инструкция 21 октября 2024 По состоянию на 21 октября 2024

Машиночитаемая политика

Машиночитаемая политика конфиденциальности — структурированный документ, который браузер, трекер или CMP-платформа читают автоматически: формат P3P, JSON-LD или специальный блок в robots.txt с указанием URL политики обработки данных.

В РФ прямого требования о машиночитаемости нет, но Роскомнадзор в ходе проверок анализирует сайт автоматически и фиксирует отсутствие баннера cookies и корректной ссылки на политику — это основание для протокола по ч. 3 ст. 13.11 КоАП (до 60 000 ₽) или по ч. 6 ст. 13.11 (за cookies без согласия). GA4 передаёт данные на серверы Google — это трансграничная передача, требующая уведомления РКН.

Если вы директор по маркетингу и сайт собирает cookies, работает с GA4 или Яндекс.Метрикой — разберитесь с политикой сейчас, пока РКН не пришёл с проверкой.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: за неправомерную обработку — до 300 000 ₽, за отсутствие согласия на cookies — до 700 000 ₽ при повторности. Для интернет-магазина, маркетплейса или SaaS-продукта машиночитаемая политика — не технический каприз, а элемент доказательной базы: она подтверждает, что оператор действительно уведомил пользователя до сбора данных. Ниже — пошаговый порядок, как привести политику в соответствие за один рабочий цикл.

Шаг 1. Проверьте, какие данные реально собирает сайт

Прежде чем писать политику, зафиксируйте факты: какие скрипты запущены на сайте, что они передают и куда. Для интернет-магазина типичный набор: пиксели Meta и VK, Google Tag Manager с GA4, Яндекс.Метрика, CRM-виджеты и чат-боты. Каждый из них собирает как минимум IP-адрес и идентификатор браузера — по позиции РКН это персональные данные.

Инструменты для аудита: браузерные DevTools (вкладка Network), расширения типа Ghostery или uBlock Origin в режиме логирования, а также сканер cookies. Зафиксируйте: название скрипта, домен назначения, передаваемые параметры, наличие или отсутствие согласия пользователя до запуска скрипта.

«Ст. 6 ФЗ-152 — обработка ПДн допустима при наличии правового основания. Для cookies и счётчиков аналитики основание — согласие субъекта по п. 1 ч. 1 ст. 6. Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие оформляется отдельным документом с обязательными реквизитами.»

Результат шага: таблица скриптов с указанием основания обработки. Без этого документа политика будет формальной — РКН при проверке сравнивает реальный трафик сайта с декларируемым в политике.

Шаг 2. Определите структуру машиночитаемого документа

Машиночитаемость политики достигается через несколько технических решений. В российской практике применяются два основных: JSON-LD-разметка на странице политики и структурированный блок в robots.txt. Международный стандарт P3P устарел и браузерами не поддерживается.

JSON-LD для политики конфиденциальности размещается в теге <script type="application/ld+json"> на странице /privacy-policy/ или /politika-konfidentsialnosti/. Минимальный набор полей Schema.org PrivacyPolicy: @type, name, datePublished, dateModified, url, publisher. Это позволяет поисковым роботам и CMP-платформам автоматически определять актуальность документа.

Второй элемент — ссылка в robots.txt: строка Privacy-Policy: https://example.ru/politika/. Не является стандартом RFC, но поддерживается рядом CMP-сервисов и автоматических сканеров РКН. Третий элемент — тег <link rel="privacy-policy" href="/politika/"> в секции <head> каждой страницы.

Сайт работает, но политики нет или она устарела?

Если вы директор по маркетингу и последний раз обновляли политику конфиденциальности больше года назад — проверьте соответствие требованиям ФЗ-152 до первого запроса РКН. После 01.09.2025 все согласия должны быть отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152. Исправить это до проверки дешевле, чем после: аудит обходится от 100 000 ₽, штраф по ч. 1 ст. 13.11 — до 300 000 ₽, при повторном нарушении — до 500 000 ₽.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Пропишите разделы политики под каждый канал сбора

Политика интернет-магазина структурно делится по каналам: форма заказа, cookies и аналитика, программы лояльности, email-рассылки, чат-виджеты, ретаргетинг. Для каждого канала — отдельный подраздел с указанием: что собирается, на каком основании, кому передаётся, как долго хранится, как отозвать согласие.

Раздел по cookies обязан различать категории: технические (session, CSRF-token) — без согласия, аналитические и маркетинговые — с согласия. GA4 и Яндекс.Метрика относятся к аналитическим. Meta Pixel и пиксели ретаргетинга — к маркетинговым. Это разграничение напрямую влияет на настройку CMP-баннера.

