Маркетплейс и 1С: интеграция и ПДн
Интеграция маркетплейса с 1С решает операционные задачи: синхронизация остатков, автоматическое создание заказов, передача данных покупателей в учётную систему. Но с точки зрения 152-ФЗ каждый из этих процессов — обработка персональных данных, которая требует правового основания, соответствующих документов и технических мер защиты. В этой инструкции — шесть шагов, которые позволяют привести интеграцию в соответствие с законом и минимизировать риски проверки РКН.
Шаг 1. Определите, кто является оператором персональных данных
Первый и часто самый спорный вопрос — кто несёт ответственность за персональные данные покупателей: маркетплейс или продавец на нём. Ответ зависит от того, кто и с какой целью определяет состав обрабатываемых данных.
Маркетплейс — оператор в части данных, которые он собирает для работы платформы: регистрация, идентификация, оформление заказа, программа лояльности. Продавец — оператор в части данных, которые он получает от маркетплейса для исполнения заказа: имя, адрес доставки, контактный телефон. Когда продавец передаёт эти данные в 1С — он осуществляет самостоятельную обработку и несёт ответственность наравне с маркетплейсом.
Практический вывод: продавец на маркетплейсе обязан подать уведомление в РКН по ст. 22 ФЗ-152 самостоятельно — даже если маркетплейс уже включён в реестр операторов. Отсутствие уведомления при фактической обработке данных в 1С — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.
Что проверить: есть ли у вашей компании уведомление в реестре операторов ПДн на pd.rkn.gov.ru; соответствуют ли заявленные цели обработки тем, что реально передаются в 1С.
Шаг 2. Проверьте правовое основание для передачи данных из маркетплейса в 1С
Передача данных покупателя из маркетплейса в 1С продавца — это предоставление персональных данных третьему лицу по смыслу ст. 3 ФЗ-152. Для неё нужно правовое основание.
Основание, которое чаще всего применяется — исполнение договора с покупателем (п. 5 ч. 1 ст. 6 ФЗ-152). Покупатель заказывает товар у продавца через маркетплейс; чтобы исполнить заказ, продавец должен получить адрес доставки и контактные данные. Это легитимное основание, если объём переданных данных соответствует цели — исполнению заказа.
Проблема возникает, когда в 1С вместе с данными заказа передаётся избыточная информация: история всех заказов покупателя на платформе, его поведенческий профиль, данные программы лояльности маркетплейса. Это уже выходит за рамки исполнения конкретного договора и требует отдельного согласия субъекта по ст. 9 ФЗ-152.
Если интеграция настроена так, что в 1С попадает весь массив данных из API маркетплейса без фильтрации — это нарушение принципа минимизации, которое фиксируется при проверке РКН как отдельное основание для протокола.
Не уверены, что передаёте в 1С только то, что нужно?
Маркетологи и разработчики настраивают интеграцию под функциональные задачи — без оглядки на состав данных. РКН при проверке смотрит именно на избыточность: что реально идёт в 1С против того, что заявлено в политике. Юристы DATUM проведут аудит интеграции и выдадут список полей, которые нужно исключить или закрыть согласием.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Шаг 3. Оформите поручение на обработку персональных данных
Если для интеграции используется сторонний сервис — коннектор, middleware, облачный ETL — он становится лицом, осуществляющим обработку по поручению оператора в соответствии с п. 3 ч. 1 ст. 6 ФЗ-152. Без надлежащего оформления поручения оператор несёт ответственность за все действия подрядчика с данными.
Поручение должно быть частью договора с подрядчиком или отдельным соглашением. В нём фиксируются: состав передаваемых данных, цели обработки, перечень разрешённых действий, обязанность обеспечить конфиденциальность, порядок уничтожения данных после завершения работ. Стандартная оговорка в публичной оферте SaaS-сервиса поручением не является.
Это правило применяется и к отечественным, и к зарубежным подрядчикам. Если коннектор между маркетплейсом и 1С — российский SaaS, который хранит промежуточные данные на своих серверах, — поручение обязательно. Если сервис хранит данные за рубежом — дополнительно требуется уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152.
Практический шаг: запросите у вашего интеграционного подрядчика договор с условиями поручения на обработку ПДн. Если его нет — либо дополните договор соответствующим разделом, либо подпишите отдельное соглашение.
Шаг 4. Как правильно использовать cookies и GA4 при работе маркетплейса
Cookies, которые маркетплейс или интернет-магазин устанавливает на устройстве пользователя, являются персональными данными по позиции РКН: cookie-идентификатор в связке с IP-адресом и поведенческими данными позволяет идентифицировать конкретного пользователя. Обработка таких данных требует согласия субъекта.
Баннер cookies — не опциональный элемент дизайна, а обязательный инструмент сбора согласия. Он должен появляться до установки аналитических, маркетинговых и персонализационных cookies. Технически необходимые cookies (сессия, корзина) согласия не требуют. Отсутствие баннера при фактической установке аналитических cookies — нарушение ч. 1 или ч. 2 ст. 13.11 КоАП, штраф для юрлица от 150 000 до 700 000 ₽.
GA4 передаёт данные на серверы Google за пределами РФ. Это трансграничная передача персональных данных по ст. 12 ФЗ-152. До передачи в страну без адекватной защиты оператор обязан уведомить РКН. США не входят в перечень стран с адекватной защитой. При использовании GA4 без уведомления о трансграничной передаче и без соответствующего раздела в политике конфиденциальности — оператор нарушает ст. 12 ФЗ-152 и рискует получить предписание об ограничении доступа к данным.
Что делать с GA4: подать уведомление о трансграничной передаче в РКН; добавить в политику конфиденциальности раздел о передаче данных Google LLC; настроить режим согласия (Consent Mode v2) так, чтобы аналитические теги не срабатывали без явного согласия пользователя.
Шаг 5. Проверьте согласия для email-рассылок и программ лояльности
Email-рассылки по базе покупателей маркетплейса — отдельный вид обработки персональных данных. Основание — согласие субъекта. С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку персональных данных должно быть отдельным документом: его нельзя объединять с пользовательским соглашением, офертой или политикой конфиденциальности.
Программы лояльности маркетплейсов собирают расширенный профиль: история покупок, предпочтения, дата рождения, поведенческие паттерны. Каждая категория данных и каждая цель обработки должны быть прямо указаны в согласии. Если согласие оформлено в момент регистрации как единый «я согласен» под всё — после 01.09.2025 такое согласие не отвечает требованиям ст. 9 ФЗ-152.
Отзыв подписки на рассылку — право субъекта, которое должно реализовываться без барьеров. Ссылка «Отписаться» в нижней части письма обязательна. После отзыва согласия данные субъекта должны быть исключены из рассылочной базы в течение разумного срока. Хранение данных после отзыва для продолжения рассылки — нарушение ст. 21 ФЗ-152.
Если маркетолог использует единую базу подписчиков, собранную до 01.09.2025, и не переоформил согласия — каждое письмо из такой базы создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Юристы DATUM подготовят комплект согласий под рассылки и программу лояльности с учётом требований ФЗ-156.
Заказать аудит 152-ФЗШаг 6. Подготовьте организационно-распорядительную документацию
Технические меры защиты данных в интеграции бессмысленны без соответствующего ОРД. Роскомнадзор при проверке запрашивает документы, а не описание архитектуры. Для маркетплейса и интернет-магазина с интеграцией 1С минимальный пакет включает: политику обработки персональных данных (ч. 2 ст. 18.1 ФЗ-152), согласия на обработку для каждой цели, приказ о назначении ответственного по ст. 22.1 ФЗ-152, соглашение о поручении обработки с интеграционным подрядчиком, журнал обращений субъектов.
Политика конфиденциальности интернет-магазина или маркетплейса должна описывать реальную архитектуру обработки: какие данные собирает сайт, какие передаются в 1С, какие — аналитическим сервисам, кто является обработчиком по поручению. Шаблонные тексты из интернета не отражают фактическую обработку и при проверке работают против оператора.
Что подготовить для соответствия 152-ФЗ при интеграции с 1С
- Уведомление в реестре операторов ПДн на pd.rkn.gov.ru с актуальными целями и составом данных
- Политика конфиденциальности с описанием передачи данных в 1С и в аналитические сервисы (GA4, Meta Pixel и др.)
- Отдельные согласия на рассылки и программу лояльности по требованиям ФЗ-156 (с 01.09.2025)
- Договор-поручение на обработку ПДн с интеграционным подрядчиком и облачными сервисами
- Уведомление РКН о трансграничной передаче (при использовании GA4, зарубежных CRM, облачных сервисов)
Как это работает на практике
Кейс 1. Маркетолог крупного интернет-магазина (Уральский ФО, весна 2025) обнаружил при внутреннем аудите, что интеграция с 1С передаёт весь профиль покупателя из маркетплейса — включая историю просмотров и оценки товаров. Компания не имела отдельных согласий на такую обработку и не включила этот вид обработки в уведомление РКН. После консультации с юристами были исключены избыточные поля из API-запроса, обновлена политика конфиденциальности, подано изменение к уведомлению. Плановая проверка РКН в третьем квартале 2025 года не выявила нарушений по этому основанию.
Кейс 2. Продавец на маркетплейсе (Северо-Западный ФО, осень 2025) вёл рассылку по базе покупателей, сформированной через интеграцию с 1С. Согласия субъектов на рассылку не были оформлены отдельным документом — они входили в текст пользовательского соглашения маркетплейса. РКН возбудил дело по ч. 2 ст. 13.11 КоАП. Компания привлечена к ответственности со штрафом в сотни тысяч рублей. Смягчающим обстоятельством стало то, что компания самостоятельно приостановила рассылку до вынесения постановления.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка интеграции маркетплейс/1С по чек-листу из 38 пунктов
- Комплект ОРД под ключ — политика, согласия, поручение на обработку, приказы
- Защита при штрафе в арбитраже — обжалование протокола по ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции РКН — да, если cookie-идентификатор в связке с IP-адресом или поведенческими данными позволяет прямо или косвенно идентифицировать пользователя. Технически необходимые cookies (сессия, корзина) согласия не требуют. Аналитические, маркетинговые и персонализационные cookies обрабатываются только с согласия субъекта, которое должно быть получено до их установки — через баннер cookies на сайте. Правовое основание — ст. 3 и ст. 9 ФЗ-152.
2. Можно ли использовать GA4 после ограничений?
Использование GA4 не запрещено законом напрямую, но требует выполнения ряда условий. Передача данных на серверы Google в США — трансграничная передача по ст. 12 ФЗ-152. Оператор обязан уведомить РКН до начала такой передачи. Кроме того, необходимо настроить Consent Mode v2 так, чтобы аналитические теги не срабатывали без согласия пользователя, и отразить передачу данных Google в политике конфиденциальности. Без этих мер использование GA4 создаёт риски по ч. 1 ст. 13.11 КоАП и ст. 12 ФЗ-152.
3. Кто является оператором: маркетплейс или продавец?
Оба. Маркетплейс — оператор в части данных, которые он собирает для работы платформы. Продавец — оператор в части данных, которые он получает от маркетплейса для исполнения заказа и которые обрабатывает в 1С. Продавец обязан самостоятельно подать уведомление в РКН по ст. 22 ФЗ-152 и обеспечить выполнение всех требований 152-ФЗ применительно к своей обработке. Тот факт, что маркетплейс включён в реестр операторов, продавца не освобождает.
4. Что грозит за отсутствие баннера cookies?
Если сайт устанавливает аналитические или маркетинговые cookies без согласия пользователя — это обработка персональных данных без надлежащего правового основания. По ч. 1 ст. 13.11 КоАП (в редакции с 30.05.2025) штраф для юрлица составляет от 150 000 до 300 000 ₽. Если при этом отсутствует и письменное согласие в смысле ст. 9 ФЗ-152 — возможна квалификация по ч. 2 ст. 13.11 КоАП с штрафом до 700 000 ₽.
5. Как оформить отзыв подписки на рассылку?
Ссылка «Отписаться» в каждом письме — обязательный минимум. После перехода по ссылке субъект должен быть исключён из рассылочной базы без дополнительных действий (без подтверждения кодом, без звонка). Одновременно в 1С и CRM должны быть обновлены признаки согласия. Хранить данные после отзыва согласия для целей рассылки нельзя — это нарушение ст. 21 ФЗ-152. Если данные нужны для других целей (исполнение договора, бухгалтерия) — они хранятся на отдельном правовом основании, не связанном со согласием на рассылку.
6. Нужно ли переоформлять согласия, полученные до 01.09.2025?
По ФЗ-156 от 24.06.2025 новые требования к форме согласия не имеют обратной силы: переоформлять согласия, полученные до 01.09.2025, не обязательно. Однако если старое согласие объединено с договором или офертой и его нельзя однозначно идентифицировать как отдельный документ — при проверке РКН это может быть квалифицировано как отсутствие надлежащего согласия. При обновлении форм регистрации или переподписке целесообразно использовать новый формат.
Итог
Интеграция маркетплейса с 1С — это не только техническая, но и правовая задача. Шесть шагов, описанных в этой инструкции, закрывают основные риски: неправильное определение оператора, избыточный состав передаваемых данных, отсутствие поручения обработчику, нарушения при использовании cookies и GA4, устаревшие согласия на рассылки и пробелы в ОРД.
Практика DATUM включает сопровождение маркетплейсов и интернет-магазинов при подготовке к проверкам РКН, разработку политик конфиденциальности с учётом реальной архитектуры обработки и защиту по ст. 13.11 КоАП в арбитражных судах.