инструкция 3 декабря 2028 года По состоянию на 3 декабря 2028 года

Mindbox и 152-ФЗ

Mindbox — маркетинговая платформа автоматизации: email, push, SMS, программы лояльности, сегментация. Каждый из этих инструментов обрабатывает персональные данные пользователей, а значит, попадает под ФЗ-152.

С 30.05.2025 ст. 13.11 КоАП содержит 18 составов. Штраф за утечку данных через платформу автоматизации маркетинга — от 3 до 15 млн ₽ (ч. 12–14). Оборотный при повторности — до 500 млн ₽.

→ Если вы маркетолог и используете Mindbox без проверки правовой базы — риск не абстрактный: проверка РКН, протокол, арбитраж.

Mindbox и 152-ФЗ — тема, которую большинство маркетологов откладывают до первого запроса от юриста или Роскомнадзора. Платформа собирает cookies, email-адреса, телефоны, историю покупок и поведение на сайте. Каждый из этих элементов требует правового основания, а часть из них — отдельного документированного согласия. В этой инструкции — конкретные шаги: что проверить, что переоформить и где риск наиболее высок.

Шаг 1. Разберитесь, какие данные Mindbox собирает и на каком основании

Mindbox работает как платформа-обработчик: данные передаёт ей оператор — то есть ваш интернет-магазин или сервис. Именно оператор несёт ответственность перед субъектом и РКН. Это принципиальный момент: если Mindbox допустит утечку, штраф получите вы, а не вендор.

Типовой стек данных, который попадает в Mindbox при стандартной интеграции:

контактные данные — email, телефон, имя (основание: согласие по ст. 9 ФЗ-152 или исполнение договора по п. 5 ч. 1 ст. 6);
cookies и идентификаторы браузера — по позиции РКН это персональные данные при наличии возможности идентификации субъекта (основание: отдельное согласие через баннер);
история покупок и поведенческие данные — обрабатываются в рамках программы лояльности (основание: согласие или условия оферты);
сегменты и теги — производные данные, созданные оператором; правовое основание наследуется от исходных данных.

«Ст. 6 ФЗ-152 устанавливает 11 оснований обработки ПДн. Обработка без любого из них — состав ч. 1 ст. 13.11 КоАП, штраф для юрлица 150–300 тыс. ₽ в редакции с 30.05.2025.»

Первый шаг — аудит источников: через какие формы и скрипты данные попадают в Mindbox, какой документ подтверждает согласие для каждого канала. Если такой документ не найден или его реквизиты не совпадают с требованиями ст. 9 ФЗ-152 — это нарушение.

Шаг 2. Проверьте баннер cookies и политику конфиденциальности

Cookies — один из наиболее часто нарушаемых пунктов при работе с Mindbox. Трекинговый скрипт платформы устанавливает куки при первом посещении сайта. Если баннер согласия не появился до момента установки куки — это обработка ПДн без согласия.

РКН квалифицирует cookies как персональные данные в случае, когда их совокупность позволяет идентифицировать конкретного пользователя. Mindbox именно это и делает: связывает анонимный идентификатор с профилем клиента при первой авторизации или заполнении формы.

«Ч. 6 ст. 13.11 КоАП — обработка ПДн при неавтоматизированной обработке без надлежащих условий хранения. Отсутствие баннера cookies при автоматизированной обработке квалифицируется по ч. 1 ст. 13.11 (150–300 тыс. ₽) или ч. 2 (300–700 тыс. ₽) при отсутствии письменного согласия, если оно требуется.»

Требования к баннеру согласия на cookies:

баннер появляется до загрузки трекинговых скриптов Mindbox, GA4, Meta Pixel и аналогичных;
содержит чёткое описание цели обработки и перечень передаваемых данных;
содержит кнопку «Принять» и кнопку «Отклонить» или возможность отозвать согласие;
ссылается на политику конфиденциальности с разделом о cookies.

Политика конфиденциальности интернет-магазина при использовании Mindbox обязана содержать раздел о передаче данных обработчику, наименование и контакты Mindbox как лица, осуществляющего обработку по поручению, цели передачи и перечень операций. Это требование ч. 2 ст. 18.1 ФЗ-152.

Баннер cookies есть, но скрипты грузятся до клика?

Это распространённая ошибка при интеграции Mindbox: тег запускается сразу в GTM, а баннер — косметика поверх. РКН фиксирует факт обработки до согласия. Юристы DATUM проводят аудит сайта по чек-листу из 38 пунктов и выдают отчёт с приоритизированным планом устранения нарушений — от 100 000 ₽.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите поручение на обработку данных с Mindbox

Mindbox обрабатывает данные по поручению оператора — это юридическая конструкция п. 3 ст. 6 ФЗ-152. Без письменного поручения оператор нарушает закон: данные передаются третьему лицу без правового основания.

Поручение на обработку — это отдельный договор или приложение к основному договору с Mindbox. Оно должно содержать:

перечень персональных данных, передаваемых на обработку;
цели обработки и перечень разрешённых действий;
требование соблюдения конфиденциальности;
обязанность Mindbox уведомить оператора при инциденте;
условия возврата или уничтожения данных при прекращении договора.

