Распространяется ли GDPR на мой email-маркетинг, если я нахожусь за пределами ЕС?

Да. GDPR распространяется на любую организацию, обрабатывающую персональные данные лиц, находящихся в ЕС или ЕЭЗ, независимо от местонахождения самой организации. Если вы отправляете маркетинговые письма подписчикам с адресами электронной почты в ЕС или проживающим в ЕС, вы обязаны соблюдать GDPR. Это касается компаний из США, Великобритании, Азии и любой другой точки мира.

Можно ли использовать предварительно отмеченные чекбоксы для сбора согласия на email-рассылку по GDPR?

Нет. GDPR требует, чтобы согласие давалось посредством явного утвердительного действия. Предварительно отмеченные чекбоксы, молчание или бездействие не являются действительным согласием. Подписчик должен самостоятельно поставить галочку в неотмеченном чекбоксе, нажать на кнопку или совершить иное сознательное действие. Европейский суд подтвердил это в решении по делу Planet49.

В чём разница между согласием и законным интересом для email-маркетинга?

Согласие требует, чтобы лицо явно дало разрешение на получение маркетинговых писем до их отправки. Законный интерес позволяет отправлять маркетинговые письма без явного согласия, если вы можете продемонстрировать обоснованную деловую причину, обработка необходима для этой цели и не нарушает права лица. Законный интерес имеет более узкую сферу применения -- обычно он распространяется только на существующих клиентов, получающих информацию о схожих товарах или услугах, при этом вы обязаны предоставить простой способ отказа.

Как долго следует хранить записи о согласии по GDPR?

GDPR не устанавливает точного срока хранения записей о согласии, однако вы обязаны хранить их на протяжении всего времени, пока используете это согласие в качестве правового основания для обработки. Лучшей практикой является хранение записей в течение всего периода взаимоотношений с подписчиком плюс разумный срок после этого (обычно 2-3 года) на случай запросов регулирующих органов. Записи должны включать: кто дал согласие, когда, каким образом и какую информацию он получил в момент подписки.

Какие санкции предусмотрены за нарушение GDPR в email-маркетинге?

Нарушения GDPR могут повлечь штрафы до 20 миллионов евро или 4% годового мирового оборота -- в зависимости от того, какая сумма больше. На практике штрафы за нарушения в сфере email-маркетинга варьировались от десятков тысяч до нескольких миллионов евро. Помимо штрафов, нарушения могут повлечь предписания о прекращении обработки данных, репутационный ущерб и потерю доверия подписчиков.

GDPR и email-маркетинг: полное руководство по соблюдению требований (2026)

Вы собрали базу подписчиков, подготовили убедительную email-кампанию и готовы нажать кнопку отправки. Но если кто-то из ваших получателей находится в Европейском Союзе, существует регламент, который регулирует каждый аспект сбора, хранения и использования их данных -- включая адрес электронной почты. Это Общий регламент защиты данных (GDPR), и его нарушение может обойтись вам в миллионы.

GDPR -- это не просто формальность для галочки. Это фундаментальный сдвиг в подходе бизнеса к email-маркетингу. Регламент предоставляет физическим лицам реальную власть над их персональными данными и привлекает организации к ответственности за ненадлежащее обращение с ними. Независимо от того, ведёте ли вы рассылку как индивидуальный маркетолог или управляете миллионами подписчиков в крупной компании -- правила применяются одинаково.

Данное руководство подробно разбирает всё, что вам необходимо знать о GDPR применительно к email-маркетингу в 2026 году -- от правовых оснований для отправки писем до требований к действительному согласию и практических шагов для обеспечения соответствия.

Что такое GDPR?

Общий регламент защиты данных (General Data Protection Regulation, GDPR) -- это закон о защите персональных данных, вступивший в силу на территории Европейского Союза 25 мая 2018 года. Он заменил Директиву о защите данных 1995 года и установил единую унифицированную систему защиты данных во всех государствах-членах ЕС и ЕЭЗ.

По своей сути GDPR регулирует, как организации собирают, обрабатывают, хранят и передают персональные данные -- любую информацию, позволяющую идентифицировать живого человека. Адрес электронной почты -- это персональные данные. Имя в сочетании с адресом электронной почты -- это персональные данные. IP-адрес, зафиксированный при подписке на вашу рассылку, -- тоже персональные данные.

