Перейти к содержанию
инструкция 14 января 2029 По состоянию на 14 января 2029

Маркетплейс vs продавец: кто оператор

Оператор персональных данных по ст. 3 ФЗ-152 — тот, кто определяет цели и способы обработки. На маркетплейсе это чаще всего сама платформа, но при прямой коммуникации с покупателем продавец становится самостоятельным оператором.
За нарушение принципов обработки — штраф до 300 000 ₽ по ч. 1 ст. 13.11 КоАП; при повторности — до 500 000 ₽. Если маркетплейс передаёт данные покупателей продавцу без надлежащего поручения — обе стороны рискуют получить протокол РКН.
Если вы маркетолог и не знаете, от чьего имени собираются cookies и чьё согласие стоит в форме рассылки — прочитайте эту инструкцию и разберите свою ситуацию по шагам.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 — 18 частей вместо прежних семи. Маркетплейсы и продавцы на них оказались в зоне повышенного внимания РКН: cookies считаются персональными данными по позиции регулятора, GA4 создаёт риски трансграничной передачи, а email-рассылки без двойного opt-in дают основание для проверки. Эта инструкция разбирает, как определить оператора в схеме маркетплейс — продавец, что нужно сделать маркетологу до запуска следующей кампании и как не попасть под штраф.

Шаг 1. Определите, кто фактически решает — как и зачем обрабатывать данные покупателя

Закон не привязывает статус оператора к тому, чей логотип стоит на витрине. Оператор — тот, кто самостоятельно или совместно с другими определяет цели обработки персональных данных (ст. 3 ФЗ-152). На крупном маркетплейсе это означает следующее.

Маркетплейс собирает данные при регистрации, оформлении заказа и поведенческих событиях (просмотры, корзина, клики). Он определяет: зачем нужны эти данные — для исполнения договора, для рекомендательного алгоритма, для рекламного таргетинга. Следовательно, маркетплейс — оператор в полном смысле ст. 3 ФЗ-152.

Продавец на маркетплейсе получает часть данных покупателя — имя, адрес доставки, телефон — для исполнения заказа. Если продавец использует эти данные только для сборки и отгрузки, он действует как лицо, осуществляющее обработку по поручению маркетплейса (п. 3 ст. 6 ФЗ-152). Если продавец начинает слать покупателям собственные рассылки, вести свою CRM с историей покупок или передавать данные третьим сервисам — он становится самостоятельным оператором со всеми вытекающими обязанностями.

«Ст. 3 ФЗ-152: оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ними.»

Практический тест для маркетолога: задайте три вопроса. Первый — кто решает, какие данные собирать? Второй — кто определяет, для чего они будут использованы? Третий — кто определяет, кому они будут переданы? Тот, кто отвечает на все три — оператор. Тот, кто только исполняет чужие инструкции — обработчик по поручению.

Не уверены, оператором или обработчиком является ваша компания в схеме с маркетплейсом?

Неправильная квалификация роли означает неправильный пакет документов. Маркетолог без юридического статуса оператора не обязан уведомлять РКН — но если РКН решит иначе, протокол придёт без предупреждения. Ошибка в квалификации обнаруживается только на проверке, а не до неё. Юристы DATUM проводят аудит обработки ПДн по чек-листу из 38 пунктов, включая анализ договорной схемы с маркетплейсом.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Проверьте договор с маркетплейсом на наличие поручения на обработку

Если продавец действует как обработчик по поручению маркетплейса, это должно быть закреплено в договоре (п. 3 ст. 6 ФЗ-152). Поручение должно содержать: перечень действий с данными, которые разрешено совершать; цель обработки; обязанность соблюдать конфиденциальность; требование к уничтожению данных после исполнения поручения.

Оферта маркетплейса, как правило, содержит раздел о персональных данных покупателей. Проверьте три момента. Первый — явно ли указано, что платформа поручает обработку, а не просто предоставляет доступ к данным. Второй — ограничен ли перечень операций (только доставка, только уточнение заказа — или также маркетинг?). Третий — есть ли требование уничтожить данные после исполнения заказа или после расторжения договора с маркетплейсом.