Стандартный договор с Mindbox содержит элементы поручения, но его достаточности для ФЗ-152 нужно проверять отдельно. В частности: предусмотрено ли уведомление об инцидентах в срок, совместимый с 24-часовым требованием ч. 3.1 ст. 21 ФЗ-152? Если нет — оператор узнаёт об утечке позже и гарантированно нарушает срок уведомления РКН (штраф по ч. 11 ст. 13.11 — 1–3 млн ₽).

Шаг 4. Как использовать Mindbox с GA4 и соблюдать требования о трансграничной передаче

GA4 трансграничка — это отдельная проблема, которая часто связана с Mindbox в одном стеке. Google Analytics 4 передаёт данные на серверы Google за пределами России. Это трансграничная передача по ст. 12 ФЗ-152, требующая уведомления РКН до начала передачи.

При использовании Mindbox совместно с GA4 или Meta Pixel маркетолог фактически управляет тремя параллельными потоками трансграничных данных. Каждый требует отдельного правового основания и уведомления.

Что проверить при совместном использовании Mindbox и GA4:

подано ли уведомление РКН о трансграничной передаче в Google (США — не в перечне стран с адекватной защитой);
есть ли в политике конфиденциальности раздел о трансграничной передаче с указанием стран получателей;
согласие пользователя на cookies охватывает передачу данных за рубеж или только локальную обработку;
если используется server-side GTM — проверить, где физически расположен сервер-контейнер.

«Ст. 12 ФЗ-152 — до начала трансграничной передачи данных в страну без адекватной защиты оператор обязан уведомить РКН. Передача без уведомления при наличии факта — основание для штрафа и предписания об устранении.»

Если вы маркетолог и используете GA4 совместно с Mindbox — уведомление о трансграничке, скорее всего, не подавалось. Это фиксируемое нарушение при проверке РКН. Юристы DATUM подготовят уведомление и приведут политику в соответствие.

Оценить риски по 152-ФЗ

Шаг 5. Проверьте согласия на email-рассылки и программу лояльности

Email-рассылки и программы лояльности — два ключевых продукта Mindbox. Оба требуют документально оформленного согласия, и оба попадают под новые требования ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие оформляется отдельным документом, не встроенным в оферту, договор или форму регистрации.

Типовые нарушения при настройке Mindbox для рассылок:

согласие встроено в текст оферты или условий использования — не выделено отдельно;
чекбокс предзаполнен при регистрации — это не согласие, а обход требования;
отсутствует механизм отзыва подписки с сохранением журнала отзывов;
согласие на рассылку объединено с согласием на программу лояльности — разные цели требуют разных оснований.

Для программы лояльности отдельно важен вопрос маркетплейсов: если ваш магазин работает на Ozon, Wildberries или Яндекс.Маркете и параллельно собирает данные через Mindbox — нужно чётко разграничить, кто оператор в каждом случае. Маркетплейс обрабатывает данные покупателей самостоятельно и не передаёт их продавцу без отдельного согласия покупателя.

Что подготовить для работы Mindbox в соответствии с 152-ФЗ

Поручение на обработку ПДн с Mindbox — отдельный документ или приложение к договору с перечнем данных и операций.
Баннер согласия на cookies, блокирующий скрипты Mindbox до клика «Принять».
Политика конфиденциальности с разделами о передаче данных обработчику, трансграничной передаче и cookies.
Отдельные согласия на email-рассылку и программу лояльности — документы с реквизитами по ст. 9 ФЗ-152 в ред. ФЗ-156.
Уведомление РКН о трансграничной передаче, если данные уходят в GA4, Meta Pixel или другие зарубежные сервисы в связке с Mindbox.

Как это применяется на практике

Кейс 1. Интернет-магазин одежды (Центральный ФО, весна 2025) использовал Mindbox для email-автоматизации и программы лояльности. При плановой проверке РКН инспектор запросил договор с платформой и форму согласия. Поручение на обработку в договоре не было явно прописано, согласие на рассылку было встроено в оферту. Протокол по ч. 1 и ч. 2 ст. 13.11 КоАП. Компания оспорила часть нарушений в арбитраже, представив переработанные документы и факт устранения; штраф был снижен до минимального диапазона по ч. 1. Стоимость устранения и юридического сопровождения оказалась сопоставима с размером штрафа.

Кейс 2. SaaS-сервис подписок (Северо-Западный ФО, лето 2025) получил жалобу пользователя на продолжение рассылок после отзыва согласия. РКН возбудил дело по ч. 5 ст. 13.11 КоАП (невыполнение требования субъекта об уничтожении или блокировании). Причина: Mindbox продолжал хранить email в активном сегменте, хотя оператор считал, что отписка означает удаление. Журнал отзывов отсутствовал. Штраф составил несколько десятков тысяч рублей, но РКН выдал предписание: внедрить механизм синхронизации отзывов между CRM-системой и Mindbox.