Раздел по GA4 должен содержать: наименование оператора Google LLC, адрес серверов обработки (США, ЕС), правовое основание — согласие по п. 1 ч. 1 ст. 6 ФЗ-152, указание на трансграничный характер передачи по ст. 12 ФЗ-152 и уведомление РКН о такой передаче. Без последнего пункта политика формально неполна.

«Ст. 12 ФЗ-152 — до передачи ПДн в страну, не обеспечивающую адекватную защиту, оператор обязан уведомить РКН. США не включены в перечень стран с адекватной защитой. GA4 без уведомления о трансграничной передаче — нарушение ст. 12 ФЗ-152.»

Раздел по email-рассылкам: согласие на рассылку — это отдельное основание от согласия на обработку ПДн. Политика должна описывать механизм двойного opt-in (double opt-in), способ отзыва подписки (unsubscribe-ссылка в каждом письме) и срок исполнения запроса на отписку — не более 10 рабочих дней по ст. 20 ФЗ-152.

Шаг 4. Настройте баннер cookies и CMP

Баннер cookies — это технический инструмент получения согласия. По позиции РКН отсутствие баннера на сайте, собирающем аналитику, квалифицируется как обработка ПДн без согласия. Состав нарушения: ч. 2 ст. 13.11 КоАП — до 700 000 ₽ для юрлица в редакции с 30.05.2025.

Требования к баннеру: он должен появляться до запуска аналитических и маркетинговых скриптов, содержать чёткий отказ (не только «Принять»), ссылку на политику и возможность выбрать категории. Технически это реализуется через CMP (Consent Management Platform): Cookiebot, OneTrust, или самописное решение с блокировкой тегов через GTM до получения согласия.

Для маркетплейсов и платформ с продавцами важно: баннер и политика должны охватывать обработку данных как самой платформы, так и данных, передаваемых продавцам. Продавец на маркетплейсе может быть самостоятельным оператором — это должно быть явно указано в политике платформы.

Что подготовить для корректной машиночитаемой политики

Реестр скриптов и cookies с классификацией по категориям (технические / аналитические / маркетинговые) и правовым основаниям
Страница /politika-konfidentsialnosti/ с JSON-LD-разметкой Schema.org (PrivacyPolicy) и тегом <link rel="privacy-policy"> в head
Уведомление РКН о трансграничной передаче ПДн через GA4 или зарубежные пиксели (ст. 12 ФЗ-152)
CMP-баннер с блокировкой нетехнических скриптов до получения согласия и возможностью управления категориями
Механизм отзыва согласия: unsubscribe-ссылка в рассылках, кнопка «Отозвать согласие на cookies» в настройках личного кабинета или подвале сайта

Шаг 5. Синхронизируйте политику с реестром РКН

Политика конфиденциальности и уведомление в реестре операторов РКН — два связанных документа. Если политика декларирует одни цели обработки, а в реестре указаны другие — это противоречие, которое РКН фиксирует при автоматической сверке и при плановой проверке. Срок на включение в реестр после подачи уведомления — 30 дней (ч. 4 ст. 22 ФЗ-152).

При каждом изменении политики — обновляйте уведомление в РКН. Изменение целей обработки, добавление нового контрагента как обработчика, расширение перечня категорий ПДн — всё это требует корректировки записи в реестре pd.rkn.gov.ru. Форма — Приказ РКН №180 от 28.10.2022.

Для программ лояльности: если вы собираете данные участников программы и передаёте их партнёрам для персонализации предложений — это должно быть указано и в политике, и в уведомлении. Без этого передача данных партнёрам квалифицируется как несовместимая с заявленными целями — ч. 1 ст. 13.11 КоАП, до 300 000 ₽.

Как это выглядит в типовых ситуациях для директора по маркетингу

Ситуация 1. Маркетолог запустил ретаргетинг через Meta Pixel без баннера. Пиксель установлен в GTM и загружается при открытии любой страницы — до любого взаимодействия пользователя. Доказательства нарушения: скриншот сетевых запросов (автоматически собирается инструментами РКН при сканировании). Вероятный исход: протокол по ч. 2 ст. 13.11 — штраф до 700 000 ₽. Стратегия: перевести все маркетинговые пиксели в раздел GTM, заблокированный до согласия; обновить политику и добавить баннер с категориями.

Ситуация 2. Интернет-магазин работает на маркетплейсе, политика — у платформы. Продавец считает, что политика — забота маркетплейса. Но если продавец самостоятельно собирает email-адреса покупателей через форму отзыва или мессенджер — он становится самостоятельным оператором и обязан иметь собственную политику и уведомление РКН. Исход без политики: штраф по ч. 3 ст. 13.11 (до 60 000 ₽) или по ч. 1 (до 300 000 ₽) при доказанной незаконной обработке. Стратегия: разграничить, какие данные собирает платформа, а какие — продавец; завести уведомление в РКН на юрлицо продавца.

