон нарушен во второй раз, то штраф становятся больше — от 100 000 до 500 000 рублей.

Рекламные сообщения

За тем, чтобы реклама отправлялась только с согласия клиентов, следит Федеральная антимонопольная служба.

Штраф за незаконное распространение рекламы составляет от 100 000 до 500 000 рублей за каждый факт обращения.

В октябре 2023 года ФАС оштрафовала «Совкомбанк» на 200 000 рублей из-за того, что на сайте нельзя было оформить карту без «галочки» напротив согласия на получение рекламной рассылки.

По теме: Стратегии продвижения сайта: как выбрать наиболее эффективный подход

Как работают рассылки за рубежом 

В Европейском союзе и США законодательно закреплены ответственная обработка и защита личных данных пользователей.

Европейский союз

В Евросоюзе действует «Общий регламент защиты персональных данных» (GDPR). Документ применяется не только к организациям, находящимся в Европейском союзе, но и к зарубежным компаниям, бизнес которых связан с данными граждан ЕС. 

По аналогии с российским регулированием организации должны получать ясное и чёткое согласие от пользователей на обработку их персональных данных.

При нарушении протоколов безопасности компания обязана сообщить об этом местному регулятору в течение 72 часов.

Если бизнес обрабатывает большое количество персональных данных, то от компании могут потребовать назначить инспектора (Data protection officer), который будет ответственен за их законное использование и сохранность.

При несоблюдении GDPR на организацию накладывается штраф до 20 миллионов евро или до 4% от годового оборота компании — в зависимости от того, какая сумма окажется больше. 

В 2019 году Франция оштрафовала Google на 50 млн евро за нарушение регламента. В постановлении суда говорилось о том, что компания не получила от пользователей очевидного согласия на показ таргетированной рекламы.

США

В Америке действует отдельный закон, который регулирует содержания и способы отправки сообщений по электронной почте — CAN-SPAM Act.

Согласно нему, заголовки не могут вводить получателей рассылок в заблуждение, а рекламные письма должны содержать пометку о том, что сообщение носит коммерческий характер.

Кнопка отказа от получения рассылки должна быть включена в каждое сообщение, а запрос на отписку компании следует выполнить в течение 10 дней. Штраф за несоблюдение закона может доходить до 50 120 долларов за каждое неправомерное письмо. 

Летом 2023 года Федеральная торговая комиссия США оштрафовала компанию Experian на 650 000 долларов из-за того, что Experian не предоставляла получателям рассылки возможность отписаться от писем.

Что для россиян изменится в следующем году

• В правительстве России подготовили законопроект, который повысит штрафы за утечки персональных данных до 15 млн рублей и введёт оборотные штрафы при повторном нарушении до 500 млн рублей. Ожидается, что его рассмотрят до конца года, поэтому бизнесу стоит ещё раз проверить, что все данные надёжно защищены от взломов.

• Весной этого года ФАС напомнила, что статус push-уведомлений законодательно не определён. Если компания использует push для коммуникаций с клиентами — следует написать об этом в соглашении.

• Для всей сферы коммуникаций острым является вопрос об использовании зарубежных сервисов. С 1 декабря на российских сайтах нельзя будет зарегистрироваться через иностранную почту. По-прежнему неясно, можно ли будет создать учётную запись, используя VPN, и какие санкции ожидают компании за неисполнение закона. Но бизнесу необходимо подготовить техническую базу: отключить возможность регистрации через иностранные учётные записи и настроить дополнительные фильтры проверок для почтовых ящиков на иностранных серверах.

*WhatsApp принадлежит Meta Platforms, деятельность которой признана экстремистской на территории РФ и запрещена.

Фото на обложке: freepik/Freepik