Перейти к содержанию
инструкция 3 апреля 2028 По состоянию на 3 апреля 2028

DATUM-сопровождение программ лояльности

Программа лояльности — это система сбора и обработки персональных данных: имена, телефоны, история покупок, cookies, поведение на сайте.
Без правильного юридического оформления каждый элемент — отдельное основание для штрафа по ст. 13.11 КоАП: от 300 000 ₽ за отсутствие согласия до 700 000 ₽ за его ненадлежащий состав.
Если вы маркетолог и запускаете или ведёте программу лояльности — эта инструкция покажет, какие шаги привести в порядок до следующей проверки РКН. → Оценить риски по 152-ФЗ

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей, штрафы до 500 млн ₽ при повторной утечке. Программы лояльности попадают под несколько составов одновременно — рассылки, cookies, передача данных аналитическим сервисам, маркетплейсы. В этой инструкции — шесть последовательных шагов, которые закрывают ключевые риски до того, как риски закроют вас.

Шаг 1. Проведите инвентаризацию: какие данные собирает программа и на каком основании?

Первый шаг — не документы, а аудит фактов. Зафиксируйте, что именно собирается в рамках программы лояльности: имя и телефон при регистрации бонусной карты, история покупок, данные cookies при посещении сайта, email и пуш-адреса для рассылок, геолокация (если используется), поведенческие данные на сайте и в приложении.

Для каждого типа данных определите правовое основание по ст. 6 ФЗ-152: согласие (п. 1), исполнение договора (п. 5) или иное. Типичная ошибка — всё смешать в одно согласие или вовсе предположить, что договор на обслуживание покрывает сбор данных для маркетинга. Это два разных основания с разными требованиями.

«Ст. 6 ФЗ-152 — обработка ПДн допустима при наличии одного из 11 оснований. Использование данных для маркетинговых рассылок требует отдельного согласия субъекта (п. 1 ст. 6) — исполнение договора (п. 5) этого не покрывает.»

Результат шага: таблица категорий данных с указанием основания обработки для каждой. Если основание не определено — это уже нарушение принципа законности по ст. 5 ФЗ-152.

Считаются ли cookies персональными данными в 2026 году?

Да. Роскомнадзор занимает позицию, согласно которой cookies могут являться персональными данными, если позволяют идентифицировать конкретного пользователя — в совокупности с другими данными (IP, история посещений, профиль). Сайт без баннера согласия на cookies — это потенциальное нарушение ч. 1 или ч. 2 ст. 13.11 КоАП.

«Ст. 13.11 ч. 2 КоАП (ред. с 30.05.2025) — обработка ПДн без письменного согласия или с нарушением требований к его составу влечёт штраф для юрлица 300 000 — 700 000 ₽. Повторно (ч. 2.1) — от 1 000 000 до 1 500 000 ₽.»

Баннер cookies — это не просто UX-элемент, а инструмент фиксации согласия субъекта. Он должен содержать: описание категорий cookies, цели, возможность отказаться от нефункциональных cookies до их установки. Молчаливое согласие (продолжение использования сайта) РКН не признаёт достаточным.

Отдельный вопрос — GA4 и аналогичные трансграничные сервисы аналитики. Передача cookies-данных на серверы Google (США) квалифицируется как трансграничная передача ПДн по ст. 12 ФЗ-152. США не входит в перечень стран с адекватным уровнем защиты. Следовательно — до передачи необходимо уведомить РКН в установленном порядке.

Использует ли ваш сайт GA4, Meta Pixel или другие зарубежные трекеры?

Это трансграничная передача ПДн по ст. 12 ФЗ-152 без уведомления РКН — нарушение, которое фиксируется при плановой проверке. Юристы DATUM помогут подготовить уведомление о трансграничной передаче, настроить баннер cookies и привести политику конфиденциальности в соответствие с требованиями.

Оценить риски по 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Приведите согласия в соответствие с требованиями ст. 9 ФЗ-152

С 01.09.2025 согласие на обработку ПДн — отдельный документ, который не может быть частью договора, оферты или политики конфиденциальности (ФЗ-156 от 24.06.2025, поправки в ч. 1 ст. 9 ФЗ-152). Для программ лояльности это означает: форма регистрации в бонусной программе должна содержать отдельный чекбокс с отдельным согласием — не галочку «Принимаю условия».

Обязательный состав согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия согласия, способ отзыва. Если хотя бы один реквизит отсутствует — согласие ненадлежащее, и применяется ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽).

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие субъекта на обработку ПДн оформляется отдельным документом. Ранее полученные согласия, включённые в договор, сохраняют силу — обратной силы поправки не имеют.»

Важный нюанс для программ лояльности: согласие на рассылку (маркетинговые сообщения) и согласие на хранение данных бонусной карты — разные документы с разными целями. Объединять их в одно согласие можно только при условии, что субъект может отозвать каждую цель отдельно.

Для рассылок по email дополнительно применяется ст. 18 ФЗ «О рекламе»: согласие на получение рекламы должно быть явным, а отписка — доступной в каждом письме одним кликом.

Шаг 3. Проверьте политику конфиденциальности на соответствие ч. 2 ст. 18.1 ФЗ-152

Политика конфиденциальности — публичный документ, который оператор обязан разместить на сайте по ст. 18.1 ФЗ-152. Отсутствие или неполнота документа — нарушение по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽ для юрлица). Это отдельный состав, который не зависит от наличия утечки.

«Ст. 18.1 ч. 2 ФЗ-152 — политика обработки ПДн должна содержать: категории субъектов, перечень ПДн, цели, сроки хранения, описание мер защиты, порядок обращения субъектов. Оператор обязан обеспечить неограниченный доступ к документу.»

Типичные ошибки в политиках интернет-магазинов и программ лояльности: цели сформулированы слишком широко («улучшение сервиса»), не указаны конкретные третьи лица, которым передаются данные (агрегаторы рассылок, CRM-системы, аналитические платформы), отсутствует раздел о правах субъектов по ст. 14–21 ФЗ-152, нет информации о трансграничной передаче при использовании зарубежных сервисов.

Для маркетплейсов вопрос распределения ролей особенно острый: кто является оператором — платформа или продавец? Ответ зависит от того, кто фактически определяет цели и способы обработки. Если продавец собирает данные покупателей напрямую через личный кабинет на платформе — он оператор. Если данные поступают только от платформы по договору поручения — он обработчик. Статус определяет полный объём обязанностей по ФЗ-152.

Что подготовить для программы лояльности

  • Отдельное согласие на обработку ПДн в рамках бонусной программы (ст. 9 ФЗ-152, ред. с 01.09.2025) — не объединённое с договором оферты
  • Баннер cookies с возможностью отказаться от нефункциональных cookies до их установки
  • Уведомление в РКН о трансграничной передаче при использовании GA4, Meta Pixel, HubSpot, Salesforce и иных зарубежных сервисов (ст. 12 ФЗ-152)
  • Актуальная политика конфиденциальности с перечнем всех третьих лиц, получающих данные (агрегаторы рассылок, CRM, аналитика)
  • Механизм отписки от рассылок с подтверждением удаления из базы в течение 7 рабочих дней

Шаг 4. Оформите передачу данных подрядчикам как поручение обработки

Программа лояльности, как правило, работает через цепочку подрядчиков: платформа лояльности, агрегатор SMS/email-рассылок, аналитическая система, CRM. Каждая такая передача — это поручение обработки по п. 3 ст. 6 ФЗ-152, которое требует письменного договора с конкретным перечнем действий, которые подрядчик вправе совершать.

«Ст. 6 п. 3 ФЗ-152 — оператор вправе поручить обработку ПДн другому лицу на основании договора. Договор должен содержать перечень действий, цели, обязанность конфиденциальности, требования к защите. Ответственность перед субъектом несёт оператор.»

Ключевое следствие: если подрядчик допустит утечку данных, штраф по ст. 13.11 КоАП получит оператор — то есть ваша компания. Суды последовательно подтверждают: оператор отвечает за действия лица, которому поручена обработка. Договор поручения — это не переложение ответственности, а её документирование.

Отдельно — зарубежные подрядчики. Если CRM или платформа лояльности расположены на серверах за пределами РФ и обрабатывают данные российских граждан, это трансграничная передача по ст. 12 ФЗ-152. До передачи необходимо уведомить РКН. Работа без уведомления при использовании Salesforce, HubSpot, Braze или аналогов — прямое нарушение с момента первой передачи.

Если маркетолог использует зарубежные платформы лояльности или CRM без договора поручения — это нарушение ст. 6 ФЗ-152 и основание для штрафа до 700 000 ₽. Юристы DATUM проверят договорную цепочку и подготовят комплект ОРД под программу лояльности.

Заказать аудит 152-ФЗ

Шаг 5. Настройте процедуру отзыва согласия и удаления данных

Субъект вправе в любой момент отозвать согласие на обработку ПДн — и оператор обязан прекратить обработку в срок, установленный согласием, но не позднее 30 дней (ст. 9 ч. 2 ФЗ-152). Для рассылок это означает: после отписки данные не должны использоваться для маркетинговых коммуникаций. Хранить их для других целей (например, исполнения договора на бонусную карту) — можно при наличии отдельного основания.

«Ст. 20 ФЗ-152 — на запрос субъекта о составе его ПДн, целях и способах обработки оператор обязан ответить в течение 10 рабочих дней с даты обращения (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта).»

Практическая проблема программ лояльности: данные хранятся одновременно в нескольких системах — CRM, платформа лояльности, ESP для рассылок, аналитика. При отзыве согласия или требовании об уничтожении необходимо удалить данные из всех систем. Если этого не сделать — нарушение ч. 5 ст. 13.11 КоАП (50 000 — 90 000 ₽; повторно по ч. 5.1 — 300 000 — 500 000 ₽).

Регламент обработки запросов субъектов — обязательный элемент ОРД. Он должен описывать: кто принимает запрос, в какой срок передаёт исполнителям, какие системы затрагиваются при удалении, как фиксируется факт исполнения.

Шаг 6. Уточните реестровую запись в РКН и актуализируйте уведомление

Оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки (ст. 22 ФЗ-152). Если программа лояльности запущена позже, чем подано уведомление, или содержит новые цели и категории данных — сведения в реестре устарели. Несоответствие реальной обработки заявленной — это нарушение по ч. 10 ст. 13.11 КоАП (100 000 — 300 000 ₽).

«Ст. 22 ФЗ-152 — уведомление подаётся через pd.rkn.gov.ru. Оператор обязан уведомлять об изменении сведений в 10-дневный срок. Включение в реестр — в течение 30 дней с момента подачи уведомления.»

Типовая ситуация: компания уведомила РКН при запуске сайта, указав только обработку данных покупателей. Потом запустила программу лояльности с рассылками, подключила GA4, передала часть обработки подрядчику. Ни одно из этих изменений в РКН не отражено. При проверке каждый пункт — отдельное основание для протокола.

Актуализация уведомления подаётся через личный кабинет на pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Форма — по Приказу РКН №180 от 28.10.2022. Срок подачи уведомления об изменении — 10 рабочих дней с момента изменения фактических данных.

Как это работает на практике

Кейс 1. Маркетолог крупного ритейлера (Центральный ФО, осень 2025) обнаружил при подготовке к проверке РКН, что платформа лояльности передаёт данные участников (имя, телефон, история покупок) в американский сервис аналитики без уведомления о трансграничной передаче. Договор поручения с платформой был составлен, но без указания конкретных стран и сроков хранения. Юристы подготовили уведомление в РКН о трансграничной передаче, обновили договор поручения и дополнили политику конфиденциальности. Проверка прошла без предписаний.

Кейс 2. Интернет-магазин (Сибирский ФО, начало 2026) получил жалобу от пользователя: после отписки от рассылки он продолжал получать письма ещё три недели. РКН возбудил дело по ч. 5 ст. 13.11 КоАП. Выяснилось, что отписка обрабатывалась только в ESP, но не в CRM и не в платформе лояльности. Штраф составил сумму в нижней части диапазона ч. 5; дополнительно были выявлены нарушения по ч. 3 (отсутствие раздела о правах субъектов в политике). Регламент обработки запросов субъектов в компании отсутствовал.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, в случае если cookies позволяют идентифицировать пользователя в совокупности с другими данными. Сайт без баннера согласия на установку нефункциональных cookies нарушает требования к законности обработки по ст. 5 и ст. 6 ФЗ-152. При проверке это квалифицируется по ч. 1 или ч. 2 ст. 13.11 КоАП с штрафом от 150 000 до 700 000 ₽ для юрлица.

2. Можно ли использовать GA4 после ограничений?

Использование GA4 не запрещено прямой нормой, но передача данных на серверы Google (США) является трансграничной передачей по ст. 12 ФЗ-152. США не входит в перечень стран с адекватным уровнем защиты. До передачи оператор обязан уведомить РКН. Работа без уведомления — нарушение. Часть компаний переходит на локальные альтернативы (Яндекс Метрика, Roistat) или проксирует данные через российские серверы.

3. Кто оператор: маркетплейс или продавец?

Зависит от того, кто определяет цели и способы обработки. Если продавец собирает данные покупателей напрямую (через собственную форму, личный кабинет, рассылки) — он оператор со всеми обязанностями по ФЗ-152: уведомление РКН, политика, согласия, ответы на запросы субъектов. Если данные поступают исключительно от платформы по договору поручения — продавец является обработчиком. Разграничение должно быть закреплено в договоре с маркетплейсом.

4. Что грозит за отсутствие баннера cookies?

Административная ответственность по ст. 13.11 КоАП: ч. 1 (обработка без законного основания) — 150 000 — 300 000 ₽; ч. 2 (без согласия) — 300 000 — 700 000 ₽. При повторном нарушении по ч. 2.1 — от 1 000 000 до 1 500 000 ₽. Отсутствие баннера также фиксируется РКН при мониторинге сайтов в рамках индикаторов риска — без выездной проверки.

5. Как оформить отзыв подписки по требованиям ФЗ-152?

Механизм отзыва должен быть доступен в каждом письме (требование ст. 18 ФЗ «О рекламе») и на сайте. После отписки оператор прекращает использование данных для рассылок в срок, предусмотренный согласием, но не позднее 30 дней (ст. 9 ч. 2 ФЗ-152). Данные должны быть удалены или обезличены во всех системах: CRM, ESP, платформа лояльности. Факт удаления фиксируется в журнале обработки запросов субъектов.

6. Нужно ли отдельное согласие на каждый вид рассылки?

Если рассылки преследуют разные цели (транзакционные уведомления, маркетинговые акции, персональные предложения) — правильнее разделять согласия или давать возможность гибко управлять подпиской. Одно общее согласие «на все коммуникации» создаёт риск: субъект не может отозвать его частично, а оператор не может обосновать, что обработка в конкретной цели продолжается на законном основании после частичного отзыва.

Итог

Программа лояльности — многоуровневая система обработки ПДн: согласия, cookies, рассылки, передача подрядчикам, трансграничные сервисы. Каждый уровень регулируется отдельными нормами ФЗ-152, и каждый даёт РКН самостоятельное основание для протокола по ст. 13.11 КоАП. Шесть шагов этой инструкции закрывают наиболее распространённые нарушения — но конкретный состав рисков зависит от архитектуры конкретной программы.

Юристы DATUM сопровождают программы лояльности интернет-магазинов и маркетплейсов: от инвентаризации данных и подготовки ОРД до уведомления РКН о трансграничной передаче и защиты при штрафе в арбитраже.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн (позиция РКН), согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

3 апреля 2028 года