Перейти к содержанию
инструкция 3 апреля 2028 По состоянию на 3 апреля 2028

Кейс СберСпасибо

Утечка телефонных номеров пользователей программы лояльности «СберСпасибо» в 2023 году — публично верифицированный инцидент с персональными данными клиентов крупного оператора.
Этот кейс показывает: оператор программы лояльности несёт ответственность по ст. 13.11 КоАП за данные, которые обрабатывает через партнёрскую экосистему, — в том числе cookies, рассылки и данные о транзакциях.
→ Если вы маркетолог и используете программу лояльности, GA4 или email-рассылки — разберите этот кейс по шагам: что пошло не так и как выстроить защиту.

Маркетолог — первый, кто собирает данные пользователей: через формы подписки, баннеры cookies, интеграции с GA4 и механику программ лояльности. И первый, кто может создать правовой риск, если эти инструменты не соответствуют ФЗ-152. Кейс СберСпасибо — не исключение, а иллюстрация системной проблемы: программа лояльности обрабатывает десятки миллионов записей, а одна ошибка в архитектуре защиты или согласий конвертируется в протокол по ст. 13.11 КоАП. Разберём по шагам, что произошло, какие нормы нарушены и что сделать, чтобы ваша программа лояльности прошла проверку РКН.

Что произошло в кейсе СберСпасибо и почему это касается маркетолога?

В 2023 году публично стало известно об утечке контактных данных пользователей программы лояльности СберСпасибо — телефонных номеров, привязанных к бонусным счетам. Данные предположительно появились в открытом доступе, что квалифицируется как распространение ПДн по ст. 3 ФЗ-152.

С точки зрения ФЗ-152, программа лояльности — это отдельная база персональных данных. Она обрабатывает как минимум: ФИО участника, номер телефона, историю транзакций, иногда — геолокацию и поведенческие данные на сайте. Если данные используются для персонализированных рассылок, добавляются cookies и идентификаторы — объём обработки расширяется, а требования к защите возрастают.

«Ст. 5 ФЗ-152 устанавливает принцип соответствия объёма ПДн заявленным целям. Если телефон собирается для начисления бонусов — его нельзя без дополнительного согласия использовать для таргетированных рассылок третьих лиц.»

Для маркетолога ключевой вопрос: на каком правовом основании телефонный номер из программы лояльности используется в рассылках, передаётся партнёрам и обрабатывается аналитическими системами? Если ответа нет в документах — это риск по ч. 1 и ч. 2 ст. 13.11 КоАП.

Шаг 1. Проверьте правовые основания для каждого типа обработки

Первый шаг — составить карту обработки персональных данных в вашей программе лояльности. Для каждого типа данных и каждого действия с ними должно быть правовое основание из ч. 1 ст. 6 ФЗ-152.

Типичные основания в программах лояльности:

  • Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152) — начисление и списание бонусов, идентификация участника при покупке. Согласие не нужно, если обработка необходима именно для исполнения условий программы.
  • Согласие (п. 1 ч. 1 ст. 6 ФЗ-152) — email-рассылки с акциями, персонализированные предложения, передача данных партнёрам программы. Согласие должно быть отдельным документом с 01.09.2025 по ФЗ-156 от 24.06.2025.
  • Законный интерес — в ФЗ-152 прямо не закреплён как основание. Любая обработка, выходящая за рамки договора, требует согласия или иного прямого основания.

Если телефонный номер используется и для SMS-уведомлений о транзакциях (договор), и для рекламных рассылок (согласие), и для передачи в аналитический сервис (отдельное согласие или поручение обработки) — у каждого действия должно быть своё основание.

Ваша программа лояльности соответствует ФЗ-152?

Маркетолог формирует архитектуру данных: от баннера cookies до передачи базы в CRM. Если документы не выверены — РКН может квалифицировать каждый инструмент как отдельное нарушение по ч. 1 или ч. 2 ст. 13.11 КоАП (до 700 тыс. ₽ за нарушение согласия). Есть время подготовить документы до проверки.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Выясните, считаются ли cookies персональными данными в вашей схеме

Позиция РКН: cookies могут быть персональными данными, если они позволяют идентифицировать конкретного пользователя — в том числе в связке с другими данными из CRM или программы лояльности. Если пользователь авторизован в личном кабинете, а cookies передают его ID в аналитическую систему — это обработка ПДн.

Для программы лояльности это означает: файлы cookies на сайте или в мобильном приложении, которые передают данные авторизованного участника в GA4, Meta Pixel или другой трекинговый сервис, — это трансграничная передача ПДн, если сервис расположен за рубежом.

«Ст. 12 ФЗ-152: до передачи ПДн в страну, не входящую в перечень государств с адекватной защитой, оператор обязан уведомить РКН. Использование GA4 (Google LLC, США) без уведомления о трансграничной передаче — нарушение.»

Практические шаги для маркетолога:

  • Проверить, авторизован ли пользователь в момент срабатывания счётчика — если да, данные персонифицированы.
  • Проверить, куда уходит трафик: если Google Analytics или аналогичный сервис зарегистрирован в стране без адекватной защиты — уведомление РКН обязательно.
  • Разместить баннер cookies с явным согласием до начала трекинга. Отсутствие баннера — нарушение по ч. 6 ст. 13.11 КоАП (несоблюдение требований к согласию при обработке общедоступных данных и данных, для которых закон требует согласия).

Шаг 3. Разберите схему оператор — обработчик для программы лояльности

В экосистемных программах лояльности типа СберСпасибо несколько компаний обрабатывают одни и те же данные участника. Возникает вопрос: кто оператор, а кто — лицо, осуществляющее обработку по поручению (обработчик по п. 3 ч. 1 ст. 6 ФЗ-152)?

Оператор определяет цели и состав обработки. Обработчик действует строго по поручению оператора и не определяет цели самостоятельно. Для маркетплейсов и партнёрских программ типичная схема:

  • Маркетплейс-платформа — оператор, определяет цели (идентификация покупателя, начисление бонусов).
  • Продавец на маркетплейсе — самостоятельный оператор в отношении обработки по своим целям (рассылки, аналитика продаж). Продавец не может ссылаться на то, что «маркетплейс всё согласовал».
  • Партнёры программы лояльности — либо самостоятельные операторы (если получают данные для своих целей), либо обработчики (если обрабатывают только по поручению основного оператора программы). Разница критична: с обработчиком нужен договор поручения по п. 3 ч. 1 ст. 6 ФЗ-152; с самостоятельным оператором — отдельное согласие субъекта на передачу.
«П. 3 ч. 1 ст. 6 ФЗ-152: поручение обработки третьему лицу допустимо, если в договоре с ним прямо указаны перечень действий, цели, обязанность по конфиденциальности и условия уничтожения данных по окончании обработки.»

Если партнёр программы лояльности получает телефонные номера для собственных рассылок — это не поручение, а передача данных новому оператору. Нужно отдельное согласие участника с указанием этого партнёра.

Шаг 4. Проверьте email-рассылки и механизм отписки

Email-рассылки по базе программы лояльности требуют согласия, отдельного от согласия на участие в программе. С 01.09.2025 действует ФЗ-156 от 24.06.2025: согласие не может быть встроено в договор, оферту или политику конфиденциальности — только отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152.

Требования к согласию на рассылку по ст. 9 ФЗ-152 (в редакции с 01.09.2025):

  • ФИО субъекта и его контактные данные.
  • Наименование оператора, направляющего рассылку.
  • Конкретная цель обработки (например: «рекламные рассылки об акциях программы лояльности»).
  • Перечень персональных данных (email, имя, история покупок для персонализации).
  • Срок действия согласия или указание, что оно бессрочное до отзыва.
  • Способ отзыва согласия — конкретный и доступный.

Механизм отписки: кнопка «Отписаться» в теле письма — необходимый, но недостаточный элемент. Отзыв согласия по ст. 9 ФЗ-152 означает, что оператор обязан прекратить обработку в течение 30 дней, если иное не установлено законом или договором. Если рассылка продолжается после отписки — это нарушение ч. 5 ст. 13.11 КоАП (невыполнение требования субъекта об уничтожении или блокировании ПДн).

Если вы директор по маркетингу и в вашей CRM хранятся базы рассылок, собранные до 01.09.2025, — часть согласий может не соответствовать новым требованиям ФЗ-156. Каждое несоответствующее согласие — потенциальный штраф по ч. 2 ст. 13.11 до 700 тыс. ₽. Оцените пакет документов до проверки РКН.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Компания розничной торговли (Приволжский ФО, лето 2025) запустила программу лояльности и передавала телефонные номера участников партнёру — агрегатору скидочных предложений — без договора поручения и без отдельного согласия субъектов. РКН при плановой проверке квалифицировал передачу как обработку ПДн без правового основания по ч. 1 ст. 13.11 КоАП. Директор по маркетингу не располагал документом, фиксирующим статус партнёра как обработчика. Штраф составил несколько сотен тысяч рублей; документы были переоформлены в рамках предписания. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. По информации из открытых источников, в 2023 году утечка данных пользователей программы лояльности СберСпасибо затронула телефонные номера участников. Этот публично известный инцидент (case_08_sberspasibo) иллюстрирует: даже крупный оператор не застрахован от компрометации базы. В новой редакции ст. 13.11 КоАП (с 30.05.2025) аналогичный инцидент с базой от 10 000 до 100 000 субъектов влечёт штраф 5–10 млн ₽ по ч. 13; от 100 000 субъектов — 10–15 млн ₽ по ч. 14. ⚠️ Точные параметры дела СберСпасибо — менеджер уточняет при публикации.

Что подготовить маркетологу для соответствия ФЗ-152

  • Карта обработки ПДн: все инструменты (CRM, GA4, рассылочный сервис, программа лояльности) — с указанием правового основания для каждого.
  • Отдельные согласия на рассылки и передачу данным партнёрам в формате, соответствующем ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156).
  • Баннер cookies с явным согласием до начала трекинга и уведомление РКН о трансграничной передаче при использовании GA4 или аналогов.
  • Договоры поручения обработки со всеми подрядчиками, которые получают ПДн (агентства, аналитические платформы, колл-центры).
  • Работающий механизм отписки и журнал отзывов согласий с датами исполнения.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

Да, если cookies позволяют идентифицировать конкретного пользователя — в том числе в связке с данными из CRM или программы лояльности. Позиция РКН: cookie-идентификатор авторизованного пользователя — персональные данные. Это означает, что их передача в зарубежные аналитические сервисы (GA4, Meta Pixel) требует уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152 и согласия с баннером.

2. Можно ли использовать GA4 после ограничений?

GA4 можно использовать при выполнении двух условий: уведомление РКН о трансграничной передаче данных в США (ст. 12 ФЗ-152) и наличие баннера cookies с явным согласием пользователя до начала трекинга. Если данные передаются только анонимизированно и не привязаны к конкретному субъекту — обязанности уведомления нет, но нужно подтвердить корректность анонимизации.

3. Кто оператор: маркетплейс или продавец?

Оба могут быть операторами одновременно — в отношении разных целей обработки. Маркетплейс — оператор по целям идентификации покупателя и проведения транзакции. Продавец на маркетплейсе — самостоятельный оператор по целям собственных рассылок и аналитики продаж. Продавец не вправе ссылаться на согласия, собранные маркетплейсом, для своих целей. Нужны собственные правовые основания по ч. 1 ст. 6 ФЗ-152.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies при сборе данных, требующих согласия, — нарушение по ч. 6 ст. 13.11 КоАП (несоблюдение условий хранения материальных носителей ПДн) либо по ч. 1 (обработка без правового основания). Штраф для юридического лица — от 50 до 100 тыс. ₽ по ч. 6 или от 150 до 300 тыс. ₽ по ч. 1 (в редакции с 30.05.2025). Если нарушение повторное — до 500 тыс. ₽ по ч. 1.1.

5. Как оформить отзыв подписки?

Механизм отзыва согласия должен быть указан в самом согласии по ст. 9 ФЗ-152. Стандартный вариант: кнопка «Отписаться» в теле письма плюс возможность отзыва через личный кабинет. После получения отзыва оператор обязан прекратить обработку в течение 30 дней (если иной срок не установлен законом). Факт получения отзыва и дата прекращения обработки фиксируются в журнале — это доказательство при проверке РКН.

Итог

Программа лояльности — один из наиболее уязвимых инструментов с точки зрения ФЗ-152: она объединяет большие базы данных, несколько операторов и обработчиков, рекламные каналы и внешние аналитические сервисы. Кейс СберСпасибо наглядно показывает: даже у крупного оператора есть точки уязвимости, а с 30.05.2025 цена ошибки выросла кратно — от 5 млн ₽ за утечку от 10 000 субъектов до оборотного штрафа при повторности.

Юристы DATUM специализируются на e-commerce и программах лояльности: проводят аудит инструментов маркетинга по ФЗ-152, формируют пакет согласий под новые требования ФЗ-156, оформляют уведомления о трансграничной передаче для GA4 и аналогов, сопровождают при проверках РКН.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Cookies как ПДн, согласия в интернет-магазинах и SaaS, GA4 и Meta Pixel, программы лояльности, политики конфиденциальности для маркетплейсов.

3 апреля 2028 года