Телефонные номера россиян регулярно оказываются в открытых базах – из-за утечек данных, ошибок сотрудников или активности ботов. В ответ на это государство ужесточило регулирование: теперь любые массовые SMS-рассылки без явного согласия владельца номера запрещены, а неправомерное использование персональных данных карается внушительными штрафами. Причем под удар могут попасть не только «серые» колл-центры, но и вполне законопослушные компании. Будет достаточно, если бот оставит чужой номер в форме на сайте. Рассылка реальному абоненту станет нарушением.
Эксперты click.ru разбираются, как в 2025 году выстраивать коммуникацию с клиентами, чтобы она оставалась законной, безопасной и вызывала доверие.
Требования законодательства
Правила рассылки рекламных SMS всегда были строгими, но с 2025 года требования стали значительно жестче.
Ст. 18 закона «О рекламе» № 38-ФЗ. Этот закон действует уже много лет и прямо запрещает рассылку рекламных сообщений без согласия абонента – такие действия считаются спамом. Под запрет попадают не только SMS, но и холодные звонки, автообзвоны – они полностью запрещены.
Контроль за соблюдением закона осуществляют региональные управления ФАС. В любой момент абонент имеет право прекратить SMS-рассылку, и если бизнес проигнорирует запрос, владелец номера может пожаловаться в УФАС. Компании будет грозить штраф. Единственный способ избежать санкций – доказать, что согласие на самом деле было и действовало при звонке или отправке сообщений.
Закон «О связи» № 41-ФЗ. С 1 июня 2025 года вступил в силу новый закон, направленный на защиту от телефонного мошенничества, массовых обзвонов и навязчивой рекламы. С 1 сентября 2025 года рассылки и прозвоны допускаются только при наличии заранее полученного согласия абонента, зафиксированного оператором связи. Согласие должно быть выражено четко и однозначно, например подтверждено записью разговора. Это важно для доказательной базы при проверках.
Кроме того, с 1 августа 2025 года любой абонент сможет заранее отказаться от получения рекламы. В этом случае рассылать ему сообщения или звонить в рекламных целях запрещено, даже если ранее он давал согласие.
Ст. 13.11 КоАП в области обработки персональных данных (ПД). С 30 мая 2025 года в эту статью внесены серьезные поправки: ответственность за нарушения в сфере персональных данных увеличилась кратно. Главное новшество – обязанность оператора уведомить Роскомнадзор об утечке данных в течение 24 часов и сообщить о начале их обработки. Также установлены штрафы за неуведомление надзорного органа, а любые действия или бездействие, повлекшие неправомерное распространение персональной информации, теперь расцениваются как серьезное административное нарушение.
Размеры штрафов
За нарушение ст. 18 закона «О рекламе» № 38-ФЗ:
-
для физлиц – от 10 000 до 20 000 рублей;
-
должностных лиц – от 20 000 до 100 000 рублей;
-
юрлиц – от 300 000 до 1 000 000 рублей.
За нарушение закона «О связи» № 41-ФЗ:
-
для микропредприятий и малого бизнеса – от 150 000 до 500 000 рублей;
-
крупного и среднего бизнеса – от 300 000 до 1 000 000 рублей.
Штраф можно получить даже за одно незаконное SMS-сообщение. Кроме того, оператор связи вправе заблокировать немаркированные рассылки, чтобы защитить абонентов от спама. Чтобы избежать блокировки, компании следует заключить договор с оператором и использовать официальные каналы для отправки сообщений.
За нарушение ст. 13.11 КоАП РФ (обработка персональных данных):
-
за обработку данных вне рамок законодательства или использование их не по заявленным целям – до 300 000 рублей;
-
за работу с ПД без обязательного согласия – от 300 000 до 700 000 рублей, при повторном нарушении – от 500 000 до 1 500 000 рублей;
-
за неуведомление Роскомнадзора о начале сбора данных – от 100 000 до 300 000 рублей;
-
за неуведомление о факте утечки – от 1 000 000 до 3 000 000 рублей.
При повторных нарушениях или невыполнении требований надзорных органов размер санкций может быть увеличен.
Согласно Федеральному закону от 30.11.2024 № 420-ФЗ, индивидуальные предприниматели теперь приравниваются к юридическим лицам в вопросах ответственности за нарушения, указанные в частях 1.1 и 8–18 ст. 13.11 КоАП РФ. Это означает, что штрафы для ИП выросли кратно и в большинстве случаев будут такими же, как для компаний.
Как отправлять SMS-рассылки
Чтобы не попасть под штрафы за неправильное использование телефонных номеров и персональных данных, бизнесу важно заранее выстроить работу в соответствии с законодательством.
1. Получите два отдельных согласия
Для рассылки рекламы по SMS требуется два разных согласия.
На получение рекламных сообщений. Согласие должно быть оформлено так, что можно однозначно установить личность человека и доказать, что он разрешил именно вашей компании отправлять сообщения. Отказ получать рекламу не может стать основанием для отказа в оказании услуги или продаже товара. При этом необходимо разделять согласие на рекламную рассылку и на информационные уведомления. Например, если клиент желает получать лишь сообщения о статусе заказа, это не позволяет использовать номер для рекламы.