Регламент распространяется на любую организацию, обрабатывающую персональные данные лиц, находящихся в ЕС, независимо от местонахождения самой организации. Если вы -- американская компания, отправляющая маркетинговые письма подписчикам в Германии, GDPR распространяется на вас. Если вы -- австралийский бизнес с клиентами во Франции, GDPR распространяется на вас.

Как GDPR применяется к email-маркетингу

Любая деятельность в сфере email-маркетинга связана с обработкой персональных данных. Когда посетитель вводит свой адрес электронной почты в вашу форму подписки -- вы собираете персональные данные. Когда вы сохраняете этот адрес в email-платформе -- вы обрабатываете персональные данные. Когда вы отправляете рассылку -- вы используете персональные данные. Когда вы отслеживаете открытия и клики -- вы обрабатываете персональные данные.

GDPR требует, чтобы каждый случай обработки данных имел правовое основание -- юридическое обоснование того, почему вам разрешено обрабатывать эти данные. Для email-маркетинга существуют два значимых правовых основания:

Согласие (Статья 6(1)(a))

Наиболее распространённое

Лицо дало ясное, утвердительное согласие на получение маркетинговых писем. Это самое надёжное и наиболее широко применяемое правовое основание для email-маркетинга. Согласие должно быть свободным, конкретным, информированным и недвусмысленным.

Законный интерес (Статья 6(1)(f))

Более узкая область

У вас есть обоснованная деловая причина для отправки письма, которая не нарушает права лица. Как правило, применяется только к существующим клиентам, получающим информацию о схожих товарах или услугах, которые они ранее приобретали. Требуется документально оформленная оценка законного интереса (LIA).

Для большинства email-маркетологов согласие является верным правовым основанием. Законный интерес сложнее обосновать, он несёт больше рисков и подвергается более строгой интерпретации со стороны органов защиты данных. При наличии сомнений -- получайте согласие.

Что считается действительным согласием по GDPR

Не всякое согласие равноценно. GDPR устанавливает высокую планку для признания согласия действительным. Если ваш механизм получения согласия не соответствует этим требованиям, у вас нет правового основания для отправки писем -- даже если подписчик формально «подписался».

Действительное согласие должно быть:

Свободным -- подписчик должен иметь реальный выбор. Нельзя увязывать согласие на email-маркетинг с доступом к услуге (например, «согласитесь на нашу рассылку, чтобы скачать документ» -- это не свободное согласие, если скачивание без подписки невозможно).
Конкретным -- согласие должно даваться на конкретную, чётко определённую цель. Общая формулировка «мы можем связаться с вами» недостаточно конкретна. Укажите точно, на что подписывается пользователь: «Получать нашу еженедельную рассылку с советами по email-маркетингу».
Информированным -- подписчик должен знать, кто собирает его данные и зачем. Форма подписки должна идентифицировать вашу организацию и ясно объяснять, какие письма он будет получать.
Недвусмысленным -- согласие должно выражаться посредством ясного утвердительного действия. Подписчик должен самостоятельно поставить галочку в неотмеченном чекбоксе, нажать кнопку подписки или совершить иное сознательное действие. Предварительно отмеченные чекбоксы, молчание и бездействие не являются согласием.

Именно поэтому double opt-in стал золотым стандартом GDPR-совместимого email-маркетинга. При double opt-in подписчик вводит адрес электронной почты, получает письмо-подтверждение и переходит по ссылке для верификации своего намерения. Это создаёт неоспоримую запись об утвердительном согласии.

Чек-лист требований GDPR для email-маркетологов

Вот исчерпывающий чек-лист, охватывающий все основные требования GDPR, применимые к email-маркетингу:

Требование	Что необходимо сделать	Приоритет
Правовое основание	Определить и задокументировать правовое основание (согласие или законный интерес) для каждого списка рассылки	Критичный
Механизм согласия	Использовать неотмеченные чекбоксы или явные кнопки подписки; никогда не предотмечать и не предполагать согласие	Критичный
Записи о согласии	Хранить подтверждённые временной меткой записи о том, когда, как и на что каждый подписчик дал согласие	Критичный
Политика конфиденциальности	Разместить ссылку на понятную политику конфиденциальности в каждой форме подписки с разъяснением использования, хранения данных и прав	Критичный
Простая отписка	Включать видимую работающую ссылку для отписки в каждое маркетинговое письмо; обрабатывать запросы в течение 30 дней (лучшая практика: немедленно)	Высокий
Минимизация данных	Собирать только те данные, которые реально необходимы; не требовать имя, телефон и компанию только для подписки на рассылку	Высокий
Право на удаление	Иметь процесс полного удаления данных подписчика по его запросу	Высокий
Соглашения об обработке данных	Подписать DPA с каждой третьей стороной, обрабатывающей данные ваших подписчиков (email-платформа, аналитика, CRM)	Высокий
Уведомление об утечке данных	Сообщать об утечках, затрагивающих данные подписчиков, в надзорный орган в течение 72 часов	Средний
Оценка воздействия на защиту данных	Проводить DPIA для масштабных email-маркетинговых операций или при обработке конфиденциальных данных	Средний

Записи о согласии: что хранить и зачем

GDPR возлагает бремя доказывания на вас. Если регулятор или подписчик оспорит ваше право на отправку писем, вы должны предоставить доказательства действительного согласия. Это означает хранение подробных записей о согласии для каждого подписчика.

Записи о согласии должны включать:

Кто дал согласие -- адрес электронной почты (и имя, если было собрано)
Когда дано согласие -- точную временную метку
Как дано согласие -- конкретную форму, URL страницы или механизм
На что дано согласие -- точную формулировку, которую видел подписчик в момент подписки
Подтверждение double opt-in -- если использовалось, временную метку перехода по ссылке подтверждения
IP-адрес при подписке -- предоставляет дополнительное подтверждение совершённого действия

Храните эти записи в течение всего периода отношений с подписчиком, а также разумный буферный период (стандартная практика -- два-три года) после отписки на случай запросов регуляторов.

Право на удаление и права субъектов данных

GDPR предоставляет физическим лицам набор прав в отношении их персональных данных, которые вы обязаны соблюдать. Для email-маркетологов наиболее значимые права:

Право на удаление (право быть забытым) Обязательно

При запросе подписчика на удаление вы обязаны стереть все его персональные данные из ваших систем -- а не просто отписать его. Это включает удаление из email-платформы, CRM, аналитических инструментов и, где возможно, из резервных копий.

Право на доступ (запрос субъекта данных) Обязательно

Подписчики могут запросить копию всех персональных данных, которые вы храните о них. Вы должны ответить в течение 30 дней, предоставив полную читаемую выгрузку: адреса электронной почты, записи о согласии, данные о взаимодействии и любую профильную информацию.

Право на исправление Обязательно

Подписчики имеют право на исправление неточных данных, которые вы храните. Если кто-то запрашивает обновление имени, адреса электронной почты или других сведений, вы обязаны оперативно внести исправления.

Право на отзыв согласия Должно быть простым

Отзыв согласия должен быть таким же простым, как и его предоставление. Если подписчик оформил подписку одним кликом, он должен иметь возможность отписаться одним кликом. Нельзя требовать входа в систему, заполнения формы или звонка по телефону для отказа.

Соглашения об обработке данных (DPA)

Если какая-либо третья сторона обрабатывает данные ваших подписчиков от вашего имени, GDPR требует заключения Соглашения об обработке данных между вами (контролёром данных) и ней (обработчиком данных). Это касается вашего поставщика email-услуг, CRM-платформы, аналитических инструментов, сервиса верификации email и любого другого вендора, имеющего доступ к данным подписчиков.

DPA должно определять:

Какие данные обрабатываются и с какой целью
Продолжительность обработки
Обязательства обработчика в отношении безопасности данных
Порядок привлечения субобработчиков (если обработчик использует других поставщиков)
Что происходит с данными по окончании контракта
Обязанность обработчика содействовать в обработке запросов субъектов данных

Большинство надёжных email-платформ и SaaS-инструментов предоставляют предварительно подготовленные DPA. Если вендор не может или не желает предоставить такое соглашение -- это серьёзный тревожный сигнал. Не обрабатывайте данные подписчиков из ЕС через сервис, отказывающий в подписании DPA.

GDPR, CAN-SPAM и CASL: ключевые различия

GDPR -- не единственный регламент email-маркетинга в мире. Если вы рассылаете письма на международном уровне, вам, вероятно, необходимо соблюдать несколько правовых систем. Вот сравнение трёх основных регламентов:

	GDPR (ЕС/ЕЭЗ)	CAN-SPAM (США)	CASL (Канада)
Модель согласия	Opt-in обязателен до отправки	Opt-out (можно отправлять, пока не отписался)	Opt-in обязателен (явное или подразумеваемое согласие)
Предотмеченные чекбоксы	Запрещены	Разрешены	Запрещены
Срок обработки отписки	Без неоправданной задержки (лучшая практика: немедленно)	10 рабочих дней	10 рабочих дней
Право на удаление	Да -- полное удаление данных	Нет	Нет (только отписка)
Требуются записи о согласии	Да -- подробные записи обязательны	Явно не требуется	Да
Физический адрес в письмах	Не обязателен (но рекомендуется)	Обязателен	Обязателен
Максимальные штрафы	До 20 млн EUR или 4% мирового оборота	$51 744 за одно письмо	$10 млн CAD за нарушение
Распространяется на отправителей за пределами юрисдикции	Да	Да (при таргетинге на получателей из США)	Да

Ключевой вывод: если вы соблюдаете GDPR, вы в значительной мере соответствуете и CAN-SPAM, и CASL, поскольку GDPR является самым строгим из трёх. Обратное неверно -- соответствие только CAN-SPAM далеко недостаточно для GDPR.

Санкции и штрафы

Нарушения GDPR -- это не теоретические риски. Органы защиты данных по всей Европе налагали значительные штрафы за нарушения в сфере email-маркетинга. Регламент определяет два уровня санкций:

20 млн EUR

максимальный штраф или 4% годового мирового оборота -- в зависимости от того, что больше

72 часа

срок для уведомления надзорного органа об утечке данных

2 000+

штрафов по GDPR наложено органами защиты данных ЕС с 2018 года

Уровень 1 (Статья 83(4)) -- штрафы до 10 миллионов евро или 2% мирового оборота за нарушения, связанные с ведением записей, соглашениями об обработке данных, безопасностью данных и уведомлениями об утечках.

Уровень 2 (Статья 83(5)) -- штрафы до 20 миллионов евро или 4% мирового оборота за нарушения, связанные с правовыми основаниями обработки, требованиями к согласию и правами субъектов данных. Именно под этот уровень подпадает большинство нарушений в email-маркетинге.

Помимо штрафов, регуляторы могут выносить предписания о полном прекращении обработки данных -- фактически останавливая ваш email-маркетинг до тех пор, пока вы не продемонстрируете соответствие.

Практические шаги по обеспечению соответствия в 2026 году

Теория важна, но главное -- практическая реализация. Вот конкретные шаги для обеспечения GDPR-совместимости вашего email-маркетинга:

1. Проведите аудит форм подписки

Проверьте каждую форму, собирающую адреса электронной почты. Убедитесь, что в каждой из них есть неотмеченный чекбокс согласия (или эквивалентный механизм явного opt-in), ссылка на политику конфиденциальности, понятное описание того, что будет получать подписчик, и отсутствует увязка согласия с другими сервисами или условиями.

2. Внедрите double opt-in

Double opt-in формально не является требованием GDPR, однако это самое убедительное доказательство согласия, которое вы можете предоставить. Он подтверждает, что адрес электронной почты действителен, что его владелец -- тот самый человек, который подписался, и что он действительно хочет получать ваши письма. Большинство органов защиты данных считают это лучшей практикой.

3. Очистите существующий список

Если у вас есть подписчики, оформившие подписку до вступления GDPR в силу или через несовместимые механизмы, необходимо либо повторно получить их согласие, либо удалить их. Пропустите список через сервис верификации email для удаления недействительных и рискованных адресов, а затем отправьте кампанию повторного подтверждения оставшимся подписчикам. Тех, кто не подтвердит, следует удалить.

4. Настройте хранение записей о согласии

Сконфигурируйте email-платформу или CRM для автоматической регистрации данных о согласии: временная метка, URL-адрес источника, IP-адрес и точная формулировка текста согласия. Большинство современных email-платформ поддерживают это нативно. Если ваша -- нет, создайте или интегрируйте систему управления согласиями.

5. Проверьте цепочку обработки данных

Составьте карту каждого сервиса, имеющего доступ к данным подписчиков. Ваш ESP, API верификации email, CRM, аналитическая платформа, конструктор лендингов -- для всех необходимы DPA. Проверьте, что каждый вендор хранит данные в юрисдикциях, соответствующих GDPR, или имеет надлежащие гарантии (например, Стандартные договорные условия) для международных передач.

6. Создайте процесс обработки запросов субъектов данных

Разработайте документированный процесс обработки запросов на доступ, удаление и отзыв согласия. Назначьте ответственного сотрудника или отдел. Установите внутренние сроки с запасом от 30-дневного регуляторного окна. Протестируйте процесс, чтобы убедиться, что он работает от начала до конца.