Если договор не содержит поручения — продавец де-факто получает данные без надлежащего правового основания. Это нарушение ч. 1 ст. 13.11 КоАП: обработка в случаях, не предусмотренных законом. Штраф для юридического лица — 150 000–300 000 ₽.

«П. 3 ст. 6 ФЗ-152: обработка ПДн по поручению оператора осуществляется на основании договора. Лицо, осуществляющее обработку по поручению, обязано соблюдать принципы и правила обработки, установленные ФЗ-152.»

Если продавец ведёт свою собственную программу лояльности и собирает данные напрямую — он обязан самостоятельно уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) и иметь собственный пакет документов: политику обработки, согласия, приказ о назначении ответственного.

Шаг 3. Разберитесь с cookies — считаются ли они персональными данными на вашем сайте?

Позиция РКН: cookies, которые позволяют идентифицировать конкретного пользователя (в связке с IP-адресом, устройством, историей браузера), относятся к персональным данным. Это означает, что сбор cookies без согласия пользователя нарушает ч. 1 ст. 6 ФЗ-152 — обработка допустима только при наличии правового основания.

Для маркетинговых cookies (ретаргетинг, аналитика поведения, передача в рекламные сети) единственное законное основание — согласие субъекта по ст. 9 ФЗ-152. С 01.09.2025 согласие должно быть отдельным документом: его нельзя включить в пользовательское соглашение или политику конфиденциальности (ФЗ-156 от 24.06.2025).

На практике это означает: баннер cookies — не элемент UX, а юридически обязательный инструмент получения согласия. Баннер должен содержать перечень категорий cookies, цель обработки, информацию о третьих сторонах (рекламных сетях, аналитических сервисах), способ отзыва согласия. Если баннера нет или он информационный (без возможности отказа) — это нарушение.

«Ч. 6 ст. 13.11 КоАП (в ред. с 30.05.2025): несоблюдение условий хранения материальных носителей при неавтоматизированной обработке, если это повлекло неправомерный доступ, — штраф для юрлица 50 000–100 000 ₽. Но основной риск за сбор cookies без согласия — ч. 1 ст. 13.11, до 300 000 ₽.»

Что проверить на сайте интернет-магазина или маркетплейса прямо сейчас

  • Баннер cookies присутствует на всех страницах и даёт возможность отказаться от маркетинговых cookies
  • Политика конфиденциальности опубликована, содержит раздел о cookies и третьих сторонах (GA4, Meta Pixel, Яндекс.Метрика)
  • Форма подписки на рассылку содержит отдельный чекбокс согласия на маркетинговые коммуникации (не предзаполненный)
  • Договор с маркетплейсом содержит поручение на обработку ПДн покупателей с ограниченным перечнем операций
  • Компания включена в реестр операторов РКН (pd.rkn.gov.ru) или обоснованно освобождена от уведомления

Шаг 4. Оцените риски GA4 и трансграничной передачи данных

Google Analytics 4 передаёт данные о поведении пользователей на серверы Google за рубежом. РКН квалифицирует это как трансграничную передачу персональных данных. Требования ст. 12 ФЗ-152: до передачи в страну, не обеспечивающую адекватную защиту ПДн, оператор обязан уведомить РКН.

США в перечень стран с адекватной защитой не входят. Это означает: использование GA4 без уведомления о трансграничной передаче — потенциальное нарушение. Уведомление подаётся через личный кабинет на pd.rkn.gov.ru. В нём указываются: страна-получатель, правовое основание передачи, перечень передаваемых данных, цель.

Параллельно с уведомлением нужно убедиться, что в политике конфиденциальности прямо указано: данные передаются в США (или иную страну), в рамках какого сервиса, на каком основании. Пользователь должен иметь техническую возможность отказаться от передачи — через настройки баннера cookies.

Яндекс.Метрика формально локализована в РФ, однако проверьте настройки конкретного аккаунта: если включена передача данных в рекламные инструменты Яндекса за пределами РФ — ситуация аналогична GA4.

Если маркетолог использует GA4 и не подавал уведомление о трансграничной передаче — риск протокола по ст. 13.11 существует уже сейчас. Исправить это можно за 5–10 рабочих дней. Юристы DATUM соберут документы по трансграничной передаче и подадут уведомление в РКН.