Чтобы избежать спорных ситуаций, в согласии стоит прямо указать:
-
что клиент может в любой момент отказаться от получения рекламы;
-
срок действия согласия (например, до завершения договора или определенной даты).
Некоторые компании включают пункт о согласии на SMS-рассылку автоматически при регистрации на сайте или оформлении заказа. Делать этого не стоит: УФАС и суды отмечают, что в момент регистрации нельзя достоверно установить, кто именно заполнил форму и выразил согласие на рекламу.
На обработку персональных данных. Сбор и использование ПД регулируются отдельными нормами. Номер телефона, сам по себе, не считается персональными данными, однако без имени и фамилии невозможно подтвердить, что именно этот человек дал согласие на получение рекламы. Согласие на обработку данных нужно получать каждый раз, когда клиент передает свои сведения, например заполняет форму на сайте или оформляет заказ.
2. Обеспечьте прозрачность и уведомите Роскомнадзор
Опубликуйте на сайте отдельную политику обработки ПД, где указаны цели сбора, сроки хранения и порядок удаления данных. Добавьте контакты для отзывов согласий. Согласие на обработку должно быть самостоятельным документом, а не пунктом в договоре или анкете. Кроме того, необходимо уведомить Роскомнадзор о начале работы с персональными данными.
Подробнее о правильной подаче уведомления и правилах работы с ПД можно прочитать в статье «Как оператору по обработке персональных данных заполнить уведомление в Роскомнадзор и избежать штрафа».
3. Используйте корпоративные номера
Единые рабочие номера проще контролировать: легче подтвердить подлинность компании и снизить риск жалоб и блокировок.
4. Защитите формы на сайте
Подключите капчу, чтобы отсечь ботов, оставляющих чужие номера. Предпочтительны решения на ML/AI: они работают в фоновом режиме, не раздражают пользователей и анализируют цифровой след, устройство, ОС, IP и поведение (прокрутки, клики, движения курсора).
5. Если капчу поставить нельзя, используйте альтернативы
Это могут быть следующие варианты:
-
антиспам-плагины для CMS – фильтруют не только спам-заявки, но и фальшивые комментарии, подписки, регистрации, заказы, бронирования, голосования;
-
Honeypots – скрытые поля-ловушки в форме, видимые ботам. Их заполнение сразу показывает, что заявка фальшивая;
-
сервисы вроде «Антибот» – ограничивают ботам доступ к страницам;
-
другое – KeyCAPTCHA (пазлы/головоломки), hCaptcha, вход через соцсети.
6. Включите двухфакторную аутентификацию для регистраций и входа
Код подтверждения по SMS или email быстро отсеивает ботов и поддельные аккаунты, потому что пройти дальше первого шага им сложно.
7. Подключите коллтрекинг с антифродом
Антифрод автоматически распознает и блокирует мошеннические/подозрительные звонки с чужих или поддельных номеров. Это уменьшает риски и разгружает команду, снижая количество нежелательных вызовов.
8. Блокируйте спам по IP-адресам
В веб-аналитике IP посетителей не видны, но можно заметить резкий рост трафика по времени. Списки IP можно посмотреть в логах сервера и передать хостинг-провайдеру для блокировки. Используйте метод осторожно, чтобы не задеть реальных клиентов. Тревожный сигнал – частые посещения с одного IP за малый период при смене браузеров, ОС, устройств (типичный след ботов).
9. Настройте уровни доступа для сотрудников
Предоставляйте доступ конкретному специалисту только к тем сведениям, которые действительно нужны для выполнения задач. Например, менеджеру – только контакты его клиентов. Такой подход снижает риск утечек и несанкционированного копирования информации. Если сотрудник увольняется, доступ к базе лучше закрыть сразу, чтобы исключить возможность выгрузки данных.
10. Проверьте базу на актуальность номеров
Телефонные номера часто достаются новым владельцам: вчера это был ваш клиент, а сегодня уже другой человек. В таких случаях согласие на рассылку нужно получать заново. По закону абонент – человек, который заключил договор с оператором связи. Если именно он соглашался получать рекламу, рассылка законна, но только до смены владельца. После этого прежнее разрешение теряет силу.
Чтобы не нарушать требования закона, отправляйте SMS и звоните только тем, кто явно подтвердил согласие. Для поддержания базы в актуальном состоянии полезно периодически уточнять контакты, например во время оформления заказа, подтверждения записи или в рамках плановых обновлений данных.
С 2025 года требования к SMS-рассылкам и обработке персональных данных стали значительно строже. Чтобы избежать штрафов, компании стоит выстроить прозрачную систему коммуникации: получать два отдельных согласия (на обработку данных и на рекламу), фиксировать подтверждения, регулярно обновлять базу номеров, защищать формы от ботов и ограничивать доступ сотрудников к клиентской информации.
ВКонтакте
