Перейти к содержанию
инструкция 4 февраля 2029 По состоянию на 4 февраля 2029

CDP-системы и поручение обработки

CDP (Customer Data Platform) — это программный комплекс, объединяющий данные о пользователях из разных каналов в единый профиль. По ст. 6 п. 3 ФЗ-152, передача данных в CDP означает поручение обработки: оператор остаётся ответственным, а CDP-вендор становится обработчиком.
С 30.05.2025 за нарушение условий поручения или отсутствие договора оператор получает штраф по ч. 1 ст. 13.11 КоАП — от 150 000 до 300 000 ₽. Если утечка через CDP затронула более 1 000 субъектов, применяется ч. 12 — от 3 000 000 до 5 000 000 ₽.
Если вы маркетолог и используете CDP, GA4 или платформу рассылок без договора поручения — каждый сегмент аудитории создаёт основание для протокола РКН.

В 2025 году интернет-магазины и маркетплейсы массово внедрили CDP-системы: Segment, mParticle, Mindbox, Retail Rocket и десятки других платформ. Проблема в том, что передача cookies, email-адресов, истории покупок и поведенческих данных в эти системы — это обработка персональных данных по поручению. По данным РКН за 2024 год зафиксировано более 135 случаев утечек, и значительная их часть связана с третьесторонними платформами. В этой инструкции — пошагово, что нужно сделать маркетологу, чтобы CDP-стек соответствовал ФЗ-152.

Шаг 1. Разберитесь, кто оператор, а кто обработчик в вашей CDP-схеме

Прежде чем подписывать договор с CDP-вендором, определите роли. Оператор — тот, кто определяет цели и способы обработки персональных данных (ст. 3 ФЗ-152). Это интернет-магазин или маркетплейс-продавец: именно он решает, зачем собирать данные о пользователе и что с ними делать. CDP-вендор самостоятельно цели не определяет — он исполняет инструкции клиента, то есть является обработчиком по п. 3 ст. 6 ФЗ-152.

На маркетплейсе ситуация сложнее. Если покупатель оформляет заказ через платформу маркетплейса, а продавец получает данные через API витрины, роли распределяются так: маркетплейс — оператор в части платёжных и адресных данных, продавец — самостоятельный оператор в части CRM и CDP. При передаче в единую CDP маркетплейса продавец должен иметь правовое основание на такую передачу.

«П. 3 ст. 6 ФЗ-152 — оператор вправе поручить обработку другому лицу только с согласия субъекта ПДн или на основании закона. В договоре поручения обязательно указываются перечень действий, цели, обязанность соблюдать конфиденциальность и требования к защите.»

Практический вывод: до подключения CDP-вендора проверьте, есть ли в согласии пользователя упоминание передачи данных третьим лицам (обработчикам). Если согласие собирается через cookies-баннер — в нём должен быть раскрыт список обработчиков или ссылка на актуальный список в политике конфиденциальности.

Шаг 2. Проверьте договор поручения с каждым CDP-вендором

Договор поручения обработки — не опция, а обязанность оператора по п. 3 ст. 6 ФЗ-152. Большинство западных CDP-платформ (Segment, mParticle, Braze) предлагают стандартный DPA (Data Processing Agreement). Российские платформы — Mindbox, Retail Rocket, ExpertSender — как правило, включают соответствующий раздел в основной договор.

Проверьте, что в договоре есть:

  • исчерпывающий перечень действий с ПДн (сбор, хранение, анализ, сегментация, передача субподрядчикам);
  • цели обработки — строго те, для которых пользователь дал согласие;
  • обязанность вендора не передавать данные четвёртым лицам без вашего письменного разрешения;
  • условия уничтожения данных при расторжении договора (срок — не более 30 дней);
  • обязанность уведомить вас об инциденте в течение 24 часов.

Если вендор предлагает только публичную оферту без возможности согласовать DPA — это риск. РКН при проверке оценивает наличие подписанного договора поручения, а не факт публикации privacy policy на сайте вендора.

Маркетолог подключил CDP, но договора поручения нет?

Каждая CDP-интеграция без договора поручения — это нарушение п. 3 ст. 6 ФЗ-152. С 30.05.2025 штраф по ч. 1 ст. 13.11 КоАП достигает 300 000 ₽, а при утечке данных через вендора — от 3 000 000 ₽. Проверить наличие и содержание договоров поручения по всем CDP-интеграциям можно в рамках аудита 152-ФЗ. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и укажут, какие вендорские соглашения требуют доработки.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Настройте cookies-баннер как правовое основание сбора данных

Cookies — это персональные данные по позиции РКН: они позволяют идентифицировать пользователя (устройство, сессию, историю поведения). Это означает, что любая установка cookies, передающих данные в CDP или аналитическую систему, требует согласия субъекта по ст. 9 ФЗ-152.

Отсутствие баннера согласия или установка cookies до получения согласия — нарушение, за которое предусмотрен штраф по ч. 2 ст. 13.11 КоАП: от 300 000 до 700 000 ₽ для юридического лица. В редакции с 30.05.2025 инспектор РКН вправе зафиксировать нарушение дистанционно — без выездной проверки.

Требования к баннеру:

  • появляется до установки любых не технически необходимых cookies;
  • содержит явную кнопку «Принять» и отдельную кнопку «Отклонить» (или настройки по категориям);
  • молчание пользователя (прокрутка, продолжение сёрфинга) не считается согласием;
  • содержит ссылку на политику конфиденциальности, где перечислены CDP-вендоры и их роли;
  • фиксирует факт и время дачи согласия в логе (для доказательства при проверке).
«Ст. 9 ФЗ-152 (в ред. с 01.09.2025, ФЗ-156) — согласие на обработку ПДн оформляется отдельным документом, не объединяется с договором, офертой или политикой. Для cookies-согласия применяется электронная форма с фиксацией волеизъявления.»

Шаг 4. Разберитесь с GA4 и трансграничной передачей данных

Google Analytics 4 — это передача данных о поведении пользователей на серверы Google (США). По ч. 5 ст. 18 ФЗ-152 первичный сбор ПДн граждан России должен происходить в базах на территории РФ. Использование GA4 в режиме «пиксель на сайте → данные прямо в Google» означает трансграничную передачу без локализации первичных данных.

Что нужно сделать:

  • Оценить, передаёте ли вы в GA4 данные, позволяющие идентифицировать пользователя (User-ID, email, телефон, Client-ID в связке с другими атрибутами).
  • Если да — потребуется уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152 до начала такой передачи.
  • Рассмотреть серверную реализацию GA4 (Server-Side Tagging): данные сначала поступают на российский сервер, обезличиваются или агрегируются, затем передаются в Google. Это снижает риск нарушения локализации.
  • Проверить, входит ли США в список стран с адекватным уровнем защиты ПДн по актуальному приказу РКН. На момент подготовки этого материала США в перечень не входят.

Аналогичный подход применяется к Meta Pixel, TikTok Pixel, Criteo и другим западным ad-tech платформам. Каждая из них — потенциальный объект проверки РКН в рамках контроля за трансграничной передачей.

Что подготовить перед подключением CDP

  • Договор поручения обработки с каждым CDP-вендором (п. 3 ст. 6 ФЗ-152) — подписанный, не публичная оферта.
  • Актуальная политика конфиденциальности с перечнем обработчиков и описанием cookies-практики.
  • Настроенный cookies-баннер с раздельными кнопками «Принять» / «Отклонить» и логом согласий.
  • Уведомление в реестре РКН (pd.rkn.gov.ru), отражающее фактические цели обработки и трансграничную передачу при её наличии.
  • Оценка необходимости уведомления о трансграничной передаче (ст. 12 ФЗ-152) для каждого западного CDP/аналитического вендора.

Шаг 5. Оформите обработку данных в программах лояльности и email-рассылках

Программы лояльности — отдельная группа риска. Пользователь регистрируется в бонусной программе и соглашается на обработку ПДн для начисления баллов. Но CDP получает гораздо больше: поведенческие данные, историю транзакций, геолокацию, предпочтения. Если согласие не охватывает эти цели — обработка незаконна по ч. 1 ст. 13.11 КоАП.

Для email-рассылок после ФЗ-156 от 24.06.2025 (вступил в силу с 01.09.2025) согласие на коммерческие сообщения должно быть оформлено отдельным документом — оно не может быть частью договора купли-продажи или регистрационной формы магазина. Двойное подтверждение (double opt-in) не является обязательным по ФЗ-152, но служит доказательством добровольности согласия при жалобе субъекта.

Отзыв подписки — отдельная обязанность оператора. По ст. 9 ФЗ-152 пользователь вправе отозвать согласие в любой момент. В ESP (email service provider) и CDP должна быть настроена синхронизация: отзыв через письмо («Отписаться») должен немедленно блокировать отправку в обеих системах и фиксироваться в логе.

Если маркетолог ведёт рассылки через CDP без отдельного согласия по ФЗ-156 — это нарушение ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽. С 01.09.2025 каждое согласие на рассылку должно быть отдельным документом. Юристы DATUM соберут комплект ОРД для CDP-стека под ключ.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Интернет-магазин бытовой техники (Центральный ФО, осень 2025) использовал Mindbox как CDP и платформу email-рассылок. При плановой проверке инспектор РКН установил, что согласие на рассылку было частью оферты — единым документом с договором купли-продажи. После ФЗ-156 такое согласие утратило юридическую силу. Компания получила протокол по ч. 2 ст. 13.11 КоАП. В ходе сопровождения юристами удалось переоформить согласия до вынесения постановления и добиться снижения штрафа до минимального порога.

Кейс 2. Маркетплейс одежды (Уральский ФО, начало 2026) подключил GA4 в режиме прямой передачи данных с сайта на серверы Google без серверной прослойки. По жалобе пользователя РКН инициировал проверку: установлена трансграничная передача идентификаторов (Client-ID + email) без уведомления по ст. 12 ФЗ-152 и без локализации первичных данных. Компании потребовалось срочно перейти на Server-Side GTM и подать уведомление в РКН о трансграничной передаче. Штраф по ч. 1 ст. 13.11 составил сотни тысяч рублей.

Типовые ситуации: где чаще всего возникают нарушения

Ситуация 1 — CDP без договора поручения. Маркетолог подключает Retail Rocket или Segment через публичный API-ключ. Договор поручения не подписан, в политике конфиденциальности платформа не упомянута. При проверке РКН квалифицирует это как обработку без правового основания (ч. 1 ст. 13.11, штраф 150 000–300 000 ₽). Стратегия: немедленно подписать DPA с вендором и актуализировать политику.

Ситуация 2 — Cookies установлены до согласия. Технический специалист настроил GTM-контейнер так, что Яндекс.Метрика и Meta Pixel запускаются при первом заходе на страницу — до показа баннера. Инспектор РКН фиксирует нарушение через автоматизированный сканер сайта. Штраф по ч. 2 ст. 13.11 — от 300 000 до 700 000 ₽. Стратегия: переконфигурировать GTM так, чтобы маркетинговые теги срабатывали только после триггера «согласие принято».

Ситуация 3 — Отзыв подписки не синхронизируется с CDP. Пользователь отписался от рассылки через кнопку в письме, но CDP продолжает использовать его email для сегментации и отображения рекламы в ретаргетинге. Это нарушение ст. 9 ФЗ-152 (право на отзыв согласия) и ч. 5 ст. 13.11 (невыполнение требования об уничтожении/блокировании). Стратегия: настроить webhook-синхронизацию ESP → CDP с немедленным обновлением статуса согласия.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да. Cookies позволяют идентифицировать пользователя через сессионный идентификатор, историю поведения и привязку к устройству. Это соответствует определению ПДн в ст. 3 ФЗ-152: «любая информация, позволяющая прямо или косвенно определить субъекта». Передача cookies в CDP или аналитическую систему — обработка ПДн, требующая согласия по ст. 9 ФЗ-152 и договора поручения по п. 3 ст. 6 ФЗ-152.

2. Можно ли использовать GA4 после ограничений?

Использовать GA4 можно, но с ограничениями. Передача идентифицирующих данных (User-ID, email, Client-ID в связке с другими атрибутами) на серверы Google без уведомления РКН о трансграничной передаче нарушает ст. 12 ФЗ-152. Безопаснее: серверная реализация GA4 через Server-Side Tagging с российским прокси-сервером, где данные агрегируются до передачи в Google. Дополнительно потребуется оценка обезличивания по Приказу РКН о методах обезличивания.

3. Кто оператор: маркетплейс или продавец?

Зависит от того, кто собирает данные и определяет цель обработки. Маркетплейс — оператор в части данных для выполнения сделки (адрес доставки, платёж). Продавец — самостоятельный оператор, если он получает данные покупателя через API и использует их в собственной CRM или CDP. При наличии совместной обработки оба признаются операторами, и каждый несёт ответственность по ст. 13.11 КоАП самостоятельно.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies или его неправильная настройка (согласие не запрашивается до установки маркетинговых cookies) квалифицируется как обработка ПДн без согласия — ч. 2 ст. 13.11 КоАП в редакции с 30.05.2025. Штраф для юридического лица — от 300 000 до 700 000 ₽. При повторном нарушении по ч. 2.1 — от 1 000 000 до 1 500 000 ₽. Инспектор РКН может зафиксировать нарушение дистанционно через автоматизированное сканирование сайта.

5. Как оформить отзыв подписки?

По ст. 9 ФЗ-152 пользователь вправе отозвать согласие в любой момент без объяснения причин. Для email-рассылки: кнопка «Отписаться» в каждом письме обязательна; отзыв должен обрабатываться немедленно — не позднее 10 рабочих дней (ст. 20 ФЗ-152). В CDP должна быть настроена синхронизация статуса согласия: отписка в ESP автоматически блокирует использование email во всех CDP-сегментах и ретаргетинговых аудиториях.

Итог

CDP-система — это всегда поручение обработки по п. 3 ст. 6 ФЗ-152. Без договора поручения, актуальной политики и правильно настроенного cookies-баннера каждая CDP-интеграция создаёт самостоятельное основание для протокола РКН. После 30.05.2025 штрафы по ст. 13.11 КоАП кратно выросли: от 300 000 ₽ за отсутствие согласия до 5 000 000 ₽ при утечке через вендора.

Практика DATUM по ПДн в e-commerce включает аудит CDP-стека, подготовку договоров поручения, настройку cookies-согласий и сопровождение при проверках РКН для интернет-магазинов, маркетплейсов и SaaS-платформ.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, CDP и политики конфиденциальности для маркетплейсов.

4 февраля 2029 года