Соответствие законодательству8 мин чтения

Ссылка отписки: требования по законодательству

Все регуляторы требуют отписку, но правила отличаются: Россия и ЕС — немедленно, США — 10 дней, Канада — ещё и ссылка живая 60 дней. Плюс требования Gmail и Yahoo, которые часто важнее закона.

Отписка — единственный элемент email-compliance, который требуют все регуляторы. Но дальше начинаются различия: российский закон требует остановить рассылку немедленно и удалить данные за 30 дней, США позволяют 10 рабочих дней, ЕС фактически требует сразу же, Канада требует, чтобы ссылка была функциональна 60 дней после отправки. Поверх всего этого Gmail и Yahoo в 2024 году сделали RFC 8058 one-click unsubscribe практически обязательной для сервисов с объёмом > 5000 писем в сутки — это часто важнее самого закона.

Кратко

Отписка нужна везде. Россия и ЕС: сразу же. США и Канада: 10 рабочих дней. Ссылка живой: 30 дней (США) или 60 дней (Канада). RFC 8058 one-click unsubscribe требуют Gmail и Yahoo независимо от юрисдикции.

Россия: 152-ФЗ и ФЗ-38

Отписка в России трактуется как отзыв согласия на обработку персональных данных в соответствии с 152-ФЗ. Ключевые требования:

  • Субъект вправе отозвать согласие в любой момент без причин.
  • Оператор обязан немедленно прекратить обработку персональных данных для согласованной цели.
  • Персональные данные должны быть уничтожены или деперсонифицированы в течение 30 дней, если нет иного закона.
  • ФЗ-38 о рекламе требует немедленной остановки рекламных сообщений по просьбе получателя.

На практике: техническая отписка срабатывает моментально (письма не отправляются), а удаление или минимизация данных происходит в течение 30 дней. Проверяющие органы (Роскомнадзор, ФМБА) именно это и смотрят.

США: CAN-SPAM

Федеральный закон на уровне США. Обязательные элементы:

  • Отписка должна быть ясно и чётко представлена.
  • Механизм отписки бесплатный.
  • Получатель может отписаться через один клик; больше ничего не требуется (по закону достаточно посещения одной веб-страницы).
  • Ссылка отписки должна оставаться работающей минимум 30 дней после отправки письма.
  • Отправитель обязан обработать заявку в течение 10 рабочих дней.
  • После opt-out адрес не может быть продан, передан или использован для коммерческих сообщений (исключение только для сообщений о соответствии).

На уровне штатов добавляются требования. Например, калифорнийский CCPA/CPRA даёт право отказаться от продажи персональных данных, что может пересекаться с email-листами.

Европейский союз: GDPR и директива ePrivacy

Отписка — это оперативное воплощение права на возражение (ст. 21 GDPR) и права отозвать согласие (ст. 7(3) GDPR). Ключевые черты:

  • Право возразить на прямой маркетинг абсолютно — без проверки баланса интересов, без задержек.
  • Отозвать согласие должно быть столь же просто, как его дать.
  • Обработка для маркетинга должна остановиться немедленно.
  • Отписка должна быть бесплатной, доступной без логина и без объяснения причин.

Директива ePrivacy добавляет, что каждое коммерческое письмо должно предлагать ясный и открытый способ отказа — бесплатно и легко, в каждом письме. Национальные реализации в странах ЕС согласованы в существе.

Регуляторы ЕС трактуют «немедленно» жёстко: 24-часовое окно обычно воспринимается как compliant; еженедельная батч-обработка не годится.

Великобритания: PECR и UK GDPR

После Brexit Великобритания сохранила содержание GDPR (UK GDPR), а PECR по-прежнему управляет маркетинговыми коммуникациями. Практически требования зеркалят ЕС: ясная отписка в каждом письме, бесплатно, обработано быстро. Guidance от ICO трактует «быстро» как немедленно, минимум несколько рабочих дней.

Enforcement от ICO на отписке был последовательным — регулятор наложил штрафы в шестизначном размере на сервисы, которые либо пропустили отписку, либо не обработали opt-out.

Канада: CASL

CASL имеет самое оперативно-специфичное правило отписки:

  • Отписка должна быть ясна и выделена, её легко выполнить.
  • Получатель может отписаться бесплатно, через те же электронные средства или разумную альтернативу.
  • Механизм отписки должен оставаться рабочим минимум 60 дней после отправки письма.
  • Обработка в течение 10 рабочих дней, без дополнительных просьб от получателя.

Ловушка в 60-дневном требовании: если вы меняете платформу, закрываете систему рассылок или ротируете домены отписки, старые URL должны оставаться рабочими и обрабатывать opt-out на всё время. CRTC ссылался на это в прошлых действиях.

Требования провайдеров: RFC 8058 one-click

Независимо от законодательства страны, требования Gmail и Yahoo за 2024 год фактически сделали RFC 8058 List-Unsubscribe-Post one-click unsubscribe обязательной для сендеров с объёмом > 5000 писем в сутки к любому из этих провайдеров. Требуемые headers:

List-Unsubscribe: <https://example.com/u/abc123>, <mailto:unsub@example.com>

 

List-Unsubscribe-Post: List-Unsubscribe=One-Click

С этими двумя headers провайдеры могут отрендерить нативную кнопку отписки рядом с именем отправителя. POST-запрос от провайдера на URL должен немедленно подавить адрес — без доп. страницы подтверждения, без логина, без редиректа.

One-click важнее, чем многие законы

Требования Gmail и Yahoo по bulk-senders в 2024–2026 — это самые последствательные правила отписки, хотя это не закон. Без RFC 8058 one-click вы теряете inbox placement у крупнейших провайдеров независимо от юрисдикции.

Сравнение требований

  • Сроки обработки — самый быстрый: Россия, ЕС, UK (немедленно).Самый медленный: США, Канада (10 рабочих дней).
  • Сколько дней ссылка должна быть живой — максимум: Канада (60 дней). Минимум: США (30 дней). ЕС/UK не устанавливают чёткий срок, но требуют постоянной обработки.
  • Бесплатно: требуется везде.
  • Максимум шагов: США говорят одна страница, больше ничего. ЕС, UK, Канада говорят «легко и бесплатно». По факту все требуют почти один клик.
  • One-click POST (RFC 8058): не требуется законом нигде, но оперативно обязательна для bulk-сендеров в Gmail и Yahoo.

Как реализовать глобально compliant отписку

  1. Установите List-Unsubscribe с обоими вариантами (HTTPS и mailto) в каждом коммерческом письме.
  2. Установите List-Unsubscribe-Post: List-Unsubscribe=One-Click.
  3. URL должен принимать и POST (one-click), и GET (визит в браузер). Оба должны немедленно подавить адрес.
  4. Видимая footer-ссылка читается «Отписаться» на понятном языке. Не скрывайте; стандартная типографика footer подходит.
  5. Лист подавления обновляется в течение минут после запроса, гораздо быстрее, чем любое законное требование.
  6. Старые URL отписки остаются работающими минимум 60 дней после отправки письма (Канада); в идеале — вечно.
  7. Privacy-notice описывает процесс, сохранение на листе подавления и любую onward-передачу для целей compliance.
  8. Не требуйте логин, пароль, подтверждение аккаунта или «скажите, почему» перед обработкой. Опциональный feedback после обработки — нормально.

Типичные ошибки в compliance отписки

  • Многошаговая отписка. «Нажмите сюда, войдите, откройте настройки, снимите галку, сохраните» — нарушает одностраничное правило США и правило «столь же просто как согласие» в ЕС.
  • Еженедельная батч-обработка. Даже в границах США 10 дней, ожидание 5+ дней нарушает per-recipient requirements.
  • Гниение ссылки. Деактивация домена отписки при переходе на другой ESP без parking. Особенно опасно под CASL 60-дневным правилом.
  • Защита отписки паролем. Account-based opt-out с логином нарушает free-and-easy тесты в ЕС/UK.
  • Разные требования per-send. Branded campaign A имеет отписку, но transactional-but-promotional B не имеет. Любое коммерческое письмо в scope.

Частые вопросы

Могу ли я отправить письмо-подтверждение отписки?

Большинство регуляторов допускают одно письмо с информацией об обработке запроса, отправленное один раз. Что-то большее — «вы уверены?», «вернитесь», повторные попытки win-back — может рассматриваться как продолжение маркетинга без согласия.

Нужна ли отписка для транзакционных писем?

Чистые транзакционные письма (чеки, уведомления аккаунта) обычно не требуют отписку. Письма со смешанным назначением, которые включают любой коммерческий контент — требуют. В сомнениях добавляйте отписку, вреда не будет.

Что если получатель отписался от одного листа, но у меня их несколько?

Best practice и растущее ожидание регуляторов: одна «глобальная» отписка, подавляющая весь маркетинг от вашей организации. Детальные центры предпочтений допускаются, если есть also одностепный вариант для «всего маркетинга».

Когда-то достаточно было mailto: unsubscribe?

Как fallback рядом с HTTPS-ссылкой — да. Как единственный механизм — нет. Большинство юрисдикций и Gmail/Yahoo требуют HTTPS-вариант. Предоставляйте оба в List-Unsubscribe header.
Протестируйте размещение перед отправкой

Бесплатный инструмент Inbox Check проверит, как ваше письмо с отпиской попадает в инбокс Gmail, Outlook, Yandex, Mail.ru и других провайдеров. Без регистрации и карты.

→ Запустить бесплатный тест попадания

Related reading
Found this useful? Share it
AB
Об авторе
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Проверьте доставляемость в 20+ провайдерах

Gmail, Outlook, Yahoo, Mail.ru, Яндекс, GMX, ProtonMail и другие. Реальные скриншоты входящих, SPF/DKIM/DMARC, вердикты спам-фильтров. Бесплатно, без регистрации.

Запустить тест →

Тесты без ограничений · 20+ ящиков · Живые результаты · Аккаунт не нужен