инструкция 8 октября 2028 По состоянию на 8 октября 2028

DATUM-сопровождение селлеров

Продажа на маркетплейсах и через интернет-магазин — это постоянная обработка персональных данных покупателей, подписчиков и курьеров.

С 30.05.2025 штраф за утечку от 1 000 субъектов — от 3 млн ₽ по ч. 12 ст. 13.11 КоАП; за сайт без баннера cookies или неверную политику — до 300 000 ₽ по ч. 1 той же статьи.

Если вы маркетолог или владелец интернет-магазина — проверьте семь пунктов ниже: каждый из них закрывает конкретное основание для протокола РКН. →

Роскомнадзор в 2024 году зафиксировал 135 случаев утечек персональных данных и свыше 710 млн скомпрометированных записей. Среди них — данные покупателей интернет-магазинов, пользователей программ лояльности, получателей email-рассылок. С вступлением в силу ФЗ-420 от 30.11.2024 санкционная линейка ст. 13.11 КоАП расширилась до 18 частей: появились оборотные штрафы, отдельные составы за утечку биометрии и неуведомление регулятора. В этой инструкции — семь последовательных шагов, которые позволяют маркетологу или директору e-commerce-проекта выстроить соответствие 152-ФЗ и снизить риск административной и уголовной ответственности.

Шаг 1. Проверьте, есть ли компания в реестре операторов РКН

Любая компания, которая собирает персональные данные покупателей через сайт или мобильное приложение, обязана уведомить Роскомнадзор о намерении обрабатывать ПДн до начала такой обработки — это требование ст. 22 ФЗ-152. Проверка занимает две минуты: зайдите на pd.rkn.gov.ru и введите ИНН или наименование организации.

«Ст. 22 ФЗ-152 — оператор обязан уведомить уполномоченный орган до начала обработки персональных данных. Форма уведомления — Приказ РКН № 180 от 28.10.2022. Срок включения в реестр — 30 дней с момента подачи.»

Если компании в реестре нет, а данные уже собираются — это нарушение ч. 10 ст. 13.11 КоАП с санкцией 100 000–300 000 ₽ для юридического лица. Повторное нарушение увеличивает штраф. Уведомление подаётся через pd.rkn.gov.ru с использованием ЕСИА или УКЭП.

Важно: если компания расширила перечень обрабатываемых данных, добавила новые цели или сменила адрес хранения — реестровую запись нужно актуализировать. Несоответствие реального объёма обработки заявленному создаёт самостоятельное основание для протокола по ч. 1 ст. 13.11 КоАП.

Шаг 2. Опубликуйте политику конфиденциальности с обязательными разделами

Политика обработки персональных данных на сайте интернет-магазина — не формальность, а документ с обязательным содержанием по ч. 2 ст. 18.1 ФЗ-152. Отсутствие политики или публикация документа без требуемых разделов — состав по ч. 3 ст. 13.11 КоАП, штраф 30 000–60 000 ₽.

«Ст. 18.1 ч. 2 ФЗ-152 — оператор обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных. Документ должен быть доступен неограниченному кругу лиц.»

Минимальный состав политики для интернет-магазина: перечень обрабатываемых категорий ПДн (имя, телефон, email, адрес доставки, история заказов, cookies), цели обработки по каждой категории, правовые основания (ст. 6 ФЗ-152), порядок хранения и уничтожения, права субъектов и способ их реализации, сведения об операторе и ответственном за обработку.

Для маркетплейсов важен дополнительный раздел: кто является оператором в отношении данных покупателя — площадка или продавец. Позиция РКН: если продавец самостоятельно получает ПДн (например, при доставке силами продавца), он выступает самостоятельным оператором. Это означает собственное уведомление в реестре и собственную политику.

Есть сайт, но политика не обновлялась с 2022 года?

Если маркетолог или директор интернет-магазина не проверял политику конфиденциальности после вступления в силу ФЗ-420 (30.05.2025) и ФЗ-156 (01.09.2025) — документ, скорее всего, не соответствует актуальным требованиям. Каждый устаревший реквизит создаёт основание для протокола РКН по ч. 1 или ч. 3 ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Установите баннер согласия на cookies — и разберитесь, считаются ли они ПДн

Роскомнадзор придерживается позиции: cookies, которые позволяют идентифицировать конкретного пользователя (user_id, история покупок, геолокация при входе), относятся к персональным данным. Это означает, что сбор таких cookies без согласия пользователя нарушает ст. 6 ФЗ-152 и влечёт ответственность по ч. 1 ст. 13.11 КоАП — штраф 150 000–300 000 ₽ для юридического лица.

«Ст. 6 ФЗ-152 — обработка персональных данных допустима при наличии одного из 11 оснований. Для cookies маркетинговых систем применимы: согласие субъекта (п. 1) или договорное основание (п. 5) — только если cookies необходимы для исполнения заказа.»

Баннер cookies должен: появляться до начала передачи данных третьим сервисам, содержать описание того, какие именно данные собираются и кому передаются, предоставлять возможность отказа от нематериальных категорий cookies (аналитических, рекламных), фиксировать выбор пользователя с временной меткой. Техническое решение — любая CMP-платформа (Consent Management Platform) с логированием согласий.

Использование Google Analytics 4 и Meta Pixel сопряжено с дополнительным риском: передача данных на серверы в США формально является трансграничной передачей по ст. 12 ФЗ-152. До передачи в страну без адекватной защиты оператор обязан уведомить РКН. На практике компании либо переходят на российские аналитические системы, либо настраивают GA4 в server-side режиме с деперсонализацией данных до отправки.

Шаг 4. Приведите email-рассылки и программы лояльности в соответствие с ФЗ-156

С 01.09.2025 согласие на обработку персональных данных должно оформляться отдельным документом — его нельзя встраивать в текст пользовательского соглашения, оферты или регистрационной формы (ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Для маркетолога это означает: галочка «Согласен с условиями» больше не является действительным согласием на рассылку.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта на обработку ПДн оформляется отдельным документом. Обязательные реквизиты: ФИО и контактные данные субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Требование действует с 01.09.2025; обратной силы нет.»

Для email-рассылок минимальный комплаенс выглядит так: отдельная форма подписки с явным указанием цели (маркетинговые рассылки) и перечня данных (email, имя); механизм double opt-in с фиксацией даты и IP-адреса подтверждения; ссылка на отзыв согласия в каждом письме; реализация отзыва в течение 3 рабочих дней после обращения.

Программы лояльности дополнительно требуют: фиксации согласия на обработку истории покупок, определения срока хранения данных участника после выхода из программы, процедуры уничтожения данных при отзыве согласия. Если данные участников передаются партнёрам по программе — необходимо либо отдельное согласие на передачу, либо оформление отношений с партнёрами как поручение обработки по п. 3 ст. 6 ФЗ-152 с заключением договора поручения.

Если согласия подписчиков собраны через форму «всё в одном» до 01.09.2025 — база легальна, но новые подписчики с той же формой уже нарушают ФЗ-156. На проверке РКН это станет основанием для протокола по ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 ₽). Юристы DATUM соберут пакет документов ОРД под ключ, включая шаблоны согласий по новым требованиям.

Собрать ОРД под ключ

Шаг 5. Разграничьте роли с маркетплейсом и подрядчиками

Маркетплейс и продавец — два самостоятельных оператора персональных данных покупателя, если каждый из них самостоятельно определяет цели обработки. Если маркетплейс обрабатывает данные по заданию продавца (например, передаёт email для рассылки продавца), между ними нужен договор поручения обработки по п. 3 ст. 6 ФЗ-152. Без такого договора продавец нарушает ст. 6, а маркетплейс обрабатывает данные без надлежащего основания.

«Ст. 6 п. 3 ФЗ-152 — поручение обработки персональных данных третьему лицу допускается только на основании договора, который закрепляет обязанность конфиденциальности, перечень действий и цели обработки. Ответственность перед субъектом несёт оператор, выдавший поручение.»

Типичные ошибки в e-commerce при работе с подрядчиками: SMS-агрегатор получает базу без договора поручения; CRM-система хранит данные на зарубежных серверах без уведомления РКН о трансграничной передаче; аналитическое агентство получает выгрузку клиентской базы для сегментации без оформленного поручения. В судебной практике закреплён принцип: оператор отвечает за утечку через подрядчика так же, как за собственную утечку.

Чек-лист по подрядчикам: составьте реестр всех третьих лиц, которым передаются ПДн; для каждого проверьте наличие договора поручения с перечнем допустимых действий; убедитесь, что подрядчики, хранящие данные за рубежом, включены в уведомление о трансграничной передаче в РКН.

Как применяется ответственность на практике: два сценария для маркетолога

Сценарий 1. Сайт с GA4 и баннером cookies, который не блокирует передачу до согласия. Технически баннер есть, но скрипт GA4 загружается одновременно со страницей, то есть до клика пользователя. РКН при плановой или внеплановой проверке фиксирует это через технический аудит сайта. Квалификация — ч. 1 ст. 13.11 КоАП (обработка ПДн без надлежащего основания): штраф 150 000–300 000 ₽. При повторном нарушении — ч. 1.1, штраф 300 000–500 000 ₽. Стратегия: перейти на server-side режим или заблокировать скрипт аналитики до получения согласия через CMP.

Сценарий 2. Утечка базы программы лояльности (15 000 участников). Данные попали в открытый доступ через уязвимость в CRM-системе подрядчика. У продавца нет договора поручения обработки с подрядчиком. С 30.05.2025 это двойная ответственность: ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов) — штраф 5 000 000–10 000 000 ₽ плюс отдельный протокол за неуведомление РКН в течение 24 часов по ч. 11 ст. 13.11 — ещё 1 000 000–3 000 000 ₽. Отсутствие договора поручения лишает возможности переложить часть ответственности на подрядчика. Стратегия: немедленное уведомление РКН в системе pd.rkn.gov.ru, фиксация обстоятельств инцидента, через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН № 187.

Кейс из практики. Интернет-магазин одежды (Сибирский ФО, лето 2025) получил предписание РКН после плановой проверки: отсутствие договора поручения с email-агрегатором и встроенное согласие в оферту. Штраф по ч. 1 и ч. 2 ст. 13.11 КоАП — в совокупности несколько сотен тысяч рублей. Магазин обратился за защитой в арбитраж: применение ст. 4.1.1 КоАП позволило снизить итоговую санкцию для субъекта малого предпринимательства. Первичность нарушения и отсутствие вреда субъектам были подтверждены документально.

Кейс из публичной практики (case_S5). В деле, ставшем ориентиром для практики применения ст. 4.1.1 КоАП: хакеры похитили базу персональных данных работников и соискателей компании (менее 1 000 человек). РКН возбудил дело по ч. 1 ст. 13.11 с максимальной санкцией для юрлица до 300 000 ₽. Компания — микропредприятие, первичное нарушение, вред субъектам не причинён. Итог: штраф заменён предупреждением по ст. 4.1.1 КоАП. Вывод: статус микропредприятия и документальное подтверждение первичности — реальные инструменты снижения санкции, но только при отсутствии оборотного состава.

Что подготовить маркетологу для соответствия 152-ФЗ

Выписка из реестра операторов ПДн (pd.rkn.gov.ru) с актуальными целями и категориями данных.
Политика конфиденциальности с разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте.
CMP-решение с логированием согласий на cookies: дата, IP, версия баннера, выбор пользователя.
Отдельные формы согласий на рассылку и участие в программе лояльности по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156.
Реестр подрядчиков с договорами поручения обработки для каждого, кто получает доступ к ПДн покупателей.

Шаг 6. Обеспечьте права субъектов: запросы, отзывы, уничтожение

Покупатель вправе в любой момент отозвать согласие на обработку персональных данных, потребовать уточнения или уничтожения своих данных. Оператор обязан ответить на запрос субъекта в течение 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта — ст. 20 ФЗ-152. Нарушение этого срока — состав по ч. 4 ст. 13.11 КоАП, штраф 40 000–80 000 ₽.

«Ст. 20 ФЗ-152 — оператор обязан предоставить субъекту сведения об обработке его данных в течение 10 рабочих дней с даты обращения, с правом продления срока ещё на 5 рабочих дней при условии уведомления субъекта об этом продлении.»

Для e-commerce практически реализовать это можно через: выделенный адрес email для запросов субъектов (например, privacy@company.ru), шаблон ответа с обязательным содержанием по ст. 14 ФЗ-152, журнал входящих запросов с фиксацией даты и принятых мер. При отзыве согласия на рассылку — исключение из базы и фиксация в CRM не позднее 3 рабочих дней.

Шаг 7. Назначьте ответственного за обработку и проведите внутренний аудит

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных, — ст. 22.1 ФЗ-152. Для интернет-магазина это может быть юрист, маркетолог с соответствующими полномочиями или внешний DPO на аутсорсинге. Назначение оформляется приказом; ответственный обязан ознакомиться с требованиями 152-ФЗ и локальными актами.

«Ст. 22.1 ФЗ-152 — оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Требования к квалификации установлены ч. 4 ст. 22.1.»

Внутренний аудит стоит проводить не реже одного раза в год и после каждого существенного изменения в обработке данных: запуска нового канала продаж, подключения нового подрядчика, изменения CRM-системы. Типовой чек-лист аудита для e-commerce охватывает: соответствие реестровой записи фактической обработке, наличие и актуальность ОРД (не менее 38 документов в полном пакете), техническую защиту ИСПДн по уровню защищённости, установленному по ПП РФ № 1119.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по 38 пунктам, отчёт с планом устранения нарушений.
Комплект ОРД под ключ — политика, согласия, приказы, регламенты для интернет-магазина.
Защита при штрафе в арбитраже — обжалование протокола по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1.

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — считаются, если позволяют идентифицировать конкретного пользователя: файлы сессии с user_id, история просмотров и покупок, геолокационные метки. Технические cookies, необходимые исключительно для работы сайта (корзина, авторизация), могут обрабатываться без отдельного согласия на основании п. 5 ст. 6 ФЗ-152 (исполнение договора). Маркетинговые и аналитические cookies требуют явного согласия до начала передачи данных.

2. Можно ли использовать GA4 после ограничений?

Использование GA4 возможно при выполнении двух условий: пользователь дал согласие на аналитические cookies до загрузки скрипта, и данные не передаются на серверы Google в объёме, позволяющем идентифицировать субъекта. На практике это достигается server-side режимом с деперсонализацией (удаление IP и user_id до отправки) либо переходом на российские аналитические системы. Уведомление о трансграничной передаче в РКН по ст. 12 ФЗ-152 обязательно, если персонифицированные данные всё же передаются.

3. Кто оператор: маркетплейс или продавец?

Оба. Маркетплейс — оператор в отношении данных, которые он собирает и использует для собственных целей (профиль покупателя, история заказов, программа лояльности площадки). Продавец — самостоятельный оператор, если он получает данные покупателя напрямую: при самостоятельной доставке, при запуске собственной рассылки через данные маркетплейса. Если продавец получает данные от маркетплейса для конкретной операции, маркетплейс обрабатывает данные по поручению — нужен договор по п. 3 ст. 6 ФЗ-152.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера или его ненадлежащее техническое исполнение (скрипты загружаются до согласия) влечёт ответственность по ч. 1 ст. 13.11 КоАП: штраф для юридического лица — 150 000–300 000 ₽ в редакции с 30.05.2025. При повторном нарушении — ч. 1.1, до 500 000 ₽. РКН выявляет нарушение в том числе дистанционно — через технический анализ сайта без выезда на место.

5. Как оформить отзыв подписки?

Ссылка на отзыв согласия должна присутствовать в каждом маркетинговом письме — это требование ст. 9 ФЗ-152 о праве субъекта на отзыв. После перехода по ссылке система должна исключить адрес из рассылочной базы не позднее 3 рабочих дней и зафиксировать факт отзыва с датой и каналом. Данные, обработанные до отзыва на законном основании, уничтожению не подлежат — уничтожаются только те, основание для обработки которых исчезло.

Итог

Соответствие 152-ФЗ для интернет-магазина и маркетплейса строится на семи последовательных шагах: уведомление РКН, актуальная политика, технически корректный баннер cookies, отдельные согласия по ФЗ-156, договоры поручения с подрядчиками, процедуры по запросам субъектов и назначение ответственного. Каждый из этих шагов закрывает конкретный состав ст. 13.11 КоАП.

DATUM сопровождает интернет-магазины и e-commerce проекты по полному циклу 152-ФЗ: от аудита обработки ПДн до защиты от штрафов в арбитражных судах. Практика «Ветров и партнёры» по персональным данным — с 2014 года.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.

8 октября 2028 года