инструкция 18 января 2029 По состоянию на 18 января 2029

Mindbox и cookies: правовое сопровождение

Cookies в Mindbox — это персональные данные по позиции РКН. Обработка без согласия и баннера нарушает ч. 1 ст. 13.11 КоАП.

С 30.05.2025 штраф за незаконную обработку ПДн для юрлица — 150 000–300 000 ₽ по ч. 1; при повторности — до 500 000 ₽. Если маркетолог подключил Mindbox без оформления документов, риск материализуется при первой проверке или жалобе субъекта.

→ Если вы маркетолог и используете Mindbox, GA4 или программу лояльности без актуальной политики и баннера согласия — у вас уже есть нарушение ст. 13.11 КоАП.

Mindbox как платформа автоматизации маркетинга собирает данные пользователей сайта через cookies, пиксели и SDK. С точки зрения ФЗ-152 каждый cookie-файл, позволяющий идентифицировать пользователя, — персональные данные. Это означает, что интернет-магазин, подключивший Mindbox, становится оператором ПДн с полным набором обязательств: уведомление РКН, политика конфиденциальности, баннер согласия, документы о поручении обработки. Инструкция описывает шесть шагов приведения Mindbox-интеграции в соответствие с требованиями ФЗ-152 в редакции с 30.05.2025.

Шаг 1. Определите, какие персональные данные собирает Mindbox

Mindbox собирает данные через несколько каналов одновременно: cookie-идентификаторы браузера, email и номер телефона из форм подписки, историю покупок и поведения на сайте, данные программы лояльности. Каждый из этих потоков подпадает под определение ПДн по ст. 3 ФЗ-152, если позволяет прямо или косвенно идентифицировать физическое лицо.

«Ст. 3 ФЗ-152 — персональные данные: любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных). Cookie-идентификатор, связанный с профилем пользователя в Mindbox, соответствует этому определению по позиции Роскомнадзора.»

Составьте перечень категорий ПДн, которые передаются в Mindbox: общие (email, телефон, имя), поведенческие (клики, покупки, просмотры), технические (IP, cookie, device ID). Этот перечень станет основой для уведомления РКН по ст. 22 ФЗ-152 и для текста политики конфиденциальности.

Отдельно проверьте, передаёт ли Mindbox данные на серверы за пределами РФ. SDK и облачная инфраструктура ряда платформ предполагает трансграничную передачу — это самостоятельное основание для уведомления РКН по ст. 12 ФЗ-152.

Mindbox уже работает, а документы не оформлены?

Если маркетолог подключил платформу без актуальной политики и уведомления в РКН — каждый день обработки ПДн без документов увеличивает риск. Штраф по ч. 1 ст. 13.11 КоАП с 30.05.2025 — 150 000–300 000 ₽; при повторности — до 500 000 ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут план устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Проверьте уведомление в реестре РКН

По ст. 22 ФЗ-152 оператор обязан уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки. Если компания уже подала уведомление, но с тех пор подключила Mindbox, добавила новые цели обработки или начала трансграничную передачу — сведения в реестре устарели и требуют обновления.

«Ст. 22 ФЗ-152 — оператор уведомляет РКН до начала обработки ПДн. Изменение целей, категорий ПДн или появление трансграничной передачи — основание для подачи обновлённых сведений. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП в редакции с 30.05.2025.»

Проверьте реестр на pd.rkn.gov.ru: найдите запись вашей компании, сверьте цели обработки с реальными (маркетинговые рассылки, анализ поведения, программа лояльности), убедитесь, что Mindbox указан как лицо, осуществляющее обработку по поручению. Обновление подаётся через тот же портал по форме Приказа РКН №180 от 28.10.2022.

Шаг 3. Оформите договор поручения с Mindbox

Mindbox обрабатывает ПДн ваших клиентов по вашему поручению. По п. 3 ст. 6 ФЗ-152 такая схема требует письменного договора поручения обработки. Без договора Mindbox обрабатывает данные без правового основания, а ответственность перед субъектами и РКН остаётся на операторе — на вашем интернет-магазине.

Договор поручения должен содержать: перечень действий с ПДн (сбор, хранение, анализ, передача для рассылок), цели обработки, обязанность Mindbox соблюдать конфиденциальность, запрет на использование данных для собственных целей платформы, условия уничтожения данных по окончании договора. Проверьте, подписан ли DPA (Data Processing Agreement) с Mindbox — стандартные оферты платформ редко соответствуют требованиям ФЗ-152 в полном объёме.

Если Mindbox передаёт данные субподрядчикам (SMS-шлюз, аналитика, email-провайдер), это субпоручение также требует оформления по п. 3 ст. 6 ФЗ-152 с вашего явного согласия.

Как разграничить ответственность между маркетплейсом и продавцом?

Для интернет-магазинов, торгующих на маркетплейсах (Wildberries, Ozon, Яндекс Маркет) и одновременно использующих Mindbox на собственном сайте, вопрос об операторе ПДн принципиален. На маркетплейсе оператором выступает сама площадка: она собирает данные покупателя, формирует заказ, организует доставку. Продавец получает только сведения, необходимые для исполнения заказа, и не становится самостоятельным оператором по этой части данных.

На собственном сайте с Mindbox ситуация обратная: интернет-магазин — оператор, Mindbox — обработчик по поручению. Если один и тот же клиент покупает и на маркетплейсе, и через собственный сайт, базы данных нельзя объединять без отдельного правового основания — это нарушение принципа несовместимости целей по ст. 5 ФЗ-152.

«Ст. 5 ФЗ-152 — запрет объединения баз данных, созданных для несовместимых целей. Объединение базы из Mindbox с данными, полученными через маркетплейс, без самостоятельного согласия субъекта — нарушение принципа законности обработки.»

Если маркетолог использует данные с маркетплейса для таргетирования в Mindbox — это нарушение ст. 5 ФЗ-152. Штраф по ч. 1 ст. 13.11 начисляется за каждый факт. Юристы DATUM соберут пакет ОРД и устранят конкретные нарушения.

Собрать ОРД под ключ

Шаг 4. Настройте баннер согласия на cookies

Баннер — обязательный элемент любого сайта, использующего Mindbox. РКН квалифицирует cookie-файлы, связанные с профилем пользователя, как ПДн. Обработка без согласия нарушает ч. 1 ст. 13.11 (незаконная обработка) или ч. 2 ст. 13.11 (обработка без письменного согласия, если требуется письменная форма). Штраф — от 150 000 до 700 000 ₽ в зависимости от состава.

Требования к баннеру: он должен появляться до начала загрузки аналитических и маркетинговых cookie; содержать информацию о целях обработки; предлагать выбор категорий (технические, аналитические, маркетинговые); не использовать тёмные паттерны (кнопка «Принять» не должна быть крупнее «Отказать»); фиксировать согласие или отказ с датой и параметрами.

Согласие через баннер должно быть свободным, конкретным, информированным и однозначным — по ст. 9 ФЗ-152. Молчание или бездействие пользователя не считается согласием.

Шаг 5. Обновите политику конфиденциальности интернет-магазина

Политика конфиденциальности по ч. 2 ст. 18.1 ФЗ-152 обязательна для любого оператора. В контексте Mindbox она должна отражать реальную картину обработки: какие cookie устанавливает платформа, с какой целью, как долго хранятся, кому передаются (включая субподрядчиков Mindbox), как субъект может отозвать согласие или потребовать удаления данных.

Отдельно опишите трансграничную передачу: если Mindbox использует серверы или субсервисы за рубежом, это должно быть отражено в политике со ссылкой на уведомление РКН по ст. 12 ФЗ-152. Если GA4 используется параллельно с Mindbox — GA4 как инструмент Google также предполагает передачу данных в США, что требует отдельного уведомления о трансграничной передаче.

С 01.09.2025 согласие на обработку ПДн по ФЗ-156 оформляется отдельным документом — его нельзя встраивать в текст политики или в тело договора. Проверьте, не нарушена ли эта норма в текущих формах подписки на email-рассылки.

Что подготовить для Mindbox-интеграции по ФЗ-152

Выписка из реестра РКН с актуальными целями обработки, включая маркетинговые рассылки и поведенческую аналитику
Договор поручения обработки ПДн с Mindbox (DPA) по требованиям п. 3 ст. 6 ФЗ-152
Политика конфиденциальности с разделами о cookies, Mindbox как обработчике и трансграничной передаче
Баннер согласия на cookies с фиксацией выбора пользователя до загрузки маркетинговых скриптов
Отдельные формы согласия на email- и SMS-рассылки по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025)

Шаг 6. Настройте процедуру реагирования на запросы субъектов

Пользователь вправе запросить информацию об обработке его ПДн, потребовать исправления, блокирования или удаления — по ст. 20 ФЗ-152. Срок ответа — 10 рабочих дней с даты обращения с возможностью продления на 5 рабочих дней при уведомлении субъекта. Если данные находятся в Mindbox, оператор обязан обеспечить их уточнение или удаление через платформу в этот срок.

Отзыв подписки на рассылку — частный случай отзыва согласия по ст. 9 ч. 2 ФЗ-152. Ссылка «отписаться» в письме закрывает только маркетинговую рассылку, но не отзывает согласие на обработку ПДн в Mindbox в целом. Для полного отзыва нужен отдельный механизм — форма на сайте или обращение на email с гарантированной фиксацией и исполнением в установленный срок.

Установите внутренний регламент: кто принимает обращения субъектов, кто ставит задачу команде Mindbox на удаление профиля, кто контролирует исполнение и фиксирует ответ. Отсутствие регламента — самостоятельное нарушение ч. 4 ст. 13.11 КоАП (штраф 40 000–80 000 ₽ за непредоставление информации субъекту).

Типовые сценарии нарушений при работе с Mindbox

Сценарий 1. Баннер есть, но согласие не фиксируется. Интернет-магазин (Центральный ФО, осень 2025) установил баннер cookies, однако технически скрипты Mindbox загружались до клика по кнопке согласия. РКН зафиксировал нарушение по жалобе субъекта: обработка ПДн до получения согласия. Дело квалифицировано по ч. 1 ст. 13.11 КоАП. Штраф составил сумму в диапазоне нижней части шкалы; компания также получила предписание об устранении и обязана была обновить техническую реализацию баннера в течение 30 дней.

Сценарий 2. Email-рассылка через Mindbox без отдельного согласия после 01.09.2025. Маркетолог торговой сети (Северо-Западный ФО, зима 2025–2026) продолжал использовать согласия, встроенные в текст договора оферты, после вступления в силу ФЗ-156. Субъект подал жалобу в РКН. Нарушение квалифицировано по ч. 2 ст. 13.11 КоАП (обработка без согласия надлежащей формы) — штраф для юрлица 300 000–700 000 ₽. Стратегия защиты: переоформить согласия отдельным документом, ходатайствовать о применении ст. 4.1.1 КоАП для снижения как первичное нарушение.

Сценарий 3. Трансграничная передача данных через Mindbox без уведомления РКН. SaaS-ритейлер (Сибирский ФО, лето 2025) использовал интеграцию Mindbox с зарубежным SMS-провайдером. При аудите выяснилось, что номера телефонов клиентов передавались за рубеж без уведомления РКН по ст. 12 ФЗ-152. Дополнительный риск — нарушение ч. 5 ст. 18 ФЗ-152 (локализация): данные хранились на зарубежном сервере. Штраф по ч. 8 ст. 13.11 за нарушение локализации — 1 000 000–6 000 000 ₽.

Частые вопросы

1. Считаются ли cookies персональными данными?

