Перейти к содержанию
инструкция 8 января 2029 По состоянию на 8 января 2029

Отзывы покупателей: ПДн или нет

Отзыв покупателя — это персональные данные, если он содержит имя, email, ID профиля или иной идентификатор конкретного человека.
С 30.05.2025 штраф за обработку ПДн без правового основания — до 300 000 ₽ по ч. 1 ст. 13.11 КоАП, а при повторном нарушении — до 500 000 ₽. Cookies, история просмотров и поведенческие метки на сайте интернет-магазина по позиции РКН также квалифицируются как ПДн.
Если вы маркетолог и запускаете программу отзывов, рассылок или подключаете GA4 — проверьте, есть ли у вас корректное правовое основание для каждого типа данных. → Оценить риски по 152-ФЗ

Маркетолог интернет-магазина ежедневно работает с данными, которые на первый взгляд безобидны: имя в отзыве, email для рассылки, cookie-идентификатор браузера, история заказов в программе лояльности. С 2024–2025 годов каждый из этих элементов может стать основанием для административного протокола по ст. 13.11 КоАП. В этой инструкции — пошаговый разбор: когда отзыв является ПДн, как законно собирать отзывы, что делать с cookies и GA4, и как избежать штрафа за публикацию данных подписчиков без их согласия.

Шаг 1. Определите, какие данные в отзыве являются персональными

Персональные данные по ст. 3 ФЗ-152 — это любая информация, прямо или косвенно идентифицирующая физическое лицо. Отзыв сам по себе текстом не является ПДн. Но он становится ПДн, как только к нему привязан идентификатор конкретного человека.

Проверьте каждый элемент отзыва по следующему критерию:

  • Имя + фамилия — прямой идентификатор; однозначно ПДн.
  • Имя + город + дата покупки — совокупность косвенно идентифицирует; ПДн.
  • Никнейм без каких-либо ссылок на профиль — не ПДн, если невозможно установить личность.
  • Email-адрес или номер телефона — всегда ПДн, даже скрытый частично.
  • ID профиля маркетплейса или магазина — ПДн, поскольку позволяет однозначно идентифицировать аккаунт.
  • Фотография в отзыве — биометрические ПДн, если изображение лица пригодно для идентификации (ст. 11 ФЗ-152); требует отдельного письменного согласия.

Практическое правило: если вы можете открыть карточку клиента в CRM по данным из отзыва — отзыв содержит ПДн и его публикация требует правового основания по ст. 6 ФЗ-152.

«Ст. 3 ФЗ-152 — персональные данные: любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Ст. 10.1 ФЗ-152 — распространение ПДн допустимо только при наличии отдельного согласия субъекта; молчание трактуется как запрет.»

Шаг 2. Проверьте правовое основание для публикации отзыва

Публикация отзыва с ПДн — это распространение, то есть предоставление неограниченному кругу лиц. По ст. 10.1 ФЗ-152 распространение требует отдельного согласия субъекта. Это не то согласие, которое покупатель дал при регистрации — оно должно касаться конкретно публикации его имени и текста в открытом доступе.

Три допустимые модели для интернет-магазина:

  • Отдельное согласие на распространение — чекбокс «Разрешаю опубликовать отзыв с моим именем» при отправке формы отзыва. Чекбокс не должен быть предзаполнен.
  • Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152) — применимо, если публикация отзыва прямо предусмотрена условиями пользовательского соглашения, которое покупатель принял при регистрации. Юридически спорно; надёжнее — отдельное согласие.
  • Обезличенный отзыв — если имя заменено на инициалы или «Покупатель», город убран, дата обобщена до месяца — идентификация невозможна, ПДн нет, согласие не требуется.

Уже публикуете отзывы с именами покупателей без отдельного согласия?

Это распространение ПДн по ст. 10.1 ФЗ-152 без правового основания. Штраф по ч. 1 ст. 13.11 КоАП — 150 000–300 000 ₽. При повторном нарушении — до 500 000 ₽. Чем дольше данные остаются в открытом доступе, тем выше риск: жалоба субъекта запускает внеплановую проверку РКН.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Разберитесь с cookies и GA4 как источниками ПДн

Cookies — это идентификаторы браузера или устройства. РКН квалифицирует их как ПДн, если по cookie-идентификатору можно восстановить историю действий конкретного пользователя. Для большинства интернет-магазинов, использующих аналитику, это именно так.

