ИП-селлер: обязанности по 152-ФЗ
Рост штрафных санкций по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 изменил расчёт риска для малого бизнеса. ИП-селлер, который собирает имена, телефоны и адреса покупателей через форму заказа или личный кабинет на маркетплейсе, обрабатывает персональные данные в смысле ст. 3 ФЗ-152. Отсутствие уведомления в реестре РКН, незаполненная политика конфиденциальности и баннер cookie-согласия «для галочки» — три самых частых нарушения, которые РКН фиксирует при плановых и внеплановых проверках. Ниже — семь последовательных шагов, которые переводят деятельность ИП-селлера в соответствие с ФЗ-152.
Шаг 1. Признайте себя оператором и подайте уведомление в РКН
Оператор персональных данных — любое лицо, которое самостоятельно или совместно с другими определяет цели и состав обрабатываемых ПДн (ст. 3 ФЗ-152). ИП, принимающий заказы онлайн, фиксирует ФИО, адрес доставки, телефон и email покупателя. Этого достаточно для возникновения статуса оператора.
До начала обработки персональных данных оператор обязан уведомить Роскомнадзор по форме, утверждённой Приказом РКН №180 от 28.10.2022. Подача — через портал pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи. Срок включения в реестр — 30 дней с момента поступления уведомления (ч. 4 ст. 22 ФЗ-152).
Исключения из обязанности уведомления (ст. 22 ч. 2 ФЗ-152) для ИП-селлера практически не применимы: они касаются обработки ПДн исключительно в связи с трудовыми отношениями или без использования средств автоматизации в отдельных случаях. Интернет-торговля под эти исключения не подпадает.
Шаг 2. Опубликуйте политику конфиденциальности и разместите баннер cookies
Политика обработки персональных данных — документ, обязательный по ч. 2 ст. 18.1 ФЗ-152. Для сайта интернет-магазина она должна быть размещена в открытом доступе: как правило, в подвале страниц в виде отдельного раздела или ссылки. Документ должен описывать цели, основания, состав обрабатываемых ПДн, сроки хранения, порядок реализации прав субъектов и меры защиты.
Cookies, которые связывают действия пользователя с его идентификаторами (ID браузера, IP в сочетании с другими данными), РКН квалифицирует как персональные данные. Использование cookies без согласия пользователя нарушает ст. 6 ФЗ-152. Баннер cookie-согласия должен появляться до начала установки нефункциональных cookie-файлов и содержать информацию о целях и способах отзыва согласия.
Политика интернет-магазина, работающего с программами лояльности, должна отдельно описывать обработку данных участников программы: цели (персонализация предложений, начисление бонусов), основания (согласие по ст. 6 п. 1 ФЗ-152), срок хранения после прекращения участия.
Нет политики конфиденциальности или баннера cookies?
Отсутствие политики — это не просто формальное нарушение. Штраф по ч. 3 ст. 13.11 КоАП назначается за каждый факт проверки РКН. При наличии утечки отсутствие политики утяжеляет квалификацию. Юристы DATUM соберут пакет ОРД для интернет-магазина или ИП-селлера: политика, согласия, баннер cookies, уведомление РКН.
Собрать ОРД под ключОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Оформите согласия покупателей на обработку персональных данных
С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом, не включённым в текст договора, оферты или пользовательского соглашения (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Для ИП-селлера это означает: чекбокс «Я согласен с условиями» рядом с кнопкой «Оформить заказ» больше не является надлежащим согласием.
Согласие должно содержать обязательные реквизиты по ст. 9 ФЗ-152: ФИО или идентификатор субъекта, наименование оператора, цель обработки, перечень ПДн и действий с ними, срок действия и способ отзыва. Для рассылок — отдельное согласие с явным указанием на получение маркетинговых сообщений. Для программ лояльности — ещё одно отдельное согласие на обработку в этих целях.
Email-рассылки без надлежащего согласия — дополнительное нарушение ФЗ «О рекламе». Порядок отзыва подписки должен быть описан в каждом письме: ссылка «отписаться» обязательна, и она должна реально работать с фиксацией факта отзыва.
Что подготовить ИП-селлеру
- Уведомление о намерении обрабатывать ПДн, поданное через pd.rkn.gov.ru (Приказ РКН №180)
- Политика конфиденциальности с разделами по ст. 18.1 ч. 2 ФЗ-152, опубликованная на сайте
- Баннер cookie-согласия с возможностью выбора категорий cookies до их установки
- Отдельные согласия на обработку ПДн по ст. 9 ФЗ-152 (ред. с 01.09.2025): для покупателей, участников программ лояльности, подписчиков рассылок
- Договор-поручение на обработку ПДн с маркетплейсом или платёжным агрегатором по п. 3 ст. 6 ФЗ-152
Шаг 4. Разберитесь с маркетплейсом: кто оператор?
При продаже через маркетплейс (Wildberries, Ozon, Яндекс Маркет и др.) возникает вопрос распределения ответственности за обработку ПДн покупателей. Как правило, маркетплейс является самостоятельным оператором в отношении данных, собранных при регистрации и оформлении заказа на своей платформе. ИП-продавец получает данные покупателя (имя, адрес, телефон) для целей исполнения заказа и становится самостоятельным оператором в части дальнейшей обработки этих данных.
Если ИП использует данные покупателей маркетплейса для собственных рассылок или программ лояльности — это отдельная цель обработки, требующая отдельного согласия по ст. 9 ФЗ-152. Передача данных покупателей маркетплейса сторонним сервисам (CRM, аналитика) — обработка по поручению, которая требует заключения договора-поручения по п. 3 ст. 6 ФЗ-152.
ИП, владеющий собственным интернет-магазином помимо торговли на маркетплейсе, является самостоятельным оператором в полном объёме: он определяет цели и состав обрабатываемых данных, несёт ответственность за их защиту и уведомление РКН.
Шаг 5. Проверьте использование аналитических сервисов — GA4 и трансграничка
Google Analytics 4 (GA4), Meta Pixel и аналогичные зарубежные сервисы аналитики передают данные пользователей сайта на серверы за пределами России. Это трансграничная передача персональных данных по ст. 12 ФЗ-152. Если страна-получатель не входит в перечень стран, обеспечивающих адекватную защиту (перечень утверждается РКН), оператор обязан уведомить РКН до начала передачи.
IP-адрес в сочетании с идентификатором сессии и историей действий на сайте квалифицируется как персональные данные по позиции РКН. Использование GA4 без уведомления о трансграничной передаче — нарушение ч. 5 ст. 18 ФЗ-152 и ст. 12. Локализация ПДн граждан РФ (запись, накопление, хранение, уточнение, извлечение) с 01.07.2025 ужесточена: первичный сбор должен происходить в базах, расположенных в России (ФЗ-233 от 08.08.2024).
Альтернатива — использование российских счётчиков (Яндекс Метрика) для основной веб-аналитики. При необходимости сохранить GA4 — уведомить РКН о трансграничной передаче и отразить это в политике конфиденциальности.
Если маркетолог использует GA4 или зарубежные сервисы рассылок без уведомления РКН о трансграничной передаче — нарушение ч. 8 ст. 13.11 может стоить от 1 до 6 млн ₽. Юристы DATUM оценят состав сервисов и подготовят уведомление.
Оценить риски по 152-ФЗШаг 6. Настройте реагирование на запросы субъектов и порядок отзыва согласия
Субъект персональных данных вправе запросить информацию об обработке своих ПДн, потребовать уточнения, блокирования или уничтожения (ст. 14, 20, 21 ФЗ-152). Оператор обязан ответить в течение 10 рабочих дней с момента обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта (ст. 20 ФЗ-152).
Для ИП-селлера реалистичный сценарий — запрос от покупателя на удаление данных после завершения покупки. Данные в этом случае уничтожаются, если не действует иное правовое основание для хранения (например, требования налогового или бухгалтерского законодательства). Факт обращения и принятых мер фиксируется в журнале учёта обращений субъектов.
Отзыв согласия на рассылку обрабатывается немедленно: дальнейшая отправка писем после отзыва — нарушение ст. 9 ФЗ-152 и ФЗ «О рекламе». Ссылка «отписаться» в письме с рабочим механизмом фиксации — обязательный элемент.
Шаг 7. Подготовьтесь к инциденту: 24 часа на уведомление РКН
Если данные покупателей оказались скомпрометированы — утечка через взлом сайта, несанкционированный доступ к CRM или инцидент у подрядчика, — оператор обязан уведомить РКН в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152). Через 72 часа — направить отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022.
Неуведомление или нарушение сроков — штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11 КоАП. Срок не восстанавливается. Оператор несёт ответственность за утечку, в том числе произошедшую по вине подрядчика: платёжного агрегатора, сервиса рассылок, аутсорсинговой логистической платформы.
Для ИП минимальный регламент реагирования — документ в 1–2 страницы: кто фиксирует инцидент, кто уведомляет РКН, что включается в первичное уведомление. Его отсутствие при проверке усиливает позицию РКН при назначении штрафа.
Как это применяется на практике: типовые ситуации
Ситуация 1. ИП без уведомления в реестре РКН. ИП-селлер (Приволжский ФО, лето 2025) продавал товары через собственный сайт и Ozon, не зная об обязанности уведомить РКН по ст. 22 ФЗ-152. РКН зафиксировал отсутствие в реестре при обработке жалобы покупателя. Назначен штраф по ч. 10 ст. 13.11 КоАП. На момент проверки оператор не имел ни политики конфиденциальности, ни согласий по новым требованиям. Общая сумма нарушений охватила несколько частей ст. 13.11. Своевременная подача уведомления и базовый пакет ОРД позволили бы избежать санкций.
Ситуация 2. Маркетолог использует GA4 без уведомления о трансграничной передаче. Интернет-магазин (Центральный ФО, осень 2025) использовал GA4 для аналитики трафика. В политике конфиденциальности сервис не упоминался, уведомление о трансграничной передаче в РКН не подавалось. При внеплановой проверке инспектор зафиксировал нарушение ч. 8 ст. 13.11 КоАП (локализация) и ч. 3 (отсутствие надлежащей политики). Оба нарушения — самостоятельные составы. Штраф по ч. 8 в редакции с 30.05.2025 — от 1 до 6 млн ₽.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка по 38 пунктам с приоритизированным планом
- Комплект ОРД под ключ — политика, согласия, баннер cookies, уведомление РКН
- Защита при штрафе в арбитраже — оспаривание протокола, применение ст. 4.1.1 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции РКН — да, если cookie-файл позволяет идентифицировать конкретного пользователя в совокупности с другими данными (IP, история действий, идентификатор браузера). Нефункциональные cookies (аналитика, реклама) требуют отдельного согласия субъекта до их установки. Отсутствие баннера согласия образует нарушение ст. 6 ФЗ-152 и может квалифицироваться по ч. 6 ст. 13.11 КоАП.
2. Можно ли использовать GA4 после ограничений по локализации?
GA4 не запрещён напрямую, но его использование предполагает передачу данных пользователей сайта на серверы Google за пределами России. Это трансграничная передача по ст. 12 ФЗ-152. Для её законности требуется уведомление РКН и отражение факта передачи в политике конфиденциальности. Если первичный сбор данных происходит за рубежом — нарушение требований локализации по ч. 5 ст. 18 ФЗ-152 с 01.07.2025. Штраф по ч. 8 ст. 13.11 — 1–6 млн ₽.
3. Кто оператор: маркетплейс или продавец?
Оба. Маркетплейс является самостоятельным оператором в отношении данных, собранных на своей платформе. ИП-продавец становится самостоятельным оператором, когда использует полученные данные покупателей в собственных целях: рассылки, программы лояльности, CRM. Для таких целей нужны отдельные согласия по ст. 9 ФЗ-152 и уведомление в РКН с указанием соответствующих целей обработки.
4. Что грозит за отсутствие баннера cookies?
Отсутствие баннера означает, что согласие на установку нефункциональных cookies не получено. Это нарушение ст. 6 ФЗ-152 — обработка ПДн без надлежащего правового основания. Квалификация — ч. 6 ст. 13.11 КоАП: штраф для ИП определяется по правилам для должностного лица. При наличии аналитических или рекламных cookies, передающих данные за рубеж, добавляется состав по ч. 8 ст. 13.11 (локализация) с суммой от 1 до 6 млн ₽ для юрлиц и соразмерно для ИП.
5. Как оформить отзыв подписки на рассылку?
Каждое маркетинговое письмо должно содержать рабочую ссылку «отписаться» с механизмом фиксации факта отзыва. После отзыва согласия дальнейшая отправка писем запрещена по ст. 9 ФЗ-152 и ст. 18 ФЗ «О рекламе». Факт отзыва фиксируется в базе с датой и способом обращения. Хранить адрес в «чёрном списке» для исключения повторных отправок — разумная мера защиты от случайных повторных рассылок. Срок исполнения требования субъекта об отзыве согласия — незамедлительно, но не позднее 10 рабочих дней по ст. 20 ФЗ-152.
6. Нужно ли ИП переоформлять согласия, которые были получены до 01.09.2025?
Согласия, полученные до 01.09.2025, обратной силы не имеют — переоформлять их не требуется (ФЗ-156 от 24.06.2025 прямой обратной силы не предусматривает). Однако при обновлении форм, изменении целей обработки или получении новых согласий после 01.09.2025 применяются новые требования ст. 9 ФЗ-152: согласие — отдельный документ, не включённый в текст договора или оферты.
Итог
ИП-селлер — полноценный оператор персональных данных по ФЗ-152 с теми же обязанностями, что у крупной компании: уведомление РКН, политика конфиденциальности, надлежащие согласия, баннер cookies, уведомление об утечке за 24 часа. Основные риски 2025–2026 годов связаны с тремя областями: согласия в новом формате с 01.09.2025, трансграничная передача через GA4 и зарубежные сервисы, отсутствие регламента реагирования на инциденты.
DATUM сопровождает ИП и малый бизнес в e-commerce: от уведомления в реестр РКН и разработки пакета ОРД до защиты от штрафов по ст. 13.11 КоАП в арбитражных судах и реагирования на утечки.
9 января 2029 года