инструкция 10 февраля 2029 По состоянию на 10 февраля 2029

Бонусные карты: ПДн и согласие

Q: Что грозит за отсутствие баннера cookies?

Штраф по ч. 6 ст. 13.11 КоАП — 50 000–100 000 ₽ для юридического лица. При повторном нарушении — ч. 5.1 ст. 13.11 КоАП, штраф 300 000–500 000 ₽. Кроме того, отсутствие баннера фиксируется при мониторинге сайтов РКН и служит основанием для внеплановой проверки, в ходе которой могут быть выявлены сопутствующие нарушения.

Программа лояльности — это полноценная обработка персональных данных: имя, email, телефон, история покупок, куки на сайте. Каждый элемент требует отдельного правового основания.

С 01.09.2025 согласие оформляется только отдельным документом (ФЗ-156 от 24.06.2025). За отсутствие баннера cookies или некорректное согласие на рассылку штраф по ч. 2 ст. 13.11 КоАП достигает 700 000 ₽.

→ Если вы маркетолог и запускаете или переаудируете программу лояльности — пройдите по шагам ниже и проверьте каждый документ до старта кампании.

Бонусные карты и программы лояльности — один из самых уязвимых участков с точки зрения 152-ФЗ в e-commerce. Здесь одновременно работают три механизма обработки персональных данных: регистрация участника (сбор ПДн), email- и SMS-рассылки (распространение и обработка контактных данных), аналитика поведения (cookies, GA4, пиксели). Каждый из них требует собственного правового основания, формы согласия и политики. С 30.05.2025 штрафы по ст. 13.11 КоАП выросли кратно — и программы лояльности оказались в числе первых объектов для проверок Роскомнадзора. В этой инструкции — шесть конкретных шагов для приведения бонусной программы в соответствие с законом.

Шаг 1. Определите, что именно является персональными данными в вашей программе

Персональные данные в программе лояльности — это любая информация, которая прямо или косвенно идентифицирует участника. В базовый состав входят: имя и фамилия, номер телефона, email, дата рождения, история покупок с привязкой к профилю. Это стандартные ПДн по ст. 3 ФЗ-152.

Cookies как ПДн — отдельный вопрос. Позиция Роскомнадзора: cookie-файл, связанный с идентификатором пользователя на сайте программы лояльности, является персональными данными. Это означает, что установка аналитических и рекламных cookies без согласия участника нарушает ч. 1 ст. 6 ФЗ-152 и создаёт основание для протокола по ч. 6 ст. 13.11 КоАП. Штраф для юридического лица — 50 000–100 000 ₽ при первом нарушении.

«Ст. 3 ФЗ-152 определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу. Функциональный cookie с привязкой к профилю участника подпадает под это определение.»

Отдельно проверьте: если участники программы указывают пол, город или интересы — это тоже ПДн, пусть и не специальная категория. Если вы запрашиваете дату рождения для персональных предложений — это уже иная цель, требующая отдельного согласия от той, что нужна для начисления баллов.

Шаг 2. Проверьте, какие правовые основания обработки вы используете

Ошибка большинства интернет-магазинов — использование единственного основания «договор» (п. 5 ч. 1 ст. 6 ФЗ-152) для всей обработки в рамках программы лояльности. Договор покрывает только то, что необходимо для его исполнения: начисление и списание баллов, идентификация участника. Всё остальное требует отдельного согласия.

Рассылки с персональными предложениями, анализ поведения для таргетирования, передача данных партнёрам программы — это самостоятельные цели обработки. Для каждой нужно отдельное согласие по ст. 9 ФЗ-152. С 01.09.2025 согласие — это отдельный документ, не встроенный в оферту или правила программы лояльности.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (вступил в силу 01.09.2025): согласие субъекта оформляется документом, отдельным от договора, политики конфиденциальности и иных документов. Обязательные реквизиты: ФИО, контакт, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Если участник регистрируется офлайн — через анкету в магазине — согласие на рассылку должно быть выделено отдельным полем с независимым чекбоксом. Общее «согласен с условиями программы» не работает для маркетинговых рассылок.

Уже запущена программа лояльности, но согласия не обновлялись после 01.09.2025?

Если база участников собиралась до ФЗ-156, а согласия были встроены в договор или оферту — каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок на приведение в соответствие не установлен, но проверка РКН может прийти в любой момент. Юристы DATUM проведут аудит ОРД программы лояльности и соберут новый пакет согласий по требованиям ФЗ-156.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Настройте баннер cookies и политику конфиденциальности

Баннер cookies — обязательный элемент сайта программы лояльности. Его отсутствие фиксируется автоматически при мониторинге сайтов Роскомнадзором. Для признания cookies ПДн РКН не требует дополнительного доказывания — достаточно наличия аналитических или рекламных трекеров.

Требования к баннеру: он должен появляться до установки нефункциональных cookies, содержать описание категорий cookies (необходимые, аналитические, маркетинговые), предоставлять возможность отказа от каждой категории отдельно и содержать ссылку на политику конфиденциальности. Конфигурация «только ОК без отказа» нарушает принцип добровольности из ст. 5 ФЗ-152.

