Телефонные номера россиян регулярно оказываются в открытых базах — из-за утечек данных, ошибок сотрудников или активности ботов. В ответ на это государство ужесточило регулирование: теперь любые массовые SMS-рассылки без явного согласия владельца номера запрещены, а неправомерное использование персональных данных карается внушительными штрафами. Причем под удар могут попасть не только «серые» колл-центры, но и вполне законопослушные компании. Будет достаточно, если бот оставит чужой номер в форме на сайте. Рассылка реальному абоненту станет нарушением.
Эксперты click.ru разбираются, как в 2025 году выстраивать коммуникацию с клиентами, чтобы она оставалась законной, безопасной и вызывала доверие.
Правила рассылки рекламных SMS всегда были строгими, но с 2025 года требования стали значительно жестче.
Ст. 18 закона «О рекламе» № 38-ФЗ. Этот закон действует уже много лет и прямо запрещает рассылку рекламных сообщений без согласия абонента — такие действия считаются спамом. Под запрет попадают не только SMS, но и холодные звонки, автообзвоны — они полностью запрещены.
Контроль за соблюдением закона осуществляют региональные управления ФАС. В любой момент абонент имеет право прекратить SMS-рассылку, и если бизнес проигнорирует запрос, владелец номера может пожаловаться в УФАС. Компании будет грозить штраф. Единственный способ избежать санкций — доказать, что согласие на самом деле было и действовало при звонке или отправке сообщений.
Закон «О связи» № 41-ФЗ. С 1 июня 2025 года вступил в силу новый закон, направленный на защиту от телефонного мошенничества, массовых обзвонов и навязчивой рекламы. C 1 сентября 2025 года рассылки и прозвоны допускаются только при наличии заранее полученного согласия абонента, зафиксированного оператором связи. Согласие должно быть выражено четко и однозначно, например подтверждено записью разговора. Это важно для доказательной базы при проверках.
Кроме того, с 1 августа 2025 года любой абонент сможет заранее отказаться от получения рекламы. В этом случае рассылать ему сообщения или звонить в рекламных целях запрещено, даже если ранее он давал согласие.
Ст. 13.11 КоАП в области обработки персональных данных (ПД). С 30 мая 2025 года в эту статью внесены серьезные поправки: ответственность за нарушения в сфере персональных данных увеличилась кратно. Главное новшество — обязанность оператора уведомить Роскомнадзор об утечке данных в течение 24 часов и сообщить о начале их обработки. Также установлены штрафы за неуведомление надзорного органа, а любые действия или бездействие, повлекшие неправомерное распространение персональной информации, теперь расцениваются как серьезное административное нарушение.
За нарушение ст. 18 закона «О рекламе» № 38-ФЗ:
За нарушение закона «О связи» № 41-ФЗ:
Штраф можно получить даже за одно незаконное SMS-сообщение. Кроме того, оператор связи вправе заблокировать немаркированные рассылки, чтобы защитить абонентов от спама. Чтобы избежать блокировки, компании следует заключить договор с оператором и использовать официальные каналы для отправки сообщений.
За нарушение ст. 13.11 КоАП РФ (обработка персональных данных):
При повторных нарушениях или невыполнении требований надзорных органов размер санкций может быть увеличен.
Согласно Федеральному закону от 30.11.2024 № 420-ФЗ, индивидуальные предприниматели теперь приравниваются к юридическим лицам в вопросах ответственности за нарушения, указанные в частях 1.1 и 8–18 ст. 13.11 КоАП РФ. Это означает, что штрафы для ИП выросли кратно и в большинстве случаев будут такими же, как для компаний.
Чтобы не попасть под штрафы за неправильное использование телефонных номеров и персональных данных, бизнесу важно заранее выстроить работу в соответствии с законодательством.
Для рассылки рекламы по SMS требуется два разных согласия.
