Перейти к содержанию
аналитика 21 января 2027 По состоянию на 21 января 2027

Маркетплейсы услуг (YouDo, Profi.ru)

Маркетплейс услуг — оператор персональных данных исполнителей и заказчиков одновременно. Обработка данных двух сторон сделки без надлежащего правового основания — нарушение ст. 6 ФЗ-152 по каждому субъекту.
С 30.05.2025 штраф за утечку от 10 000 субъектов — от 5 до 10 млн ₽ по ч. 13 ст. 13.11 КоАП. Повторная утечка включает оборотный штраф: 1–3% выручки, не менее 20 млн ₽ (ч. 15). Маркетплейсы с агрегатами скоринга подпадают под ст. 16 ФЗ-152 об автоматизированных решениях — и под требования ФЗ-218 о кредитных историях.
→ Если вы финансовый директор платформы и считаете бюджет на комплаенс — стоимость аудита соответствия 152-ФЗ кратно ниже минимального штрафа по ч. 12.

Маркетплейсы услуг — YouDo, Profi.ru и аналогичные платформы — работают в зоне повышенного регуляторного внимания с 2025 года. Они собирают паспортные данные, ИНН, банковские реквизиты, геолокацию, рейтинги и иногда биометрию исполнителей. Параллельно обрабатывают платёжные данные заказчиков. Роскомнадзор квалифицирует такие платформы как операторов, которые обрабатывают ПДн в целях, выходящих за рамки типового договора возмездного оказания услуг. Ниже — анализ правового положения маркетплейсов услуг, типовые нарушения и арифметика рисков для финансового директора.

Какие категории персональных данных собирают маркетплейсы услуг?

Маркетплейс услуг обрабатывает данные двух групп субъектов: исполнителей (самозанятые, ИП, физические лица) и заказчиков. Перечень данных исполнителя, как правило, шире и включает паспортные данные, ИНН, данные о банковском счёте для выплат, адрес, телефон, фотографию, профессиональные навыки и документы об образовании. Ряд платформ верифицирует исполнителей по биометрии — изображению лица. Это переводит обработку в категорию биометрических ПДн по ст. 11 ФЗ-152, для которой требуется отдельное письменное согласие.

Данные заказчика включают имя, телефон, адрес выполнения работ, платёжные реквизиты. Если платформа хранит историю заказов и использует её для формирования рекомендаций или отказа в обслуживании — возникает зона регулирования ст. 16 ФЗ-152 об автоматизированных решениях.

«Ст. 11 ФЗ-152: биометрические ПДн (в том числе изображение лица) обрабатываются только при наличии письменного согласия субъекта, за исключением случаев, прямо предусмотренных законом. Отсутствие такого согласия — самостоятельный состав нарушения.»

Отдельного внимания заслуживает хранение данных о рейтинге исполнителя, отзывах и инцидентах. Если рейтинг формируется алгоритмически и влияет на получение заказов — это автоматизированное решение с правовыми последствиями для субъекта. Такая обработка требует раскрытия логики алгоритма по запросу исполнителя (ст. 16 ФЗ-152).

Какое правовое основание для обработки данных на маркетплейсе?

Ключевой вопрос для финансового директора: за счёт какого правового основания платформа обрабатывает ПДн и не возникнет ли дыра в комплаенсе при расширении функциональности. Ст. 6 ФЗ-152 перечисляет 11 оснований. Для маркетплейса услуг типично используются три.

Первое — исполнение договора (п. 5 ч. 1 ст. 6): обработка ПДн, необходимых для оказания услуги посредничества. Охватывает имя, телефон, адрес, банковские реквизиты для выплат. Не охватывает биометрию, расширенный профиль, маркетинговые рассылки.

Второе — согласие субъекта (п. 1 ч. 1 ст. 6): для всего, что выходит за рамки договора. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом и не может быть встроено в пользовательское соглашение, оферту или политику конфиденциальности. Каждая цель обработки — отдельный блок согласия.

