аналитика 14 августа 2027 По состоянию на 14 августа 2027

Маркетплейсы как операторы ПДн

Маркетплейс — оператор персональных данных по ст. 3 ФЗ-152 в силу самого факта обработки ПДн покупателей, продавцов и сотрудников. Объём обрабатываемых данных в среднем маркетплейсе — сотни тысяч субъектов, что определяет УЗ-3 или УЗ-2 и повышенный приоритет в реестре проверок РКН.

С 30.05.2025 действует расширенная ст. 13.11 КоАП (ФЗ-420): за повторную утечку — оборотный штраф до 500 млн ₽ (ч. 15). С 01.09.2025 согласия на обработку ПДн — отдельный документ (ФЗ-156). Реестр индикаторов риска РКН включает маркетплейсы как приоритетную группу для внеплановых профвизитов.

→ Если вы юрист маркетплейса и ваша компания ещё не прошла аудит 152-ФЗ — ниже разбираем, чем это грозит и что конкретно нужно привести в порядок.

Маркетплейс обрабатывает ПДн в нескольких ролях одновременно: как оператор в отношении покупателей и продавцов, как работодатель в отношении сотрудников, как агрегатор платёжных данных. Каждая из этих ролей порождает отдельный комплект обязанностей по ФЗ-152. Юрист, сопровождающий маркетплейс, должен разграничивать их, чтобы правильно квалифицировать нарушение и определить риск по ст. 13.11 КоАП. В этом материале разобраны нормы, типичные нарушения и практика 2025–2026 годов.

Какие ПДн обрабатывает маркетплейс и в каком статусе?

Покупатель передаёт маркетплейсу ФИО, адрес доставки, телефон, email, иногда паспортные данные и реквизиты карты. Это общие ПДн, но в совокупности они позволяют точно идентифицировать физическое лицо — что соответствует определению ст. 3 ФЗ-152. Продавец-физическое лицо или ИП передаёт более широкий набор: ИНН, банковские реквизиты, документы для верификации. Для платформы это тоже ПДн по закону.

Маркетплейс выступает оператором в полном смысле ст. 3 ФЗ-152: самостоятельно определяет цели обработки, состав данных, способы их использования. Если привлекается сервис доставки, логистический партнёр или процессинговый агент — они действуют как лица, осуществляющие обработку по поручению (п. 3 ст. 6 ФЗ-152). Разграничение существенно: оператор несёт ответственность за действия поручителя, если тот допустил утечку.

«Ст. 6 ФЗ-152 — обработка ПДн по поручению оператора: ответственность перед субъектом остаётся на операторе. Поручитель несёт ответственность перед оператором по условиям договора поручения.»

Отдельного внимания заслуживают программы лояльности. Накопление истории покупок, поведенческих паттернов, геолокации при доставке — всё это обработка ПДн, которая требует отдельного правового основания сверх договора купли-продажи. По ст. 5 ФЗ-152 цели обработки не могут быть несовместимы: нельзя данные, собранные для доставки заказа, использовать для профилирования под рекламу без дополнительного согласия субъекта.

Что изменилось для маркетплейсов с 2025 года?

Три законодательных изменения напрямую влияют на операционную модель маркетплейса. Первое — ФЗ-420 от 30.11.2024 (действует с 30.05.2025): расширение ст. 13.11 КоАП до 18 частей, введение оборотного штрафа за повторную утечку по ч. 15 — 1–3% совокупной выручки за предшествующий год, не менее 20 млн ₽ и не более 500 млн ₽. Для крупного маркетплейса с оборотом 10 млрд ₽ минимальный оборотный штраф при повторном инциденте составит 100–300 млн ₽.

Второе — ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие на обработку ПДн теперь оформляется отдельным документом. Нельзя встраивать согласие в пользовательское соглашение, оферту или политику конфиденциальности. Маркетплейсы, которые получали согласие через флажок при регистрации с текстом договора, обязаны пересмотреть модель сбора. Ранее полученные согласия переоформлять ретроактивно не требуется — ФЗ-156 обратной силы не имеет, но все новые согласия с 01.09.2025 — только по новым требованиям.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 (с 01.09.2025): согласие субъекта — отдельный документ с перечнем обязательных реквизитов: ФИО, контактные данные субъекта, наименование оператора, цель, перечень ПДн и действий с ними, срок действия, способ отзыва.»

Третье — ужесточение требований к локализации (ФЗ-233). Запись, систематизация и хранение ПДн граждан РФ — только в базах данных на территории России (ч. 5 ст. 18 ФЗ-152). Маркетплейсы, использующие зарубежные облачные сервисы (AWS, GCP, Azure) для хранения профилей российских пользователей, формально нарушают этот запрет. Штраф за нарушение локализации — 1–6 млн ₽ по ч. 8 ст. 13.11, при повторном нарушении — 6–18 млн ₽ по ч. 9.

Ваша компания — маркетплейс с данными сотен тысяч пользователей?

Если вы юрист маркетплейса и ещё не провели аудит после изменений 2025 года — риски по ст. 13.11 КоАП уже накапливаются. Согласия по старой форме, обработка данных без отдельного правового основания для программы лояльности, поручение без договора — каждое из этих нарушений квалифицируется отдельно. Аудит соответствия 152-ФЗ займёт 2–3 недели и покажет реальный риск до проверки РКН, а не после.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как РКН проверяет маркетплейсы: плановые проверки, внеплановые и профвизиты

С момента введения моратория на плановые проверки для малого бизнеса (2022–2024) маркетплейсы как средние и крупные операторы в мораторий не попадали. Реестр операторов ПДн, сформированный по Приказу РКН №180 от 28.10.2022, является исходной базой для составления плана проверок. Операторы, не подавшие уведомление по ст. 22 ФЗ-152 или подавшие с неполными сведениями, входят в первую волну внеплановых проверок.

Индикаторы риска — формализованный перечень оснований для внеплановой проверки. Для маркетплейсов типичные индикаторы: жалобы субъектов на отказ в уничтожении ПДн после закрытия аккаунта, жалобы на нежелательные рассылки без отзыва согласия, публичные сообщения об утечке данных, наличие компании в утечках из баз даркнета по данным мониторинга РКН. Каждый из этих индикаторов запускает административное расследование по ст. 28.7 КоАП.

Профвизит — форма, введённая реформой контроля. Это выездное взаимодействие без составления протокола: инспектор РКН приходит, фиксирует состояние документации, при выявлении нарушений — предписание с разумным сроком устранения. Если нарушение не устранено — переход к административному делу. Маркетплейсы попадают на профвизит при выявлении более двух жалоб субъектов за 12 месяцев или при мониторинге сайта на предмет cookies и политики конфиденциальности.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Форма уведомления — Приказ РКН №180. Срок включения в реестр — 30 дней. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.»

Что подготовить юристу маркетплейса к проверке РКН

Актуальная выписка из реестра операторов ПДн (pd.rkn.gov.ru) с проверкой соответствия реальному составу обрабатываемых данных
Политика обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152: цели, правовые основания, состав данных, сроки хранения, меры защиты
Отдельные согласия субъектов по ст. 9 ФЗ-152 в ред. ФЗ-156 (с 01.09.2025) — для каждой цели обработки, выходящей за рамки исполнения договора
Договоры поручения обработки с каждым подрядчиком (логистика, процессинг, колл-центры) с перечнем действий по п. 3 ст. 6 ФЗ-152
Журнал учёта обращений субъектов с подтверждением ответов в срок 10 рабочих дней по ст. 20 ФЗ-152

Типичные нарушения маркетплейсов и риски по ст. 13.11 КоАП

На основе практики РКН и судов 2025–2026 годов можно выделить четыре устойчивых нарушения. Первое — согласие, встроенное в пользовательское соглашение. До ФЗ-156 это было серой зоной; с 01.09.2025 — прямое нарушение ч. 1 ст. 9 ФЗ-152, квалифицируемое по ч. 2 ст. 13.11 КоАП (штраф 300–700 тыс. ₽ для юрлица).

Второе — отсутствие отдельного правового основания для профилирования. Данные о поведении пользователя на платформе (история кликов, просмотренные товары, время сессий) используются для таргетированной рекламы и рекомендательных алгоритмов. Эти цели несовместимы с целью исполнения договора купли-продажи и требуют отдельного основания по ст. 6 ФЗ-152 — как правило, согласия. Его отсутствие — нарушение ч. 1 ст. 13.11 (штраф 150–300 тыс. ₽).

Третье — cookies без надлежащего согласия. РКН квалифицирует технические идентификаторы пользователя (cookie-файлы, Device ID, fingerprint) как ПДн при наличии возможности привязки к конкретному лицу. Баннер с единственной кнопкой «Принять» без возможности отказа не соответствует требованиям ст. 10.1 ФЗ-152 о распространении ПДн.

