Телефонные номера граждан России все чаще оказываются в открытых базах данных — по причине утечек информации, ошибок сотрудников или действия ботов. В ответ на это государство ужесточило законодательство: теперь любые массовые SMS-рассылки без явного согласия владельца номера запрещены, а неправомерное использование личной информации карается высокими штрафами. Причем под удар могут попасть не только «серые» колл-центры, но и абсолютно легальные компании. Достаточно, чтобы бот оставил чужой номер в форме на сайте. Отправка сообщения реальному абоненту станет правонарушением.
Специалисты click.ru изучают, как в 2025 году организовать коммуникацию с клиентами, чтобы она оставалась законной, безопасной и вызывала доверие.
Требования законодательства
Правила для рассылки рекламных SMS всегда были строгими, но с 2025 года требования значительно усилились.
Ст. 18 закона «О рекламе» № 38-ФЗ. Этот закон существует уже много лет и прямо запрещает рассылку рекламных сообщений без согласия абонента — подобные действия квалифицируются как спам. Запрещены не только SMS, но и холодные звонки, автообзвоны — они полностью под запретом.
Контроль за соблюдением закона ведут региональные управления ФАС. В любой момент абонент имеет право отменить SMS-рассылку, и если бизнес проигнорирует его запрос, владелец номера может обратиться в УФАС. Компании будет угрожать штраф. Единственный способ избежать санкций — доказать, что согласие действительно было и действовало во время звонка или отправки сообщений.
Закон «О связи» № 41-ФЗ. С 1 июня 2025 года вступил в силу новый закон, направленный на защиту от телефонного мошенничества, массовых обзвонов и навязчивой рекламы. С 1 сентября 2025 года рассылки и прозвоны разрешены только при наличии заранее полученного согласия абонента, зафиксированного оператором связи. Согласие должно быть четко и однозначно выражено, например, подтверждено записью разговора. Это важно для доказательной базы при проверках.
Кроме того, с 1 августа 2025 года любой абонент сможет предварительно отказаться от получения рекламы. В этом случае рассылка сообщений или звонки в рекламных целях будут запрещены, даже если ранее он давал согласие.
Ст. 13.11 КоАП в области обработки персональных данных (ПД). С 30 мая 2025 года в эту статью были внесены серьезные изменения: ответственность за нарушения в сфере персональных данных возросла многократно. Главное новшество — обязанность оператора уведомить Роскомнадзор об утечке данных в течение 24 часов и сообщить о начале их обработки. Также установлены штрафы за неуведомление надзорного органа, а любые действия или бездействие, повлекшие неправомерное распространение личной информации, теперь рассматриваются как серьезное административное нарушение.
Размеры штрафов
За нарушение ст. 18 закона «О рекламе» № 38-ФЗ:
- для физических лиц — от 10 000 до 20 000 рублей;
- должностных лиц — от 20 000 до 100 000 рублей;
- юрлиц — от 300 000 до 1 000 000 рублей.
За нарушение закона «О связи» № 41-ФЗ:
- для микропредприятий и малого бизнеса — от 150 000 до 500 000 рублей;
- крупного и среднего бизнеса — от 300 000 до 1 000 000 рублей.
Штраф может быть наложен даже за одно незаконное SMS-сообщение. Кроме того, оператор связи имеет право заблокировать немаркированные рассылки для защиты абонентов от спама. Чтобы избежать блокировки, компаниям следует заключить договор с оператором и использовать официальные каналы для отправки сообщений.
За нарушение ст. 13.11 КоАП РФ (обработка персональных данных):
- за обработку данных вне рамок законодательства или их использование не по заявленным целям — до 300 000 рублей;
- за работу с ПД без обязательного согласия — от 300 000 до 700 000 рублей, при повторном нарушении — от 500 000 до 1 500 000 рублей;
- за неуведомление Роскомнадзора о начале сбора данных — от 100 000 до 300 000 рублей;
- за неуведомление о факте утечки — от 1 000 000 до 3 000 000 рублей.
При повторных нарушениях или невыполнении требований надзорных органов размер санкций может быть увеличен.
Согласно Федеральному закону от 30.11.2024 № 420-ФЗ, индивидуальные предприниматели теперь приравниваются к юридическим лицам в вопросах ответственности за нарушения, указанные в частях 1.1 и 8–18 ст. 13.11 КоАП РФ. Это означает, что штрафы для ИП возросли многократно и в большинстве случаев будут такими же, как для компаний.
Как отправлять SMS-рассылки
Чтобы избежать штрафов за неправильное использование телефонных номеров и персональных данных, бизнесу необходимо заранее наладить работу в соответствии с законом.
1. Получите два отдельных согласия
Для рассылки рекламы по SMS необходимо два различных согласия.
На получение рекламных сообщений. Согласие должно быть оформлено так, чтобы можно было однозначно идентифицировать личность человека и доказать, что он разрешил именно вашей компании отправлять сообщения. Отказ получать рекламу не может служить основанием для отказа в оказании услуги или продажи товара. При этом важно разделять согласие на рекламную рассылку и на информационные уведомления. Например, если клиент хочет получать только сообщения о статусе заказа, это не дает право использовать номер для рекламы.
Чтобы избежать спорных моментов, в согласии следует явно указать:
- что клиент может в любое время отказаться от получения рекламы;
- срок действия согласия (например, до окончания договора или определенной даты).
Некоторые компании автоматически включают пункт о согласии на SMS-рассылку при регистрации на сайте или оформлении заказа. Этого делать не следует: УФАС и суды отмечают, что в момент регистрации невозможно точно установить, кто именно заполнил форму и выразил согласие на рекламу.
На обработку персональных данных. Сбор и использование ПД регулируются отдельными нормами. Телефонный номер сам по себе не считается персональными данными, однако без имени и фамилии невозможно подтвердить, что именно этот человек дал согласие на получение рекламы. Согласие на обработку данных необходимо получать каждый раз, когда клиент передает свои данные, например, заполняя форму на сайте или оформляя заказ.
2. Обеспечьте прозрачность и уведомите Роскомнадзор
Опубликуйте на сайте отдельную политику обработки ПД, где указаны цели сбора, сроки хранения и порядок удаления данных. Добавьте контакты для отзывов согласий. Согласие на обработку должно быть отдельным документом, а не пунктом в договоре или анкете. Кроме того, необходимо уведомить Роскомнадзор о начале работы с персональными данными.
Подробнее о правильной подаче уведомления и правилах работы с ПД можно узнать из статьи «Как оператору по обработке персональных данных заполнить уведомление в Роскомнадзор и избежать штрафа».
3. Используйте корпоративные номера
Единые рабочие номера легче контролировать: проще подтвердить подлинность компании и снизить риск жалоб и блокировок.
4. Защитите формы на сайте
Подключите капчу, чтобы предотвратить действия ботов, оставляющих чужие номера. Предпочтительнее использовать решения на ML/AI: они работают в фоновом режиме, не раздражают пользователей и анализируют цифровой след, устройство, ОС, IP и поведение (прокрутки, клики, движения курсора).
5. Если капчу установить нельзя, используйте альтернативные решения
Среди возможных вариантов:
- антиспам-плагины для CMS — фильтруют не только спам-заявки, но и фальшивые комментарии, подписки, регистрации, заказы, бронирования, голосования;
- Honeypots — скрытые поля-ловушки в форме, видимые только ботам. Их заполнение сразу указывает на фальшивую заявку;
- сервисы вроде «Антибот» — ограничивают ботам доступ к страницам;
- другие — KeyCAPTCHA (пазлы/головоломки), hCaptcha, вход через соцсети.
6. Включите двухфакторную аутентификацию для регистраций и входа
Код подтверждения по SMS или email эффективно отсеивает ботов и поддельные аккаунты, так как пройти дальше первого шага им сложно.
7. Подключите коллтрекинг с антифродом
Антифрод автоматически распознает и блокирует мошеннические/подозрительные звонки с чужих или поддельных номеров. Это уменьшает риски и разгружает команду, снижая количество нежелательных вызовов.
8. Блокируйте спам по IP-адресам
В веб-аналитике IP посетителей не видны, но можно заметить резкий рост трафика по времени. Списки IP можно изучить в логах сервера и передать хостинг-провайдеру для блокировки. Используйте данный метод осторожно, чтобы не затронуть реальных клиентов. Тревожный сигнал — частые посещения с одного IP за короткий период при смене браузеров, ОС, устройств (типичный след ботов).
9. Настройте уровни доступа для сотрудников
Предоставляйте доступ конкретному специалисту только к тем сведениям, которые необходимы для выполнения его задач. Например, менеджеру — лишь контакты его клиентов. Такой подход снижает риск утечек и несанкционированного копирования информации. Если сотрудник увольняется, доступ к базе лучше закрыть мгновенно, чтобы исключить возможность выгрузки данных.
10. Проверьте базу на актуальность номеров
Телефонные номера часто переходят к новым владельцам: вчера это был ваш клиент, а сегодня уже другой человек. В таких случаях согласие на рассылку необходимо получать заново. По закону абонентом является тот, кто заключил договор с оператором связи. Если именно он соглашался получать рекламу, рассылка законна, но только до смены владельца. После этого прежнее разрешение теряет силу.
Чтобы не нарушать законодательные требования, отправляйте SMS и звоните только тем, кто явно подтвердил согласие. Для поддержания базы в актуальном состоянии полезно периодически уточнять контакты, например, во время оформления заказа, подтверждения записи или в ходе плановых обновлений данных.
С 2025 года требования к SMS-рассылкам и обработке персональных данных значительно ужесточились. Чтобы избежать штрафов, компаниям стоит создать прозрачную систему коммуникации: получать два отдельных согласия (на обработку данных и на рекламу), фиксировать подтверждения, регулярно обновлять базу номеров, защищать формы от ботов и ограничивать доступ сотрудников к клиентской информации.