Третье — законный интерес (п. 7 ч. 1 ст. 6): применим ограниченно. РКН не признаёт его универсальным основанием для коммерческих платформ. Использование без надлежащего обоснования создаёт риск нарушения ч. 1 ст. 13.11 КоАП — штраф 150 000 – 300 000 ₽.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие субъекта на обработку ПДн оформляется отдельным документом. Объединение согласия с договором или политикой конфиденциальности — основание для признания согласия недействительным.»

Платформа использует старые формы согласий?

Если пользовательское соглашение маркетплейса содержит встроенное согласие на обработку ПДн — с 01.09.2025 оно не соответствует ФЗ-156. Каждое несоответствующее согласие создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. При числе пользователей в сотни тысяч — это системный риск. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как маркетплейсы услуг попадают под регулирование ФЗ-218, ЕБС и скоринга?

Платформы с финансовым посредничеством — встроенный эквайринг, рассрочка исполнителям, авансирование заказов — неизбежно сближаются с финансовым регулированием. Это создаёт три пересечения с профильными нормами.

ФЗ-218 о кредитных историях. Если платформа запрашивает кредитную историю исполнителя при регистрации или периодически — требуется согласие субъекта в специальной форме, предусмотренной ФЗ-218. Срок хранения записей о таких запросах — 7 лет. Запрос в БКИ без надлежащего согласия — нарушение и ФЗ-218, и ст. 6 ФЗ-152.

Ст. 16 ФЗ-152 — автоматизированные решения и скоринг. Если платформа рассчитывает скоринговый балл исполнителя и на его основании принимает решение о допуске к заказам или ранжировании — субъект вправе потребовать раскрытия логики и оспорить решение. Отсутствие механизма оспаривания — нарушение ч. 2 ст. 16 ФЗ-152.

ФЗ-572 и ЕБС. Если верификация исполнителей проводится через Единую биометрическую систему (ГИС ЕБС) с использованием изображения лица — платформа обязана соблюдать требования ФЗ-572. Хранение биометрических данных вне ЕБС с 01.06.2023 запрещено. Нарушение — состав по ч. 16 ст. 13.11 КоАП. Отказать пользователю в регистрации только потому, что он не предоставил биометрию, — нарушение ч. 8 ст. 14.8 КоАП.

«Ч. 8 ст. 14.8 КоАП: отказ потребителю в обслуживании по причине отсутствия биометрии в ЕБС — административное правонарушение. Штраф для юридического лица — до 500 000 ₽.»

115-ФЗ и идентификация. Платформы с платёжными сервисами, выплачивающие исполнителям более 15 000 ₽ в месяц через собственный кошелёк, обязаны соблюдать требования об идентификации по 115-ФЗ. Это означает хранение копий документов и историй операций в соответствии с требованиями Росфинмониторинга — и параллельную обработку ПДн, которая должна иметь правовое основание в ФЗ-152.

Что проверить финансовому директору маркетплейса услуг

  • Наличие уведомления в реестре операторов ПДн на pd.rkn.gov.ru с актуальными целями обработки и перечнем категорий данных
  • Соответствие форм согласий требованиям ст. 9 ФЗ-152 в редакции ФЗ-156: отдельный документ, отдельная цель — с 01.09.2025
  • Наличие правового основания для каждого вида обработки: договор, согласие, законный интерес с документированным обоснованием
  • Процедура реагирования на автоматизированные решения по ст. 16 ФЗ-152 (скоринг, рейтинг, блокировка аккаунта)
  • Порядок уведомления РКН об инциденте: 24 часа на первичное уведомление, 72 часа на отчёт (Приказ РКН №187)

Какие сценарии нарушений типичны для маркетплейсов услуг?

Сценарий 1. Согласие встроено в оферту — проверка РКН. Платформа собирала согласие на обработку ПДн в составе пользовательского соглашения. После 01.09.2025 такая форма не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. При плановой или внеплановой проверке РКН фиксирует нарушение по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — 300 000 – 700 000 ₽. При числе субъектов свыше 10 000 параллельно возникает риск квалификации по ч. 13, если в ходе проверки выявлен факт утечки данных.