На получение рекламных сообщений. Согласие должно быть оформлено так, что можно однозначно установить личность человека и доказать, что он разрешил именно вашей компании отправлять сообщения. Отказ получать рекламу не может стать основанием для отказа в оказании услуги или продаже товара. При этом необходимо разделять согласие на рекламную рассылку и на информационные уведомления. Например, если клиент желает получать лишь сообщения о статусе заказа, это не позволяет использовать номер для рекламы.
Чтобы избежать спорных ситуаций, в согласии стоит прямо указать:
Некоторые компании включают пункт о согласии на SMS-рассылку автоматически при регистрации на сайте или оформлении заказа. Делать этого не стоит: УФАС и суды отмечают, что в момент регистрации нельзя достоверно установить, кто именно заполнил форму и выразил согласие на рекламу.
На обработку персональных данных. Сбор и использование ПД регулируются отдельными нормами. Номер телефона, сам по себе, не считается персональными данными, однако без имени и фамилии невозможно подтвердить, что именно этот человек дал согласие на получение рекламы. Согласие на обработку данных нужно получать каждый раз, когда клиент передает свои сведения, например заполняет форму на сайте или оформляет заказ.
Опубликуйте на сайте отдельную политику обработки ПД, где указаны цели сбора, сроки хранения и порядок удаления данных. Добавьте контакты для отзывов согласий. Согласие на обработку должно быть самостоятельным документом, а не пунктом в договоре или анкете. Кроме того, необходимо уведомить Роскомнадзор о начале работы с персональными данными.
Подробнее о правильной подаче уведомления и правилах работы с ПД можно прочитать в статье «Как оператору по обработке персональных данных заполнить уведомление в Роскомнадзор и избежать штрафа».
Единые рабочие номера проще контролировать: легче подтвердить подлинность компании и снизить риск жалоб и блокировок.
Подключите капчу, чтобы отсечь ботов, оставляющих чужие номера. Предпочтительны решения на ML/AI: они работают в фоновом режиме, не раздражают пользователей и анализируют цифровой след, устройство, ОС, IP и поведение (прокрутки, клики, движения курсора).
Это могут быть следующие варианты:
Код подтверждения по SMS или email быстро отсеивает ботов и поддельные аккаунты, потому что пройти дальше первого шага им сложно.
Антифрод автоматически распознает и блокирует мошеннические/подозрительные звонки с чужих или поддельных номеров. Это уменьшает риски и разгружает команду, снижая количество нежелательных вызовов.
В веб-аналитике IP посетителей не видны, но можно заметить резкий рост трафика по времени. Списки IP можно посмотреть в логах сервера и передать хостинг-провайдеру для блокировки. Используйте метод осторожно, чтобы не задеть реальных клиентов. Тревожный сигнал — частые посещения с одного IP за малый период при смене браузеров, ОС, устройств (типичный след ботов).
Предоставляйте доступ конкретному специалисту только к тем сведениям, которые действительно нужны для выполнения задач. Например, менеджеру — только контакты его клиентов. Такой подход снижает риск утечек и несанкционированного копирования информации. Если сотрудник увольняется, доступ к базе лучше закрыть сразу, чтобы исключить возможность выгрузки данных.
Телефонные номера часто достаются новым владельцам: вчера это был ваш клиент, а сегодня уже другой человек. В таких случаях согласие на рассылку нужно получать заново. По закону абонент — человек, который заключил договор с оператором связи. Если именно он соглашался получать рекламу, рассылка законна, но только до смены владельца. После этого прежнее разрешение теряет силу.
Чтобы не нарушать требования закона, отправляйте SMS и звоните только тем, кто явно подтвердил согласие. Для поддержания базы в актуальном состоянии полезно периодически уточнять контакты, например во время оформления заказа, подтверждения записи или в рамках плановых обновлений данных.
С 2025 года требования к SMS-рассылкам и обработке персональных данных стали значительно строже. Чтобы избежать штрафов, компании стоит выстроить прозрачную систему коммуникации: получать два отдельных согласия (на обработку данных и на рекламу), фиксировать подтверждения, регулярно обновлять базу номеров, защищать формы от ботов и ограничивать доступ сотрудников к клиентской информации.
