Маркетплейс ПДн и трансграничка (для Ozon Global)
Маркетплейс Ozon Global позволяет российским продавцам принимать заказы от покупателей за рубежом. Для маркетолога это означает: данные пользователей уходят на серверы за пределами России, а cookies с витрины попадают в GA4 и аналитические пиксели. С 01.07.2025 требования к локализации ужесточились, а ФЗ-420 от 30.11.2024 превратил нарушения в предмет семизначных штрафов. В этой инструкции — последовательный порядок действий: от инвентаризации потоков данных до оформления уведомления РКН о трансграничной передаче и настройки баннера cookies.
Шаг 1. Что считается трансграничной передачей ПДн на маркетплейсе?
Трансграничная передача по ст. 12 ФЗ-152 — это любая передача персональных данных граждан РФ на территорию иностранного государства или иностранной организации. Для маркетплейса это возникает в нескольких точках.
Первая — передача данных покупателя (ФИО, адрес доставки, телефон, email) зарубежному продавцу или логистическому партнёру при оформлении заказа через Ozon Global. Вторая — сбор cookies и идентификаторов браузера через счётчики GA4, Meta Pixel, TikTok Pixel, которые передают данные на серверы Google, Meta и других компаний, зарегистрированных за рубежом. Третья — рассылки через зарубежные ESP (Mailchimp, Klaviyo), обрабатывающие базу подписчиков на иностранных серверах.
Cookies как персональные данные — позиция РКН, действующая с 2022 года: идентификатор устройства в совокупности с поведенческими данными позволяет идентифицировать пользователя, а значит, подпадает под ст. 3 ФЗ-152. Это означает: GA4 на вашем сайте — трансграничная передача ПДн в США, требующая уведомления РКН.
Шаг 2. Определите, кто оператор ПДн: маркетплейс или продавец?
Разграничение ролей — ключевой вопрос для маркетолога, работающего с Ozon Global. Оператор персональных данных по ст. 3 ФЗ-152 — это лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки.
В схеме маркетплейса действуют два оператора. Ozon как платформа — самостоятельный оператор данных покупателей в части регистрации, авторизации, оплаты и логистики. Продавец, размещающий витрину на Ozon Global, — оператор данных покупателей своих товаров в части выполнения заказа, гарантийного обслуживания и собственных рассылок. Если продавец использует на своём лендинге или витрине независимые счётчики (GA4, Pixel), он становится самостоятельным оператором этих потоков данных.
Практическое следствие: продавец на Ozon Global не может переложить ответственность за собственную аналитику и рассылки на платформу. Политика конфиденциальности Ozon не покрывает обработку данных, которую продавец ведёт самостоятельно.
Вы маркетолог и используете GA4 или Meta Pixel на витрине?
GA4 передаёт данные российских пользователей на серверы Google (США) — это трансграничная передача ПДн по ст. 12 ФЗ-152. Без уведомления РКН грозит штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽ за нарушение локализации. Юристы DATUM проверят потоки данных, определят перечень стран передачи и подготовят уведомление РКН.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Проверьте локализацию и уведомите РКН о трансграничной передаче
Локализация по ч. 5 ст. 18 ФЗ-152 — обязанность записывать, систематизировать, накапливать, хранить, уточнять и извлекать персональные данные граждан РФ в базах, физически расположенных на территории России. Это требование действует с 01.09.2015 и ужесточено с 01.07.2025.
Для маркетплейса нарушение локализации возникает, если CRM-система с данными российских покупателей стоит на серверах за рубежом (AWS us-east, Azure westeurope и т. п.) или если ESP хранит базу рассылки только на иностранных серверах без российской реплики. С 30.05.2025 штраф по ч. 8 ст. 13.11 КоАП составляет 1–6 млн ₽ для юрлица, повторное нарушение — 6–18 млн ₽ по ч. 9.
Уведомление о трансграничной передаче подаётся через личный кабинет на pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022 до начала передачи. В уведомлении указываются: страна получателя, категории передаваемых ПДн, наименование и реквизиты иностранного получателя, правовые основания передачи и меры защиты.
Что подготовить перед уведомлением о трансграничной передаче
- Карта потоков данных: перечень стран, куда уходят ПДн, с указанием сервисов (GA4 → США, Klaviyo → США, логистический партнёр → КНР и т. д.)