Да, если cookie-файл позволяет прямо или косвенно идентифицировать физическое лицо. Роскомнадзор в своих разъяснениях квалифицирует cookies, связанные с профилем пользователя, как ПДн по ст. 3 ФЗ-152. Технические cookies, не позволяющие идентификации, под определение не подпадают. Для Mindbox, где cookie связан с профилем клиента, email и историей покупок, — идентификация очевидна и обработка требует правового основания по ст. 6 ФЗ-152.

2. Можно ли использовать GA4 после ограничений?

GA4 остаётся доступным инструментом, однако его использование требует оформления трансграничной передачи ПДн по ст. 12 ФЗ-152: уведомление РКН до начала передачи, оценка адекватности защиты в стране получателя (США в перечень адекватных стран не входят), отражение передачи в политике конфиденциальности. Параллельное использование GA4 и Mindbox удваивает документальную нагрузку. Альтернатива — переход на российские аналитические инструменты с хранением данных в РФ, что снимает требование об уведомлении.

3. Кто оператор: маркетплейс или продавец?

На маркетплейсе оператором ПДн покупателя выступает сама площадка — она собирает данные, определяет цели и средства обработки. Продавец получает ограниченный набор сведений для исполнения заказа и не является самостоятельным оператором по этой части. На собственном сайте с Mindbox ситуация обратная: продавец — оператор, Mindbox — обработчик по поручению согласно п. 3 ст. 6 ФЗ-152. Объединять данные из двух источников без отдельного согласия субъекта запрещает ст. 5 ФЗ-152.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера означает обработку ПДн без согласия субъекта. В зависимости от квалификации РКН это нарушение ч. 1 ст. 13.11 КоАП (незаконная обработка, штраф 150 000–300 000 ₽ для юрлица) или ч. 2 ст. 13.11 (отсутствие согласия, штраф 300 000–700 000 ₽). При повторном нарушении по ч. 1.1 штраф возрастает до 500 000 ₽, по ч. 2.1 — до 1 500 000 ₽. Все суммы действуют в редакции ФЗ-420 с 30.05.2025.

5. Как оформить отзыв подписки?

Ссылка «отписаться» в email-письме отзывает только согласие на конкретную рассылку, но не согласие на обработку ПДн в целом. По ст. 9 ч. 2 ФЗ-152 субъект вправе в любой момент отозвать согласие на обработку всех своих данных. Для этого на сайте должен быть механизм полного отзыва — отдельная форма или адрес email с гарантированной фиксацией обращения и исполнением в срок не более 30 дней (для прекращения обработки, не связанной с хранением). Отсутствие механизма — нарушение ч. 5 ст. 13.11 КоАП, штраф 50 000–90 000 ₽.

6. Нужно ли переоформлять согласия на рассылки после 01.09.2025?

ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025 в надлежащей форме, остаются действительными. Переоформлять их не требуется. Однако если согласие было встроено в текст договора, оферты или политики конфиденциальности — после 01.09.2025 такая форма не соответствует требованиям ст. 9 ФЗ-152 для новых субъектов. Все согласия, получаемые с 01.09.2025, должны быть оформлены отдельным документом.

Итог

Mindbox как платформа автоматизации маркетинга создаёт для интернет-магазина сразу несколько правовых рисков по ФЗ-152: незаконная обработка cookies без баннера, отсутствие договора поручения, ненадлежащая форма согласия на рассылки после 01.09.2025, трансграничная передача через зарубежные субсервисы. Каждый из рисков — самостоятельный состав ст. 13.11 КоАП с штрафом от 50 000 до 700 000 ₽, а при повторности — до 1 500 000 ₽.

DATUM сопровождает интернет-магазины и e-commerce платформы в вопросах соответствия ФЗ-152: от аудита текущей обработки до оформления полного пакета ОРД и защиты в арбитраже при предъявлении протокола РКН.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки ПДн в Mindbox, GA4 и на сайте по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика, договор поручения, согласия, баннер cookies в одном пакете
Защита при штрафе в арбитраже — обжалование протокола по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

18 января 2029 года