инструкция 4 декабря 2028 По состоянию на 4 декабря 2028

Двойное согласие: маркетинг + бонусы

Двойное согласие — это два отдельных документа: одно на маркетинговые рассылки, второе на обработку ПДн в программе лояльности. С 01.09.2025 объединение их в одно согласие нарушает ст. 9 ФЗ-152 в редакции ФЗ-156.

За обработку ПДн без надлежащего согласия по ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽; при повторном нарушении по ч. 2.1 — до 1 500 000 ₽. Cookies сайта РКН квалифицирует как ПДн, и отсутствие баннера согласия — отдельное основание для протокола по ч. 6 ст. 13.11 КоАП (50 000–100 000 ₽).

Если вы маркетолог интернет-магазина или маркетплейса — эта инструкция покажет, какие согласия собирать, как их оформить и что проверить до проверки РКН. → Разобраться с комплектом документов

С 01.09.2025 структура согласий в e-commerce изменилась: ФЗ-156 от 24.06.2025 ввёл требование оформлять каждое согласие отдельным документом — вне трудового договора, оферты, политики конфиденциальности и любых других бланков. Интернет-магазины, которые собирают согласие на рассылки и бонусную программу одним чекбоксом, работают с нарушением. Ниже — пошаговая инструкция для маркетолога: от cookies до программы лояльности.

Шаг 1. Проверьте, какие согласия требует ваш маркетинг

Маркетолог обычно работает с тремя потоками ПДн: данными посетителей сайта через cookies, контактными данными для рассылок и данными участников программы лояльности. Каждый поток требует отдельного правового основания.

Cookies — это идентификаторы устройства, связанные с поведением конкретного пользователя. Роскомнадзор в своих методических рекомендациях квалифицирует cookies как ПДн, если позволяют идентифицировать субъекта. Это значит, что сбор cookies без согласия нарушает ч. 1 ст. 6 ФЗ-152 и образует состав по ч. 6 ст. 13.11 КоАП.

«Ст. 6 ФЗ-152 — обработка ПДн допустима при наличии одного из 11 оснований; для маркетинговых cookies согласие субъекта по п. 1 ч. 1 ст. 6 является основным правомерным основанием.»

Для email- и SMS-рассылок дополнительно требуется согласие по ст. 18 Федерального закона «О рекламе»: без него отправка рекламного сообщения — нарушение вне зависимости от наличия согласия по ФЗ-152. Программа лояльности предполагает систематическую обработку: накопление баллов, анализ покупок, сегментацию. Это отдельная цель — и отдельное согласие.

Шаг 2. Оформите согласие на cookies через баннер

Баннер согласия на cookies — это не уведомление, а юридически значимое действие субъекта. Нажатие «Принять» или продолжение использования сайта с указанием на это в баннере фиксируется как активное согласие. Пассивное молчание («Продолжая использовать сайт, вы соглашаетесь...») РКН не принимает в качестве надлежащего согласия.

Что должен содержать баннер cookies

Наименование оператора — юридическое название или ИП с ОГРН
Цель обработки: аналитика, персонализация, реклама — каждая отдельно
Перечень передаваемых третьим лицам сервисов (GA4, Яндекс.Метрика, рекламные пиксели)
Способ отзыва согласия — ссылка на настройки или инструкцию по удалению cookies
Ссылка на полную политику обработки ПДн

Если сайт передаёт данные в Google Analytics 4, Meta Pixel или другие зарубежные сервисы — это трансграничная передача по ст. 12 ФЗ-152. До передачи в страну, не входящую в перечень адекватной защиты РКН, оператор обязан направить уведомление в Роскомнадзор. США в перечень адекватных стран не входят. Это требует либо уведомления РКН, либо перехода на российские аналитические инструменты.

Используете GA4 или Meta Pixel — есть нарушение трансграничной передачи?