- Реестр иностранных получателей: наименование, страна регистрации, правовое основание передачи
- Проверка страны по перечню адекватной защиты РКН: страны из перечня — упрощённый порядок; остальные — уведомление + гарантии
- Политика конфиденциальности с разделом о трансграничной передаче и перечнем стран получателей
- Актуальная запись в реестре операторов ПДн (pd.rkn.gov.ru) с отражением трансграничной передачи
Шаг 4. Настройте баннер cookies и политику интернет-магазина
Обработка cookies без информирования пользователя нарушает ст. 10.1 ФЗ-152 (распространение ПДн требует отдельного согласия) и ч. 1 ст. 13.11 КоАП. Баннер cookies — это форма получения согласия на аналитическую и маркетинговую обработку данных.
Требования к баннеру: до первого взаимодействия пользователя с аналитическими скриптами баннер должен предложить выбор между обязательными cookies (необходимы для работы сайта) и необязательными (аналитика, реклама). Молчание не является согласием. Кнопка «Принять всё» должна соседствовать с кнопкой «Отклонить» или «Настроить». Логирование выбора пользователя — обязательно для доказательства согласия при проверке.
Политика конфиденциальности интернет-магазина, работающего через маркетплейс, обязана содержать: перечень категорий ПДн, цели обработки, правовые основания, срок хранения, список третьих лиц (включая GA4, Meta, логистических партнёров), раздел о трансграничной передаче с указанием стран, порядок реализации прав субъекта. По ч. 2 ст. 18.1 ФЗ-152 политика публикуется в открытом доступе на сайте.
Шаг 5. Организуйте email-рассылки и программы лояльности по 152-ФЗ
Email-рассылка покупателям маркетплейса требует двух самостоятельных правовых оснований: согласия на обработку ПДн по ст. 9 ФЗ-152 и согласия на получение рекламы по ст. 18 ФЗ «О рекламе». Это разные согласия с разными реквизитами. Нарушение закона о рекламе подпадает под ФАС; нарушение ФЗ-152 — под РКН и ст. 13.11 КоАП.
С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом — его нельзя встраивать в текст пользовательского соглашения, оферты или политики конфиденциальности. Для программы лояльности это означает: при регистрации карты лояльности согласие на обработку ПДн — отдельная форма с обязательными реквизитами по ст. 9 ФЗ-152 (ФИО, контакты, наименование оператора, цель, перечень данных, срок, способ отзыва).
Отзыв подписки: пользователь вправе отозвать согласие в любой момент. Механизм отзыва — ссылка «Отписаться» в каждом письме плюс форма на сайте. После получения отзыва рассылка прекращается незамедлительно; данные для целей рассылки уничтожаются, если нет иного основания для хранения. Срок ответа на запрос субъекта — 10 рабочих дней по ст. 20 ФЗ-152.
Если в программе лояльности согласия оформлены до 01.09.2025 и встроены в оферту — с этой даты они не соответствуют ФЗ-156. Каждое такое согласие создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM подготовят пакет согласий и обновят ОРД под требования ФЗ-156.
Собрать ОРД под ключКак это применяется на практике
Кейс 1. Интернет-магазин товаров для дома (Уральский ФО, осень 2025) подключил Ozon Global и продолжил использовать GA4 на собственном лендинге без уведомления РКН о трансграничной передаче. При плановой проверке инспектор зафиксировал отсутствие уведомления и отсутствие баннера cookies. Компания получила два протокола: по ч. 8 ст. 13.11 (нарушение локализации) и по ч. 1 ст. 13.11 (обработка без надлежащего основания). Суммарный штраф составил несколько миллионов рублей. После привлечения юристов компания подала уведомление в РКН, настроила consent management platform и добилась снижения штрафа по ч. 1 через применение ст. 4.1.1 КоАП как первичного нарушителя. Номер дела и точные суммы — менеджер уточняет при публикации.
Кейс 2. По делу о нарушении локализации ПДн ритейлером (Центральный ФО, начало 2026) Арбитражный суд региона квалифицировал хранение CRM-базы российских покупателей на серверах в Нидерландах как нарушение ч. 5 ст. 18 ФЗ-152. Компания ссылалась на то, что данные дублируются на российских серверах. Суд принял позицию РКН: первичная запись и систематизация происходили на зарубежном сервере — это нарушение независимо от наличия российской копии. Штраф назначен по ч. 8 ст. 13.11 в диапазоне 1–6 млн ₽. Номер дела — менеджер уточняет при публикации.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка потоков ПДн, cookies, трансграничной передачи
- Комплект ОРД под ключ — политика, согласия, уведомление РКН о трансграничке
- Защита при штрафе в арбитраже — оспаривание протоколов по ч. 8, ч. 1 ст. 13.11
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да. Идентификатор устройства или браузера в совокупности с поведенческими данными (просмотры, клики, история заказов) позволяет идентифицировать конкретного пользователя. Это соответствует определению персональных данных в ст. 3 ФЗ-152. Следовательно, установка любого аналитического скрипта на сайт без информирования пользователя — обработка ПДн без правового основания, нарушение ч. 1 ст. 13.11 КоАП с штрафом 150 000–300 000 ₽ для юрлица.
2. Можно ли использовать GA4 после ужесточения требований?
Использовать GA4 технически можно, но только при выполнении двух условий. Первое — уведомление РКН о трансграничной передаче ПДн в США по ст. 12 ФЗ-152 до начала использования счётчика. Второе — баннер cookies с явным согласием пользователя и возможностью отказаться. Без этих условий каждый сеанс GA4 — нарушение локализации (ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽) и обработка без основания (ч. 1, штраф до 300 000 ₽). Альтернатива — российские счётчики (Яндекс.Метрика), которые хранят данные в России и не требуют уведомления о трансграничке.
3. Кто оператор ПДн: маркетплейс или продавец?
Оба могут быть операторами в разных частях обработки. Ozon — оператор для данных, которые он собирает как платформа (авторизация, оплата, доставка). Продавец на Ozon Global становится самостоятельным оператором, когда использует собственные инструменты: счётчики на витрине, CRM, рассылки покупателям своих заказов. Продавец не вправе ссылаться на политику конфиденциальности Ozon как на покрывающую его собственную обработку. По ст. 18.1 ФЗ-152 каждый оператор обязан иметь собственную политику обработки ПДн.
4. Что грозит за отсутствие баннера cookies?
Отсутствие баннера — это обработка ПДн (cookies) без информирования субъекта и без правового основания, что квалифицируется по ч. 1 ст. 13.11 КоАП: штраф для юрлица 150 000–300 000 ₽. Если cookies используются для таргетированной рекламы или рассылок — дополнительно ч. 2 ст. 13.11 (отсутствие согласия), штраф 300 000–700 000 ₽. При использовании зарубежных счётчиков без уведомления РКН — ч. 8 ст. 13.11, штраф 1–6 млн ₽. Все три состава могут вменяться одновременно.
5. Как оформить отзыв подписки по требованиям 152-ФЗ?
Механизм отзыва согласия должен быть таким же простым, как его дача (ст. 9 ФЗ-152). Для email-рассылки — обязательная ссылка «Отписаться» в каждом письме. После получения отзыва рассылка прекращается незамедлительно; данные, обрабатываемые только для целей рассылки, уничтожаются. Срок ответа на запрос субъекта — 10 рабочих дней по ст. 20 ФЗ-152 с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Факт отзыва и дата фиксируются в журнале обращений субъектов.
6. Нужно ли переоформлять согласия, полученные до 01.09.2025?
Согласия, полученные до 01.09.2025, обратной силы не теряют: ФЗ-156 от 24.06.2025 не предусматривает обязательного переоформления ранее полученных согласий. Однако если вы собираете новые согласия после 01.09.2025 — они обязаны оформляться отдельным документом. Для программ лояльности это означает: форма регистрации, где согласие встроено в текст оферты, после 01.09.2025 не соответствует закону. Новые участники программы требуют отдельного согласия с реквизитами по ст. 9 ФЗ-152.
Итог
Работа через Ozon Global создаёт как минимум три самостоятельных потока трансграничной передачи ПДн: данные покупателей зарубежным партнёрам, аналитика через GA4 и рекламные пиксели, рассылки через зарубежные ESP. Каждый поток требует уведомления РКН, правового основания и технических мер. Отсутствие баннера cookies, устаревшие согласия в оферте, CRM на зарубежном сервере — каждое из этих нарушений с 30.05.2025 грозит штрафом от 150 000 до 6 млн ₽ по разным частям ст. 13.11 КоАП.
DATUM сопровождает продавцов маркетплейсов по ФЗ-152 с 2014 года: карта потоков данных, уведомление РКН о трансграничной передаче, пакет согласий по ФЗ-156, баннер cookies в соответствии с позицией РКН.