Заказать аудит 152-ФЗ

Шаг 5. Настройте отзыв согласия и процедуру удаления данных по запросу

Субъект вправе в любой момент отозвать согласие на обработку ПДн (ч. 2 ст. 9 ФЗ-152). Для маркетолога это означает конкретные технические и организационные требования. Ссылка «Отписаться» в письме — необходимый элемент, но недостаточный. Нужна также возможность отозвать согласие на cookies через баннер, возможность запросить удаление аккаунта и всех связанных данных, и процедура, по которой это запрос будет исполнен в срок 10 рабочих дней (ст. 20 ФЗ-152 с возможностью продления на 5 рабочих дней при уведомлении субъекта).

Типичная ошибка интернет-магазинов: кнопка «Удалить аккаунт» удаляет профиль в интерфейсе, но данные остаются в CRM, в email-сервисе, в рекламных аудиториях. После отзыва согласия оператор обязан прекратить обработку и уничтожить данные — или обезличить их, если есть иное законное основание хранить запись.

Для программ лояльности ситуация сложнее: согласие на маркетинговые коммуникации и согласие на участие в программе — два разных документа с разными целями. Отзыв первого не означает автоматического прекращения второго, и наоборот.

«Ст. 9 ч. 2 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025): согласие на обработку ПДн оформляется отдельным документом. Субъект вправе отозвать согласие, направив письменное требование оператору. Оператор вправе продолжить обработку при наличии иного законного основания.»

Как разграничение ролей работает на практике: три сценария

Сценарий 1. Крупный маркетплейс и продавец без собственной CRM. Маркетплейс — оператор, продавец — обработчик по поручению. Продавец получает имя, адрес, телефон для отгрузки. Допустимая операция: распечатать накладную, передать курьеру. Недопустимая операция: загрузить телефон в WhatsApp-рассылку или в таргетированную рекламу ВКонтакте. Если продавец это делает — он становится самостоятельным оператором без уведомления РКН и без надлежащего согласия. Риск: ч. 1 ст. 13.11 КоАП, 150 000–300 000 ₽.

Сценарий 2. Интернет-магазин с GA4 и без баннера cookies. Покупатель заходит на сайт, GA4 фиксирует сессию и передаёт данные на серверы Google. Согласия на cookies нет. Параллельно — уведомление о трансграничной передаче в РКН не подавалось. На плановой проверке или по жалобе покупателя РКН возбуждает дело по двум основаниям: отсутствие согласия на обработку (ч. 1 ст. 13.11) и ненадлежащая трансграничная передача (ч. 8 ст. 13.11, но применяется при нарушении локализации; для трансграничной передачи — ч. 1). Маркетолог, который внедрял GA4, оказывается в объяснениях к протоколу как лицо, принявшее техническое решение. Стратегия: до начала проверки подать уведомление, разместить корректный баннер, обновить политику конфиденциальности.

Сценарий 3. Продавец запускает программу лояльности через маркетплейс. Продавец предлагает накопительные баллы покупателям маркетплейса, собирает email напрямую через форму на карточке товара. Это — самостоятельная обработка ПДн с отдельной целью (программа лояльности). Продавец обязан: уведомить РКН, иметь отдельное согласие с указанием цели «программа лояльности», предусмотреть отзыв согласия. Если маркетплейс не знает об этой форме — поручения нет, и продавец действует вне договорной схемы. Риск: ч. 2 ст. 13.11 КоАП (обработка без надлежащего согласия), 300 000–700 000 ₽.

Кейс 1. Интернет-магазин одежды (Приволжский ФО, весна 2025) использовал Meta Pixel для ретаргетинга без баннера cookies и без уведомления о трансграничной передаче. После жалобы пользователя РКН провёл внеплановую проверку и возбудил административное дело по ч. 1 ст. 13.11 КоАП. Маркетолог компании в письменных объяснениях указал, что не знал о требованиях к cookies. Суд назначил штраф в диапазоне минимального порога по ч. 1. Магазин одновременно получил предписание разместить баннер и опубликовать политику с разделом о трансграничной передаче.

Кейс 2. Продавец на крупном маркетплейсе (Центральный ФО, осень 2025) вёл собственную базу email-адресов покупателей — собранных через форму на карточке товара — и отправлял еженедельные рассылки. Договор с маркетплейсом не содержал поручения на такую обработку. РКН по индикатору жалоб от покупателей возбудил дело по ч. 2 ст. 13.11 (обработка без надлежащего согласия). Штраф составил сотни тысяч рублей. После вынесения постановления продавец прошёл аудит и оформил самостоятельный пакет ОРД.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если они позволяют идентифицировать конкретного пользователя в совокупности с другими данными (IP-адрес, устройство, история сессий). Это означает, что сбор маркетинговых и аналитических cookies требует отдельного согласия по ст. 9 ФЗ-152. Технические cookies, необходимые для работы сайта (сессионные, корзина), согласия не требуют — они обрабатываются на основании п. 5 ст. 6 ФЗ-152 (исполнение договора).

2. Можно ли использовать GA4 после ограничений?

Использование GA4 не запрещено прямо, но создаёт два юридических риска: трансграничная передача данных в США без уведомления РКН (ст. 12 ФЗ-152) и сбор cookies без надлежащего согласия. Чтобы работать законно, нужно: подать уведомление о трансграничной передаче в РКН, разместить корректный баннер cookies с возможностью отказа от аналитических cookies, обновить политику конфиденциальности с указанием Google LLC как третьей стороны-получателя данных. Альтернатива — переход на Яндекс.Метрику с локализованным хранением данных.

3. Кто оператор: маркетплейс или продавец?

Маркетплейс — оператор в отношении данных, которые он собирает и использует самостоятельно (регистрация, оформление заказа, таргетинг, рекомендации). Продавец — обработчик по поручению, если использует данные только для исполнения заказа в рамках договора с маркетплейсом. Продавец становится самостоятельным оператором, если ведёт свою CRM, запускает рассылки, создаёт программы лояльности — то есть определяет собственные цели обработки ПДн покупателей.

4. Что грозит за отсутствие баннера cookies?

За обработку ПДн (cookies) без правового основания (согласия) — ч. 1 ст. 13.11 КоАП: штраф для юридического лица 150 000–300 000 ₽, при повторности по ч. 1.1 — 300 000–500 000 ₽. Если cookies передаются за рубеж (GA4, Meta Pixel) — дополнительный риск по ч. 1 за нарушение требований трансграничной передачи. РКН выявляет отсутствие баннера как по жалобам пользователей, так и в ходе плановых проверок по индикаторам риска.

5. Как оформить отзыв подписки?

Ссылка «Отписаться» в письме прекращает только email-рассылку. Полный отзыв согласия на обработку ПДн в маркетинговых целях требует: прекращения всех видов обработки по данному согласию (рассылки, ретаргетинг, передача в рекламные аудитории), уничтожения данных или их обезличивания, если нет иного законного основания хранить запись. Срок исполнения — 10 рабочих дней с момента обращения субъекта (ст. 20 ФЗ-152), с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Форма отзыва — в произвольной письменной форме; электронное обращение через личный кабинет или email приравнивается к письменному.

6. Нужно ли продавцу уведомлять РКН, если он работает только через маркетплейс?

Если продавец обрабатывает данные исключительно в рамках поручения от маркетплейса и не ведёт самостоятельной обработки — уведомлять РКН как самостоятельный оператор не нужно. Но если продавец ведёт свою CRM, базу рассылок или программу лояльности — он обязан уведомить РКН до начала такой обработки (ст. 22 ФЗ-152). Неуведомление — ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽.

Итог

Разграничение ролей между маркетплейсом и продавцом — не формальность, а основа для всего пакета документов по 152-ФЗ. Если роль определена неверно, согласия, политика и поручение окажутся составленными под неправильный субъект — и не защитят ни одну из сторон на проверке РКН. Маркетолог, который внедряет GA4, запускает рассылки или программы лояльности, несёт фактическую ответственность за корректность правовой базы этих инструментов.

Практика DATUM в e-commerce охватывает аудит договорных схем с маркетплейсами, подготовку баннеров cookies, уведомления о трансграничной передаче и защиту от протоколов по ст. 13.11 КоАП в редакции ФЗ-420.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов.

14 января 2029 года