Если маркетолог работает с зарубежными аналитическими сервисами без уведомления РКН по ст. 12 ФЗ-152 — это отдельный состав нарушения. Срок направления уведомления не восстанавливается после начала передачи. Юристы DATUM проведут аудит используемых инструментов, определят правовой статус каждого и подготовят необходимые уведомления.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Оформите отдельное согласие на маркетинговые рассылки

Согласие на рассылку должно соответствовать обязательным реквизитам ч. 4 ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень данных, перечень действий, срок, способ отзыва. С 01.09.2025 по ФЗ-156 это согласие не может быть частью формы регистрации, чекаута или пользовательского соглашения.

Технически согласие может быть чекбоксом, но он должен быть предварительно снят (opt-in, а не opt-out) и содержать прямое указание на цель: «Согласен получать рекламные рассылки по электронной почте». Формулировка «Согласен с обработкой персональных данных» без уточнения цели не отвечает требованиям ст. 9.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие оформляется отдельным документом. Обязательные реквизиты: наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва.»

Отдельно фиксируйте дату и источник согласия в вашей CRM. При проверке РКН запросит журнал согласий с временными метками. Если записи нет — доказать правомерность обработки не удастся, и бремя доказывания лежит на операторе (ч. 3 ст. 9 ФЗ-152).

Шаг 4. Оформите согласие на программу лояльности отдельным документом

Программа лояльности — самостоятельная цель обработки. Оператор обрабатывает историю покупок, начисляет и списывает баллы, формирует персональные предложения. Это не входит в стандартную цель «исполнение договора купли-продажи» и требует отдельного согласия.

Практика показывает типичную ошибку: согласие на участие в программе лояльности объединено с согласием на рассылки в одном чекбоксе при регистрации. После 01.09.2025 это прямое нарушение ст. 9 ФЗ-152. РКН при внеплановой проверке квалифицирует такую форму как отсутствие надлежащего согласия на каждую из целей.

Если программа лояльности предполагает передачу данных партнёрам — например, в коалиционную программу или маркетинговое агентство — это отдельное согласие на распространение по ст. 10.1 ФЗ-152 либо условие о поручении обработки по п. 3 ст. 6 ФЗ-152 с заключением договора-поручения.

Как разграничить ответственность: маркетплейс или продавец — кто оператор?

На маркетплейсах вопрос об операторе ПДн не очевиден. Маркетплейс собирает данные покупателя при регистрации и оформлении заказа — он оператор в полном смысле ст. 3 ФЗ-152. Продавец-партнёр получает ФИО и адрес для доставки. Если это происходит без договора-поручения обработки, продавец становится самостоятельным оператором и обязан иметь собственное уведомление в реестре РКН по ст. 22 ФЗ-152.

«Ст. 6 ч. 3 ФЗ-152 — обработка ПДн по поручению оператора допустима на основании договора. Обработчик не вправе обрабатывать ПДн в целях, не указанных оператором.»

Маркетплейс, передающий данные продавцу без надлежащего договора поручения, нарушает ст. 6 ФЗ-152 и создаёт основание для протокола по ч. 1 ст. 13.11 КоАП — штраф 150 000–300 000 ₽. Продавец без уведомления в реестре РКН получает отдельный протокол по ч. 10 ст. 13.11 — штраф 100 000–300 000 ₽.

Если вы маркетолог маркетплейса или интернет-магазина с партнёрской сетью — проверьте наличие договоров поручения обработки со всеми подрядчиками. Без них штраф 150–300 тыс. ₽ при первой же проверке.

Собрать ОРД под ключ

Типовые ситуации: что происходит без правильных согласий

Ситуация 1. Баннер cookies — уведомление без согласия. Интернет-магазин (Приволжский ФО, лето 2025) использовал баннер «Мы используем cookies» без кнопки активного принятия. РКН при плановой проверке квалифицировал это как обработку ПДн без согласия по ч. 6 ст. 13.11. Компания получила предписание и штраф в диапазоне до 100 000 ₽. После консультации юристов баннер переработан: добавлены кнопки «Принять» и «Отказаться», перечень передаваемых сервисов, ссылка на политику конфиденциальности.