Типовые ситуации при использовании Mindbox

Ситуация 1: рассылка ведётся, а уведомление в реестре РКН не подавалось. Оператор зарегистрировался как юрлицо, подключил Mindbox, настроил триггерные письма — и ни разу не заходил на pd.rkn.gov.ru. Обработка данных без уведомления — ч. 10 ст. 13.11 КоАП, штраф 100–300 тыс. ₽. Доказательства: сам факт отправки рассылки через платформу. Вероятный исход при проверке — протокол и постановление. Стратегия: подать уведомление до проверки, при наличии протокола — ссылаться на устранение нарушения как смягчающее обстоятельство.

Ситуация 2: согласие оформлено до 01.09.2025 как чекбокс в форме регистрации. После вступления ФЗ-156 в силу новые согласия обязаны быть отдельным документом. Ранее собранные согласия переоформлять не требуется — закон не имеет обратной силы. Но согласия, полученные после 01.09.2025 по старой схеме, недействительны. Стратегия: разделить базу Mindbox на «до» и «после» и настроить новый флоу сбора согласий для новых подписчиков.

Ситуация 3: Mindbox получает данные из нескольких источников — сайт, мобильное приложение, офлайн-точки. Объединение данных из несовместимых по целям баз — нарушение принципа ст. 5 ФЗ-152. Если данные из офлайн-анкеты лояльности объединяются с поведенческими данными сайта без отдельного согласия на объединение — это самостоятельный состав. Стратегия: описать объединение данных в политике и согласии явно, получить подтверждённое согласие на каждый источник.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правовой базы Mindbox, GA4 и всех инструментов маркетинговой автоматизации
Комплект ОРД под ключ — политика, согласия, поручение на обработку, баннер cookies
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если совокупность cookie-идентификаторов позволяет идентифицировать конкретного пользователя. Mindbox именно это и делает при связывании анонимного идентификатора с профилем клиента. Это означает, что установка cookies Mindbox без предварительного согласия — обработка ПДн без правового основания, состав ч. 1 или ч. 2 ст. 13.11 КоАП (150–700 тыс. ₽ для юрлица в редакции с 30.05.2025).

2. Можно ли использовать GA4 после ограничений?

GA4 как инструмент не запрещён, но его использование требует уведомления РКН о трансграничной передаче данных в США до начала передачи (ст. 12 ФЗ-152). Без уведомления — нарушение, фиксируемое при проверке. Дополнительно: политика конфиденциальности должна содержать раздел о передаче данных Google и перечень передаваемых категорий. Server-side GTM снижает объём передаваемых данных, но не устраняет требование уведомления.

3. Кто оператор: маркетплейс или продавец?

Маркетплейс — оператор в отношении данных покупателей, собранных на своей платформе. Продавец — оператор в отношении данных, которые он собирает самостоятельно (форма на собственном сайте, офлайн-анкета, программа лояльности вне маркетплейса). Если продавец собирает данные через Mindbox параллельно с присутствием на маркетплейсе — он самостоятельный оператор по этому каналу и несёт ответственность независимо от маркетплейса. Смешивать данные из обоих каналов без явного согласия нельзя.

4. Что грозит за отсутствие баннера cookies?

Если трекинговые скрипты (Mindbox, GA4, Meta Pixel) загружаются до получения согласия пользователя — это обработка ПДн без правового основания. Состав: ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽ для юрлица). При повторности — ч. 1.1 (300–500 тыс. ₽). РКН фиксирует этот факт при дистанционном мониторинге сайта без выезда на проверку — это один из индикаторов риска в автоматизированном анализе.

5. Как оформить отзыв подписки?

Субъект вправе отозвать согласие в любой момент (ст. 9 ФЗ-152). Оператор обязан прекратить обработку данных в рамках отозванного согласия. В контексте Mindbox это означает: кнопка «Отписаться» в письме должна не только снимать флаг рассылки, но и передавать событие отзыва в основную систему, исключать контакт из активных сегментов и фиксировать дату отзыва в журнале. Хранение email-адреса в базе Mindbox после отзыва согласия без иного правового основания — нарушение ч. 5 ст. 13.11 КоАП (50–90 тыс. ₽ при первичности, 300–500 тыс. ₽ при повторности).

6. Нужно ли уведомлять РКН о Mindbox как обработчике?

В уведомлении РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) оператор указывает цели и виды обработки, но не перечисляет всех обработчиков поимённо. При этом факт передачи данных третьему лицу по поручению должен быть отражён в политике конфиденциальности. Отдельного уведомления РКН о Mindbox как обработчике закон не требует — достаточно корректного поручения и упоминания в политике.

Итог

Mindbox и 152-ФЗ — это не конфликт, а задача документирования. Платформа технически готова к работе в правовом поле: cookie-consent, поручение на обработку, механизмы отзыва подписки — всё это реализуемо на уровне настроек и договорной документации. Проблема — не в Mindbox, а в том, что маркетолог обычно настраивает интеграцию без участия юриста, и правовая база остаётся неполной.

Практика DATUM по digital-инструментам и ФЗ-152 включает аудит стека маркетинговой автоматизации, подготовку комплекта ОРД для e-commerce и сопровождение при проверках РКН по жалобам пользователей на рассылки и cookies.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов.