инструкция 19 января 2029 По состоянию на 19 января 2029

Контакты в телефоне пользователя

Контакты в телефоне пользователя — персональные данные по ст. 3 ФЗ-152, если они позволяют прямо или косвенно идентифицировать физическое лицо.

С 30.05.2025 действуют 18 частей ст. 13.11 КоАП: штраф за обработку без надлежащего основания — от 150 000 до 300 000 ₽, за повторное нарушение — до 500 000 ₽.

Если вы маркетолог и используете контакты из телефонной книги пользователя — проверьте правовое основание прямо сейчас. → Ниже — пошаговый алгоритм.

Для интернет-магазина, маркетплейса и приложения доступ к контактам в телефоне пользователя — распространённый инструмент: импорт адресной книги для реферальных программ, автозаполнение при регистрации, синхронизация для рассылок. С 2025 года РКН усилил контроль за цифровыми продуктами. Эта инструкция описывает шесть шагов, которые позволят привести обработку контактов в соответствие с ФЗ-152 и избежать штрафов по ст. 13.11 КоАП.

Шаг 1. Определите, являются ли контакты персональными данными

Имя и номер телефона в адресной книге устройства идентифицируют конкретное физическое лицо — это персональные данные в смысле ст. 3 ФЗ-152. Email-адрес в контакте — тоже ПДн, если он содержит имя или иной идентификатор. Обезличенный хэш номера без возможности обратного преобразования формально выходит за рамки ст. 3, однако РКН трактует сомнения в пользу защиты субъекта.

Cookies сами по себе могут не быть ПДн, но в связке с номером телефона или email они создают профиль пользователя. РКН придерживается позиции: cookies как пдн — это связка идентификатора с реальным лицом. Если ваше приложение сопоставляет cookie-идентификатор с контактом из адресной книги, вся связка подпадает под режим ПДн.

«Ст. 3 ФЗ-152: персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПДн).»

Практический тест: если по номеру телефона или email из адресной книги вы можете направить сообщение конкретному человеку — перед вами ПДн. Импорт адресной книги без согласия владельца телефона и без согласия третьих лиц, чьи данные в ней хранятся, создаёт двойное нарушение.

Шаг 2. Проверьте правовое основание для обработки контактов

Ст. 6 ФЗ-152 перечисляет 11 оснований обработки ПДн. Для маркетинговых сценариев с контактами из телефона актуальны три: согласие субъекта (п. 1), исполнение договора (п. 5), законный интерес оператора (п. 7 — применяется ограниченно).

Важно: субъект согласия — не только владелец телефона, но и каждое лицо, чей контакт вы импортируете. Если пользователь передал вам адресную книгу с 200 контактами, вы обрабатываете ПДн 200 физических лиц. Согласие каждого из них получить на практике невозможно — значит, нужно либо ограничить функционал, либо применить обезличивание до импорта.

«Ст. 9 ФЗ-152 (ред. ФЗ-156 от 24.06.2025, с 01.09.2025): согласие оформляется отдельным документом, не включается в текст договора, оферты или политики конфиденциальности.»

С 01.09.2025 согласие на обработку ПДн — отдельный документ по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Флажок «согласен с условиями использования» больше не покрывает обработку контактов из телефона. Политика интернет-магазина или оферта не заменяют согласие.

Используете контакты пользователей в маркетинге — когда проверить документы?

Если маркетолог использует импорт адресной книги, реферальные программы или email-рассылки по контактам из телефона — риск нарушения ст. 9 ФЗ-152 возникает в момент первого импорта. С 01.09.2025 старые согласия в оферте недействительны. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Юристы DATUM проведут аудит обработки ПДн в цифровом продукте по чек-листу из 38 пунктов и выдадут отчёт с планом устранения.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Настройте баннер согласия и политику конфиденциальности

Если приложение или сайт запрашивает доступ к контактам — перед запросом разрешения на уровне ОС должен появиться информационный экран с описанием цели. Это не баннер cookies в классическом смысле, но логика та же: пользователь должен понять, что именно и зачем вы собираете.

Баннер cookies на сайте — отдельный вопрос. Cookie-файлы, связанные с идентификацией пользователя (аналитика, ретаргетинг, персонализация), по позиции РКН относятся к ПДн. Отсутствие баннера согласия на cookies = нарушение ч. 1 ст. 13.11 КоАП. Штраф для юрлица — 150 000–300 000 ₽. При повторном нарушении по ч. 1.1 — до 500 000 ₽.

Политика конфиденциальности интернет-магазина или приложения обязана содержать: перечень обрабатываемых данных (в том числе контакты из адресной книги), цели, основания, сроки хранения, порядок отзыва согласия и реквизиты оператора. Требования к содержанию — ч. 2 ст. 18.1 ФЗ-152. Отсутствие опубликованной политики — ч. 3 ст. 13.11, штраф 30 000–60 000 ₽.

«Ст. 18.1 ч. 2 ФЗ-152: оператор обязан опубликовать документ, определяющий его политику обработки ПДн, и обеспечить к нему неограниченный доступ.»

Шаг 4. Урегулируйте использование GA4 и сторонних трекеров

GA4 трансграничка — один из главных рисков 2025–2026 года для маркетолога. Google Analytics 4 передаёт данные на серверы за пределами России. Если среди этих данных есть идентификаторы, связанные с реальными лицами (в том числе импортированные контакты), — это трансграничная передача ПДн по ст. 12 ФЗ-152.

До начала передачи в страну, не обеспечивающую адекватный уровень защиты ПДн, оператор обязан уведомить РКН. Уведомление подаётся через pd.rkn.gov.ru. Если уведомление не подано — штраф по ч. 10 ст. 13.11 КоАП: 100 000–300 000 ₽. Meta Pixel и аналогичные инструменты создают тот же риск.

Практический вывод: если маркетолог подключает GA4 к продукту, где пользователи авторизуются по номеру телефона или email, — нужно либо настроить серверную аналитику с обезличиванием до передачи, либо подать уведомление о трансграничной передаче в РКН. Ждать проверки не стоит: РКН использует индикаторы риска для автоматического выявления нарушений.

Шаг 5. Разграничьте ответственность в схемах с маркетплейсами

В схеме маркетплейс — продавец вопрос о том, кто оператор ПДн, принципиален. Если покупатель передаёт контактные данные маркетплейсу при оформлении заказа, маркетплейс — оператор. Если продавец самостоятельно собирает контакты через свою форму на странице товара — продавец тоже оператор и несёт самостоятельную ответственность по ст. 13.11 КоАП.

Поручение обработки по п. 3 ст. 6 ФЗ-152 не снимает ответственности с оператора — оно лишь позволяет оператору привлечь обработчика. Если маркетплейс передаёт контакты покупателей продавцу без надлежащего поручения — это нарушение ст. 6 ФЗ-152. Штраф — ч. 1 ст. 13.11, 150 000–300 000 ₽ для каждой из сторон.

«Ст. 6 п. 3 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу с согласия субъекта, если иное не предусмотрено федеральным законом. Поручение должно быть оформлено договором.»

Программы лояльности создают отдельный вопрос: если партнёр программы получает контакты участников — нужен либо прямой договор-поручение, либо отдельное согласие субъекта на передачу третьему лицу. Объединять это согласие с условиями программы с 01.09.2025 нельзя.

Если маркетолог работает в схеме маркетплейс — продавец и не уверен, кто несёт ответственность за контакты покупателей: без договора-поручения оба оператора под риском штрафа по ч. 1 ст. 13.11. Срок: нарушение длящееся, давность — 1 год с момента выявления.

Заказать аудит 152-ФЗ

Шаг 6. Организуйте отзыв согласия и управление email-рассылками

Субъект вправе отозвать согласие в любой момент (ст. 9 ФЗ-152). После отзыва оператор обязан прекратить обработку и уничтожить данные в срок, установленный законом или договором, если иное не предусмотрено другим федеральным законом. Для email-рассылок это означает: ссылка отписки обязательна в каждом письме, отписка должна работать немедленно.

Отзыв подписки — не просто отказ от рассылки. Если согласие охватывало и хранение контакта, и отправку сообщений — после отзыва нужно либо уничтожить контакт, либо перейти на другое правовое основание (например, исполнение договора, если контакт нужен для доставки). Хранение контакта без основания после отзыва — нарушение ч. 1 ст. 13.11 КоАП.

Для реферальных программ с импортом адресной книги: если пользователь отозвал согласие, нужно уничтожить не только его контакт, но и записи о третьих лицах, импортированные с его телефона, если для их хранения не осталось другого основания.

Что подготовить маркетологу до проверки РКН

Отдельные согласия на обработку ПДн (контакты, cookies, рассылки) — по требованиям ст. 9 ФЗ-152 в ред. ФЗ-156, отдельным документом с 01.09.2025
Политика конфиденциальности с перечнем обрабатываемых данных, целями, сроками хранения и порядком отзыва согласия — по ч. 2 ст. 18.1 ФЗ-152
Баннер согласия на cookies с возможностью отказа от нефункциональных категорий — до начала любой аналитики и ретаргетинга
Уведомление РКН о трансграничной передаче, если используются GA4, Meta Pixel или иные зарубежные сервисы — по ст. 12 ФЗ-152
Договор-поручение с маркетплейсом или партнёром программы лояльности по п. 3 ст. 6 ФЗ-152

Как это выглядит на практике

Кейс 1. Интернет-магазин в Сибирском ФО (осень 2025) использовал функцию импорта контактов для реферальной программы. При проверке РКН выяснил: согласие включено в оферту, отдельного документа нет. Нарушение по ч. 2 ст. 13.11 КоАП — обработка без надлежащего согласия. Штраф составил несколько сотен тысяч рублей. После аудита DATUM пакет согласий переоформлен под требования ФЗ-156, реферальный механизм доработан: импорт заменён на «поделиться ссылкой» без доступа к адресной книге.

Кейс 2. Маркетплейс в Центральном ФО (начало 2026) передавал контакты покупателей продавцам без договора-поручения по ст. 6 ФЗ-152. Жалоба субъекта в РКН инициировала внеплановую проверку. Оба участника схемы получили протоколы по ч. 1 ст. 13.11 КоАП. Юристы DATUM подготовили возражения и договор-поручение; для одного участника удалось применить смягчающие обстоятельства и снизить штраф до минимума диапазона. Конкретный номер дела и точная дата уточняются менеджером при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки контактов, cookies и рассылок по 38 пунктам
Комплект ОРД под ключ — согласия, политика, договоры-поручения для e-commerce
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookie-идентификатор позволяет прямо или косвенно идентифицировать пользователя. Изолированный технический cookie без связи с реальным лицом под определение ст. 3 ФЗ-152 не подпадает. Но аналитические и маркетинговые cookie, связанные с авторизованным аккаунтом или профилем, — персональные данные. Обработка без баннера согласия создаёт риск штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица).

2. Можно ли использовать GA4 после ограничений?

Использовать можно при соблюдении двух условий: настроить обезличивание данных до передачи на серверы Google (IP-анонимизация, запрет передачи user_id и телефонов) и подать уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152 через pd.rkn.gov.ru. Если ни одно условие не выполнено — риск ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽ за неуведомление о трансграничной передаче).

3. Кто оператор: маркетплейс или продавец?

Зависит от того, кто определяет цели и способы обработки. Маркетплейс — оператор по данным, которые покупатель вводит при регистрации и оформлении заказа на платформе. Продавец становится самостоятельным оператором, если собирает контакты через собственные формы или получает данные от маркетплейса на основании договора-поручения по п. 3 ст. 6 ФЗ-152. Без такого договора передача данных продавцу — нарушение для обеих сторон.

4. Что грозит за отсутствие баннера cookies?

Отсутствие информирования пользователя и сбор согласия на cookies квалифицируется как обработка ПДн без надлежащего правового основания — ч. 1 ст. 13.11 КоАП. Штраф для юридического лица — 150 000–300 000 ₽. При повторном нарушении по ч. 1.1 — 300 000–500 000 ₽. Дополнительный риск: жалоба пользователя в РКН инициирует внеплановую проверку всей обработки ПДн, не только cookies.

5. Как оформить отзыв подписки по требованиям 152-ФЗ?

Отзыв подписки должен быть немедленным и однократным: одна кнопка или ссылка в письме, без дополнительных шагов подтверждения. После отзыва оператор обязан прекратить отправку немедленно и уничтожить контакт, если для его хранения нет другого правового основания по ст. 6 ФЗ-152. Хранение email после отзыва без основания — нарушение ч. 1 ст. 13.11. Журнал отзывов согласий с датой и способом — обязательный документ для подтверждения соответствия при проверке РКН.

Итог

Контакты в телефоне пользователя — персональные данные с момента импорта. Обработка без отдельного согласия по ФЗ-156, без политики конфиденциальности и без договора-поручения в схеме с маркетплейсом создаёт три независимых основания для штрафов по ст. 13.11 КоАП. GA4 и сторонние трекеры добавляют риск трансграничной передачи по ст. 12 ФЗ-152.

Юристы DATUM сопровождают цифровые продукты и e-commerce по 152-ФЗ: аудит обработки ПДн, сборка ОРД под новые требования ФЗ-156, подготовка уведомлений о трансграничной передаче, защита в арбитраже при штрафе по ст. 13.11 КоАП.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн (позиция РКН), согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.