инструкция 14 апреля 2029 года По состоянию на 14 апреля 2029 года

Оферта vs политика конфиденциальности

Q: Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies — нарушение ст. 9 ФЗ-152, квалифицируемое по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — 300 000–700 000 ₽. При повторном нарушении применяется ч. 2.1 ст. 13.11 — штраф 1 000 000–1 500 000 ₽. Выявляется при проверке РКН или по жалобе пользователя.

Q: Как оформить отзыв подписки?

Отзыв согласия на рассылки реализуется через ссылку «Отписаться» в каждом письме, кнопку в личном кабинете или email-запрос оператору. По ст. 9 ФЗ-152 после получения отзыва оператор обязан прекратить обработку в течение 30 дней. Записи об отзывах нужно хранить — они потребуются при проверке РКН.

Оферта и политика конфиденциальности — два разных документа с разными правовыми функциями. Их объединение нарушает требования ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом, не встроенным в договор, оферту или пользовательское соглашение. За нарушение — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

Если вы маркетолог интернет-магазина и согласия пользователей до сих пор зашиты в оферту — у вас есть конкретный план действий ниже.

Большинство интернет-магазинов запустились до сентября 2025 года и сохранили согласие на обработку ПДн внутри публичной оферты или пользовательского соглашения. С 01.09.2025 такая схема стала нарушением. Параллельно cookies приобрели статус персональных данных по позиции Роскомнадзора, а GA4 оказался под вопросом из-за требований локализации. В этой инструкции — пошаговый разбор того, что именно нужно разделить, как оформить каждый документ и чем рискует маркетолог, если этого не сделать.

Шаг 1. Разберитесь: чем отличается оферта от политики конфиденциальности?

Оферта регулирует договорные отношения: условия заказа, оплату, доставку, возврат. Основание обработки ПДн в рамках оферты — исполнение договора по п. 5 ч. 1 ст. 6 ФЗ-152. Это означает, что имя, адрес доставки и телефон покупателя можно обрабатывать без отдельного согласия — они нужны для выполнения заказа.

Политика конфиденциальности — публичный документ, который описывает всю обработку ПДн оператором: цели, категории данных, сроки хранения, третьих лиц, которым данные передаются, и права субъекта. Её публикация обязательна по ч. 2 ст. 18.1 ФЗ-152. Отсутствие политики — штраф по ч. 3 ст. 13.11 КоАП в диапазоне 30 000–60 000 ₽.

Согласие на обработку ПДн — это третий документ. С 01.09.2025 оно не может быть встроено ни в оферту, ни в политику. По ст. 9 ФЗ-152 в редакции ФЗ-156 согласие оформляется отдельно и содержит обязательные реквизиты: ФИО и контакт субъекта, наименование оператора, цель, перечень данных, перечень действий, срок и способ отзыва.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие на обработку персональных данных — отдельный документ, не объединяемый с договором, офертой или другими документами. Ранее полученные согласия обратной силы не имеют — переоформлять их не требуется.»

Шаг 2. Определите, какие данные вы собираете и на каком основании

Интернет-магазин, как правило, обрабатывает несколько категорий данных на разных правовых основаниях. Их нужно разграничить до написания документов.

Данные заказа (ФИО, адрес, телефон, email для подтверждения) — основание: исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). Согласия не требуется. Эти данные идут в оферту как условие договора.

Данные для email-рассылок и push-уведомлений — основание: согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152). Требует отдельного согласия с конкретной целью «информирование о промоакциях». Двойной opt-in (подтверждение по ссылке) снижает риск жалоб.

Cookies и идентификаторы браузера — по позиции РКН это персональные данные, если позволяют идентифицировать пользователя. Основание: согласие через баннер до начала сбора. Без баннера — нарушение, которое квалифицируется по ч. 6 ст. 13.11 КоАП. Штраф для юрлица по этой части — 50 000–100 000 ₽.

Данные программы лояльности (история покупок, предпочтения, бонусный счёт) — цель отличается от цели исполнения заказа, поэтому требует отдельного согласия с указанием цели «участие в программе лояльности».

«Ст. 5 ФЗ-152: обработка ПДн допустима только для конкретных целей. Нельзя объединять базы с несовместимыми целями. Данные заказа и данные для рассылок — разные цели, разные основания.»

Ваш сайт собирает cookies и вы не уверены, есть ли баннер согласия?

Если маркетолог не знает, квалифицирует ли РКН ваши cookies как ПДн, — это уже риск. Проверка занимает 1–2 рабочих дня. Ошибка в баннере или его отсутствие выявляется при плановой и внеплановой проверке РКН, а также по жалобе пользователя.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте, как оформить баннер cookies по требованиям РКН

Баннер cookies — это механизм получения согласия по ст. 9 ФЗ-152 на обработку cookies-идентификаторов. Он должен появляться до того, как сайт начинает записывать аналитические или маркетинговые cookie-файлы в браузер пользователя.

Требования к содержанию баннера: указание на то, что сайт использует cookies; перечень категорий cookies (технические, аналитические, маркетинговые); возможность принять или отклонить каждую категорию; ссылка на политику конфиденциальности. Кнопка «Принять всё» без кнопки «Отклонить» или «Настроить» не является надлежащим согласием — это нарушение принципа свободного волеизъявления по ст. 9 ФЗ-152.

Технические cookies (сессия, корзина, авторизация) согласия не требуют — они необходимы для работы сервиса. Аналитические (GA4, Яндекс.Метрика) и маркетинговые (пиксели ретаргетинга) — требуют явного согласия.

«Ст. 9 ФЗ-152: согласие должно быть конкретным, информированным и добровольным. Продолжение использования сайта как подразумеваемое согласие — не соответствует требованиям закона.»

Отдельный вопрос — GA4 и аналогичные западные сервисы аналитики. По ч. 5 ст. 18 ФЗ-152 запись и систематизация ПДн граждан РФ должны происходить в базах на территории России. Если GA4 передаёт идентификаторы на серверы Google за рубеж — это трансграничная передача, которая требует уведомления РКН по ст. 12 ФЗ-152. Альтернатива — перейти на Яндекс.Метрику или настроить GA4 в режиме без идентификации (без cookies, с агрегированными данными).

Шаг 4. Составьте политику конфиденциальности по обязательной структуре

Политика конфиденциальности по ч. 2 ст. 18.1 ФЗ-152 должна содержать: наименование и контакты оператора, цели обработки, правовые основания по каждой цели, категории обрабатываемых ПДн, третьих лиц и поручителей, которым данные передаются, сроки хранения, меры защиты (в общем виде) и порядок реализации прав субъектов.

Для интернет-магазина в политику включают минимум шесть разделов: обработка данных заказа, обработка для рассылок, cookies и веб-аналитика, программа лояльности, передача подрядчикам (службы доставки, платёжные системы, маркетплейсы), права и обращения субъектов.

Что подготовить для полного комплекта документов

Политика конфиденциальности с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте с прямой ссылкой из подвала
Отдельное согласие на рассылки (email, push, SMS) с реквизитами по ст. 9 ФЗ-152 и механизмом отзыва
Баннер cookies с раздельным управлением по категориям (технические / аналитические / маркетинговые)
Отдельное согласие для программы лояльности, если цель отличается от исполнения заказа
Уведомление РКН о трансграничной передаче, если используете зарубежные аналитические или рекламные сервисы

Шаг 5. Разберите ситуацию с маркетплейсом: кто оператор?

Если интернет-магазин продаёт через маркетплейс (Wildberries, Ozon, Яндекс.Маркет), возникает вопрос о разграничении ролей оператора и обработчика. Маркетплейс собирает данные покупателя самостоятельно и является оператором по отношению к этим данным. Продавец, получающий данные от маркетплейса для исполнения заказа, действует как оператор в части своей обработки.

Это означает: у продавца должна быть своя политика конфиденциальности, своё уведомление в реестре РКН по ст. 22 ФЗ-152 и свои основания обработки данных, полученных от маркетплейса. Ссылки на политику маркетплейса недостаточно.

Передача данных от маркетплейса продавцу оформляется договором поручения обработки по п. 3 ст. 6 ФЗ-152. В договоре фиксируются: перечень передаваемых данных, цели, меры защиты и запрет на обработку в собственных целях продавца. Если такого договора нет — у РКН есть основания квалифицировать передачу как незаконную по ч. 1 ст. 13.11 КоАП.

«П. 3 ст. 6 ФЗ-152: оператор вправе поручить обработку ПДн третьему лицу на основании договора. Обработчик обязан соблюдать требования ФЗ-152. Ответственность перед субъектом сохраняется за оператором.»

Если вы маркетолог и продаёте через маркетплейс без договора поручения обработки — любая передача данных покупателей создаёт риск по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Юристы DATUM проведут аудит цепочки операторов и помогут оформить договоры поручения.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Интернет-магазин электроники (Сибирский ФО, лето 2025) прошёл внеплановую проверку РКН по жалобе пользователя на навязчивые рассылки. Инспектор установил, что согласие на рассылки было встроено в оферту и не содержало отдельного чекбокса. Штраф назначен по ч. 2 ст. 13.11 КоАП. Кроме того, баннер cookies на сайте отсутствовал — дополнительный протокол. Итого два протокола, суммарный штраф — в диапазоне сотен тысяч рублей. Ошибка устранима была за 2–3 дня до проверки при наличии корректных документов.

Кейс 2. Продавец на маркетплейсе (Центральный ФО, осень 2025) получил запрос от РКН о предоставлении документов, подтверждающих основания обработки данных покупателей. Политика конфиденциальности отсутствовала, уведомление в реестр РКН не подавалось. Юристы DATUM подготовили политику, согласия, подали уведомление в реестр и сопроводили ответ на запрос. Дело завершилось предписанием без штрафа — благодаря оперативному устранению нарушений до вынесения постановления.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документов, cookies, баннера и цепочки операторов
Комплект ОРД под ключ — политика, согласия, баннер, договоры поручения в одном пакете
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП, ст. 4.1.1

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookie-идентификатор позволяет прямо или косвенно идентифицировать пользователя. Технические cookies (сессия, авторизация, корзина) обычно обрабатываются без согласия как необходимые для работы сервиса. Аналитические и маркетинговые cookies требуют явного согласия через баннер на основании ст. 9 ФЗ-152 до начала их записи в браузер.

2. Можно ли использовать GA4 после ограничений?

GA4 передаёт данные на серверы Google за рубежом, что квалифицируется как трансграничная передача по ст. 12 ФЗ-152. Если среди переданных данных есть идентификаторы, позволяющие идентифицировать граждан РФ, нужно уведомить РКН о трансграничной передаче. Альтернатива — использовать GA4 в режиме без файлов cookie с агрегированными данными или перейти на Яндекс.Метрику с серверами в России.

3. Кто оператор: маркетплейс или продавец?

Оба. Маркетплейс — оператор в части данных, которые он собирает от покупателя. Продавец — оператор в части данных, которые он получает от маркетплейса для исполнения заказа. У каждого должна быть своя политика конфиденциальности и своё уведомление в реестр РКН по ст. 22 ФЗ-152. Отношения между маркетплейсом и продавцом по обмену данными оформляются договором поручения обработки по п. 3 ст. 6 ФЗ-152.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies — нарушение ст. 9 ФЗ-152 (обработка без согласия), которое квалифицируется по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — 300 000–700 000 ₽. Дополнительно при повторном нарушении применяется ч. 2.1 ст. 13.11 — штраф 1 000 000–1 500 000 ₽. Выявляется при проверке РКН или по жалобе пользователя.

5. Как оформить отзыв подписки?

Отзыв согласия на рассылки реализуется через механизм, доступный субъекту самостоятельно: ссылка «Отписаться» в каждом письме (обязательно по ст. 18 ФЗ «О рекламе»), кнопка в личном кабинете или email-запрос на адрес оператора. По ст. 9 ФЗ-152 после получения отзыва оператор обязан прекратить обработку в течение 30 дней, если иной срок не установлен законом или договором. Сохраняйте записи об отзывах — они нужны при проверке РКН.

Итог

Оферта, политика конфиденциальности и согласие на обработку ПДн — три документа с разными функциями и разными правовыми основаниями. Объединять их после 01.09.2025 нельзя. Cookies требуют баннера, GA4 — уведомления о трансграничной передаче, маркетплейсы — договора поручения обработки.

Юристы DATUM специализируются на документах для интернет-магазинов и цифровых продуктов: политика конфиденциальности, согласия, баннер cookies, договоры с подрядчиками, уведомление РКН — в едином пакете с учётом актуальных требований ФЗ-152 и позиции Роскомнадзора.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.

14 апреля 2029 года