ML-сегментация и ст. 16 152-ФЗ
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 с 18 частями. Маркетолог, использующий ML-инструменты на основе cookies, поведенческих данных и email-аудиторий, одновременно касается трёх зон риска: автоматизированные решения по ст. 16 ФЗ-152, трансграничная передача через GA4 и нарушения при сборе cookies. В этой инструкции — шесть шагов, которые приведут процесс в соответствие с законом.
Шаг 1. Определите, применима ли ст. 16 ФЗ-152 к вашей ML-модели
Статья 16 ФЗ-152 запрещает принимать решения, которые порождают правовые последствия для субъекта или иным образом его затрагивают, если такое решение основано исключительно на автоматизированной обработке. Ключевое слово — «исключительно». Если менеджер просматривает ML-сегмент и подтверждает отправку предложения, норма формально не нарушена. Если же алгоритм сам отказывает клиенту в скидке, блокирует доступ к уровню программы лояльности или устанавливает ценовой порог — ст. 16 применима.
Проверьте три условия одновременно: решение принимается автоматически без участия человека; оно затрагивает конкретного субъекта, а не статистический сегмент; оно влечёт последствия для него — разные цены, отказ в сервисе, исключение из программы лояльности.
Если хотя бы одно из трёх условий отсутствует — ст. 16 не применяется напрямую, но требования к обработке ПДн для целей сегментации остаются: правовое основание по ст. 6, цели по ст. 5, политика по ст. 18.1.
Шаг 2. Проверьте правовое основание для обработки данных сегментации
ML-сегментация требует правового основания по ст. 6 ФЗ-152. Для большинства интернет-магазинов и маркетплейсов таким основанием служит согласие (п. 1 ч. 1 ст. 6) или исполнение договора (п. 5 ч. 1 ст. 6). Обработка поведенческих данных для таргетинга выходит за рамки исполнения договора купли-продажи — она требует отдельного согласия.
С 01.09.2025 согласие по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 оформляется отдельным документом: его нельзя встроить в пользовательское соглашение, оферту или политику конфиденциальности. Для cookies как ПДн — это означает отдельный баннер с явным действием пользователя (галочка, кнопка «Принять»), а не продолжение использования сайта.
Cookies на вашем сайте — это уже ПДн по позиции РКН?
Если маркетолог настраивает ретаргетинг через cookies или передаёт данные в GA4 — правовое основание нужно проверить сейчас. С 01.09.2025 согласие не может быть вшито в пользовательское соглашение. Отсутствие надлежащего баннера — основание для штрафа по ч. 6 ст. 13.11 КоАП (50–100 тыс. ₽ за нарушение хранения носителей, и до ч. 1 — 150–300 тыс. ₽ за незаконную обработку). Юристы DATUM проведут аудит правовой базы сбора cookies и подготовят комплект ОРД.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Если интернет-магазин использует программы лояльности, данные о покупках и email-рассылки для обучения ML-модели — каждый вид обработки должен быть указан в согласии отдельно. Цели не объединяются: нельзя одним согласием охватить и доставку заказа, и таргетинг, и передачу данных аналитической платформе.
Шаг 3. Оцените риск трансграничной передачи через GA4 и сторонние пиксели
GA4 (Google Analytics 4) передаёт данные на серверы Google LLC, расположенные в США. США не входят в перечень стран с адекватным уровнем защиты ПДн по позиции РКН. Передача данных, в том числе через cookies, в страну без адекватной защиты — трансграничная передача по ст. 12 ФЗ-152 и требует уведомления РКН до начала передачи.
Аналогичная ситуация — с Meta Pixel (Facebook Ads), TikTok Pixel, Criteo, DoubleClick. Если пиксель установлен на сайте и передаёт идентифицируемые данные (IP, email-хэш, click ID, user ID) — это трансграничная передача. Маркетолог, устанавливающий пиксель без уведомления РКН, создаёт нарушение по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽ за неуведомление о намерении обрабатывать ПДн) и потенциально по ч. 1 за незаконную обработку.
Практический тест: если в консоли браузера запрос к analytics.google.com, connect.facebook.net или аналогу уходит с данными, которые позволяют идентифицировать пользователя — уведомление РКН обязательно. IP-адрес в сочетании с действиями на сайте РКН относит к ПДн.
Шаг 4. Разберитесь с распределением ролей на маркетплейсе
На маркетплейсах вопрос о том, кто является оператором ПДн покупателя — платформа или продавец — решается исходя из того, кто определяет цели и способы обработки. Если продавец получает от маркетплейса выгрузку данных покупателей (ФИО, адрес, email) для самостоятельного ретаргетинга — он становится самостоятельным оператором и несёт все обязательства по ФЗ-152: уведомление РКН, политика, согласие на маркетинговую обработку.
Если же продавец только отгружает товар и не имеет доступа к ПДн в явном виде — он не оператор. Граница проходит через наличие доступа к идентифицируемым данным и самостоятельное определение целей их обработки.
Если вы маркетолог маркетплейса или продавца на платформе и получаете выгрузку данных покупателей для ML-таргетинга — уведомление РКН и отдельное согласие нужны до начала обработки. Срок на уведомление — до старта обработки (ст. 22 ФЗ-152), не после запуска кампании. Юристы DATUM подготовят уведомление и ОРД под конкретную схему работы.
Собрать ОРД под ключДля ML-сегментации важен ещё один аспект маркетплейсов: платформа нередко сама строит предиктивные модели на данных продавцов и покупателей совместно. В этой схеме продавец передаёт ПДн по поручению (ст. 6 ч. 3 ФЗ-152) — и должен убедиться, что договор с платформой содержит обязательные условия поручения обработки.
Шаг 5. Настройте процесс отзыва согласия и отписки от рассылок
Email-рассылки на основе ML-сегментации — отдельный вид обработки. Согласие на рассылку должно быть получено явно и позволять отзыв в любой момент (ст. 9 ч. 2 ФЗ-152). Механизм отписки: ссылка «Отписаться» в каждом письме ведёт к реальному прекращению обработки в течение разумного срока — не дольше 10 рабочих дней.
Если после нажатия «Отписаться» пользователь продолжает получать письма — это нарушение ч. 5 ст. 13.11 КоАП (невыполнение требования об уничтожении или блокировании ПДн, 50–90 тыс. ₽). При повторном нарушении — ч. 5.1 (300–500 тыс. ₽).
Что подготовить маркетологу для соответствия ФЗ-152
- Баннер cookies с раздельными чекбоксами: аналитика, маркетинг, функциональные — каждый вид отдельно, дефолт — отключено.
- Отдельное согласие на ML-таргетинг и передачу данных третьим лицам (GA4, пиксели) — не встроено в пользовательское соглашение (ст. 9 ФЗ-152 в ред. ФЗ-156 с 01.09.2025).
- Уведомление РКН о трансграничной передаче через GA4 и сторонние пиксели (ст. 12 ФЗ-152) до начала передачи.
- Политика конфиденциальности с разделом об автоматизированных решениях и праве субъекта требовать их пересмотра (ст. 16 ч. 2 ФЗ-152).
- Работающий механизм отписки с реальным прекращением обработки в течение 10 рабочих дней.
Шаг 6. Зафиксируйте права субъекта при автоматизированных решениях
Если ML-модель всё же принимает решения, затрагивающие субъекта, — ст. 16 ч. 2 ФЗ-152 обязывает оператора предоставить субъекту право потребовать пересмотра такого решения с участием человека. Это требование нужно отразить в политике конфиденциальности и в пользовательском соглашении: конкретный адрес или форма для обращения, срок рассмотрения (10 рабочих дней по ст. 20 ФЗ-152), описание механизма пересмотра.
На практике это означает: в интернет-магазине с персонализированными ценами — кнопка «Оспорить предложение» или канал поддержки с явным описанием права; в программе лояльности с ML-рейтингом — право запросить объяснение и пересчёт вручную.
Типовые ситуации: как это работает у маркетолога
Ситуация 1. Интернет-магазин использует GA4 без уведомления РКН. Маркетолог подключил GA4 для аналитики воронки и передачи событий в Google Ads. Уведомление РКН о трансграничной передаче не подавалось. При плановой проверке РКН зафиксировал передачу идентификаторов пользователей на серверы в США. Компании выставлен протокол по ч. 10 ст. 13.11 КоАП — штраф в диапазоне 100–300 тыс. ₽. Дополнительно — по ч. 1 за обработку без надлежащего правового основания. Стратегия: подать уведомление в РКН немедленно, задокументировать момент обнаружения нарушения и меры по его устранению — это основание для снижения до минимума санкции или применения ст. 4.1.1 КоАП для малого бизнеса.
Ситуация 2. ML-модель автоматически исключает клиентов из программы лояльности. Ретейлер запустил модель, которая без участия человека снижает кэшбэк-уровень клиентов с «аномальным» поведением. Субъект пожаловался в РКН на автоматическое снижение уровня. РКН квалифицировал это как нарушение ст. 16 ФЗ-152 — решение принято исключительно автоматически и затрагивает права субъекта. Штраф по ч. 1 ст. 13.11 — 150–300 тыс. ₽. Требование: добавить ручную проверку решений и механизм оспаривания. Стратегия: внедрить human-in-the-loop этап перед финальным изменением уровня и обновить политику конфиденциальности.
Ситуация 3. Продавец на маркетплейсе получил выгрузку ПДн и запустил ретаргетинг без уведомления РКН. Продавец получил от платформы CSV с email-адресами покупателей своего магазина и загрузил их в рекламный кабинет Meta Ads как аудиторию для ретаргетинга. Уведомления в РКН нет, согласие на передачу третьим лицам (Meta) — не получено. Нарушение по ч. 10 ст. 13.11 (неуведомление о намерении обрабатывать) и по ч. 1 (обработка без правового основания). При наличии передачи в Meta — дополнительно трансграничная передача по ст. 12 ФЗ-152. Стратегия: остановить кампанию, удалить аудиторию из рекламного кабинета, подать уведомление в РКН и получить согласие через обновлённый баннер и форму подписки.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка cookies, согласий, GA4 и политики конфиденциальности по чек-листу из 38 пунктов.
- Комплект ОРД под ключ — политика, баннер cookies, согласия на рассылки и ML-таргетинг, уведомление РКН о трансгранике.
- Защита при штрафе в арбитраже — оспаривание протоколов по ч. 1, ч. 6, ч. 10 ст. 13.11 КоАП.
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции РКН — да, если cookies позволяют идентифицировать конкретного пользователя (в сочетании с IP-адресом, user ID, историей действий). Это означает, что установка cookies без согласия и без указания в политике конфиденциальности — нарушение ФЗ-152. Ст. 3 ФЗ-152 определяет ПДн как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу. Технические cookie, не позволяющие идентификацию, — как правило, вне сферы ФЗ-152.
2. Можно ли использовать GA4 после ограничений?
Использование GA4 возможно при соблюдении двух условий: подано уведомление РКН о трансграничной передаче в США (ст. 12 ФЗ-152), и получено отдельное согласие пользователя на передачу данных третьим лицам за рубеж. Без этих условий GA4 создаёт риски по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽) и по ч. 1 (150–300 тыс. ₽). Альтернатива — использование server-side GA4 с анонимизацией IP и минимизацией передаваемых идентификаторов.
3. Кто оператор: маркетплейс или продавец?
Оператором является тот, кто самостоятельно определяет цели и способы обработки ПДн. Если продавец получает данные покупателей от маркетплейса и использует их для ретаргетинга — он становится самостоятельным оператором со всеми обязанностями: уведомить РКН, опубликовать политику, получить согласие на маркетинговую обработку. Если продавец только исполняет заказ и не имеет доступа к идентифицируемым данным — оператором остаётся платформа.
4. Что грозит за отсутствие баннера cookies?
Обработка ПДн без правового основания (в т. ч. без согласия через баннер) квалифицируется по ч. 1 ст. 13.11 КоАП — штраф для юрлиц 150–300 тыс. ₽ в редакции с 30.05.2025. При повторном нарушении — ч. 1.1, штраф 300–500 тыс. ₽. Если нарушение связано с несоблюдением условий хранения носителей при неавтоматизированной обработке — ч. 6 (50–100 тыс. ₽). Дополнительно — предписание РКН об устранении нарушения.
5. Как оформить отзыв подписки на рассылку?
Механизм отзыва должен быть доступным и однозначным: ссылка «Отписаться» в каждом письме, ведущая к реальному прекращению обработки в течение 10 рабочих дней (ст. 20 ФЗ-152). Недостаточно вести на страницу настроек — нужно фактическое удаление email из базы рассылок или блокирование обработки. Факт отзыва и дату нужно фиксировать в системе: это доказательство исполнения обязанности при возможной проверке РКН.
6. Что изменилось для согласий с 01.09.2025?
С 01.09.2025 вступил в силу ФЗ-156 от 24.06.2025, который требует оформлять согласие на обработку ПДн отдельным документом — его нельзя объединять с договором, политикой или офертой. Для маркетолога это означает: баннер cookies, форма подписки на рассылку и согласие на ML-таргетинг — отдельные документы с обязательными реквизитами по ст. 9 ФЗ-152. Ранее полученные согласия, которые соответствовали требованиям на момент получения, переоформлять не требуется — обратной силы закон не имеет.
Итог
ML-сегментация в маркетинге затрагивает сразу несколько норм ФЗ-152: ст. 16 — при автоматических решениях по субъектам, ст. 9 и ст. 6 — при сборе согласий на таргетинг, ст. 12 — при передаче данных через GA4 и сторонние пиксели. С 30.05.2025 санкции по ст. 13.11 КоАП существенно выросли: штраф за незаконную обработку начинается от 150 тыс. ₽, за неуведомление о трансгранике — от 100 тыс. ₽.
Юристы DATUM сопровождают интернет-магазины, маркетплейсы и digital-продукты в части соответствия ФЗ-152: от баннера cookies до уведомлений РКН о трансграничной передаче и защиты в арбитраже при штрафах по ст. 13.11.