7. Поддерживайте чистоту списка на постоянной основе

Соответствие GDPR -- не разовый проект. По мере роста вашего списка растёт и зона ответственности. Регулярная очистка списка удаляет недействительные адреса, которые могут вызвать отказы доставки, выявляет неактивных подписчиков и сокращает объём хранимых персональных данных -- что соответствует принципу минимизации данных GDPR.

8. Обучите свою команду

Каждый, кто участвует в email-маркетинге -- копирайтеры, дизайнеры, разработчики, маркетологи, служба поддержки -- должен понимать основы соблюдения GDPR. Один необученный сотрудник, добавивший предотмеченный чекбокс или импортировавший непроверенный список, может создать нарушение, затрагивающее всю организацию.

Соблюдение GDPR -- это не ограничение вашего маркетинга. Это построение базы подписчиков, которые действительно хотят получать от вас информацию. Бренды, которые приняли GDPR на раннем этапе, добились более высокой вовлечённости, меньшего числа жалоб и более надёжной доставляемости -- потому что каждый подписчик в их списке выбрал быть там сознательно.

Типичные ошибки GDPR в email-маркетинге

Даже маркетологи с хорошими намерениями допускают эти ошибки. Избегайте их:

Опора только на CAN-SPAM -- CAN-SPAM допускает opt-out маркетинг. GDPR требует opt-in. Если у вас есть подписчики из ЕС, соответствия CAN-SPAM недостаточно.
Использование покупных списков email -- купленные списки практически никогда не сопровождаются GDPR-совместимым согласием. Люди в этих списках не давали согласия на получение писем именно от вашей организации.
Приравнивание отписки к удалению данных -- отписка подписчика от рассылки не равнозначна удалению его данных. Если он запрашивает удаление, вы обязаны удалить данные из всех систем, а не просто прекратить рассылку.
Забывчивость о транзакционных данных -- ваши CRM, аналитика и системы поддержки тоже могут содержать данные подписчиков. GDPR распространяется на все эти данные, а не только на email-платформу.
Отсутствие документации по оценке законного интереса -- если вы полагаетесь на законный интерес вместо согласия, у вас должна быть задокументированная оценка. «Мы считали, что всё в порядке» -- не является приемлемой защитой.
Игнорирование международных передач данных -- если ваша email-платформа хранит данные в США или другой стране за пределами ЕС, необходимы соответствующие механизмы трансграничной передачи.

Как верификация email поддерживает соответствие GDPR

Верификация email напрямую способствует соблюдению GDPR несколькими способами:

Точность данных -- GDPR требует, чтобы персональные данные были точными и актуальными. Верификация адресов электронной почты гарантирует, что вы не храните недействительные или ошибочные адреса без законной цели.
Минимизация данных -- удаляя недоставляемые и рискованные адреса, верификация сокращает объём обрабатываемых персональных данных, что соответствует принципу минимизации данных GDPR.
Снижение риска жалоб -- рассылка по проверенным, вовлечённым подписчикам снижает вероятность жалоб на спам, которые могут привлечь внимание регуляторов.
Улучшенная доставляемость -- чистый список означает, что ваши легитимные письма, отправленные с полученным согласием, действительно достигают почтового ящика. Низкая доставляемость из-за «грязного» списка подрывает весь смысл сбора согласий.

Итог

GDPR не исчезнет, и правоприменение только усиливается. Каждый год органы защиты данных выносят больше штрафов, выпускают больше руководств и инициируют больше принудительных мер в отношении практик email-маркетинга. Организации, которые относятся к GDPR как к второстепенному вопросу, -- те самые, которые в итоге попадают в заголовки.

Хорошая новость: GDPR-совместимый email-маркетинг -- это более качественный email-маркетинг. Когда каждый подписчик в вашем списке сознательно выбрал быть там, показатели открытий выше, жалоб меньше, доставляемость надёжнее, а ROI -- лучше. Соответствие и эффективность не противоречат друг другу -- они взаимодополняют.

Начните с основ: получайте надлежащее согласие, ведите записи, соблюдайте права субъектов данных и поддерживайте чистоту списка. Делайте это последовательно -- и вы не только избежите штрафов, но и построите email-программу, которую ваши подписчики будут по-настоящему ценить.

Соблюдайте требования с чистым списком.

ClearBounce удаляет недействительные, рискованные и недоставляемые адреса электронной почты из вашего списка подписчиков -- помогая поддерживать точность данных, минимизировать излишнюю обработку и соответствовать требованиям GDPR.

100 бесплатных проверок. Банковская карта не требуется.

Проверить список бесплатно