Перейти к содержанию
инструкция 8 января 2029 По состоянию на 8 января 2029

Кейс Бургер Кинг: атака на Mindbox

Атака на платформу Mindbox в 2024 году затронула пользователей программы лояльности Бургер Кинга — их персональные данные оказались скомпрометированы через стороннего обработчика.
По ст. 13.11 ч. 12 КоАП (в редакции с 30.05.2025) утечка от 1 000 до 10 000 субъектов грозит оператору штрафом 3–5 млн ₽. При повторности — оборотный штраф до 500 млн ₽ по ч. 15.
Если вы директор по маркетингу и используете CDP или ESP — проверьте цепочку поручений на обработку ПДн: каждый сторонний сервис расширяет вашу ответственность как оператора. → Оценить риски по 152-ФЗ

В 2024 году хакерская атака на маркетинговую платформу Mindbox затронула данные участников программы лояльности нескольких брендов, в том числе Бургер Кинга. Инцидент показал уязвимость типовой e-commerce-архитектуры: оператор — ритейлер, обработчик — SaaS-платформа, данные — у третьей стороны. Для директора по маркетингу это означает одно: ответственность за утечку через подрядчика несёт сам оператор, а не вендор. В этой инструкции — шаги, которые снижают риск до и после подобного инцидента.

Шаг 1. Как работает цепочка ответственности при атаке на обработчика?

Mindbox — типичный обработчик ПДн по поручению (п. 3 ст. 6 ФЗ-152). Оператор (бренд) передаёт платформе данные участников программы лояльности для сегментации, рассылок и аналитики. Обработчик действует на основании договора и не вправе использовать данные в собственных целях.

Ключевой принцип судебной практики: оператор отвечает за утечку через подрядчика так же, как за собственную. Факт заключения договора поручения не освобождает от ответственности по ст. 13.11 КоАП — он лишь создаёт основание для регрессного иска к обработчику.

«Ст. 6 ч. 3 ФЗ-152 — оператор вправе поручить обработку ПДн третьему лицу на основании договора. При этом оператор несёт ответственность перед субъектами ПДн за действия обработчика.»

Практический вывод для маркетолога: если CDP, ESP или CRM-платформа скомпрометирована — регулятор придёт к оператору (бренду), а не к SaaS-вендору. Договор с Mindbox, HubSpot, Mindbox-аналогами должен содержать обязательные условия по ст. 6 ч. 3 ФЗ-152: перечень действий, цели, обязанность конфиденциальности, право проверки, ответственность за нарушения.

Используете CDP или ESP для рассылок — когда проверить договоры?

Если директор по маркетингу подключил внешнюю платформу автоматизации без актуального договора поручения — каждый день обработки ПДн является нарушением ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). Срок на устранение после предписания РКН не восстанавливается. Юристы DATUM проведут аудит договорной цепочки и подготовят пакет документов по ст. 6 ФЗ-152.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Что проверить в договоре с маркетинговой платформой?

Договор поручения на обработку ПДн — не то же самое, что стандартное пользовательское соглашение SaaS-платформы. Последнее регулирует коммерческие отношения; первое — правовое основание передачи ПДн третьему лицу.

Что должен содержать договор с обработчиком

  • Исчерпывающий перечень действий с ПДн (сбор, хранение, передача, удаление — каждое действие отдельно)
  • Цели обработки — дословно совпадают с уведомлением в реестре РКН и согласием субъекта
  • Запрет обработчику использовать ПДн в собственных целях и передавать третьим лицам
  • Обязанность обработчика уведомить оператора об инциденте в срок, позволяющий исполнить 24-часовое требование по ч. 3.1 ст. 21 ФЗ-152
  • Право оператора проводить проверки соблюдения условий договора

Особый риск для программ лояльности: данные участников часто включают историю покупок, геолокацию, push-предпочтения — категории, обработка которых требует отдельного согласия по ст. 10.1 ФЗ-152 (распространение) или явного указания в согласии. Если платформа получает эти данные и передаёт их в аналитические системы — проверьте, отражено ли это в уведомлении РКН по ст. 22 ФЗ-152.

Шаг 3. Считаются ли cookies персональными данными и что делать с GA4?

Позиция РКН: cookies, идентифицирующие конкретного пользователя устройства, относятся к персональным данным в понимании ст. 3 ФЗ-152. Следовательно, установка счётчиков GA4, Meta Pixel, Criteo без баннера согласия — нарушение ч. 1 ст. 13.11 КоАП.

GA4 передаёт данные на серверы Google (США) — страна, не включённая в перечень государств, обеспечивающих адекватную защиту ПДн. Это трансграничная передача, требующая уведомления РКН по ст. 12 ФЗ-152 до начала передачи. Отсутствие уведомления — отдельное нарушение по ч. 10 ст. 13.11 (100–300 тыс. ₽).

«Ст. 12 ФЗ-152 — до передачи ПДн в страну, не обеспечивающую адекватную защиту, оператор обязан уведомить РКН. Перечень адекватных стран определяет Роскомнадзор.»

Практические шаги для интернет-магазина с GA4:

  • Разместить баннер cookies с механизмом отзыва согласия (требование ч. 1 ст. 9 ФЗ-152 в редакции с 01.09.2025 — согласие оформляется отдельным документом)
  • Подать уведомление о трансграничной передаче в РКН по форме Приказа №180
  • Включить GA4 в политику конфиденциальности с указанием цели, категорий данных, страны получателя
  • Рассмотреть серверную сторону как альтернативу: server-side tagging с хранением данных в РФ

Если на сайте маркетплейса или интернет-магазина установлен GA4 без уведомления РКН о трансграничной передаче — это нарушение ч. 10 ст. 13.11 КоАП. Срок подачи уведомления: до первой передачи данных. Юристы DATUM подготовят уведомление и актуализируют политику конфиденциальности.

Оценить риски по 152-ФЗ

Шаг 4. Как реагировать на утечку через подрядчика за 24 часа?

Когда Mindbox или аналогичная платформа сообщает о компрометации данных — часы уже идут. По ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187 от 14.11.2022 у оператора есть 24 часа на первичное уведомление РКН и 72 часа на отчёт о результатах внутреннего расследования.

Типовая проблема: SaaS-платформа сообщает об инциденте спустя сутки после его обнаружения. Оператор узнаёт — и 24 часа уже истекли. Именно поэтому договор должен обязывать обработчика уведомлять оператора немедленно, а не «в разумный срок».

  • Час 0–2: зафиксировать факт инцидента, определить категории и объём затронутых данных, собрать первичные доказательства (скриншоты, логи, письмо от обработчика)
  • Час 2–6: оценить число субъектов — это определяет применимую часть ст. 13.11 (ч. 12, 13 или 14 КоАП)
  • Час 6–20: подготовить первичное уведомление через pd.rkn.gov.ru (форма Приказа №180): дата/время обнаружения, категории ПДн, предполагаемый масштаб, принятые меры
  • Час 20–24: отправить уведомление, сохранить подтверждение отправки
  • Часы 24–72: провести расследование, установить вектор атаки, подготовить отчёт для РКН с описанием мер по устранению
«Ч. 3.1 ст. 21 ФЗ-152 — при выявлении факта неправомерной или случайной передачи ПДн оператор обязан уведомить РКН в течение 24 часов. Через 72 часа — направить отчёт о результатах внутреннего расследования. Порядок — Приказ РКН №187 от 14.11.2022.»

Шаг 5. Какие нарушения выявляет проверка РКН после инцидента с маркетплейсом?

После публичного инцидента — будь то утечка через CDP или атака на мобильное приложение — РКН проводит внеплановую проверку. Перечень типовых нарушений, которые обнаруживают инспекторы в e-commerce:

  • Отсутствие или неактуальность уведомления в реестре операторов (ст. 22 ФЗ-152) — реальная обработка шире заявленного
  • Согласие субъекта включено в пользовательское соглашение или оферту вместо отдельного документа (нарушение ст. 9 ФЗ-152 в ред. ФЗ-156 с 01.09.2025)
  • Политика конфиденциальности не отражает фактических обработчиков: Mindbox, SendPulse, Unisender, аналитические системы
  • Нет договора поручения с обработчиком или он не содержит обязательных условий по ст. 6 ч. 3 ФЗ-152
  • Трансграничная передача через GA4 / Meta Pixel без уведомления РКН
  • Отсутствие баннера cookies как механизма получения согласия на cookie-аналитику
  • Хранение ПДн граждан РФ за рубежом (нарушение локализации по ч. 5 ст. 18 ФЗ-152 — штраф по ч. 8 ст. 13.11 КоАП 1–6 млн ₽)

Каждое из этих нарушений — самостоятельный состав по ст. 13.11 КоАП. При проверке после инцидента протоколы составляются по каждому составу отдельно. Совокупность штрафов по нескольким частям может превысить 10 млн ₽ без выхода на оборотный состав.

Как это применяется на практике

Кейс 1 (case_11_burger_king). В 2024 году хакеры атаковали маркетинговую платформу, через которую Бургер Кинг вёл программу лояльности. Данные пользователей — контактные сведения и история транзакций — оказались скомпрометированы. Публичный характер инцидента обязал оператора уведомить РКН. Отсутствие в договоре с платформой обязанности немедленного уведомления оператора об инциденте создало риск нарушения 24-часового срока по ч. 3.1 ст. 21 ФЗ-152. Неуведомление или просрочка — штраф по ч. 11 ст. 13.11 КоАП 1–3 млн ₽.

Кейс 2. Торговый маркетплейс (Сибирский ФО, осень 2025) получил внеплановую проверку РКН после жалобы пользователя на спам-рассылку. Инспекторы обнаружили три нарушения: согласие на рассылку было включено в оферту (нарушение ст. 9 ФЗ-152), GA4 использовался без уведомления о трансграничной передаче (нарушение ст. 12), договор с ESP-платформой не содержал обязательных условий по ст. 6 ч. 3. По итогам — три протокола по разным частям ст. 13.11. Арбитражный суд региона применил ст. 4.1.1 КоАП для замены штрафа по ч. 1 на предупреждение в части первичного нарушения, остальные штрафы — оставил в силе.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookie позволяет идентифицировать конкретного пользователя устройства. Технические cookies (сессионные) вне идентификации — спорная зона. Маркетинговые и аналитические cookies, связанные с профилем пользователя, однозначно относятся к ПДн по ст. 3 ФЗ-152. Их обработка без согласия — нарушение ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽ для юрлица). Баннер согласия на cookies обязателен для любого коммерческого сайта с аналитикой.

2. Можно ли использовать GA4 после ограничений?

Использовать GA4 можно — при соблюдении двух условий. Первое: получить согласие пользователя через баннер cookies до активации счётчика. Второе: уведомить РКН о трансграничной передаче в США по ст. 12 ФЗ-152 и форме Приказа РКН №180. Альтернатива — перейти на server-side tagging с сохранением данных на серверах в РФ, что снимает вопрос локализации. Отсутствие уведомления о трансграничке — штраф по ч. 10 ст. 13.11 КоАП 100–300 тыс. ₽.

3. Кто оператор: маркетплейс или продавец?

Маркетплейс и продавец могут быть совместными операторами или действовать независимо — в зависимости от архитектуры платформы. Если маркетплейс собирает ПДн покупателя и передаёт их продавцу — маркетплейс является оператором, продавец — тоже оператором в части своей обработки. Договор между ними должен разграничивать зоны ответственности и регулировать передачу по ст. 6 ФЗ-152. Отсутствие такого разграничения создаёт риск для обеих сторон при проверке.

4. Что грозит за отсутствие баннера cookies?

Штраф по ч. 1 ст. 13.11 КоАП — 150–300 тыс. ₽ для юридического лица при первичном нарушении. При повторном — ч. 1.1, 300–500 тыс. ₽. Если через cookies осуществляется трансграничная передача без уведомления РКН — дополнительный штраф по ч. 10 ст. 13.11 (100–300 тыс. ₽). На практике инспекторы РКН проверяют наличие баннера через автоматизированные инструменты сканирования сайтов — это один из индикаторов риска при плановых и внеплановых проверках.

5. Как оформить отзыв подписки по email-рассылке?

Отзыв согласия на рассылку должен быть таким же простым, как его получение, — это требование ст. 9 ч. 2 ФЗ-152. Минимальный стандарт: ссылка «Отписаться» в каждом письме, которая немедленно прекращает отправку. Отзыв через форму с подтверждением, captcha или задержкой в несколько дней — нарушение. Оператор обязан прекратить обработку ПДн для цели рассылки после отзыва. Сохранение адреса в базе с пометкой «отписан» без фактического прекращения обработки — самостоятельное нарушение ст. 21 ФЗ-152.

6. Обязателен ли отдельный договор поручения при использовании email-платформы?

Да. Использование ESP (Unisender, SendPulse, Mailchimp) без договора поручения по ст. 6 ч. 3 ФЗ-152 означает, что передача данных подписчиков на платформу не имеет правового основания. Это нарушение ч. 1 ст. 13.11 КоАП. Стандартный Terms of Service SaaS-платформы договором поручения не является. Минимальный документ: договор с перечнем действий, целью, запретом передачи третьим лицам и обязанностью уведомить оператора об инциденте.

Итог

Атака на Mindbox — иллюстрация системной уязвимости e-commerce: данные программы лояльности хранятся у обработчика, ответственность остаётся у оператора. Маркетинговая функция генерирует максимальный объём ПДн-рисков — cookies, рассылки, CDP-платформы, GA4, программы лояльности — и при этом исторически наименее защищена договорно и документально.

Практика DATUM по цифровым продуктам и e-commerce включает аудит договорной цепочки оператор — обработчик, подготовку уведомлений о трансграничной передаче, актуализацию политик конфиденциальности и сопровождение при проверках РКН, инициированных после инцидентов с маркетинговыми платформами.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов.