API третьих сторон и поручение обработки
Интернет-магазин, который подключил несколько внешних сервисов — аналитику, email-рассылки, платёжный шлюз, программу лояльности — фактически передаёт персональные данные покупателей нескольким операторам одновременно. Большинство компаний об этом не думают: API-интеграция воспринимается как техническое решение, а не как юридически значимое действие. Роскомнадзор думает иначе. В этой инструкции — шесть шагов, которые приведут API-стек интернет-магазина в соответствие с ФЗ-152.
Шаг 1. Составьте реестр всех API третьих сторон
Прежде чем оформлять документы, нужно понять, с кем именно передаются данные. Маркетолог обычно знает о GA4 и системе email-рассылок. CTO — о платёжном шлюзе. Юрист — ни о тех, ни о других. Начните с инвентаризации.
Составьте таблицу: название сервиса, тип данных, которые он получает, страна обработки, правовое основание для передачи (согласие, договор, поручение), наличие договора поручения. Типичный стек интернет-магазина: Google Analytics 4 (поведенческие данные + cookies как ПДн), Meta Pixel (идентификаторы устройств, действия пользователя), SendPulse или UniSender (email, имя, история покупок), платёжный шлюз — Robokassa, ЮКасса (платёжные данные, ФИО), CRM — amoCRM, Битрикс24 (вся клиентская база), маркетплейсы — Wildberries, Ozon (при интеграции через API).
Для каждого сервиса зафиксируйте: является ли он обработчиком по поручению оператора или самостоятельным оператором. Это разные правовые режимы с разными требованиями.
Шаг 2. Разграничьте поручение и самостоятельную обработку
Не каждая передача данных через API является поручением. Ключевой вопрос: кто определяет цели и способы обработки? Если цели определяете вы — перед вами обработчик по поручению. Если сервис обрабатывает данные в своих целях — это самостоятельный оператор, и передача ему данных требует отдельного правового основания.
Примеры разграничения. GA4: Google получает данные в своих целях (аналитика, рекламные продукты) — самостоятельный оператор, и при передаче данных в серверы Google в США возникает трансгранична передача, требующая уведомления РКН по ч. 3 ст. 12 ФЗ-152. SendPulse в роли рассыльщика: обрабатывает данные только в соответствии с вашими инструкциями — обработчик по поручению, нужен договор поручения. CRM amoCRM: сложный случай, так как сервис может использовать данные для обучения моделей — уточняйте в договоре.
Ошибка в квалификации дорого стоит: если вы считаете сервис обработчиком и не берёте отдельное согласие, а РКН считает его самостоятельным оператором — нарушение ч. 1 ст. 13.11 КоАП от 150 000 ₽.
Есть сомнения в квалификации API-сервиса?
Маркетолог не обязан разбираться в тонкостях ст. 6 ФЗ-152. Но каждая неверная квалификация — потенциальный штраф при проверке РКН. Юристы DATUM проведут аудит API-стека и разграничат обработчиков от операторов за 5 рабочих дней.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Оформите договоры поручения обработки
Для каждого сервиса-обработчика нужен договор поручения обработки персональных данных. Согласно п. 3 ст. 6 ФЗ-152, такой договор должен содержать: перечень действий с данными, цели обработки, обязанность соблюдать конфиденциальность, обязанность применять технические меры защиты, право оператора проверять соблюдение условий.
На практике крупные сервисы предлагают стандартные Data Processing Agreement (DPA). Проблема: DPA от Google, Meta, Mailchimp составлены по GDPR и не учитывают российские требования ФЗ-152. Использовать их как единственный документ нельзя. Нужен либо российский DPA, либо дополнительное соглашение к зарубежному, закрывающее требования ст. 6 ФЗ-152.
Для российских сервисов (amoCRM, UniSender, ЮКасса) договор поручения заключается в письменной форме или через акцепт публичной оферты — если в ней прямо прописаны обязательства обработчика по ФЗ-152. Проверьте оферту: если слов «поручение обработки персональных данных» там нет — оферта не заменяет договор.
Что должен содержать договор поручения
- Исчерпывающий перечень действий с персональными данными (сбор, хранение, передача, уничтожение)
- Цели обработки — точно совпадающие с целями оператора в реестре РКН и политике конфиденциальности
- Обязанность обработчика не передавать данные третьим лицам без письменного согласия оператора
- Обязанность применять технические меры защиты не ниже уровня оператора
- Право оператора проводить проверки соблюдения условий договора
Шаг 4. Закройте вопрос с cookies и баннером согласия
Cookies как ПДн — позиция РКН, закреплённая в методических рекомендациях: идентификаторы cookie, передаваемые в Google Analytics или Meta Pixel, могут идентифицировать пользователя и потому являются персональными данными. Это означает, что сбор cookies без информирования и согласия пользователя — нарушение ст. 13.11 КоАП по ч. 1 (отсутствие правового основания) и ч. 3 (отсутствие политики обработки).
