Если вы работаете с email-адресами пользователей — даже без их имени или телефона — это всё равно персональные данные. Значит, действуют все требования закона № 152-ФЗ.
Можно ли просто отправить ссылку на регистрацию?
Допустим, ваш сервис сам отправляет приглашения по email: админ вносит почту будущего пользователя, система шлёт письмо со ссылкой, а дальше человек сам решает — регистрироваться или нет.
На первый взгляд — безобидно. Имя не собирается, пользователь сам потом даёт согласие. Всё вроде чисто.
Но нет. Роскомнадзор однозначен: уже на момент отправки письма по адресу, который вы где-то взяли, вы начали обрабатывать персональные данные. А значит, обязаны соблюдать все нормы закона:
- иметь правовое основание для обработки (например, согласие или договор);
- обеспечить безопасность этих данных;
- и быть готовы обосновать всё это при проверке.
Почему email — это персональные данные?
Потому что он идентифицирует пользователя. Даже если это случайный набор букв, вроде 123abc@mail.ru, — в момент, когда вы используете его для связи с конкретным человеком, он превращается в персональные данные. Так говорит часть 1 статьи 6 закона № 152-ФЗ.
Это значит:
- без согласия использовать email нельзя;
- в случае утечки придётся отчитываться перед Роскомнадзором;
- политика конфиденциальности должна это учитывать.
Важно: Проверьте, как ваша компания собирает и использует email-адреса — особенно для рассылок, уведомлений, регистрации и CRM. Если нет чёткой схемы согласия и защиты — рискуете попасть под проверку и штраф.