Доказательства нарушения: скриншот пользовательского соглашения с датой последнего изменения до 01.09.2025. Стратегия: переработать форму согласия до получения предписания, направить уведомление об изменении сведений в РКН по Приказу №180.

Сценарий 2. Скоринг исполнителей без раскрытия логики. Платформа автоматически снижает рейтинг исполнителей на основании алгоритма, включающего жалобы, скорость ответа и геолокацию. Исполнитель подаёт запрос на раскрытие логики по ст. 16 ФЗ-152. Платформа не предусмотрела механизм ответа. Срок ответа субъекту — 10 рабочих дней по ст. 20 ФЗ-152. Нарушение срока — штраф по ч. 4 ст. 13.11 КоАП (40 000 – 80 000 ₽), отказ раскрыть логику при наличии правовых последствий — самостоятельное нарушение.

Стратегия: описать в политике обработки ПДн принципы формирования рейтинга, назначить ответственного за обработку обращений субъектов по ст. 22.1 ФЗ-152, зафиксировать процедуру в регламенте.

Сценарий 3. Биометрическая верификация вне ЕБС. Платформа запустила верификацию исполнителей через собственный модуль распознавания лиц. Данные хранятся на серверах платформы, не интегрированных с ГИС ЕБС. С 01.06.2023 это нарушение ФЗ-572. РКН фиксирует нарушение по ч. 16 ст. 13.11 КоАП. Параллельно: если платформа заблокировала аккаунты исполнителей, не прошедших верификацию, — нарушение ч. 8 ст. 14.8 КоАП (до 500 000 ₽).

Исход: совокупность составов существенно увеличивает суммарный штраф. Стратегия: перейти на интеграцию с ЕБС через АО «Центр Биометрических Технологий» или отказаться от биометрической верификации в пользу альтернативных способов идентификации.

Если финансовый директор видит в бюджете статью штрафов по ст. 13.11 как гипотетическую строку — с 30.05.2025 это реальная арифметика: ч. 13 за утечку от 10 000 субъектов — 5–10 млн ₽, ч. 14 за утечку от 100 000 — 10–15 млн ₽. Стоимость аудита соответствия 152-ФЗ — от 100 000 ₽.

Заказать аудит 152-ФЗ

Как маркетплейс попадает под оборотный штраф по ч. 15 ст. 13.11?

Оборотный штраф применяется при повторном нарушении, связанном с утечкой ПДн, если компания ранее привлекалась по ч. 12–14, 16–18 или 15 ст. 13.11 КоАП. Для маркетплейса с базой в сотни тысяч субъектов — это реалистичный сценарий уже при втором инциденте.

Размер оборотного штрафа: 1–3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за быструю уплату по ст. 32.2 КоАП на оборотный штраф не распространяется.

Единственная законная возможность снизить оборотный штраф — инвестиции в информационную безопасность. По ст. 4.1 КоАП: при документально подтверждённых вложениях в ИБ от 0,1% совокупной выручки за последние три года штраф по ч. 15 снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Для платформы с выручкой 500 млн ₽ разница между 50 млн ₽ и 500 млн ₽ — вопрос документированных расходов на ИБ.

«Ч. 15 ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025): повторная утечка ПДн — оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Ст. 4.1 КоАП примечание 3.4-2: при инвестициях в ИБ ≥ 0,1% выручки за три года — снижение до 1/10 минимума, но не менее 15 млн ₽.»

Как это работает на практике

Кейс 1. Платформа агрегации бытовых услуг (Центральный ФО, 2025) с базой около 80 000 исполнителей. После взлома API утекли ФИО, телефоны и реквизиты карт части исполнителей. Платформа не направила уведомление РКН в течение 24 часов — нарушение ч. 3.1 ст. 21 ФЗ-152 и Приказа РКН №187. Арбитражный суд региона назначил штраф по ч. 11 ст. 13.11 (неуведомление об утечке) — в диапазоне 1–3 млн ₽ — плюс отдельный штраф по ч. 13 за объём утечки. Финансовый директор обратился в DATUM после получения протокола. Юристы оспорили оба постановления: по ч. 11 добились снижения на основании ст. 4.1 КоАП, по ч. 13 применили ст. 4.1.1 в части первичности нарушения. Итоговая сумма составила около трети первоначально предъявленной.

