инструкция 13 января 2029 По состоянию на 13 января 2029

Маркетплейс и СБИС

Маркетплейс, использующий СБИС для учёта и ЭДО, обрабатывает персональные данные покупателей, продавцов и курьеров — и несёт ответственность оператора по ФЗ-152 в полном объёме.

С 30.05.2025 штраф за утечку от 1 000 субъектов составляет от 3 до 5 млн ₽ (ч. 12 ст. 13.11 КоАП); за повторную утечку — оборотный штраф до 500 млн ₽ (ч. 15). Cookies сайта приравниваются к ПДн по позиции РКН — без баннера согласия это отдельное нарушение.

Если вы маркетолог маркетплейса и не знаете, где в связке с СБИС возникают риски по 152-ФЗ — этот материал даёт пошаговый план устранения.

Маркетплейсы работают в связке с десятками сервисов: СБИС для документооборота и CRM, GA4 для аналитики, email-платформы для рассылок, пикселі соцсетей для ретаргетинга. Каждая интеграция создаёт отдельный поток ПДн и отдельный риск по ст. 13.11 КоАП. В 2024 году РКН зафиксировал 135 случаев компрометации баз данных с объёмом свыше 710 млн записей. С 30.05.2025 за каждую из этих утечек наступает ответственность по новым нормам. Ниже — конкретные шаги, которые закроют основные риски в связке «маркетплейс + СБИС».

Шаг 1. Определите, кто оператор в связке «маркетплейс — СБИС — продавец»

Статус оператора ПДн определяет ст. 3 ФЗ-152: оператор — тот, кто самостоятельно или совместно с другими определяет цели обработки. В связке маркетплейс + СБИС возникают сразу три субъекта.

Маркетплейс собирает данные покупателей (ФИО, адрес, телефон, история заказов) и передаёт их в СБИС для выставления счетов и ЭДО. СБИС в этой схеме выступает обработчиком по поручению оператора (п. 3 ст. 6 ФЗ-152) — но только при наличии письменного договора поручения с перечнем разрешённых действий. Без договора СБИС де-факто самостоятельный оператор, и маркетплейс теряет контроль над цепочкой данных.

Продавцы-партнёры маркетплейса получают данные покупателей для выполнения заказов. Если маркетплейс передаёт им ФИО и адрес — это либо поручение обработки (нужен договор), либо передача третьему лицу (нужно основание из ст. 6 ФЗ-152 или согласие покупателя).

«Ст. 6 п. 3 ФЗ-152 — обработка по поручению оператора допустима только при наличии договора, который содержит перечень действий и цели обработки. Оператор несёт ответственность перед субъектом за действия обработчика.»

Практическое следствие: если СБИС хранит данные на серверах за рубежом или передаёт их партнёрам без ведома маркетплейса — ответственность всё равно лежит на маркетплейсе как операторе. Арбитражные суды подтверждают: утечка через подрядчика не освобождает оператора от штрафа.

Не уверены, правильно ли оформлена передача данных в СБИС?

Если маркетолог обнаружил, что договор с СБИС не содержит перечня разрешённых действий с ПДн — это типичное нарушение ч. 1 ст. 13.11 КоАП со штрафом 150 000–300 000 ₽. Юристы DATUM проверят договоры с подрядчиками и подготовят корректное поручение на обработку.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Настройте cookies-баннер и разберитесь с GA4 как трансграничной передачей

Cookies сайта маркетплейса — персональные данные по позиции РКН, если они позволяют идентифицировать пользователя (идентификаторы браузера, история действий, рекламные идентификаторы). Обработка без согласия — нарушение ч. 6 ст. 13.11 КоАП. Штраф для юрлица составляет 50 000–100 000 ₽ за первичное нарушение.

Баннер cookies должен содержать: информацию о целях использования, ссылку на политику конфиденциальности, явную кнопку согласия и возможность отказа. Молчаливое продолжение просмотра не является согласием по ст. 9 ФЗ-152 — согласие должно быть информированным и добровольным. С 01.09.2025 ФЗ-156 ужесточил требования: согласие оформляется отдельным документом, не объединяется с пользовательским соглашением.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта на обработку ПДн должно быть оформлено отдельным документом с обязательными реквизитами: ФИО субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

GA4 передаёт данные на серверы Google в США — страну без адекватного уровня защиты ПДн по перечню РКН. По ст. 12 ФЗ-152 трансграничная передача в такую страну требует уведомления РКН до начала передачи. Если маркетплейс использует GA4 и не подавал уведомление — это самостоятельное нарушение. После 01.07.2025 первичная запись ПДн российских граждан должна происходить в базах на территории РФ (ч. 5 ст. 18 ФЗ-152). GA4 с сохранением данных на зарубежных серверах без российского зеркала противоречит этому требованию.