Ситуация 3. GA4 используется без уведомления РКН о трансграничной передаче. Компания обновила политику, добавила баннер, но не подала уведомление о трансграничной передаче. Технически GA4 по умолчанию передаёт данные на серверы в США — страна без адекватной защиты по перечню РКН. Исход: предписание РКН об устранении нарушения ст. 12 ФЗ-152 с последующим штрафом при неустранении. Стратегия: подать уведомление о трансграничной передаче через pd.rkn.gov.ru; рассмотреть перевод на серверную обработку (GA4 Server-Side) с хранением данных в РФ.

Используете GA4, Meta Pixel или зарубежные CRM? Трансграничная передача без уведомления РКН — это нарушение ст. 12 ФЗ-152 с риском предписания и штрафа. Разберёмся, что подавать и в какой срок.

Собрать ОРД под ключ

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да. Cookie-файл содержит идентификатор браузера или устройства, по которому оператор может идентифицировать конкретного пользователя или выделить его из группы. Этого достаточно для квалификации по ст. 3 ФЗ-152 как персональные данные. Следствие: сбор cookies — обработка ПДн, требующая правового основания по ст. 6 ФЗ-152. Для аналитических и маркетинговых cookies основание — согласие субъекта. Без согласия — нарушение ч. 2 ст. 13.11 КоАП.

2. Можно ли использовать GA4 после введённых ограничений?

Прямого запрета на GA4 в российском законодательстве нет. Проблема — в трансграничной передаче: GA4 по умолчанию передаёт данные на серверы Google в США, а США не входят в перечень стран с адекватной защитой ПДн. Это требует уведомления РКН по ст. 12 ФЗ-152. Дополнительно — настройка анонимизации IP, Server-Side обработка с хранением данных в РФ снижает правовые риски. Без уведомления работать с GA4 можно, но с документально зафиксированным нарушением.

3. Кто оператор: маркетплейс или продавец?

Зависит от того, кто определяет цели и способы обработки ПДн покупателя. Если продавец на маркетплейсе только получает данные для исполнения заказа — он обработчик по поручению (ст. 6 ФЗ-152). Если продавец самостоятельно собирает данные через собственные каналы (форма, мессенджер, email) и использует их для своих целей — он самостоятельный оператор и обязан подать уведомление в РКН и иметь политику конфиденциальности.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера при работающих аналитических и маркетинговых скриптах — это обработка ПДн без согласия субъекта. Состав: ч. 2 ст. 13.11 КоАП в редакции с 30.05.2025. Штраф для юрлица — от 300 000 до 700 000 ₽. При повторном нарушении (ч. 2.1) — от 1 000 000 до 1 500 000 ₽. РКН фиксирует отсутствие баннера автоматически при сканировании сайта в ходе мониторинга.

5. Как оформить отзыв подписки по требованиям 152-ФЗ?

Отзыв согласия на рассылку — право субъекта по ст. 9 ФЗ-152. Технически: unsubscribe-ссылка в каждом письме обязательна. Срок исполнения запроса на отписку — не позднее 10 рабочих дней с момента получения заявления (ст. 20 ФЗ-152). Факт отзыва надо зафиксировать: дата, канал, идентификатор субъекта — это доказательство на случай жалобы в РКН. Недостаточно просто убрать адрес из базы без записи в журнале обращений субъектов.

6. Нужно ли обновлять политику при добавлении нового рекламного инструмента?

Да. Каждый новый инструмент — это новая цель обработки или новый получатель данных. По ч. 1 ст. 5 ФЗ-152 обработка допустима только в рамках заявленных целей. Добавление пикселя ретаргетинга без обновления политики — несовместимая с целями обработка, ч. 1 ст. 13.11 КоАП. Порядок: обновить политику, обновить категории в CMP-баннере, при необходимости — скорректировать уведомление в РКН.

Итог

Машиночитаемая политика — это не отдельный документ, а совокупность технических и правовых мер: структурированная разметка страницы, CMP-баннер с управлением категориями, уведомление РКН о трансграничной передаче и актуальная запись в реестре операторов. Каждый из этих элементов самостоятельно влияет на наличие или отсутствие состава нарушения по ст. 13.11 КоАП.

DATUM сопровождает интернет-магазины, маркетплейсы и SaaS-продукты по полному циклу: аудит скриптов и cookies, разработка политики под каждый канал, уведомление РКН о трансграничной передаче, настройка механизмов согласия и отзыва.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка скриптов, cookies, трансграничных передач
Комплект ОРД под ключ — политика, согласия, приказы, журналы
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн (позиция РКН), согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

21 октября 2024 года