Отписка — единственный элемент email-compliance, который требуют все регуляторы. Но дальше начинаются различия: российский закон требует остановить рассылку немедленно и удалить данные за 30 дней, США позволяют 10 рабочих дней, ЕС фактически требует сразу же, Канада требует, чтобы ссылка была функциональна 60 дней после отправки. Поверх всего этого Gmail и Yahoo в 2024 году сделали RFC 8058 one-click unsubscribe практически обязательной для сервисов с объёмом > 5000 писем в сутки — это часто важнее самого закона.
Отписка нужна везде. Россия и ЕС: сразу же. США и Канада: 10 рабочих дней. Ссылка живой: 30 дней (США) или 60 дней (Канада). RFC 8058 one-click unsubscribe требуют Gmail и Yahoo независимо от юрисдикции.
Россия: 152-ФЗ и ФЗ-38
Отписка в России трактуется как отзыв согласия на обработку персональных данных в соответствии с 152-ФЗ. Ключевые требования:
- Субъект вправе отозвать согласие в любой момент без причин.
- Оператор обязан немедленно прекратить обработку персональных данных для согласованной цели.
- Персональные данные должны быть уничтожены или деперсонифицированы в течение 30 дней, если нет иного закона.
- ФЗ-38 о рекламе требует немедленной остановки рекламных сообщений по просьбе получателя.
На практике: техническая отписка срабатывает моментально (письма не отправляются), а удаление или минимизация данных происходит в течение 30 дней. Проверяющие органы (Роскомнадзор, ФМБА) именно это и смотрят.
США: CAN-SPAM
Федеральный закон на уровне США. Обязательные элементы:
- Отписка должна быть ясно и чётко представлена.
- Механизм отписки бесплатный.
- Получатель может отписаться через один клик; больше ничего не требуется (по закону достаточно посещения одной веб-страницы).
- Ссылка отписки должна оставаться работающей минимум 30 дней после отправки письма.
- Отправитель обязан обработать заявку в течение 10 рабочих дней.
- После opt-out адрес не может быть продан, передан или использован для коммерческих сообщений (исключение только для сообщений о соответствии).
На уровне штатов добавляются требования. Например, калифорнийский CCPA/CPRA даёт право отказаться от продажи персональных данных, что может пересекаться с email-листами.
Европейский союз: GDPR и директива ePrivacy
Отписка — это оперативное воплощение права на возражение (ст. 21 GDPR) и права отозвать согласие (ст. 7(3) GDPR). Ключевые черты:
- Право возразить на прямой маркетинг абсолютно — без проверки баланса интересов, без задержек.
- Отозвать согласие должно быть столь же просто, как его дать.
- Обработка для маркетинга должна остановиться немедленно.
- Отписка должна быть бесплатной, доступной без логина и без объяснения причин.
Директива ePrivacy добавляет, что каждое коммерческое письмо должно предлагать ясный и открытый способ отказа — бесплатно и легко, в каждом письме. Национальные реализации в странах ЕС согласованы в существе.
Регуляторы ЕС трактуют «немедленно» жёстко: 24-часовое окно обычно воспринимается как compliant; еженедельная батч-обработка не годится.
Великобритания: PECR и UK GDPR
После Brexit Великобритания сохранила содержание GDPR (UK GDPR), а PECR по-прежнему управляет маркетинговыми коммуникациями. Практически требования зеркалят ЕС: ясная отписка в каждом письме, бесплатно, обработано быстро. Guidance от ICO трактует «быстро» как немедленно, минимум несколько рабочих дней.
Enforcement от ICO на отписке был последовательным — регулятор наложил штрафы в шестизначном размере на сервисы, которые либо пропустили отписку, либо не обработали opt-out.
Канада: CASL
CASL имеет самое оперативно-специфичное правило отписки:
- Отписка должна быть ясна и выделена, её легко выполнить.
- Получатель может отписаться бесплатно, через те же электронные средства или разумную альтернативу.
- Механизм отписки должен оставаться рабочим минимум 60 дней после отправки письма.
- Обработка в течение 10 рабочих дней, без дополнительных просьб от получателя.
Ловушка в 60-дневном требовании: если вы меняете платформу, закрываете систему рассылок или ротируете домены отписки, старые URL должны оставаться рабочими и обрабатывать opt-out на всё время. CRTC ссылался на это в прошлых действиях.
Требования провайдеров: RFC 8058 one-click
Независимо от законодательства страны, требования Gmail и Yahoo за 2024 год фактически сделали RFC 8058 List-Unsubscribe-Post one-click unsubscribe обязательной для сендеров с объёмом > 5000 писем в сутки к любому из этих провайдеров. Требуемые headers:
List-Unsubscribe: <https://example.com/u/abc123>, <mailto:unsub@example.com>
List-Unsubscribe-Post: List-Unsubscribe=One-ClickС этими двумя headers провайдеры могут отрендерить нативную кнопку отписки рядом с именем отправителя. POST-запрос от провайдера на URL должен немедленно подавить адрес — без доп. страницы подтверждения, без логина, без редиректа.
Требования Gmail и Yahoo по bulk-senders в 2024–2026 — это самые последствательные правила отписки, хотя это не закон. Без RFC 8058 one-click вы теряете inbox placement у крупнейших провайдеров независимо от юрисдикции.
Сравнение требований
- Сроки обработки — самый быстрый: Россия, ЕС, UK (немедленно).Самый медленный: США, Канада (10 рабочих дней).
- Сколько дней ссылка должна быть живой — максимум: Канада (60 дней). Минимум: США (30 дней). ЕС/UK не устанавливают чёткий срок, но требуют постоянной обработки.
- Бесплатно: требуется везде.
- Максимум шагов: США говорят одна страница, больше ничего. ЕС, UK, Канада говорят «легко и бесплатно». По факту все требуют почти один клик.
- One-click POST (RFC 8058): не требуется законом нигде, но оперативно обязательна для bulk-сендеров в Gmail и Yahoo.
Как реализовать глобально compliant отписку
- Установите
List-Unsubscribeс обоими вариантами (HTTPS и mailto) в каждом коммерческом письме. - Установите
List-Unsubscribe-Post: List-Unsubscribe=One-Click. - URL должен принимать и POST (one-click), и GET (визит в браузер). Оба должны немедленно подавить адрес.
- Видимая footer-ссылка читается «Отписаться» на понятном языке. Не скрывайте; стандартная типографика footer подходит.
- Лист подавления обновляется в течение минут после запроса, гораздо быстрее, чем любое законное требование.
- Старые URL отписки остаются работающими минимум 60 дней после отправки письма (Канада); в идеале — вечно.
- Privacy-notice описывает процесс, сохранение на листе подавления и любую onward-передачу для целей compliance.
- Не требуйте логин, пароль, подтверждение аккаунта или «скажите, почему» перед обработкой. Опциональный feedback после обработки — нормально.
Типичные ошибки в compliance отписки
- Многошаговая отписка. «Нажмите сюда, войдите, откройте настройки, снимите галку, сохраните» — нарушает одностраничное правило США и правило «столь же просто как согласие» в ЕС.
- Еженедельная батч-обработка. Даже в границах США 10 дней, ожидание 5+ дней нарушает per-recipient requirements.
- Гниение ссылки. Деактивация домена отписки при переходе на другой ESP без parking. Особенно опасно под CASL 60-дневным правилом.
- Защита отписки паролем. Account-based opt-out с логином нарушает free-and-easy тесты в ЕС/UK.
- Разные требования per-send. Branded campaign A имеет отписку, но transactional-but-promotional B не имеет. Любое коммерческое письмо в scope.
Частые вопросы
Могу ли я отправить письмо-подтверждение отписки?
Нужна ли отписка для транзакционных писем?
Что если получатель отписался от одного листа, но у меня их несколько?
Когда-то достаточно было mailto: unsubscribe?
Бесплатный инструмент Inbox Check проверит, как ваше письмо с отпиской попадает в инбокс Gmail, Outlook, Yandex, Mail.ru и других провайдеров. Без регистрации и карты.