Альтернатива: использовать Яндекс.Метрику с серверной обработкой и хранением в РФ, настроить GA4 в режиме минимизации данных или подать уведомление РКН о трансграничной передаче с обоснованием.

Как настроить политику конфиденциальности интернет-магазина под СБИС?

Политика конфиденциальности маркетплейса должна отражать реальную архитектуру обработки данных — включая СБИС. Требования к содержанию политики установлены ч. 2 ст. 18.1 ФЗ-152. Отсутствие опубликованной политики — штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽ для юрлица).

В политике для маркетплейса, работающего со СБИС, должны быть отражены следующие блоки:

Что включить в политику маркетплейса со СБИС

Перечень категорий обрабатываемых ПДн: покупатели (ФИО, адрес, телефон, email, история заказов), продавцы-партнёры (ИНН, паспорт, банковские реквизиты), сотрудники службы доставки
Цели обработки по каждой категории: исполнение договора купли-продажи, ЭДО через СБИС, маркетинговые коммуникации — каждая цель отдельно
Перечень третьих лиц — получателей ПДн: СБИС (обработчик по поручению), курьерские службы, банки-эквайеры, рекламные платформы
Порядок обработки cookies: типы, цели, срок хранения, ссылка на механизм отзыва согласия
Порядок реализации прав субъектов: контакт для запросов, срок ответа — 10 рабочих дней по ст. 20 ФЗ-152 (с возможностью продления до +5 рабочих дней)

Политика размещается на сайте в открытом доступе — как правило, в подвале. Ссылка должна быть доступна с любой страницы. СБИС при интеграции с сайтом получает доступ к данным через API: это должно быть описано в разделе «Третьи лица» с указанием правового основания (договор поручения).

Шаг 3. Проверьте программы лояльности и email-рассылки на соответствие ст. 9 ФЗ-152

Программа лояльности маркетплейса обычно собирает расширенный набор ПДн: дату рождения, пол, геолокацию, историю покупок. Обработка этих данных для маркетинговых целей требует отдельного согласия — согласие на участие в программе лояльности не объединяется с согласием на рассылку по позиции РКН.

Email-рассылки: согласие на получение рекламных сообщений требуется по ст. 18 ФЗ «О рекламе» (отдельно от согласия на обработку ПДн). Двойное подтверждение (double opt-in) снижает риск жалоб. Каждое письмо должно содержать ссылку на отписку — и эта отписка должна реально работать: блокировка в системе рассылок без передачи в СБИС создаёт расхождение баз, что фиксируется при проверке РКН.

«Ст. 10.1 ФЗ-152 — распространение ПДн (в том числе для маркетинга) допустимо только при наличии отдельного согласия субъекта. Молчание или бездействие субъекта согласием не является.»

Как оформить отзыв подписки корректно: при нажатии «Отписаться» — запись в журнал отзыва согласия с датой и источником, передача флага в СБИС (если ПДн хранятся там) и в систему рассылок. Хранить сам факт отзыва нужно — это доказательство при проверке РКН.

Если маркетолог использует рассылки и СБИС, но согласия оформлены в одном документе с пользовательским соглашением — с 01.09.2025 это основание для штрафа по ч. 2 ст. 13.11 (300 000–700 000 ₽). Юристы DATUM приведут пакет согласий в соответствие с ФЗ-156.

Собрать ОРД под ключ

Шаг 4. Настройте реагирование на инциденты: 24 и 72 часа

Маркетплейс хранит данные сотен тысяч покупателей. Утечка от 1 000 субъектов — уже ч. 12 ст. 13.11 КоАП, штраф 3–5 млн ₽. Утечка от 10 000 субъектов — ч. 13, 5–10 млн ₽. От 100 000 субъектов — ч. 14, 10–15 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

По ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187 от 14.11.2022 при обнаружении инцидента с ПДн оператор обязан уведомить РКН в течение 24 часов (первичное уведомление) и представить отчёт о результатах внутреннего расследования в течение 72 часов. Срок отсчитывается с момента обнаружения — не с момента подтверждения масштабов. Неуведомление или нарушение сроков — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

Для маркетплейса, работающего со СБИС: если инцидент затронул СБИС (как обработчика), маркетплейс всё равно обязан уведомить РКН — ответственность оператора не делегируется обработчику. Порядок взаимодействия при инцидентах должен быть прописан в договоре поручения: СБИС обязан уведомить маркетплейс об инциденте немедленно, чтобы оператор успел в 24-часовой срок.

Как это применяется на практике

Кейс 1. Маркетплейс товаров для дома (Сибирский ФО, осень 2025) использовал СБИС для выставления актов продавцам и хранил в нём ФИО, ИНН и банковские реквизиты партнёров. При плановой проверке РКН инспектор запросил договор поручения с СБИС. Договора не было — обработка квалифицирована по ч. 1 ст. 13.11 КоАП, назначен штраф. Параллельно обнаружено отсутствие политики конфиденциальности с разделом о третьих лицах — дополнительный протокол по ч. 3 ст. 13.11.

Кейс 2. Маркетплейс fashion-сегмента (Центральный ФО, весна 2026) получил предписание РКН по итогам внеплановой проверки, инициированной жалобой покупателя на рекламную рассылку без возможности отписаться. Проверка выявила: согласие на рассылку совмещено с пользовательским соглашением (нарушение ч. 2 ст. 13.11 в редакции ФЗ-156), баннер cookies отсутствует на мобильной версии сайта (нарушение ч. 6 ст. 13.11). Совокупный штраф составил сотни тысяч рублей. После устранения нарушений и повторного аудита компания прошла проверку без замечаний.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всей архитектуры обработки ПДн маркетплейса, включая интеграции с СБИС, GA4 и рекламными платформами
Комплект ОРД под ключ — политика конфиденциальности, согласия, договоры поручения, журналы — полный пакет документов
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1.1 для смягчения

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookies позволяют идентифицировать пользователя: рекламные идентификаторы, история действий, идентификатор браузера. Формально ФЗ-152 относит к ПДн любую информацию, прямо или косвенно относящуюся к определённому физическому лицу (ст. 3 ФЗ-152). Обработка таких cookies без согласия образует состав по ч. 6 ст. 13.11 КоАП. Технические cookies, необходимые для работы сайта, согласия не требуют — но их перечень должен быть обоснован.

2. Можно ли использовать GA4 после ограничений?

Использовать GA4 можно, но с ограничениями. Передача ПДн российских пользователей на серверы Google в США — трансграничная передача в страну без адекватной защиты. Это требует уведомления РКН по ст. 12 ФЗ-152 до начала передачи. С 01.07.2025 первичная запись и накопление ПДн граждан РФ должны происходить в базах на территории РФ (ч. 5 ст. 18 ФЗ-152). Минимальный риск-снижающий шаг — настроить анонимизацию IP, исключить передачу идентифицирующих параметров и направить уведомление о трансграничной передаче в РКН.

3. Кто оператор: маркетплейс или продавец?

Как правило, маркетплейс — первичный оператор: он собирает ПДн покупателей и определяет цели обработки. Продавец получает данные от маркетплейса и обрабатывает их в своих целях (исполнение заказа, возврат) — в этой части он самостоятельный оператор. Маркетплейс несёт ответственность за передачу ПДн продавцу: нужно либо основание по ст. 6 ФЗ-152, либо согласие покупателя, либо оформление договора поручения, если маркетплейс контролирует цели.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies при использовании аналитических и рекламных cookies — нарушение требований к согласию субъекта по ст. 9 ФЗ-152. Штраф по ч. 6 ст. 13.11 КоАП для юрлица — 50 000–100 000 ₽. Если нарушение выявляется в рамках более широкой проверки, оно суммируется с другими составами. Для маркетплейса с большой аудиторией отсутствие баннера также означает отсутствие доказательной базы согласий при жалобах субъектов.

5. Как оформить отзыв подписки?

Отзыв согласия на рассылку оформляется через ссылку «отписаться» в письме или через личный кабинет. По ст. 9 ФЗ-152 отзыв согласия — право субъекта, которое оператор обязан обеспечить без дополнительных условий. При отзыве: зафиксировать дату и источник в журнале, передать флаг в систему рассылок и в СБИС (если ПДн хранятся там). Продолжение рассылки после отзыва — нарушение ст. 10.1 ФЗ-152 и ст. 18 ФЗ «О рекламе» с риском штрафа и жалобы в РКН.

Итог

Связка «маркетплейс + СБИС» создаёт несколько параллельных рисков по 152-ФЗ: отсутствие договора поручения с СБИС, cookies без баннера, GA4 без уведомления о трансграничной передаче, согласия на рассылку в составе пользовательского соглашения. Каждый из этих рисков — самостоятельный состав по ст. 13.11 КоАП. После 30.05.2025 совокупность нарушений при утечке может привести к оборотному штрафу.

Юристы DATUM сопровождают маркетплейсы от аудита архитектуры обработки ПДн до защиты в арбитраже при получении протокола РКН. Практика по 152-ФЗ с 2014 года.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.

13 января 2029 года