Четвёртое — нарушение сроков ответа субъекту. По ст. 20 ФЗ-152 оператор обязан ответить на запрос субъекта в течение 10 рабочих дней. Маркетплейсы с большим трафиком жалоб нередко нарушают этот срок — каждый случай квалифицируется по ч. 4 ст. 13.11 (штраф 40–80 тыс. ₽), а при повторности — по ч. 5.1 (300–500 тыс. ₽).

Как работает обжалование предписания и постановления РКН

Предписание об устранении нарушений РКН выносит по итогам проверки или профвизита. Срок исполнения — указан в предписании, как правило 30–60 дней. Неисполнение предписания в срок — самостоятельный состав правонарушения; квалификация зависит от предмета предписания.

Обжалование постановления о назначении штрафа осуществляется в суд. С 28.12.2025 (ФЗ-508) подсудность дел по ст. 13.11 КоАП возвращена мировым судьям. До 27.12.2025 дела рассматривали арбитражные суды. Это важно для выбора инстанции при подаче жалобы. Срок обжалования постановления — 10 суток с момента вручения (ст. 30.3 КоАП).

«Ст. 4.1 КоАП — при назначении штрафа суд учитывает характер нарушения, степень вины, имущественное положение. Инвестиции в ИБ от 0,1% выручки за 3 года снижают оборотный штраф по ч. 15 ст. 13.11 до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽ (Примечание 3.4-2 к ст. 4.1 КоАП).»

Для микропредприятий и субъектов МСП при первичном нарушении без вреда субъектам возможна замена штрафа на предупреждение по ст. 4.1.1 КоАП. Для оборотных составов (ч. 15, ч. 18) замена на предупреждение не допускается. Крупные маркетплейсы под действие ст. 4.1.1 КоАП не подпадают.

Если маркетплейс получил запрос РКН или уведомление о проверке — важно оценить позицию до первого ответа регулятору. Неверно сформулированный ответ сужает возможности на стадии обжалования. Срок на ответ по запросу РКН — фиксирован, не восстанавливается.

Подготовиться к проверке РКН

Сценарии: как маркетплейс попадает под штраф по ст. 13.11 КоАП

Сценарий 1. Утечка данных покупателей через взломанный подрядчик. Колл-центр маркетплейса допускает неправомерный доступ к базе клиентских данных. В публичном пространстве появляются ФИО и телефоны 50 000 покупателей. РКН возбуждает дело. Утечка — 10 000–100 000 субъектов, квалификация по ч. 13 ст. 13.11, штраф 5–10 млн ₽. Дополнительно — ч. 11 за неуведомление РКН об инциденте в 24 часа (штраф 1–3 млн ₽). Оператор ссылается на вину подрядчика — суд применяет принцип: оператор несёт ответственность за действия лица, осуществляющего обработку по его поручению. Итог: совокупный штраф в сотни тысяч — несколько миллионов рублей плюс репутационный ущерб. Стратегия защиты — доказать наличие договора поручения с перечнем мер, журнала инцидентов и факт оперативного уведомления РКН.

Сценарий 2. Профвизит по жалобам на нежелательные рассылки. Два покупателя подают жалобы в РКН: маркетплейс отправляет рекламные письма после отзыва согласия на рассылку. Инспектор проводит профвизит, запрашивает журнал согласий и историю отписок. Выявляется, что механизм отзыва согласия не отработан технически — часть пользователей продолжает получать письма после подачи заявки на отписку. Квалификация: ч. 5 ст. 13.11 (невыполнение требования субъекта об уничтожении/блокировании ПДн в установленные сроки), штраф 50–90 тыс. ₽ за каждый факт. При повторности — ч. 5.1 (300–500 тыс. ₽). Стратегия: технически исправить механизм отписки до вынесения постановления и представить доказательства устранения.

Сценарий 3. Плановая проверка: отсутствие уведомления в реестре РКН. Маркетплейс работает с 2021 года, уведомление по ст. 22 ФЗ-152 не подавалось. В ходе плановой проверки выясняется, что компании нет в реестре операторов. Квалификация по ч. 10 ст. 13.11 — штраф 100–300 тыс. ₽. Дополнительно: проверяется реальный состав обрабатываемых данных и соответствие документации. Отсутствие политики конфиденциальности — ч. 3 ст. 13.11 (30–60 тыс. ₽). Итого: несколько составов одновременно. Стратегия минимизации: подать уведомление в РКН немедленно после обнаружения пробела, разработать документацию — это влияет на размер штрафа через характер нарушения.

Публичная практика. В деле, рассмотренном арбитражным судом в начале 2026 года (дело № А40-263126/2025), платформа допустила утечку 26 млн записей. Штраф составил 150 000 ₽ — минимальный по ч. 1 ст. 13.11 в старой редакции, поскольку инцидент произошёл до 01.06.2025. Этот кейс показывает: нормы, действовавшие до ФЗ-420, не предусматривали пропорционального штрафа. С 30.05.2025 аналогичный инцидент квалифицировался бы по ч. 14 ст. 13.11 — штраф 10–15 млн ₽, а при повторности — оборотный по ч. 15.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документации, уведомления, договоров поручения и технических мер
Сопровождение проверок РКН — подготовка, представительство, обжалование предписания
Защита при штрафе в арбитраже — оспаривание протокола и постановления, применение ст. 4.1 КоАП

Частые вопросы

1. Как подготовиться к проверке РКН маркетплейсу?

Подготовка начинается с проверки статуса в реестре операторов ПДн на pd.rkn.gov.ru: компания должна быть включена, а сведения о составе обрабатываемых данных — соответствовать действительности. Далее — ревизия документации: политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, согласия субъектов по ст. 9 ФЗ-152 в ред. с 01.09.2025, договоры поручения с подрядчиками по п. 3 ст. 6 ФЗ-152, журнал обращений субъектов. Отдельно — проверка технических мер по уровню защищённости (ПП РФ №1119) и реализованности мер по Приказу ФСТЭК №21.

2. Какие индикаторы риска РКН применяет к маркетплейсам?

К типичным индикаторам риска, влекущим внеплановую проверку или профвизит, относятся: две и более жалобы субъектов за 12 месяцев, публичное сообщение об утечке данных, выявление компании в утечках при мониторинге даркнета, отсутствие в реестре операторов ПДн при видимой обработке данных (например, форма регистрации на сайте), а также нарушение обязанности уведомить РКН об инциденте в 24 часа по ч. 3.1 ст. 21 ФЗ-152.

3. Можно ли отказаться отвечать на запрос РКН?

Отказ предоставить сведения по запросу РКН в рамках проверки — самостоятельное нарушение, квалифицируемое по ст. 19.7 КоАП (непредставление сведений государственному органу). Оператор вправе запросить уточнение оснований проверки и её предмета, однако уклоняться от предоставления запрошенных документов не следует. Юрист оценивает законность запроса — в частности, соответствие предмета запроса основаниям проверки по Приказу РКН №180. Несоответствие — аргумент для обжалования, а не основание для молчания.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания РКН в установленный срок влечёт административную ответственность по ст. 19.5 КоАП — штраф для юридических лиц до 500 тыс. ₽ за каждый факт неисполнения. Кроме того, неисполнение предписания является отягчающим обстоятельством при рассмотрении основного дела по ст. 13.11 КоАП. Предписание можно обжаловать в судебном порядке в течение 3 месяцев (ст. 219 КАС РФ); до вступления судебного акта в силу срок исполнения может быть приостановлен по ходатайству.

5. Куда обжаловать постановление РКН о штрафе по ст. 13.11?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление обжалуется в районный суд по месту нахождения органа, вынесшего постановление, в течение 10 суток с момента вручения (ст. 30.3 КоАП). Аргументы защиты: отсутствие состава нарушения, малозначительность (ст. 2.9 КоАП), применение ст. 4.1.1 КоАП для субъектов МСП при первичном нарушении, доказательство инвестиций в ИБ для снижения оборотного штрафа по Примечанию 3.4-2 к ст. 4.1 КоАП.

Итог

Маркетплейс как оператор ПДн несёт полную ответственность за обработку данных покупателей, продавцов и подрядчиков. ФЗ-420 с 30.05.2025, ФЗ-156 с 01.09.2025 и усиление контроля РКН через индикаторы риска сделали соответствие 152-ФЗ обязательным элементом операционного управления, а не факультативным комплаенсом. Оборотный штраф при повторной утечке и уголовная ответственность по ст. 272.1 УК для физических лиц — это риски, которые юрист обязан конвертировать в конкретные задачи для IT-команды и HR-службы.

Практика DATUM по 152-ФЗ охватывает цифровые платформы и маркетплейсы: аудит, разработку политик и согласий, подготовку к проверкам РКН, сопровождение административных дел по ст. 13.11 КоАП и обжалование постановлений.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики для маркетплейсов.

14 августа 2027 года