Баннер cookies — это не украшение сайта, а обязательный инструмент сбора согласия. Требования к баннеру: отображается при первом визите до установки cookie-файлов; содержит информацию о категориях cookies (аналитические, маркетинговые, функциональные); даёт возможность принять или отклонить каждую категорию; фиксирует факт согласия с датой и версией политики.
GA4 в режиме Server-Side Tagging снижает объём данных, передаваемых напрямую в Google, но не устраняет вопрос трансграничной передачи: серверный тег всё равно взаимодействует с инфраструктурой Google за рубежом. Уведомление РКН о трансграничной передаче остаётся обязательным по ч. 3 ст. 12 ФЗ-152 — вне зависимости от режима интеграции.
Если на сайте стоит GA4 без уведомления РКН о трансграничной передаче — это действующее нарушение. При инициативной проверке по индикатору риска (отсутствие баннера cookies) штраф по ч. 1 ст. 13.11 КоАП составит от 150 000 ₽. Устраните нарушение до проверки, а не после протокола.
Заказать аудит 152-ФЗШаг 5. Настройте email-рассылки в соответствии с 152-ФЗ
Email-рассылки — пересечение двух режимов: ФЗ-152 (персональные данные) и ФЗ «О рекламе» (рекламные сообщения). Маркетолог должен закрыть оба.
По ФЗ-152: согласие на получение рассылок должно соответствовать требованиям ст. 9 ФЗ-152, а с 01.09.2025 по ФЗ-156 — оформляться отдельным документом, не объединённым с договором-офертой или политикой конфиденциальности. Это означает, что чекбокс «Согласен с политикой конфиденциальности» больше не закрывает согласие на рассылку. Нужен отдельный чекбокс с явной формулировкой: «Согласен получать рекламные и информационные рассылки» — или отдельная форма двойного подтверждения (double opt-in).
По ФЗ «О рекламе»: рекламное сообщение без согласия адресата — административная ответственность. Double opt-in закрывает оба требования: первый клик фиксирует намерение, подтверждающий email — факт согласия с датой и IP.
Отзыв подписки: каждое письмо должно содержать механизм отписки. Обработать отписку нужно в течение 10 рабочих дней (ст. 20 ФЗ-152). Факт отписки — хранить: это доказательство соблюдения требований при жалобе субъекта.
Шаг 6. Актуализируйте политику конфиденциальности и уведомление в РКН
Политика конфиденциальности интернет-магазина должна отражать реальный API-стек. Если вы подключили новый сервис, но не обновили политику — нарушение ч. 2 ст. 18.1 ФЗ-152 о требованиях к содержанию политики. Штраф по ч. 3 ст. 13.11 КоАП: от 30 000 до 60 000 ₽.
Что должно быть в политике по теме API: перечень третьих сторон, которым передаются данные; цели передачи; правовое основание (поручение, самостоятельный оператор, согласие); страна обработки; права субъекта в отношении каждого вида обработки.
Уведомление в реестре РКН (ст. 22 ФЗ-152): цели обработки, категории ПДн, перечень действий, меры защиты, перечень третьих стран (при трансграничной передаче) — всё это должно соответствовать реальной обработке. Несоответствие фактической обработки заявленной в уведомлении — отдельное нарушение по ч. 1 ст. 13.11 КоАП. При изменении состава обработки подайте уведомление об изменении сведений через pd.rkn.gov.ru в течение 10 рабочих дней.
Как это работает на практике: два сценария
Сценарий 1. Маркетолог интернет-магазина подключил новую CRM без договора поручения. Ситуация: директор по маркетингу выбрал и подключил CRM-систему, передав в неё базу клиентов через API. Договор поручения не заключён, политика конфиденциальности не обновлена. Через 3 месяца — плановая проверка РКН по индикатору риска (несоответствие реестра и сайта). Доказательства: API-логи передачи данных в CRM, отсутствие CRM в политике, отсутствие договора поручения. Вероятный исход: протокол по ч. 1 ст. 13.11 (штраф 150 000–300 000 ₽) и предписание об устранении. Стратегия: заключить договор поручения задним числом невозможно, но наличие договора на момент рассмотрения дела — смягчающее обстоятельство. Устраните нарушение до вынесения постановления.
Сценарий 2. E-commerce компания использует GA4 без уведомления РКН о трансграничной передаче. Ситуация: интернет-магазин работает на GA4 в стандартном режиме (данные уходят на серверы Google в США и Ирландии). Уведомление РКН о трансграничной передаче не подавалось. Баннер cookies есть, но не разграничивает аналитические и маркетинговые cookies. Вероятный исход: ч. 1 ст. 13.11 (передача без правового основания) + предписание об уведомлении. При повторном нарушении — ч. 1.1 ст. 13.11 до 500 000 ₽. Стратегия: подать уведомление о трансграничной передаче в РКН, обновить баннер cookies с разграничением категорий, рассмотреть переход на Server-Side GA4 с российским прокси-сервером.
Сценарий 3. Маркетплейс и продавец: кто оператор? Ситуация: продавец на Wildberries получает данные покупателей через Seller API — ФИО, адрес доставки, телефон. РКН проводит проверку продавца и выясняет: у него нет уведомления в реестре, нет политики конфиденциальности, нет договора поручения с маркетплейсом. Доказательства: данные из Seller API в CRM продавца. Вероятный исход: штраф по ч. 1 (без уведомления) и ч. 3 (без политики) ст. 13.11. Стратегия: продавец — самостоятельный оператор в отношении данных, полученных через API. Он обязан подать уведомление в РКН, разработать политику и определить правовое основание для обработки данных покупателей.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверим API-стек, квалификацию обработчиков и документацию
- Комплект ОРД под ключ — договоры поручения, политика, согласия, уведомления РКН
- Защита при штрафе в арбитраже — оспорим протокол по ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции РКН — да. Cookie-идентификаторы, которые позволяют отслеживать поведение конкретного пользователя на сайте и передаются в аналитические или рекламные системы, признаются персональными данными в смысле ст. 3 ФЗ-152. Это означает, что установка аналитических или маркетинговых cookies без согласия пользователя является обработкой ПДн без правового основания — нарушение ч. 1 ст. 13.11 КоАП.
2. Можно ли использовать GA4 после ограничений?
Технически — да, но с соблюдением требований ФЗ-152. Необходимо: подать в РКН уведомление о трансграничной передаче данных в Google (США/Ирландия), установить баннер cookies с раздельным согласием по категориям, включить в политику конфиденциальности упоминание Google как третьей стороны. Рекомендуется также рассмотреть Server-Side GA4 с проксированием через российский сервер — это снижает прямую передачу идентификаторов в Google.
3. Кто оператор — маркетплейс или продавец?
Маркетплейс и продавец могут быть самостоятельными операторами в отношении одних и тех же субъектов. Маркетплейс обрабатывает данные покупателей для обеспечения сделки. Продавец, получающий данные через Seller API, становится самостоятельным оператором и обязан: подать уведомление в реестр РКН, разработать политику конфиденциальности, определить правовое основание для обработки. Считать себя «просто получателем данных от маркетплейса» — юридически неверно.
4. Что грозит за отсутствие баннера cookies?
Отсутствие баннера cookies при использовании аналитических или маркетинговых трекеров создаёт риск по двум составам ст. 13.11 КоАП: ч. 1 (обработка без правового основания — штраф 150 000–300 000 ₽) и ч. 3 (невыполнение обязанности по публикации политики — штраф 30 000–60 000 ₽). Оба состава могут быть вменены одновременно. Отсутствие баннера фиксируется автоматическими инструментами РКН при мониторинге сайтов.
5. Как оформить отзыв подписки на рассылку?
Каждое email-сообщение должно содержать кликабельную ссылку отписки (unsubscribe). При переходе по ней — фиксируется дата, время и электронный адрес отписавшегося. Обработать отзыв согласия необходимо в течение 10 рабочих дней по ст. 20 ФЗ-152: прекратить отправку рассылок, заблокировать или уничтожить данные, если они использовались только для этой цели. Запись об отписке хранить не менее 3 лет — это доказательство при жалобе субъекта в РКН.
6. Нужен ли отдельный договор поручения для каждого API-сервиса?
Да, для каждого сервиса, который квалифицируется как обработчик по поручению. Единого «рамочного» договора на всех подрядчиков сразу ФЗ-152 не предусматривает: у каждого обработчика свой перечень действий, свои категории данных, свои меры защиты. Исключение: если подрядчик является самостоятельным оператором — договор поручения не нужен, нужно иное правовое основание (согласие субъекта или норма закона).
Итог
API-интеграции — зона повышенного внимания РКН при проверках интернет-магазинов в 2025–2026 годах. Каждый внешний сервис требует юридической квалификации: обработчик или самостоятельный оператор, нужен договор поручения или отдельное правовое основание. Cookies, GA4, email-рассылки и данные маркетплейсов — это не технические детали, а объекты регулирования ФЗ-152 с конкретными штрафами по ст. 13.11 КоАП.
DATUM сопровождает интернет-магазины и e-commerce платформы в части соответствия 152-ФЗ: аудит API-стека, оформление договоров поручения, обновление политики и уведомлений РКН, защита в арбитраже при штрафах по ст. 13.11.
14 января 2029 года