Что это означает на практике:

  • Баннер cookies обязателен до начала записи идентификаторов. Пользователь должен дать согласие до того, как cookie-файл установлен, а не после. Отсутствие баннера — нарушение ч. 1 ст. 13.11 (обработка без правового основания), штраф 150 000–300 000 ₽.
  • GA4 передаёт данные на серверы Google в США. По ст. 12 ФЗ-152 это трансграничная передача в страну без адекватной защиты. До передачи — уведомление РКН через портал pd.rkn.gov.ru. Без уведомления — штраф по ч. 10 ст. 13.11 в размере 100 000–300 000 ₽.
  • Ретаргетинговые пиксели (Meta Pixel, VK Pixel) работают по той же логике: передают идентификаторы третьим лицам. Правовое основание — согласие субъекта с явным указанием, какому третьему лицу и зачем передаются данные.
«Ст. 12 ФЗ-152 — до передачи ПДн в страну, не обеспечивающую адекватную защиту, оператор обязан уведомить РКН. Ст. 10.1 ФЗ-152 — согласие на распространение ПДн должно быть отдельным; дефолт молчания — запрет обработки в пользу третьих лиц.»

Как маркетологу разграничить ответственность с маркетплейсом?

Если вы продаёте через маркетплейс — Wildberries, Ozon, Яндекс Маркет — вопрос об операторе ПДн принципиален. Ответ зависит от того, кто собирает данные и определяет цели обработки.

  • Маркетплейс как оператор: покупатель регистрируется на площадке, данные (email, телефон, адрес) собирает маркетплейс. Продавец получает только данные для исполнения заказа — имя, адрес доставки. В этом объёме продавец также является оператором.
  • Продавец как самостоятельный оператор: если вы собираете email покупателя для своей рассылки, просите оставить отзыв на собственном сайте, ведёте программу лояльности — вы оператор в полном смысле ст. 3 ФЗ-152. Обязаны: уведомить РКН, иметь политику конфиденциальности, хранить данные в РФ.
  • Совместная обработка: если маркетплейс передаёт вам email для маркетинговых рассылок — это передача ПДн третьему лицу (продавцу). Правовое основание — согласие покупателя на маркетплейсе должно явно включать передачу продавцам.

Практическое следствие: не предполагайте, что раз маркетплейс «всё оформил» — вы вне ответственности. РКН привлекает к ответственности того, кто фактически обрабатывает данные.

Шаг 4. Оформите программу лояльности и email-рассылки по новым требованиям

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом. Оно не может быть частью договора оферты, правил участия в программе лояльности или общих условий покупки.

Что требует переработки в типичном интернет-магазине:

  • Форма регистрации в программе лояльности — согласие на обработку должно быть отдельным элементом, не совмещённым с принятием правил.
  • Форма подписки на рассылку — отдельное согласие с указанием: оператор, цель (рассылка), перечень данных (email), срок, способ отзыва.
  • Форма отзыва — если публикуете имя, отдельное согласие на распространение (ст. 10.1 ФЗ-152).
  • Отзыв подписки — письмо «отписаться» должно реально уничтожать данные из базы рассылки или блокировать их, а не просто снимать флаг «активен».
«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025, вступившей в силу 01.09.2025: согласие субъекта на обработку ПДн оформляется отдельным документом и не объединяется с иными соглашениями. Обязательные реквизиты: ФИО, контакты субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Если вы маркетолог и формы подписки или программы лояльности существовали до 01.09.2025 — они уже не соответствуют требованиям ФЗ-156. Каждая старая форма — потенциальный протокол по ч. 2 ст. 13.11 (штраф до 700 000 ₽). На переработку документов нужно время — начните до следующей проверки РКН.

Собрать ОРД под ключ

Шаг 5. Подготовьте чек-лист документов для соответствия 152-ФЗ

Соответствие ФЗ-152 для интернет-магазина — это не разовая задача, а набор документов и процедур. Проверьте наличие каждого элемента.

Что подготовить маркетологу интернет-магазина

  • Уведомление в реестре операторов РКН (pd.rkn.gov.ru) — актуальный состав ПДн и целей обработки, включая cookies и аналитику.
  • Политика конфиденциальности с разделами по ч. 2 ст. 18.1 ФЗ-152: цели, правовые основания, категории ПДн, условия передачи третьим лицам (GA4, пиксели, маркетплейс).
  • Отдельные согласия по ст. 9 ФЗ-152 (ред. с 01.09.2025): на рассылку, на программу лояльности, на публикацию отзыва с именем.
  • Баннер cookies с механизмом получения согласия до установки идентификаторов; журнал фиксации согласий.
  • Уведомление РКН о трансграничной передаче (если используется GA4, Meta Pixel, иные зарубежные сервисы аналитики) по ст. 12 ФЗ-152.

Как это работает на практике: два сценария

Сценарий 1. Маркетолог публикует отзывы с именами без отдельного согласия. Интернет-магазин бытовой техники (Центральный ФО, весна 2025) получил жалобу от покупателя: его имя и текст отзыва опубликованы без согласия на распространение. РКН возбудил дело по ч. 1 ст. 13.11 (обработка без правового основания). Компания оперативно убрала имена, заменив на инициалы, и представила доказательства устранения нарушения. Арбитражный суд региона назначил штраф в нижней части диапазона — в пределах 150 000–200 000 ₽. Вывод: обезличивание отзывов и хранение журнала согласий — дешевле судебного процесса.

Кейс 2. Рассылка без переоформления согласий после 01.09.2025. Маркетолог крупного онлайн-ретейлера (Северо-Западный ФО, осень 2025) продолжил рассылку по базе подписчиков, собранной до вступления в силу ФЗ-156. Старые согласия были частью оферты, не отдельным документом. РКН квалифицировал это как обработку без надлежащего согласия по ч. 2 ст. 13.11 КоАП. Диапазон штрафа — 300 000–700 000 ₽. Компания параллельно запустила переподписку с корректными формами и доказала в суде, что нарушение устранено до вынесения постановления. Штраф был снижен. Вывод: переоформление согласий стоит сделать до, а не после получения протокола.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookie-идентификатор позволяет восстановить историю действий конкретного пользователя. Для большинства интернет-магазинов с аналитикой это именно так: cookie привязан к профилю, истории заказов, корзине. Обработка таких идентификаторов требует правового основания по ст. 6 ФЗ-152, в первую очередь — согласия через баннер до установки cookie-файла. Отсутствие баннера — нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

2. Можно ли использовать GA4 после ограничений?

GA4 можно использовать, но с соблюдением требований: уведомить РКН о трансграничной передаче по ст. 12 ФЗ-152 через портал pd.rkn.gov.ru; включить передачу данных в политику конфиденциальности; получить согласие пользователя на cookies и аналитику до начала сбора данных. Без уведомления о трансграничной передаче — штраф по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽). Альтернатива — российские системы аналитики (Яндекс Метрика) с хранением данных в РФ: уведомление о трансграничной передаче не требуется.

3. Кто оператор: маркетплейс или продавец?

Оба могут быть операторами одновременно — в разных объёмах. Маркетплейс — оператор данных покупателя в части регистрации, оплаты, отзывов на платформе. Продавец становится самостоятельным оператором, как только начинает самостоятельно собирать данные: рассылки, программа лояльности, собственный сайт, CRM. Тот факт, что маркетплейс имеет собственную политику конфиденциальности, не освобождает продавца от обязанности уведомить РКН и иметь ОРД по тем данным, которые он обрабатывает сам.

4. Что грозит за отсутствие баннера cookies?

Обработка ПДн (в том числе cookie-идентификаторов) без правового основания — нарушение ч. 1 ст. 13.11 КоАП. Для юридического лица штраф — 150 000–300 000 ₽. При повторном нарушении — до 500 000 ₽ по ч. 1.1 той же статьи. Если при этом данные передавались третьим лицам (пиксели, ретаргетинг) без согласия — возможна дополнительная квалификация по ч. 1 ст. 13.11 за каждый такой факт. Жалоба одного пользователя запускает внеплановую проверку РКН.

5. Как оформить отзыв подписки от рассылки?

Ссылка «отписаться» должна не просто убирать флаг активности, а запускать процедуру отзыва согласия по ст. 9 ФЗ-152: блокирование или уничтожение ПДн (email, имя) из базы рассылки в разумный срок. После отзыва согласия обработка данных для рассылки прекращается. Срок уничтожения — не позднее 30 дней, если иное не предусмотрено законом. Если email хранится для других целей (история заказов) — данные разделяются: рассылка блокируется, история заказов сохраняется на ином основании (ст. 6 ч. 1 п. 5 — исполнение договора).

6. Нужно ли переоформлять все согласия после 01.09.2025?

Согласия, полученные до 01.09.2025, — если они были действительными по старым требованиям — не теряют юридической силы автоматически: ФЗ-156 не имеет обратной силы. Однако если согласие было совмещено с офертой или правилами программы и не содержало обязательных реквизитов по ст. 9 ФЗ-152 — оно было недействительным ещё до поправок. Безопаснее провести аудит существующих форм и переподписать согласия по новому образцу при ближайшем взаимодействии с пользователем.

Итог

Отзыв с именем покупателя, cookie-идентификатор браузера, email в базе рассылки и история заказов в программе лояльности — всё это ПДн по ст. 3 ФЗ-152, если позволяют идентифицировать конкретного человека. Публикация отзывов, подключение GA4 и ретаргетинговых пикселей, ведение программы лояльности — каждое требует отдельного правового основания, а с 01.09.2025 — отдельного согласия.

Юристы DATUM сопровождают интернет-магазины и маркетплейсы в части соответствия 152-ФЗ: от аудита cookies и форм согласия до уведомлений о трансграничной передаче GA4 и защиты при протоколах РКН по ст. 13.11 КоАП.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

8 января 2029 года