Кейс 2. Маркетплейс профессиональных услуг (Северо-Западный ФО, осень 2025) внедрил скоринг исполнителей с использованием данных из БКИ. Согласие на запрос в БКИ было встроено в оферту. После жалобы исполнителя РКН провёл внеплановую проверку и зафиксировал два нарушения: отсутствие отдельного согласия по ФЗ-218 и нарушение ст. 9 ФЗ-152 (согласие не оформлено отдельным документом). Штраф составил несколько сотен тысяч рублей по совокупности. Параллельно исполнитель подал гражданский иск о компенсации морального вреда. ⚠️ Конкретные номера дел и точные суммы — менеджер верифицирует перед публикацией.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать исполнителю в регистрации, если он не предоставил биометрию?

Нет. Ч. 8 ст. 14.8 КоАП запрещает отказывать потребителю в обслуживании по причине отсутствия биометрии в ЕБС. Штраф для юридического лица — до 500 000 ₽. Биометрическая верификация может быть предложена как опция, но не как обязательное условие регистрации или получения заказов.

2. Что грозит маркетплейсу за утечку данных исполнителей?

Размер штрафа зависит от объёма утечки. По ч. 12 ст. 13.11 КоАП (от 1 000 до 10 000 субъектов) — 3–5 млн ₽. По ч. 13 (от 10 000 до 100 000) — 5–10 млн ₽. По ч. 14 (более 100 000) — 10–15 млн ₽. Дополнительно — штраф по ч. 11 за несвоевременное уведомление РКН (1–3 млн ₽). При повторной утечке включается оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽.

3. На каком правовом основании банк или платформа обрабатывает данные клиента?

Для обработки, необходимой для исполнения договора, — основание п. 5 ч. 1 ст. 6 ФЗ-152 (достижение целей договора). Для обработки сверх этого — согласие субъекта по ст. 9 ФЗ-152, оформленное с 01.09.2025 отдельным документом. Запрос в БКИ требует специального согласия по ФЗ-218 независимо от наличия общего согласия по 152-ФЗ.

4. Где хранится биометрия исполнителей — на серверах платформы или в ЕБС?

По ФЗ-572, с 01.06.2023 исходные биометрические данные должны храниться исключительно в ГИС ЕБС (оператор — АО «Центр Биометрических Технологий»). Хранение биометрии на собственных серверах платформы — нарушение, квалифицируемое по ч. 16 ст. 13.11 КоАП. Платформа вправе получать результат верификации из ЕБС, но не хранить исходные данные.

5. Как исполнитель может оспорить автоматизированное решение о снижении рейтинга?

По ст. 16 ФЗ-152 субъект вправе потребовать раскрытия логики автоматизированного решения и его пересмотра. Платформа обязана предусмотреть такой механизм и ответить в течение 10 рабочих дней (ст. 20 ФЗ-152). Если решение принято исключительно на основании автоматизированной обработки и влечёт правовые последствия — субъект вправе требовать участия человека в принятии окончательного решения.

Итог

Маркетплейсы услуг обрабатывают ПДн в нескольких правовых режимах одновременно: договорном, биометрическом, финансовом. Каждый режим создаёт собственные основания для нарушений и штрафов. С 30.05.2025 суммарный потенциал санкций по ст. 13.11 КоАП для платформы с базой от 100 000 субъектов начинается от 10 млн ₽ за однократную утечку и не ограничен 500 млн ₽ при повторении.

DATUM сопровождает маркетплейсы и финтех-платформы в части 152-ФЗ с момента проектирования обработки ПДн до защиты в арбитраже. Аудит соответствия — от 100 000 ₽, срок — 2–3 недели.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по ФЗ-218, скоринг и автоматизированные решения по ст. 16 ФЗ-152, биометрия в ЕБС (ФЗ-572), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

Есть вопрос по 152-ФЗ для маркетплейса или финтех-платформы?

Заказать аудит 152-ФЗ

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram