инструкция 25 февраля 2029 По состоянию на 25 февраля 2029

Кейс штрафа за отсутствие политики (ч. 6 ст. 13.11)

Отсутствие политики обработки персональных данных — нарушение ч. 2 ст. 18.1 ФЗ-152, влечёт штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽ за каждый факт нарушения.

Для интернет-магазина это не формальность: РКН проверяет сайт через автоматизированный мониторинг, а cookies на сайте — это персональные данные по позиции регулятора. Отсутствие баннера согласия и опубликованной политики — два отдельных нарушения.

Если вы маркетолог и на сайте до сих пор нет политики конфиденциальности — у вас есть 10–15 дней до следующего автоматического обхода реестра РКН. → Исправьте сейчас.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи. Для интернет-магазинов, маркетплейсов и e-commerce-проектов наиболее чувствительны ч. 1, ч. 3 и ч. 2 — обработка без правового основания, отсутствие политики и отсутствие письменного согласия там, где оно требуется. В этом материале — пошаговый разбор типового кейса интернет-ритейлера, который получил протокол РКН из-за отсутствия политики, и инструкция, как исправить ситуацию до возбуждения дела.

Как РКН обнаруживает отсутствие политики на сайте интернет-магазина?

Роскомнадзор использует автоматизированные системы мониторинга сайтов. Алгоритм проверяет наличие ссылки на политику обработки персональных данных на главной странице и в формах сбора данных — регистрации, оформления заказа, подписки. Если ссылка не найдена, система формирует сигнал для инспектора. Параллельно фиксируются cookies-идентификаторы: если сайт устанавливает их без баннера согласия, это отдельный индикатор риска.

По данным РКН, в 2024 году зафиксировано более 135 случаев компрометации данных у операторов. Значительная часть внеплановых проверок инициируется именно после автоматического мониторинга или жалобы субъекта — покупателя, подписчика рассылки или участника программы лояльности. Для маркетолога это означает: жалоба одного клиента на нежелательную рассылку способна запустить проверку, в ходе которой инспектор проверит весь сайт на соответствие ч. 2 ст. 18.1 ФЗ-152.

«Ст. 18.1 ч. 2 ФЗ-152 — оператор обязан опубликовать политику обработки персональных данных или обеспечить иным способом неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн. Для сайтов — ссылка на политику должна быть размещена непосредственно в интерфейсе.»

Нарушение ч. 2 ст. 18.1 фиксируется как самостоятельный состав по ч. 3 ст. 13.11 КоАП — штраф для юридического лица от 30 000 до 60 000 ₽. Если параллельно сайт собирает cookies без согласия, добавляется нарушение ч. 1 ст. 13.11 (обработка без правового основания, 150 000–300 000 ₽). Итого — два протокола за один сайт.

Шаг 1. Проверьте, есть ли на сайте политика и баннер cookies

До начала подготовки документов убедитесь, что понимаете фактическое состояние сайта. Пройдите по следующему чек-листу самостоятельно или поручите юристу.

Что проверить прямо сейчас

Есть ли на главной странице кликабельная ссылка «Политика конфиденциальности» или «Политика обработки ПДн» в подвале или хедере.
Содержит ли документ обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели обработки, категории ПДн, правовые основания, срок хранения, порядок уничтожения, права субъектов.
Есть ли баннер согласия на cookies при первом посещении — до установки несущественных идентификаторов (аналитика, реклама).
Есть ли в форме подписки на рассылку чекбокс согласия, не предзаполненный по умолчанию.
Подано ли уведомление в РКН о намерении обрабатывать ПДн (проверить на pd.rkn.gov.ru).

Если хотя бы один пункт не выполнен — сайт уязвим для протокола. Приступайте к следующему шагу немедленно: срок устранения после получения предписания РКН — 10 рабочих дней.

Шаг 2. Составьте политику обработки персональных данных для интернет-магазина

Политика — не шаблонный текст из интернета. Регулятор проверяет соответствие содержания реальной практике обработки. Если в политике написано «данные не передаются третьим лицам», но сайт использует GA4 или Meta Pixel — это расхождение фиксируется как отдельное нарушение.

Для интернет-магазина политика должна охватывать следующие категории обработки: оформление и исполнение заказов (ФИО, адрес, телефон, email), программы лояльности (история покупок, предпочтения), email-рассылки (согласие по ст. 9 ФЗ-152 + ст. 18 ФЗ «О рекламе»), cookies и счётчики аналитики (включая трансграничную передачу в GA4).

«Ст. 12 ФЗ-152 — до передачи данных в страну, не обеспечивающую адекватный уровень защиты, оператор обязан уведомить РКН. Позиция регулятора: Google Analytics 4 передаёт идентификаторы на серверы Google LLC (США) — страна не входит в перечень адекватных. Использование GA4 без уведомления — нарушение ч. 5 ст. 13.11 в части локализации и ст. 12.»

Отдельно укажите в политике порядок отзыва согласия на рассылку: пользователь должен иметь возможность отписаться в один клик. Если форма отписки требует авторизации или занимает более одного действия — это фактор риска при рассмотрении жалобы субъекта.

Нет политики или она не соответствует реальной обработке?

Для маркетолога расхождение между текстом политики и фактическими трекерами на сайте — прямой путь к двум протоколам одновременно. Это происходит при ближайшем мониторинге РКН. Юристы DATUM составят политику под реальную структуру сайта, включая cookies, GA4 и программы лояльности, — с учётом требований ч. 2 ст. 18.1 ФЗ-152.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Настройте баннер согласия на cookies

Cookies — в частности, идентификаторы сессий, рекламные и аналитические — квалифицируются как персональные данные, если позволяют идентифицировать пользователя. Позиция РКН по этому вопросу устойчива с 2022 года. Баннер должен появляться до установки несущественных cookies, а не после.

Технически это означает: при первом визите пользователя скрипты GA4, Яндекс.Метрики, пикселей рекламных сетей не должны запускаться до нажатия кнопки «Согласен» или аналогичной. Кнопки «Отказаться» и «Согласиться» должны быть равнозначны визуально — тёмный паттерн (когда отказ намеренно затруднён) фиксируется как нарушение.

Для маркетплейсов вопрос стоит острее: продавец на платформе не контролирует cookies маркетплейса, но отвечает за собственные формы сбора данных на лендингах и в рекламных кампаниях. Если маркетолог ведёт трафик на страницу без баннера — ответственность на владельце лендинга.

Шаг 4. Подайте или обновите уведомление в реестре РКН

Обработка ПДн без уведомления РКН — самостоятельное нарушение по ч. 10 ст. 13.11 КоАП: штраф для юрлица от 100 000 до 300 000 ₽. Уведомление подаётся через pd.rkn.gov.ru с использованием ЕСИА или УКЭП по форме Приказа РКН №180 от 28.10.2022.

Если уведомление уже подавалось, но с момента подачи изменились цели обработки, состав ПДн или перечень получателей — необходимо подать уведомление об изменении сведений. Типичная ошибка e-commerce-проектов: в реестре указан только один вид обработки (например, исполнение договора), а фактически сайт ведёт ретаргетинг и передаёт данные рекламным сетям. Расхождение между реестром и реальностью — индикатор риска при проверке.

«Ч. 10 ст. 13.11 КоАП (в ред. с 30.05.2025) — неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку ПДн влечёт штраф для юрлица от 100 000 до 300 000 ₽.»

Шаг 5. Оформите пакет ОРД под e-commerce

Политика конфиденциальности на сайте — видимая часть. За ней должен стоять внутренний пакет организационно-распорядительной документации: приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152), регламент работы с обращениями субъектов, журнал учёта запросов, соглашения о поручении обработки с подрядчиками (email-платформа, CRM, логистический оператор).

Отсутствие соглашения с обработчиком — самостоятельный риск: если подрядчик допустит утечку, а договора поручения нет, оператор несёт полную ответственность как за собственные действия. Принцип ответственности оператора за действия подрядчика подтверждён судебной практикой.

Для интернет-магазина минимальный пакет ОРД включает: политику обработки ПДн, положение об обработке ПДн работников, согласия субъектов (отдельный документ с 01.09.2025 по ФЗ-156), приказ о назначении ответственного, регламент реагирования на инциденты, соглашения с обработчиками. Всего — от 12 до 20 документов в зависимости от масштаба.

Типовые сценарии штрафа: как это происходит в реальности

Сценарий 1. Автоматический мониторинг РКН — нет политики на сайте. Интернет-магазин бытовой техники (Уральский ФО, лето 2025) не размещал политику обработки ПДн с момента запуска в 2021 году. Сайт попал в выборку автоматического мониторинга РКН. Инспектор зафиксировал отсутствие ссылки на политику в подвале и в форме оформления заказа. Возбуждено дело по ч. 3 ст. 13.11 КоАП. Штраф для юрлица — в нижней части диапазона (30 000–60 000 ₽). Параллельно выявлено отсутствие уведомления в реестре — дело по ч. 10, штраф в диапазоне 100 000–300 000 ₽. Итого два протокола. После публикации политики и подачи уведомления предписание исполнено.

Сценарий 2. Жалоба на рассылку → проверка сайта. Маркетолог SaaS-платформы (Центральный ФО, осень 2025) настроил email-кампанию через внешний сервис. Один из получателей направил жалобу в РКН на нежелательную рассылку. В ходе внеплановой проверки инспектор обнаружил: баннера cookies нет, политика устарела (не отражает передачу данных в сервис рассылок), согласие на маркетинговые коммуникации включено в тело договора-оферты, а не оформлено отдельным документом. После ФЗ-156 от 24.06.2025 (действует с 01.09.2025) последнее — нарушение ч. 2 ст. 13.11 (300 000–700 000 ₽). Компания получила три протокола одновременно.

Если маркетолог использует GA4, рассылки через внешний сервис и программу лояльности — это минимум три зоны риска по ст. 13.11 КоАП. Проверьте соответствие до того, как РКН сделает это за вас. Аудит по чек-листу из 38 пунктов — от 100 000 ₽.

Заказать аудит 152-ФЗ

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookies позволяют идентифицировать конкретного пользователя (идентификаторы сессий, рекламные и аналитические cookies). Эта позиция применяется с 2022 года и влечёт требование размещать баннер согласия до установки несущественных cookies. Технические cookies, необходимые для работы сайта, под требование согласия не подпадают.

2. Можно ли использовать GA4 после ограничений?

Использовать можно, но с соблюдением требований ст. 12 ФЗ-152 о трансграничной передаче. GA4 передаёт данные на серверы Google LLC (США) — страна не входит в перечень адекватной защиты. Оператор обязан уведомить РКН о трансграничной передаче до её начала. Кроме того, данные должны первично собираться и храниться в базах на территории РФ (ч. 5 ст. 18 ФЗ-152). Использование GA4 без этих мер — риск штрафа по ч. 8 ст. 13.11 (1–6 млн ₽).

3. Кто оператор: маркетплейс или продавец?

Зависит от того, кто определяет цели и способы обработки. Маркетплейс — оператор в отношении данных покупателей, которые обрабатываются на его платформе. Продавец-партнёр становится самостоятельным оператором, если собирает данные через собственные формы (лендинги, рассылки, CRM). Одновременно оба могут быть операторами по разным базам. Если продавец получает данные покупателей от маркетплейса — необходим договор поручения обработки по п. 3 ст. 6 ФЗ-152.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера фиксируется как обработка ПДн (cookies-идентификаторов) без правового основания — нарушение ч. 1 ст. 13.11 КоАП. Штраф для юрлица — от 150 000 до 300 000 ₽. При повторном нарушении (ч. 1.1 ст. 13.11) — от 300 000 до 500 000 ₽. Если одновременно отсутствует политика, добавляется ч. 3 ст. 13.11 (30 000–60 000 ₽). Итого — два протокола за один сайт.

5. Как оформить отзыв подписки?

Отзыв согласия на рассылку должен быть равнозначен по простоте его предоставлению — требование ч. 2 ст. 9 ФЗ-152. На практике: в каждом письме — ссылка «Отписаться» с переходом на страницу подтверждения без обязательной авторизации. Факт отзыва должен фиксироваться в CRM с датой и способом отзыва. После отзыва данные для маркетинговых рассылок обрабатывать нельзя; использование для исполнения договора (уведомления о заказе) — продолжается на основании п. 5 ч. 1 ст. 6 ФЗ-152.

Итог

Отсутствие политики конфиденциальности — наиболее распространённое нарушение для e-commerce-проектов и одно из самых легко выявляемых: автоматический мониторинг РКН не требует выезда инспектора. Один пропущенный пункт — политика, баннер, уведомление в реестре — превращается в два или три протокола одновременно. В редакции ФЗ-420 от 30.05.2025 совокупный штраф по трём составам может достигать 400 000–1 000 000 ₽ для юрлица без единого инцидента с данными.

Практика DATUM охватывает весь цикл e-commerce-комплаенса: от аудита сайта и составления политики до уведомления РКН о трансграничной передаче через GA4 и защиты в арбитраже при получении протокола. Более 300 операторов прошли сопровождение в рамках практики «Ветров и партнёры» по 152-ФЗ с 2014 года.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка сайта, документов и реестра РКН по 38 пунктам
Комплект ОРД под ключ — политика, согласия, приказы, соглашения с обработчиками
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11, применение ст. 4.1.1 КоАП

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов.

25 февраля 2029 года