инструкция 5 июня 2028 По состоянию на 5 июня 2028

DATUM-аудит политики интернет-магазина

Политика конфиденциальности интернет-магазина — это юридически обязательный документ по ч. 2 ст. 18.1 ФЗ-152, а не маркетинговая формальность.

Cookies считаются персональными данными по позиции РКН с 2023 года. GA4 фиксируется как трансграничная передача. Email-рассылка без двойного opt-in — нарушение ч. 6 ст. 13.11 КоАП со штрафом до 100 000 ₽. Повторная утечка базы — оборотный штраф по ч. 15 той же статьи от 20 млн ₽.

→ Если вы маркетолог и на сайте магазина нет баннера cookies или GA4 передаёт данные без уведомления РКН — у вас есть основания для трёх разных составов ст. 13.11 КоАП одновременно.

С 30 мая 2025 года ст. 13.11 КоАП насчитывает 18 частей. Маркетолог или директор по цифровому продукту, не проверивший политику магазина после этой даты, рискует получить штраф по каждому из обнаруженных нарушений отдельно. Эта инструкция описывает пять шагов DATUM-аудита политики интернет-магазина: от проверки уведомления в реестре РКН до оформления отзыва подписки.

Почему политика интернет-магазина — это не то же самое, что шаблон из интернета?

Большинство интернет-магазинов запускаются с политикой конфиденциальности, скопированной с другого сайта или сгенерированной онлайн-конструктором. Такой документ не отражает реальную обработку данных: какие cookies установлены, какие сервисы аналитики подключены, есть ли программа лояльности, как работает рассылка.

Роскомнадзор при плановой и внеплановой проверке сверяет текст политики с фактической обработкой. Несоответствие — самостоятельный состав нарушения. По ч. 3 ст. 13.11 КоАП за отсутствие или ненадлежащую публикацию политики обработки ПДн юрлицо платит от 30 000 до 60 000 ₽. Если при этом обнаружена обработка без правового основания — добавляется ч. 1 (150 000–300 000 ₽) или ч. 2 (300 000–700 000 ₽), если нарушено требование к форме согласия.

«Ст. 18.1 ФЗ-152 ч. 2 — оператор обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных, и обеспечить к нему неограниченный доступ.»

Для маркетолога, работающего с несколькими площадками — собственный сайт, маркетплейс, мобильное приложение — ситуация усложняется: каждая из них является отдельным контекстом обработки с собственными правовыми основаниями. Шаблонная политика не покрывает ни одну из них корректно.

Политика магазина написана два года назад и не обновлялась?

Если маркетолог не проверял политику после 30 мая 2025 года, она, вероятно, не учитывает новые составы ст. 13.11 КоАП и позицию РКН по cookies и GA4. Юристы DATUM проведут аудит политики и всей обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с конкретными правками.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 1. Проверьте уведомление в реестре РКН

До начала обработки персональных данных оператор обязан уведомить РКН по ст. 22 ФЗ-152. Интернет-магазин, собирающий имена, email, адреса доставки и историю заказов, является оператором с момента первой формы на сайте.

Проверить статус уведомления можно на сайте pd.rkn.gov.ru — раздел «Реестр операторов». Если компания не зарегистрирована или данные в реестре устарели, это самостоятельное нарушение по ч. 10 ст. 13.11 КоАП — штраф 100 000–300 000 ₽. Срок включения в реестр после подачи уведомления по форме Приказа РКН №180 — 30 дней.

Частая ошибка: уведомление подано при запуске магазина, но впоследствии добавились новые цели обработки (программа лояльности, таргетинг, передача данных маркетплейсу). Реестровые сведения не обновлены. РКН трактует это как обработку, выходящую за рамки заявленных целей, — нарушение ст. 5 ФЗ-152 о принципе совместимости целей.

Что проверить на этом шаге

Наличие и актуальность записи в реестре операторов РКН (pd.rkn.gov.ru)
Соответствие заявленных целей обработки фактическим: заказы, рассылки, лояльность, аналитика
Указан ли в уведомлении факт трансграничной передачи (GA4, Meta Pixel, зарубежные CRM)
Обновлены ли сведения при изменении состава обработки

Шаг 2. Проверьте раздел про cookies и аналитику — считаются ли cookies персональными данными?

Да. По позиции РКН, изложенной в методических рекомендациях 2023 года, идентификаторы cookies, позволяющие отследить поведение конкретного пользователя на сайте, относятся к персональным данным. Это означает, что сбор cookies без согласия пользователя и без информирования — нарушение ч. 1 ст. 6 ФЗ-152 (отсутствие правового основания).

По ч. 6 ст. 13.11 КоАП (несоблюдение условий хранения носителей при неавтоматизированной обработке) смежный состав применяется редко, тогда как ч. 1 применяется регулярно. Для интернет-магазина это означает: баннер согласия на cookies — обязательный элемент сайта, а не рекомендация.

Отдельная проблема — GA4. Google Analytics 4 передаёт данные на серверы Google в США. Это трансграничная передача по ст. 12 ФЗ-152. Если до передачи не было подано уведомление в РКН, — нарушение. При этом политика конфиденциальности магазина должна прямо описывать факт использования GA4 и указывать страну, куда передаются данные.

«Ст. 12 ФЗ-152 — до начала трансграничной передачи персональных данных в страну, не обеспечивающую адекватный уровень защиты, оператор обязан уведомить РКН и получить разрешение или выполнить условия, установленные регулятором.»

Маркетплейсы добавляют ещё один слой: если магазин торгует через Wildberries, Ozon или аналог, данные покупателей фактически обрабатываются двумя операторами. Политика магазина должна описывать, что именно передаётся платформе и на каком основании. Без этого описания — нарушение ч. 3 ст. 18.1 ФЗ-152.

Шаг 3. Проверьте блок про email-рассылки и программу лояльности

Рассылки — зона повышенного риска для интернет-магазинов. По ст. 18 ФЗ «О рекламе» рекламная рассылка допустима только при наличии согласия адресата. По ст. 9 ФЗ-152 согласие на обработку персональных данных в целях маркетинга должно быть конкретным, информированным и добровольным.

С 1 сентября 2025 года (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом и не может быть встроено в текст договора, оферты, политики конфиденциальности или формы регистрации. Для маркетолога это означает: флажок «Согласен с политикой конфиденциальности» рядом с кнопкой «Зарегистрироваться» — больше не является действительным согласием на рассылку. Нужен отдельный флажок с отдельным текстом.

Программы лояльности собирают расширенный набор данных: история покупок, предпочтения, дата рождения. Если эти данные используются для профилирования или передаются партнёрам по программе, политика обязана описывать каждую из этих операций. Объединение баз с несовместимыми целями прямо запрещено ст. 5 ФЗ-152.

Если маркетолог собирает email через лид-магнит или программу лояльности и согласие встроено в форму регистрации — после 01.09.2025 это нарушение ч. 2 ст. 13.11 (до 700 000 ₽). Юристы DATUM соберут корректный пакет согласий под требования ФЗ-156 за фиксированную стоимость.

Собрать ОРД под ключ

Шаг 4. Проверьте раздел о правах субъектов и механизм отзыва подписки

Политика конфиденциальности обязана описывать права субъектов персональных данных: право на доступ, уточнение, блокирование, уничтожение и отзыв согласия. По ст. 20 ФЗ-152 магазин обязан ответить на обращение субъекта в течение 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.

Отдельный вопрос — отзыв подписки на рассылку. Технически кнопка «Отписаться» в письме решает задачу прекращения отправки, но не отзыва согласия на обработку персональных данных в целях маркетинга. Это два разных юридических действия. Политика должна содержать механизм отзыва согласия с конкретным адресом для обращения (email, форма, личный кабинет) и сроком исполнения.

Если субъект направил требование об уничтожении ПДн, а магазин не исполнил его в установленный срок — ч. 5 ст. 13.11 КоАП, штраф 50 000–90 000 ₽. При повторном нарушении — ч. 5.1, до 500 000 ₽.

Шаг 5. Проверьте блок о передаче данных третьим лицам и маркетплейсам

Большинство интернет-магазинов передают данные покупателей нескольким категориям третьих лиц: службам доставки, платёжным системам, колл-центрам, маркетинговым платформам (CRM, email-провайдер, сервис SMS-рассылок). Каждая такая передача требует правового основания.

Если данные передаются на обработку по поручению (п. 3 ст. 6 ФЗ-152), необходим отдельный договор с обработчиком, содержащий перечень разрешённых действий, цели, обязанности по конфиденциальности и условия возврата или уничтожения данных по окончании поручения. Политика конфиденциальности должна упоминать факт передачи и категории получателей — без этого субъект не может реализовать право на информацию по ст. 14 ФЗ-152.

Для магазинов, работающих через маркетплейс: РКН рассматривает продавца и платформу как независимых операторов, каждый из которых несёт самостоятельную ответственность. Продавец не может ссылаться на политику Wildberries или Ozon как на свою. Политика продавца должна быть опубликована отдельно и описывать обработку в рамках его роли — приём заказа, обратная связь, собственные рассылки.

Как это выглядит на практике

Кейс 1. Интернет-магазин одежды (Сибирский ФО, осень 2025): директор по маркетингу обратился в DATUM после получения уведомления о плановой проверке РКН. При аудите выявлено три нарушения одновременно: политика не обновлялась с 2021 года, баннер cookies отсутствовал, GA4 передавал данные без уведомления о трансграничной передаче. По каждому составу РКН составил отдельный протокол. Суммарный размер назначенных штрафов — в сотни тысяч рублей по ч. 1 и ч. 3 ст. 13.11 КоАП. Юристы DATUM подготовили возражения на два протокола и добились переквалификации одного состава, снизив общую сумму.

Кейс 2. Онлайн-ритейлер с программой лояльности (Центральный ФО, начало 2026): согласие на участие в программе было встроено в пользовательское соглашение. После 1 сентября 2025 года такая форма согласия перестала соответствовать требованиям ФЗ-156. По жалобе одного из участников программы РКН возбудил дело по ч. 2 ст. 13.11 (обработка без надлежащего согласия). Штраф для юрлица составил сотни тысяч рублей. DATUM помог переработать форму согласия и оспорить постановление в части размера санкции с применением ст. 4.1.1 КоАП — нарушение признано первичным.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка политики, согласий, cookies и трансграничной передачи
Комплект ОРД под ключ — политика, согласия, договоры с обработчиками, баннер cookies
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН, выраженной в методических рекомендациях с 2023 года, cookies, позволяющие идентифицировать конкретного пользователя или отследить его поведение на сайте, относятся к персональным данным. Это означает, что сбор и обработка таких cookies требуют правового основания по ст. 6 ФЗ-152 — в большинстве случаев согласия пользователя, оформленного через баннер на сайте. Отсутствие согласия — нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽ для юрлица.

2. Можно ли использовать GA4 после ограничений?

Использование GA4 не запрещено напрямую, но требует выполнения двух условий. Первое: в политике конфиденциальности магазина должен быть описан факт передачи данных в Google и страна назначения (США). Второе: до начала такой передачи необходимо подать уведомление в РКН о трансграничной передаче в страну без адекватной защиты по ст. 12 ФЗ-152. Без уведомления — нарушение. Некоторые магазины переходят на отечественные системы аналитики (Яндекс Метрика), чтобы исключить трансграничный риск.

3. Кто оператор: маркетплейс или продавец?

РКН рассматривает продавца на маркетплейсе и саму платформу как двух независимых операторов. Каждый несёт самостоятельную ответственность за собственную обработку. Продавец не может ссылаться на политику платформы. Если продавец собирает данные покупателей для рассылок, отзывов или программ лояльности — он обязан опубликовать собственную политику конфиденциальности, встать на учёт в РКН и оформить корректные согласия.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера согласия на cookies при их фактическом сборе квалифицируется как обработка персональных данных без правового основания по ч. 1 ст. 13.11 КоАП. Штраф для юрлица — 150 000–300 000 ₽. При повторном нарушении по ч. 1.1 — 300 000–500 000 ₽. Дополнительно, если cookies передаются на зарубежные серверы без уведомления РКН, возникает состав трансграничной передачи. РКН фиксирует отсутствие баннера как индикатор риска при плановых и внеплановых проверках.

5. Как оформить отзыв подписки?

Отзыв подписки на рассылку и отзыв согласия на обработку персональных данных в маркетинговых целях — два разных действия. Политика конфиденциальности обязана описывать оба механизма. Для отзыва согласия укажите конкретный способ обращения: email, форма в личном кабинете, почтовый адрес. Срок прекращения обработки после отзыва — разумный, технически обусловленный. Невыполнение требования субъекта в установленный срок — нарушение ч. 5 ст. 13.11 КоАП, штраф 50 000–90 000 ₽.

Итог

Политика конфиденциальности интернет-магазина должна отражать реальную обработку: cookies, аналитика, трансграничные передачи, рассылки, программы лояльности и передача данных третьим лицам. Устаревший шаблон — это одновременно несколько составов ст. 13.11 КоАП, каждый из которых влечёт отдельный штраф. С 1 сентября 2025 года добавилось требование к отдельному согласию по ФЗ-156.

DATUM сопровождает аудит политик для интернет-магазинов, маркетплейс-продавцов и e-commerce платформ: проверяем реестр РКН, cookies, трансграничные сервисы, согласия и механизм отзыва подписки — и выдаём отчёт с конкретным планом устранения нарушений.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Cookies как ПДн (позиция РКН), согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.