Политика конфиденциальности должна описывать: все цели обработки ПДн в программе лояльности, перечень данных по каждой цели, сроки хранения, перечень третьих лиц (аналитические сервисы, партнёры), порядок отзыва согласия и способ обратиться с запросом. Публикация политики на сайте — обязанность по ч. 2 ст. 18.1 ФЗ-152, её отсутствие — штраф по ч. 3 ст. 13.11 КоАП 30 000–60 000 ₽.

«Ст. 18.1 ч. 2 ФЗ-152: оператор обязан опубликовать документ, определяющий политику в отношении обработки ПДн, в информационно-телекоммуникационных сетях. Отсутствие публикации — основание для штрафа по ч. 3 ст. 13.11 КоАП.»

Как работает GA4 в программе лояльности и почему это трансграничная передача?

Google Analytics 4 собирает поведенческие данные пользователей и передаёт их на серверы Google за рубежом. Если участник программы лояльности идентифицирован на сайте (вошёл в личный кабинет), GA4 связывает поведенческие данные с его профилем — это ПДн гражданина РФ, передаваемые в страну, не включённую Роскомнадзором в перечень адекватной защиты.

По ст. 12 ФЗ-152 трансграничная передача ПДн в страну без адекватной защиты требует предварительного уведомления РКН и оценки достаточности защиты данных. Использование GA4 без такого уведомления — нарушение, которое РКН активно фиксирует при плановых и внеплановых проверках интернет-магазинов.

Практические варианты: подать уведомление о трансграничной передаче в РКН с описанием мер защиты; перейти на российский аналитический инструмент (Яндекс Метрика) или серверную аналитику; настроить GA4 в режиме анонимизации с полным отключением идентификации авторизованных пользователей. Каждый из вариантов требует корректировки политики конфиденциальности.

Что подготовить для программы лояльности

Отдельное согласие участника на обработку ПДн по ст. 9 ФЗ-152 (в редакции ФЗ-156, с 01.09.2025) — для каждой цели: рассылки, аналитика, передача партнёрам
Баннер cookies с возможностью раздельного отказа от аналитических и маркетинговых трекеров до их установки
Политика конфиденциальности с перечнем всех третьих лиц (GA4, Meta Pixel, CRM-платформы, партнёры программы)
Уведомление РКН о трансграничной передаче, если используется GA4 или зарубежный CRM
Регламент обработки запросов субъектов: форма запроса, срок ответа 10 рабочих дней (ст. 20 ФЗ-152), отзыв согласия и удаление ПДн

Шаг 5. Разграничьте роли: маркетплейс, продавец и оператор ПДн

Если программа лояльности реализована через маркетплейс, возникает вопрос о распределении ролей. Маркетплейс — оператор ПДн покупателей в части, которая касается его платформы. Продавец — самостоятельный оператор в части своей CRM и программы лояльности.

Передача ПДн покупателя от маркетплейса продавцу для зачисления баллов — это поручение обработки по п. 3 ст. 6 ФЗ-152. Оно оформляется договором поручения с обязательными условиями: перечень ПДн, цели, ограничение на использование, меры защиты, обязанность уничтожить данные по окончании. Без такого договора продавец как самостоятельный оператор должен получать согласие от покупателя напрямую.

«П. 3 ч. 1 ст. 6 ФЗ-152: обработка ПДн допускается на основании поручения оператора — при соблюдении требований к договору поручения. Лицо, осуществляющее обработку по поручению, не является самостоятельным оператором, но несёт ответственность за соответствие требованиям закона в своей части.»

На практике суды признают маркетплейс и продавца солидарно ответственными за утечку ПДн покупателя, если договор поручения отсутствует или не содержит обязательных условий.

Шаг 6. Настройте процедуру отзыва согласия и работу с запросами субъектов

Участник программы лояльности вправе в любой момент отозвать согласие на рассылку и потребовать удаления своих ПДн (ч. 2 ст. 9 ФЗ-152). Кнопка «Отписаться» в письме — это отзыв согласия на email-рассылку, но не требование об удалении всех данных. Это разные процедуры с разными правовыми последствиями.

После отзыва согласия на рассылку: прекратить рассылки в течение 10 рабочих дней (срок по ст. 20 ФЗ-152 для ответа на запрос субъекта). После требования об удалении: уничтожить ПДн в срок 7 рабочих дней, если нет другого правового основания для хранения (например, договорного или законодательного). Если ПДн нужны для бухгалтерской отчётности — хранить только необходимый минимум с ограничением доступа.

Технически: в личном кабинете участника должны быть доступны форма запроса на удаление данных, управление согласиями в разрезе каждой цели, история согласий с датами. Это требования принципа прозрачности из ст. 5 ФЗ-152 и обязанности предоставлять информацию по запросу субъекта (ст. 14 ФЗ-152).

Типовые ситуации: как ошибки в программах лояльности приводят к штрафам

Ситуация 1. Анкета офлайн-регистрации без отдельного согласия на рассылку. Сеть магазинов (Уральский ФО, лето 2025) использовала анкету регистрации, где согласие на email-рассылку было включено в условия программы лояльности единым текстом. После жалобы участника РКН возбудил дело по ч. 2 ст. 13.11 КоАП. Отсутствие отдельного документа согласия в редакции ФЗ-156 не позволило доказать добровольность. Компания получила штраф в диапазоне сотен тысяч рублей. После аудита были переработаны все анкеты и введён раздельный чекбокс согласий.

Ситуация 2. GA4 на сайте программы лояльности без уведомления РКН о трансграничной передаче. Интернет-магазин (Центральный ФО, осень 2025) при плановой проверке РКН не смог предоставить уведомление о трансграничной передаче ПДн участников программы лояльности через GA4. Инспектор зафиксировал нарушение ч. 5 ст. 18 ФЗ-152 и ст. 12 ФЗ-152. Компания устранила нарушение, переключившись на Яндекс Метрику для авторизованных пользователей и подав уведомление для оставшихся сценариев. Предписание выполнено, штраф по ч. 8 ст. 13.11 КоАП за нарушение локализации не назначался — данные российских пользователей хранились на российских серверах CRM.

Если маркетолог запускает акцию через партнёрский сервис рассылок или подключает новый аналитический инструмент — это новая цель обработки ПДн, требующая нового согласия и уведомления РКН. Срок на уведомление — до начала обработки (ст. 22 ФЗ-152). Юристы DATUM проверят, нужно ли обновлять документы под конкретный инструмент.

Оценить риски по 152-ФЗ

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка программы лояльности, согласий, cookies и политики конфиденциальности по чек-листу из 38 пунктов
Комплект ОРД под ключ — пакет документов для e-commerce: согласия участников, политика, регламент работы с запросами субъектов
Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1 для снижения

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookie-файл связан с идентифицированным пользователем (например, авторизованным участником программы лояльности). Функциональные cookies, необходимые для работы сайта, могут обрабатываться без согласия на основании п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора). Аналитические и рекламные cookies, устанавливаемые третьими сервисами, требуют отдельного согласия и описания в политике конфиденциальности.

2. Можно ли использовать GA4 после ограничений?

Использовать GA4 можно, но с соблюдением двух условий. Первое: если авторизованные пользователи (участники программы лояльности) отслеживаются через GA4 — подать уведомление в РКН о трансграничной передаче ПДн по ст. 12 ФЗ-152. Второе: убедиться, что первичный сбор и хранение ПДн российских пользователей ведётся на российских серверах (ч. 5 ст. 18 ФЗ-152). Для анонимной аналитики без идентификации пользователя требования смягчены, но граница между анонимными и персональными данными при использовании GA4 размыта.

3. Кто оператор: маркетплейс или продавец?

Оба могут быть операторами — каждый в своей части. Маркетплейс — оператор ПДн покупателей в части работы платформы. Продавец — самостоятельный оператор в части своей CRM и программы лояльности. Передача ПДн от маркетплейса продавцу оформляется договором поручения по п. 3 ст. 6 ФЗ-152. Без договора продавец должен получать согласие от покупателя напрямую. При отсутствии договора поручения суды признают стороны солидарно ответственными за нарушения в обработке ПДн.

4. Что грозит за отсутствие баннера cookies?

Штраф по ч. 6 ст. 13.11 КоАП (несоблюдение условий хранения ПДн при неавтоматизированной обработке, если повлекло неправомерный доступ) — 50 000–100 000 ₽ для юридического лица. При повторном нарушении — ч. 5.1 ст. 13.11 КоАП, штраф 300 000–500 000 ₽. Кроме того, отсутствие баннера фиксируется при мониторинге сайтов РКН и служит основанием для внеплановой проверки, в ходе которой могут быть выявлены сопутствующие нарушения.

5. Как оформить отзыв подписки на рассылку?

Кнопка «Отписаться» в письме реализует отзыв согласия на email-рассылку. После её нажатия оператор обязан прекратить рассылки. Отзыв согласия не означает автоматического удаления всех ПДн участника — это отдельная процедура по заявлению субъекта. В личном кабинете должны быть: форма управления согласиями по каждой цели, форма запроса на удаление данных, информация о сроках исполнения (не более 10 рабочих дней на ответ по ст. 20 ФЗ-152, 7 рабочих дней на уничтожение ПДн при отсутствии иного основания хранения).

Итог

Программа лояльности с бонусными картами — многоуровневая система обработки ПДн, где ошибка в любом звене создаёт основание для штрафа. Ключевые точки риска с 2025 года: согласие не как часть договора, а как отдельный документ (ФЗ-156); баннер cookies с возможностью раздельного отказа; уведомление РКН о трансграничной передаче при использовании GA4; договор поручения с маркетплейсом или CRM-платформой.

Юристы DATUM специализируются на комплаенсе программ лояльности в e-commerce: от аудита текущего состояния до сборки полного пакета ОРД и уведомлений РКН под конкретную архитектуру.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Cookies как ПДн, согласия в интернет-магазинах и SaaS, GA4 и Meta Pixel, программы лояльности, политики конфиденциальности для маркетплейсов.