Кейс 2. Сеть розничных магазинов с онлайн-присутствием (Центральный ФО, осень 2025) объединила согласие на рассылки и участие в программе лояльности в одном чекбоксе при регистрации. После вступления в силу ФЗ-156 это стало нарушением ст. 9 ФЗ-152. Директор по маркетингу, получив уведомление о внеплановой проверке РКН, обратился в DATUM. Юристы разделили согласия, обновили форму регистрации, скорректировали уведомление в реестре РКН. Проверка завершилась предписанием об устранении — без штрафа, с учётом принятых мер.

Частые вопросы

1. Считаются ли cookies персональными данными?

РКН квалифицирует cookies как ПДн, если они позволяют идентифицировать пользователя — например, через связку cookie-идентификатора с учётной записью или поведенческим профилем. Технические cookies (сессионные, необходимые для работы сайта) обычно не требуют согласия, но аналитические и рекламные — требуют. Основание — ст. 3 и ст. 6 ФЗ-152; позиция РКН отражена в методических рекомендациях по работе с cookies.

2. Можно ли использовать GA4 после ограничений?

Использование GA4 не запрещено, но требует соблюдения двух условий. Первое: уведомление РКН о трансграничной передаче ПДн в США по ст. 12 ФЗ-152, поскольку США не входят в перечень стран с адекватной защитой. Второе: отражение GA4 в баннере cookies и политике конфиденциальности как получателя данных. Без уведомления РКН передача данных в GA4 — нарушение, которое РКН фиксирует при проверке сайтов.

3. Кто оператор: маркетплейс или продавец?

Маркетплейс и продавец могут быть совместными операторами или оператором и обработчиком — в зависимости от структуры договора. Если маркетплейс передаёт продавцу ПДн покупателя без договора поручения, продавец становится самостоятельным оператором по ст. 3 ФЗ-152 и обязан уведомить РКН по ст. 22. Отсутствие уведомления — штраф по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽).

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера согласия на cookies при наличии аналитических или рекламных скриптов образует состав по ч. 6 ст. 13.11 КоАП — штраф для юрлица 50 000–100 000 ₽. Если одновременно данные передаются за рубеж без уведомления РКН — добавляется нарушение ст. 12 ФЗ-152. При повторном нарушении ч. 6 по ч. 1.1 ст. 13.11 штраф вырастает до 300 000–500 000 ₽.

5. Как оформить отзыв подписки?

Субъект вправе отозвать согласие на рассылку в любой момент по ч. 2 ст. 9 ФЗ-152. Механизм отзыва должен быть описан в согласии при его сборе. Технически достаточно ссылки «Отписаться» в нижней части письма, ведущей на страницу управления подписками, или формы отзыва согласия на сайте. После отзыва оператор обязан прекратить рассылки немедленно и обработку ПДн для этой цели — в разумный срок, но не позднее срока, указанного в согласии.

6. Нужно ли переоформлять согласия, собранные до 01.09.2025?

ФЗ-156 от 24.06.2025 обратной силы не имеет: согласия, полученные до 01.09.2025, не требуют обязательного переоформления. Однако если компания получает новые согласия после 01.09.2025 — они должны соответствовать новым требованиям. При первой же проверке РКН запросит образцы действующих форм согласий. Если новые формы не обновлены — протокол по ч. 2 ст. 13.11 КоАП с штрафом до 700 000 ₽.

Итог

Двойное согласие в e-commerce — это не бюрократия, а конкретный набор документов: отдельный баннер cookies с активным opt-in, отдельное согласие на рассылки, отдельное согласие на программу лояльности. С 01.09.2025 объединение любых двух из них в один документ нарушает ст. 9 ФЗ-152 в редакции ФЗ-156.

DATUM сопровождает интернет-магазины, маркетплейсы и e-com проекты: от аудита текущих форм согласий до полного комплекта ОРД с учётом структуры данных конкретной платформы.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, cookies, трансграничных передач
Комплект ОРД под ключ — политика, согласия, договоры поручения, баннер cookies
Защита при штрафе в арбитраже — обжалование протоколов по ч. 2 и ч. 6 ст. 13.11 КоАП

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов.

4 декабря 2028 года