инструкция 14 февраля 2027 По состоянию на 14 февраля 2027

Кейс Детский мир: утечка бонусных карт

Утечка данных программы лояльности Детского мира в 2024 году показала: данные бонусных карт — это персональные данные, а их защита в e-commerce регулируется теми же нормами, что и любые другие ПДн.

За утечку от 10 000 до 100 000 субъектов оператор-юрлицо платит 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП в редакции с 30.05.2025. Повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15. Уголовное дело против исполнителя возбуждено по ст. 272 УК РФ.

Если вы маркетолог и ведёте программу лояльности — проверьте, соответствует ли обработка ПДн клиентов требованиям ФЗ-152. Этот кейс — пошаговый разбор того, что нужно исправить.

В 2024 году база бонусных карт Детского мира оказалась скомпрометирована. Против исполнителя утечки возбуждено уголовное дело по ст. 272 УК РФ. Для маркетолога этот кейс — не новостная история, а чек-лист рисков: cookies как ПДн, программы лояльности, email-рассылки, GA4 как трансграничная передача и отсутствие баннера cookies. Каждый из этих элементов создаёт отдельное основание для штрафа по ст. 13.11 КоАП. Разберём, что нужно привести в порядок.

Шаг 1. Разберитесь, какие данные вы обрабатываете в программе лояльности

Данные бонусных карт — это персональные данные в понимании ст. 3 ФЗ-152. ФИО, телефон, email, история покупок и адрес доставки в совокупности идентифицируют конкретного человека. Отдельно: история покупок детских товаров может косвенно указывать на наличие детей — что приближает её к информации о семейном положении.

«Ст. 3 ФЗ-152 — персональными данными признаётся любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Имя, телефон и история покупок в совокупности — ПДн.»

Программы лояльности в e-commerce обычно предполагают несколько правовых оснований обработки по ст. 6 ФЗ-152: исполнение договора (начисление баллов), выполнение маркетинговых рассылок (требует отдельного согласия), передача данных партнёрам и подрядчикам (маркетплейсам, CRM-платформам). Каждое из этих оснований должно быть корректно прописано в согласии и политике конфиденциальности интернет-магазина.

Дополнительный риск: если программа лояльности реализована через маркетплейс или стороннюю платформу, возникает вопрос о роли оператора и обработчика. По общему правилу ст. 6 ФЗ-152 оператор отвечает за действия лица, осуществляющего обработку по его поручению. Ошибка в квалификации роли — основание для претензии РКН.

Шаг 2. Проверьте, считаются ли cookies персональными данными на вашем сайте

РКН последовательно расширяет трактовку ПДн в части cookies. Если cookie-файл в совокупности с IP-адресом, идентификатором устройства или поведенческими данными позволяет идентифицировать пользователя — он относится к персональным данным по позиции регулятора.

«Ч. 6 ст. 13.11 КоАП (в редакции с 30.05.2025) — несоблюдение условий хранения материальных носителей ПДн при неавтоматизированной обработке, повлёкшее неправомерный доступ, — штраф 50 000 – 100 000 ₽ для юрлица. Отдельно: обработка ПДн без согласия по ч. 2 — 300 000 – 700 000 ₽.»

Если на сайте интернет-магазина используется Google Analytics 4, Meta Pixel или аналогичные инструменты — происходит передача данных посетителей на серверы за рубежом. По ч. 5 ст. 18 ФЗ-152 первичный сбор и хранение ПДн граждан РФ обязаны осуществляться в базах, расположенных на территории России. GA4 как трансграничная передача создаёт отдельный риск по ч. 8 ст. 13.11 — штраф 1–6 млн ₽.

Практический вывод: без баннера cookies, который получает явное согласие пользователя до активации трекеров, каждый визит на сайт — потенциальное нарушение ст. 9 ФЗ-152 в части согласия на обработку ПДн.

Используете GA4, Pixel или программу лояльности без проверки на 152-ФЗ?

Если маркетолог не знает, какие трекеры на сайте передают данные за рубеж — это уже нарушение. Аудит DATUM проверит cookies, политику конфиденциальности, согласия и рассылки по чек-листу из 38 пунктов. Срок: 5 рабочих дней, результат — приоритизированный план устранения.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте согласия: отдельный документ с 01.09.2025

С 01.09.2025 согласие на обработку ПДн не может быть частью договора оферты, условий программы лояльности или политики конфиденциальности. ФЗ-156 от 24.06.2025 установил требование: согласие — отдельный документ. Это касается любого интернет-магазина, получающего согласие при регистрации, подписке на рассылки или в форме бонусной программы.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие на обработку ПДн с 01.09.2025 оформляется отдельным документом и не объединяется с другими соглашениями. Обязательные реквизиты: ФИО и контакты субъекта, наименование оператора, цель, перечень данных, перечень действий, срок, способ отзыва.»

Если форма регистрации в программе лояльности содержит галочку «Согласен с условиями программы и политикой конфиденциальности» — это нарушение ч. 2 ст. 13.11 КоАП. Штраф для юрлица: 300 000 – 700 000 ₽. Повторное нарушение — 1 000 000 – 1 500 000 ₽ по ч. 2.1.

Отдельное согласие требуется и на email-рассылки. Отзыв подписки должен быть реализован не только через «кнопку отписки» в письме, но и через письменное заявление по ст. 9 ФЗ-152. Порядок отзыва — обязательный элемент формы согласия.

Что проверить в согласиях и политике интернет-магазина

Согласие на обработку ПДн оформлено отдельным документом (не объединено с офертой или условиями программы лояльности) — требование ФЗ-156 с 01.09.2025
В форме согласия указаны: цель, перечень ПДн, перечень действий, срок хранения, способ отзыва — по реквизитам ст. 9 ФЗ-152
Баннер cookies активируется до начала работы трекеров (GA4, Pixel, Яндекс.Метрика) — не после загрузки страницы
Политика конфиденциальности опубликована на сайте в разделе «Правовая информация» и обновлена под фактическую обработку — по ч. 2 ст. 18.1 ФЗ-152
Уведомление РКН содержит актуальные сведения: цели, категории ПДн, трансграничная передача при наличии GA4 или зарубежных CRM — по ст. 22 ФЗ-152

Шаг 4. Разберитесь с рисками при работе через маркетплейсы

Если интернет-магазин работает через маркетплейс (Wildberries, Ozon, Яндекс Маркет), возникает вопрос разграничения операторов. Маркетплейс собирает данные покупателей самостоятельно и является самостоятельным оператором. Продавец — отдельный оператор, получающий только те данные, которые маркетплейс передаёт в рамках исполнения заказа.

При утечке данных через платформу маркетплейса ответственность разграничивается по договору и фактическим действиям. Однако, если продавец загружает в собственную CRM данные покупателей с маркетплейса для рассылок или построения программы лояльности — он становится самостоятельным оператором этих данных и несёт полную ответственность по ФЗ-152.

Если маркетолог использует данные с маркетплейса для рассылок — у вас нет согласия на эту цель. РКН это квалифицирует как нарушение ч. 1 ст. 13.11 КоАП (150 000 – 300 000 ₽). Получите консультацию DATUM о том, как разграничить роли и оформить поручение.

Оценить риски по 152-ФЗ

Шаг 5. Реагирование на утечку: что делать за 24 и 72 часа

Если утечка данных программы лояльности всё же произошла, таймер запущен с момента обнаружения. Ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН №187 от 14.11.2022 устанавливают жёсткие сроки: 24 часа — первичное уведомление РКН, 72 часа — отчёт о результатах внутреннего расследования.

«Ст. 21 ч. 3.1 ФЗ-152 — при выявлении факта неправомерной передачи ПДн оператор обязан уведомить РКН в течение 24 часов. Через 72 часа — направить результаты внутреннего расследования. Приказ РКН №187 регулирует форму и содержание уведомлений.»

Неуведомление или нарушение срока — штраф 1 000 000 – 3 000 000 ₽ по ч. 11 ст. 13.11 КоАП. За саму утечку — от 3 до 15 млн ₽ в зависимости от числа затронутых субъектов (ч. 12–14 ст. 13.11). Если компания уже привлекалась к ответственности по этим частям — повторная утечка влечёт оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽.

В кейсе Детского мира против исполнителя утечки возбуждено уголовное дело по ст. 272 УК РФ — неправомерный доступ к охраняемой компьютерной информации. Это подтверждает тенденцию: крупные инциденты с ПДн выходят за рамки административного преследования.

Как это применяется на практике

Кейс 1. Интернет-магазин детских товаров (Центральный ФО, осень 2024) запустил программу лояльности через стороннюю CRM-платформу. Согласие на обработку ПДн было встроено в условия участия в программе. После проверки РКН компания получила предписание о нарушении ч. 2 ст. 13.11 КоАП — обработка ПДн без надлежащего письменного согласия. Штраф составил несколько сотен тысяч рублей. После переработки согласий и ОРД нарушение было устранено, предписание снято.

Кейс 2. Маркетолог федерального ритейлера (Северо-Западный ФО, начало 2025) обнаружил, что GA4 передаёт данные пользователей на серверы в США без уведомления РКН о трансграничной передаче. Компания самостоятельно подала уведомление по ст. 22 и ст. 12 ФЗ-152, параллельно внедрила прокси-сервер для локализации первичного сбора. Претензий от РКН удалось избежать — в том числе за счёт добровольного уведомления и оперативности.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверим cookies, согласия, политику и GA4 по чек-листу из 38 пунктов
Комплект ОРД под ключ — подготовим все документы: согласия, политику, приказы, регламент реагирования
Защита при штрафе в арбитраже — оспорим протокол по ст. 13.11, применим ст. 4.1 и ст. 4.1.1 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookie-файл в совокупности с другими данными (IP-адрес, идентификатор устройства, поведение на сайте) позволяет идентифицировать конкретного пользователя. В таком случае обработка cookies требует согласия по ст. 9 ФЗ-152, а сбор без согласия — нарушение ч. 1 или ч. 2 ст. 13.11 КоАП. Практический вывод: баннер cookies, получающий явное согласие до активации трекеров, обязателен.

2. Можно ли использовать GA4 после ограничений?

GA4 передаёт данные о посетителях на серверы Google в США. Это трансграничная передача ПДн по ст. 12 ФЗ-152. Использование GA4 без уведомления РКН и без локализации первичного сбора нарушает ч. 5 ст. 18 ФЗ-152 — штраф по ч. 8 ст. 13.11 КоАП 1–6 млн ₽. Альтернатива: прокси-сервер в РФ, сбор в российской базе с последующей передачей обезличенных данных, или переход на Яндекс.Метрику без трансграничной передачи.

3. Кто оператор: маркетплейс или продавец?

Маркетплейс — самостоятельный оператор ПДн покупателей. Продавец становится самостоятельным оператором, когда получает данные покупателей и обрабатывает их в собственных целях — например, загружает в CRM для рассылок или строит программу лояльности. В этом случае продавцу требуется собственное уведомление РКН по ст. 22 ФЗ-152 и отдельные согласия на обработку. Если продавец только исполняет заказ на основании переданных маркетплейсом данных — он действует как обработчик по поручению (п. 3 ст. 6 ФЗ-152).

4. Что грозит за отсутствие баннера cookies?

Обработка ПДн без согласия субъекта, когда оно требуется, — нарушение ч. 2 ст. 13.11 КоАП. Штраф для юрлица: 300 000 – 700 000 ₽. При повторном нарушении — 1 000 000 – 1 500 000 ₽ по ч. 2.1. Дополнительный риск: отсутствие баннера при активном использовании GA4 создаёт одновременно нарушение согласия и нарушение требований о трансграничной передаче — два состава одновременно.

5. Как оформить отзыв подписки?

Отзыв согласия на рассылки должен быть предусмотрен в самом согласии — с указанием способа и срока. По ст. 9 ФЗ-152 оператор обязан прекратить обработку в течение 30 дней после получения отзыва (для маркетинговых рассылок — исключения не применяются). Кнопка «Отписаться» в письме — недостаточный механизм: нужен также письменный способ (форма на сайте или email). Отсутствие механизма отзыва — самостоятельное нарушение ч. 5 ст. 13.11 КоАП (50 000 – 90 000 ₽).

6. Нужно ли переделывать старые согласия после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы ФЗ-156 не имеют — переоформлять их принудительно не требуется. Однако все новые согласия с 01.09.2025 должны оформляться отдельным документом. Если на сайте сохранилась форма с объединённым согласием (в составе условий программы или оферты) — она нарушает ч. 2 ст. 13.11 КоАП в части новых пользователей, зарегистрировавшихся после 01.09.2025.

Итог

Кейс Детского мира подтверждает: утечка данных программы лояльности — это не только репутационный удар, но и административная и уголовная ответственность. Для маркетолога ключевые точки риска: согласия без отдельного документа, cookies без баннера, GA4 без уведомления о трансграничной передаче, рассылки без механизма отзыва. Каждый из этих элементов создаёт самостоятельный состав по ст. 13.11 КоАП.

Юристы DATUM специализируются на приведении e-commerce в соответствие с ФЗ-152 — от аудита cookies и согласий до сопровождения при проверке РКН и защите от штрафов по ст. 13.11 КоАП.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности.

14 февраля 2027 года