Нужно ли подавать уведомление в Роскомнадзор, если обрабатывается только почта клиентов?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, в большинстве случаев уведомление подавать необходимо. Электронная почта, относящаяся к конкретному клиенту, признаётся персональными данными, так как позволяет идентифицировать человека напрямую или в совокупности с другой информацией. Если организация собирает, хранит или использует e-mail клиентов (например, для рассылок, переписки, уведомлений о заказах), это считается обработкой ПДн и подпадает под требования 152-ФЗ.

Обоснование по законодательству

• Ст. 3 Федерального закона № 152-ФЗ: персональные данные — любая информация, относящаяся к прямо или косвенно определённому лицу. Электронная почта напрямую позволяет связаться с человеком → это персональные данные.
• Ст. 22 152-ФЗ: до начала обработки оператор обязан направить уведомление в Роскомнадзор.
• Исключения из уведомления перечислены в ч. 2 ст. 22 152-ФЗ (например, обработка только для исполнения договора с субъектом ПДн, без передачи третьим лицам). Но на практике такие случаи редко применимы, особенно если база e-mail используется шире, чем разовый ответ.
• Ст. 13.11 КоАП РФ: за нарушение правил обработки ПДн предусмотрены штрафы для юрлиц до 150 000 рублей.

Когда уведомление точно требуется

• если почта клиентов собирается и хранится в базе данных или CRM;
• если используется для маркетинговых рассылок, уведомлений или предложений;
• если адреса передаются сторонним сервисам (например, почтовым платформам).

Когда можно обойтись без уведомления

Исключение возможно, если e-mail используется строго для выполнения договора и только в рамках оказания услуги конкретному клиенту (например, клиент сам написал, и вы ответили ему напрямую, без хранения в базе). Но при этом нельзя вести общую базу адресов и использовать её для иных целей.

Рекомендации и выводы

В большинстве случаев использование e-mail клиентов требует подачи уведомления и оформления пакета документов по 152-ФЗ. Даже если организация считает, что «это всего лишь почта», проверка Роскомнадзора расценит такую деятельность как обработку персональных данных. Чтобы снизить риски, рекомендуется:

• зарегистрироваться в Роскомнадзоре как оператор ПДн;
• разместить политику ПДн на сайте;
• разработать внутренние документы по защите данных.

Нет времени разбираться в нюансах?

Заполним уведомление за Вас!

Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.

Оставить заявку