инструкция 24 февраля 2027 По состоянию на 24 февраля 2027

Чат с покупателем на маркетплейсе: запись

Запись чата с покупателем на маркетплейсе — это обработка персональных данных по ст. 3 ФЗ-152, требующая правового основания, политики конфиденциальности и в ряде случаев отдельного согласия.

С 30.05.2025 за отсутствие согласия при обработке, которая его требует, штраф для юрлица составляет 300 000 — 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Cookies в чат-виджете РКН расценивает как персональные данные — трансграничная передача данных через GA4 или иной зарубежный виджет создаёт отдельный риск.

Если вы маркетолог маркетплейса или интернет-магазина — пройдите пять шагов ниже, чтобы привести запись чатов в соответствие с 152-ФЗ до проверки РКН.

Маркетплейсы и интернет-магазины ежедневно записывают тысячи диалогов с покупателями: история переписки, имя, контакт, данные о заказе. Каждая такая запись — это обработка персональных данных. Регулятор фиксирует жалобы на практику хранения чатов с 2023 года, а с введением оборотных штрафов по ФЗ-420 от 30.11.2024 цена ошибки выросла до сотен миллионов рублей. Инструкция ниже — пошаговый план для маркетолога: от определения правового основания до настройки процедуры удаления данных.

Шаг 1. Определите, какие данные записывает чат и на каком основании

Первый вопрос — что именно фиксирует ваш чат-виджет. Стандартный набор включает: имя покупателя, номер телефона или email (если пользователь их вводит), историю сообщений, IP-адрес, идентификаторы сессии и cookies виджета. Имя в сочетании с контактом или историей заказа — персональные данные по ст. 3 ФЗ-152. IP-адрес и cookies — тоже ПДн по позиции РКН, выраженной в разъяснениях 2023 года.

«Ст. 6 ФЗ-152 закрепляет 11 правовых оснований обработки ПДн. Наиболее применимые для чата: исполнение договора с субъектом (п. 5) — если чат ведётся в рамках оформленного заказа; согласие (п. 1) — если обращение поступает до заключения договора или содержит данные третьих лиц.»

Если покупатель пишет в чат уже в рамках оформленного заказа, основанием служит исполнение договора — согласие не требуется. Если чат открыт до оформления заказа (например, вопрос о наличии товара от анонимного пользователя), правовое основание — согласие субъекта. Смешение двух ситуаций в одном виджете без разграничения — типичная ошибка, которая создаёт уязвимость при проверке.

Зафиксируйте результат: составьте реестр обрабатываемых данных по чату с указанием категории ПДн (общие или специальные по ст. 10 ФЗ-152), правового основания и цели. Это первичный документ для последующих шагов.

Шаг 2. Разграничьте роли: кто оператор — маркетплейс или продавец?

Вопрос о распределении ролей оператора и обработчика критичен для маркетплейсов. Маркетплейс предоставляет витрину и чат-инфраструктуру; продавец ведёт диалог. По ст. 3 ФЗ-152 оператор — тот, кто самостоятельно или совместно определяет цели и способы обработки. Если продавец получает доступ к переписке и хранит её в своей CRM, он тоже становится оператором — независимо от того, чья платформа используется.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу на основании договора-поручения. Лицо, осуществляющее обработку по поручению, не обязано получать согласие субъекта, однако несёт ответственность за соблюдение мер защиты. При отсутствии договора-поручения лицо признаётся самостоятельным оператором.»

Практический вывод: если продавец работает на маркетплейсе и выгружает историю чатов в собственные системы без договора-поручения с маркетплейсом, он — самостоятельный оператор. Это означает обязанность уведомить РКН по ст. 22 ФЗ-152 и вести собственную документацию. Маркетплейс при этом остаётся оператором в части данных, которые он хранит на своей стороне.

Проверьте оферту или договор с маркетплейсом: есть ли в нём пункт о поручении обработки ПДн покупателей? Если нет — добавьте. Без этого условия при утечке данных через чат ответственность ляжет на обе стороны в соответствии с их фактическими действиями.

Используете чат-виджет с зарубежным сервером?

Если ваш чат-виджет или CRM хранят переписку на серверах вне России, это трансграничная передача персональных данных по ст. 12 ФЗ-152. До начала передачи требуется уведомление РКН — срок подачи не восстанавливается. Юристы DATUM оценят конфигурацию вашего стека и подготовят необходимые документы за 5 рабочих дней.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Настройте cookies-баннер и политику конфиденциальности для чата

Cookies, которые устанавливает чат-виджет, — персональные данные по позиции РКН. Это означает: сбор cookies без согласия пользователя нарушает ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽ для юрлица). Если cookies передаются зарубежному провайдеру чата (например, Intercom, Zendesk, HubSpot), это трансграничная передача ПДн, требующая уведомления РКН по ст. 12 ФЗ-152.

Баннер cookies должен соответствовать нескольким требованиям: появляться до установки любых необязательных cookies, содержать раздельные опции принятия и отказа, не использовать тёмные паттерны (кнопка «принять» не должна быть крупнее кнопки «отказать»), фиксировать факт и дату согласия в логах. Согласие должно быть отзываемым — пользователь вправе изменить настройки в любой момент.

«Ст. 10.1 ФЗ-152: обработка ПДн, разрешённых субъектом для распространения, допустима только при наличии отдельного согласия. Молчание или бездействие пользователя не считается согласием.»

Политика конфиденциальности сайта или маркетплейса обязана содержать отдельный раздел о чате: какие данные собираются, кому передаются (включая название провайдера чат-виджета и страну его серверов), срок хранения, порядок удаления. Отсутствие политики на сайте — самостоятельное нарушение по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽). Требования к содержанию политики закреплены в ч. 2 ст. 18.1 ФЗ-152.

Шаг 4. Установите сроки хранения и порядок удаления записей чата

Принцип минимизации по ст. 5 ФЗ-152 требует хранить ПДн не дольше, чем необходимо для достижения цели. Для записей чатов это означает: как только цель обращения достигнута (заказ оформлен, претензия закрыта, вопрос разрешён), правовое основание хранения исчезает. Хранить переписку «на всякий случай» без конкретной цели — нарушение ст. 5 ФЗ-152.

Обоснованный срок хранения чатов в e-commerce — срок исковой давности по договору купли-продажи, то есть три года с момента закрытия заказа. Если чат использовался в маркетинговых целях (программа лояльности, сегментация), срок определяется сроком действия согласия на маркетинговую обработку.

Обязательные документы для этого шага: регламент хранения и уничтожения ПДн в чате (фиксирует сроки по каждой категории), акты об уничтожении записей (или автоматический лог удаления), уведомление пользователя о сроке хранения в политике конфиденциальности. Уничтожение должно быть необратимым — простое удаление из интерфейса при сохранении в резервных копиях нарушением не устраняет.

Маркетолог, у вас уже есть запросы от покупателей на удаление переписки? По ст. 21 ФЗ-152 оператор обязан уничтожить данные при отзыве согласия. На исполнение — 30 дней. Неисполнение — ч. 5 ст. 13.11 КоАП, штраф до 90 000 ₽.

Собрать ОРД под ключ

Шаг 5. Проверьте уведомление в реестре РКН и уведомите при необходимости

Обработка персональных данных покупателей через чат требует наличия действующего уведомления в реестре операторов РКН по ст. 22 ФЗ-152. Если маркетплейс или интернет-магазин уже зарегистрированы как оператор — проверьте, отражены ли в уведомлении цели обработки, связанные с чатом (поддержка покупателей, история обращений), и категории ПДн (контактные данные, история коммуникаций). Расхождение между реальной обработкой и содержанием уведомления — нарушение ч. 1 ст. 13.11 КоАП.

«Ст. 22 ФЗ-152: оператор направляет уведомление о намерении обрабатывать ПДн до начала обработки. Форма уведомления и порядок подачи через pd.rkn.gov.ru установлены Приказом РКН №180 от 28.10.2022. Включение в реестр занимает до 30 дней.»

Если уведомление не подавалось или в нём не указана обработка данных через чат — подайте уведомление или изменение к нему до того, как данные начнут обрабатываться в новом объёме. Неуведомление РКН о намерении обрабатывать — ч. 10 ст. 13.11 КоАП, штраф для юрлица 100 000 — 300 000 ₽.

Для компаний, передающих данные чата зарубежным провайдерам (Zendesk, Freshdesk и аналоги с серверами вне России), дополнительно требуется уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152 до фактического начала передачи. Несвоевременное уведомление создаёт риск по ч. 10 ст. 13.11 КоАП.

Что подготовить

Реестр обрабатываемых ПДн в чате: категории, основание, цель, срок хранения, получатели
Договор-поручение с провайдером чат-виджета и (при необходимости) с маркетплейсом
Политика конфиденциальности с разделом о чате и cookies-баннер на сайте
Регламент хранения и уничтожения записей чата с указанием сроков по категориям
Актуальное уведомление в реестре РКН (или изменение к нему) с учётом чат-обработки

Как это работает на практике: типовые сценарии для маркетолога

Сценарий 1. Маркетплейс без договора-поручения с продавцами. Крупная платформа предоставляла продавцам доступ к истории чатов с покупателями без договора-поручения. При плановой проверке РКН установил, что продавцы де-факто обрабатывали ПДн покупателей как самостоятельные операторы — без уведомлений в реестре и без политик конфиденциальности. Результат: предписание платформе устранить нарушение по ч. 3 ст. 18.1 ФЗ-152 и протоколы на нескольких продавцов по ч. 1 ст. 13.11 КоАП. Устранение потребовало переработки оферты и массового обновления документации продавцов.

Сценарий 2. Интернет-магазин с Zendesk без уведомления о трансграничке. Интернет-магазин (Центральный ФО, конец 2025) использовал Zendesk для чата поддержки. Данные хранились на серверах провайдера в ЕС. Уведомление о трансграничной передаче по ст. 12 ФЗ-152 не подавалось. После жалобы покупателя РКН провёл внеплановую проверку. Магазин получил предписание и был обязан либо подать уведомление о трансграничке, либо мигрировать на российский аналог. Штраф составил сотни тысяч рублей по совокупности нарушений по ч. 1 ст. 13.11 КоАП.

Сценарий 3. Email-рассылка на основе истории чата без отдельного согласия. Маркетолог использовал контакты покупателей, полученные через чат в рамках исполнения договора, для запуска email-рассылки с акциями. Правовое основание — исполнение договора — не распространяется на маркетинговые коммуникации. Для рассылки требовалось отдельное согласие по ст. 9 ФЗ-152 (в редакции с 01.09.2025 — отдельный документ по ФЗ-156). Жалоба в РКН повлекла протокол по ч. 1 ст. 13.11 и по ч. 2 ст. 13.11 КоАП одновременно.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка чата, cookies и политики конфиденциальности по 38 пунктам
Комплект ОРД под ключ — политика, согласия, регламенты, договор-поручение для маркетплейса
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1.1

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН, закреплённой в разъяснениях 2023 года, cookies являются персональными данными, если позволяют идентифицировать пользователя — в частности, в сочетании с другими данными сессии. Это означает, что установка cookies чат-виджета без согласия пользователя нарушает ч. 1 ст. 13.11 КоАП. Баннер cookies с возможностью отказа обязателен для всех сайтов, использующих аналитические или функциональные cookies.

2. Можно ли использовать GA4 после ограничений?

GA4 передаёт данные на серверы Google за пределами России. Это трансграничная передача персональных данных по ст. 12 ФЗ-152. Использование GA4 возможно при условии подачи уведомления о трансграничной передаче в РКН до начала передачи. Помимо этого, данные граждан РФ (имена, контакты, идентификаторы) должны первично собираться и храниться в базах на территории РФ по ч. 5 ст. 18 ФЗ-152 — только после этого возможна передача за рубеж.

3. Кто оператор: маркетплейс или продавец?

Это зависит от того, кто фактически определяет цели и способы обработки. Маркетплейс — оператор в отношении данных, которые он хранит и обрабатывает на своей стороне. Продавец становится самостоятельным оператором, если получает доступ к ПДн покупателей и обрабатывает их в своих целях (CRM, рассылки, аналитика). Передача данных продавцу без договора-поручения по ст. 6 ч. 3 ФЗ-152 означает, что продавец обязан самостоятельно уведомить РКН и вести документацию.

4. Что грозит за отсутствие баннера cookies?

Сбор cookies без согласия квалифицируется по ч. 1 ст. 13.11 КоАП как обработка ПДн без надлежащего правового основания. Штраф для юрлица — 150 000 — 300 000 ₽ (в редакции с 30.05.2025). При повторном нарушении — ч. 1.1 ст. 13.11, 300 000 — 500 000 ₽. Если cookies передаются зарубежному провайдеру без уведомления РКН — дополнительно возникает риск по ч. 10 ст. 13.11 (100 000 — 300 000 ₽).

5. Как оформить отзыв подписки?

Отзыв согласия на email-рассылку должен быть возможен в любой момент без объяснения причин — это требование ст. 9 ч. 2 ФЗ-152. Технически: ссылка «отписаться» в каждом письме обязательна. После получения отзыва оператор обязан прекратить обработку и уничтожить данные в течение 30 дней. Форма отзыва должна быть не сложнее формы подписки — использование тёмных паттернов (скрытие кнопки, многоэтапные формы) фиксируется РКН как нарушение.

Итог

Запись чата с покупателем на маркетплейсе — полноценная обработка персональных данных, которая требует правового основания, актуального уведомления в РКН, политики конфиденциальности с разделом о чате, баннера cookies и регламента хранения. Ошибки в каждом из этих пунктов создают самостоятельные составы по ст. 13.11 КоАП с совокупным штрафом от нескольких сотен тысяч до нескольких миллионов рублей.

Практика DATUM включает сопровождение маркетплейсов и интернет-магазинов по вопросам чатов, cookies, трансграничной передачи через GA4 и программам лояльности. Аудит соответствия 152-ФЗ по чек-листу из 38 пунктов — отправная точка для выявления конкретных рисков в вашей конфигурации.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов.

24 февраля 2027 года