OWOX BI как локальная аналитика
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи. Интернет-магазинам, использующим зарубежные аналитические инструменты без баннера cookies и без уведомления РКН о трансграничной передаче, грозит одновременно несколько составов нарушения. Эта инструкция описывает, как настроить OWOX BI в качестве локальной аналитики, закрыть требования 152-ФЗ по cookies и рассылкам и зафиксировать выполнение мер документально.
Почему cookies — это персональные данные и что это значит для маркетолога?
Cookies содержат идентификаторы устройства и сессии, через которые можно косвенно установить личность пользователя. Роскомнадзор в методических рекомендациях относит такие идентификаторы к категории персональных данных. Следовательно, любой сбор cookies без согласия пользователя — это обработка ПДн без правового основания по ч. 1 ст. 6 ФЗ-152.
Если сайт интернет-магазина передаёт cookie-данные в GA4 или Meta Pixel без баннера согласия и без уведомления РКН о трансграничной передаче — одновременно нарушаются ч. 2 ст. 13.11 (обработка без надлежащего согласия, штраф 300–700 тыс. ₽) и ч. 8 ст. 13.11 (нарушение локализации, штраф 1–6 млн ₽). OWOX BI обрабатывает данные в российской инфраструктуре, что закрывает требование локализации по ч. 5 ст. 18 ФЗ-152.
Шаг 1. Оцените текущий стек аналитики на соответствие 152-ФЗ
Составьте список всех аналитических инструментов, установленных на сайте: счётчики, пиксели, сервисы A/B-тестирования, инструменты записи сессий. Для каждого инструмента определите: где физически обрабатываются данные (страна сервера), передаются ли идентификаторы пользователей за рубеж, есть ли уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152.
Типичный результат для среднего интернет-магазина: GA4 → серверы Google (США/ЕС), Meta Pixel → серверы Meta (США), Hotjar или Clarity → серверы за рубежом. Ни по одному из этих инструментов уведомление в РКН, как правило, не подавалось.
Зафиксируйте результат в таблице: инструмент — страна обработки — правовое основание — статус уведомления РКН. Этот документ станет исходной точкой для перехода и частью доказательной базы при проверке.
Уже используете GA4 и не уверены в статусе трансграничной передачи?
Если маркетолог не подавал уведомление в РКН о трансграничной передаче данных через GA4 — каждый день работы счётчика создаёт новое нарушение ч. 8 ст. 13.11 КоАП. Срок включения оператора в реестр после уведомления — 30 дней, но сам факт неподанного уведомления уже является составом нарушения. Юристы DATUM проведут аудит аналитического стека по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 2. Установите OWOX BI Streaming и настройте сбор событий в российской инфраструктуре
OWOX BI Streaming принимает события с сайта через серверный эндпоинт, расположенный в российском дата-центре. Данные не покидают территорию РФ до их явной выгрузки в BI-систему по команде оператора. Это технически закрывает требование ч. 5 ст. 18 ФЗ-152 о первичной записи, систематизации и хранении ПДн граждан РФ в российских базах данных.
Порядок установки: разместите тег OWOX на сайте через GTM или напрямую в код; настройте серверный контейнер GTM на российском домене или используйте проксирование через собственный субдомен; проверьте, что все события (pageview, add_to_cart, purchase) отправляются на российский эндпоинт OWOX, а не напрямую в GA4.
Если GA4 используется параллельно — отключите прямую отправку данных с браузера пользователя в Google. Данные из OWOX можно направлять в GA4 через серверный коннектор — в этом случае в Google уходят уже агрегированные, а не первичные идентификаторы. Правовой статус такой схемы как трансграничной передачи — предмет отдельного уведомления в РКН по ст. 12 ФЗ-152.
Шаг 3. Настройте баннер согласия на cookies по требованиям ст. 9 ФЗ-152
Баннер согласия — это не формальность: он фиксирует момент получения согласия по п. 1 ч. 1 ст. 6 ФЗ-152 и реквизиты по ст. 9 ФЗ-152. Без него обработка cookie-данных не имеет правового основания.
Обязательные элементы баннера: цель обработки (аналитика, маркетинг — раздельно), перечень инструментов и типов cookies, ссылка на политику конфиденциальности, кнопка принятия и кнопка отказа (равнодоступные), срок хранения данных. Молчание пользователя не равно согласию — до нажатия кнопки принятия аналитические cookies не должны устанавливаться.
С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025). Для cookies в браузере это означает, что запись в localStorage или cookie со статусом согласия должна сохранять дату, IP-адрес и версию текста, с которым согласился пользователь. Эти данные хранятся в российской инфраструктуре OWOX BI Streaming — что технически совместимо с требованием.
Если баннер cookies на сайте есть, но без кнопки отказа или без разграничения аналитики и маркетинга — это неполное согласие. Штраф по ч. 2 ст. 13.11 КоАП: 300–700 тыс. ₽. Соберите ОРД под требования ФЗ-156 — политику, согласия, регламент.
Собрать ОРД под ключШаг 4. Обновите политику конфиденциальности и уведомление в реестре РКН
Политика конфиденциальности интернет-магазина должна отражать фактически используемые инструменты. После перехода на OWOX BI добавьте раздел об аналитических инструментах: наименование, цели, срок хранения данных, правовое основание обработки, сведения об обработчике (OWOX BI как лицо, осуществляющее обработку по поручению по п. 3 ст. 6 ФЗ-152).
Обязательные реквизиты политики по ч. 2 ст. 18.1 ФЗ-152: наименование и адрес оператора, цели обработки, правовые основания, перечень обрабатываемых ПДн, порядок реагирования на запросы субъектов, срок хранения. Если политика не опубликована на сайте — штраф по ч. 3 ст. 13.11 КоАП: 30–60 тыс. ₽.
Одновременно проверьте уведомление в реестре операторов ПДн (pd.rkn.gov.ru): если в уведомлении указан OWOX BI как обработчик по поручению — внесите изменение в реестровую запись через форму по Приказу РКН №180 от 28.10.2022. Уведомление об изменении подаётся в течение 10 рабочих дней с момента изменения состава обработчиков.
Шаг 5. Проверьте email-рассылки и программы лояльности на соответствие 152-ФЗ
Email-рассылки — самостоятельный канал обработки ПДн. Адрес электронной почты — персональные данные. Правовое основание для рассылки: согласие по ст. 9 ФЗ-152 + согласие по ст. 18 ФЗ «О рекламе». Одного общего согласия «на обработку данных» недостаточно: рекламная рассылка требует отдельного явного согласия.
Двойное подтверждение (double opt-in) не закреплено в ФЗ-152 как обязательное, но служит доказательством факта согласия при споре. Если OWOX BI используется для автоматических триггерных рассылок — убедитесь, что база подписчиков содержит запись даты и канала получения согласия.
Программы лояльности: участие в программе не является основанием для рассылки коммерческих предложений третьих лиц. Если данные участников передаются партнёрам по программе — это поручение обработки по п. 3 ст. 6 ФЗ-152, требующее письменного договора поручения с перечнем разрешённых действий.
Что подготовить маркетологу при переходе на OWOX BI
- Реестр аналитических инструментов с указанием страны обработки данных и статуса уведомления РКН по ст. 12 ФЗ-152.
- Баннер согласия на cookies с раздельными категориями, кнопкой отказа и журналом фиксации согласий в российской инфраструктуре.
- Обновлённая политика конфиденциальности с разделом об OWOX BI как обработчике по поручению и сроками хранения аналитических данных.
- Актуальное уведомление в реестре РКН с корректным перечнем обработчиков и целей обработки.
- База подписчиков email-рассылок с датой и источником согласия по ст. 9 ФЗ-152 и ст. 18 ФЗ «О рекламе».
Как это применяется на практике
Кейс 1. Интернет-магазин товаров для дома (Приволжский ФО, лето 2025) получил предписание РКН по результатам автоматизированного мониторинга: на сайте работал Meta Pixel без баннера согласия. Директор по маркетингу самостоятельно установил баннер, но без кнопки отказа и без фиксации согласий. При повторной проверке РКН зафиксировал ненадлежащее согласие — протокол по ч. 2 ст. 13.11 КоАП. После привлечения юристов баннер был переработан с журналом согласий в OWOX BI, компания представила доказательства устранения нарушения, и суд снизил штраф до нижней границы диапазона.
Кейс 2. Маркетплейс fashion-сегмента (Центральный ФО, осень 2025) использовал GA4 с серверным коннектором через OWOX BI, считая, что требование локализации выполнено. РКН в ходе плановой проверки установил, что в GA4 передавались client_id пользователей в исходном виде, что квалифицировалось как трансграничная передача ПДн без уведомления по ст. 12 ФЗ-152. После аудита схема была перестроена: в GA4 направляются только хешированные агрегаты, уведомление о трансграничной передаче подано в РКН.
Кто является оператором при продажах через маркетплейс?
Вопрос распределения ответственности между маркетплейсом и продавцом-партнёром регулируется договорными условиями и фактическим составом обрабатываемых данных. Если продавец получает ПДн покупателей (имя, адрес, телефон) через личный кабинет маркетплейса и самостоятельно их обрабатывает — он является самостоятельным оператором по ст. 3 ФЗ-152 и обязан уведомить РКН по ст. 22 ФЗ-152.
Маркетплейс при этом выступает либо совместным оператором, либо обработчиком по поручению — в зависимости от договора. Отсутствие договора поручения при фактической передаче ПДн продавцу — нарушение ч. 3 ст. 6 ФЗ-152. Аналитические данные, которые маркетплейс собирает о покупателях через собственные счётчики (включая OWOX BI), остаются в зоне ответственности маркетплейса как оператора.
Для продавца на маркетплейсе это означает: если вы настраиваете OWOX BI на собственном лендинге или сайте-витрине с переходом на маркетплейс — вы самостоятельный оператор в части данных, собранных до перехода. Данные, собранные маркетплейсом после перехода, — ответственность маркетплейса.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка аналитического стека, cookies, рассылок по 38 пунктам.
- Комплект ОРД под ключ — политика конфиденциальности, согласия, договоры поручения обработки.
- Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП для интернет-магазинов.
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да. Cookie-файлы содержат идентификаторы, позволяющие косвенно установить личность пользователя, что соответствует определению ПДн по ст. 3 ФЗ-152. Это означает, что установка аналитических и рекламных cookies без согласия пользователя является обработкой ПДн без правового основания — нарушение ч. 1 ст. 6 ФЗ-152 и основание для штрафа по ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽ для юрлица).
2. Можно ли использовать GA4 после ограничений?
Использование GA4 не запрещено напрямую, но создаёт два правовых риска. Первый — трансграничная передача ПДн (cookie-идентификаторов) без уведомления РКН по ст. 12 ФЗ-152, что влечёт штраф по ч. 8 ст. 13.11 КоАП (1–6 млн ₽). Второй — нарушение требования локализации по ч. 5 ст. 18 ФЗ-152. Схема «OWOX BI собирает первично в РФ → агрегированные данные направляются в GA4» снижает, но не исключает риски — зависит от состава передаваемых данных.
3. Кто является оператором: маркетплейс или продавец?
Оба могут быть операторами — в зависимости от того, кто и какие данные фактически обрабатывает. Маркетплейс — оператор в части данных покупателей, собранных на своей платформе. Продавец становится самостоятельным оператором, если получает ПДн покупателей и самостоятельно их обрабатывает. В этом случае продавец обязан уведомить РКН по ст. 22 ФЗ-152 и иметь договор поручения с маркетплейсом по п. 3 ст. 6 ФЗ-152.
4. Что грозит за отсутствие баннера cookies?
Отсутствие баннера означает обработку cookie-данных без согласия — нарушение ч. 2 ст. 13.11 КоАП в редакции с 30.05.2025. Штраф для юридического лица: 300–700 тыс. ₽. При повторном нарушении (ч. 2.1) — 1–1,5 млн ₽. Если через cookies передаются данные за рубеж (GA4, Meta Pixel) без уведомления РКН — добавляется нарушение по ч. 8 ст. 13.11 (1–6 млн ₽). Оба состава могут вменяться одновременно.
5. Как оформить отзыв подписки на email-рассылку?
Субъект вправе отозвать согласие на рассылку в любое время по ст. 9 ч. 2 ФЗ-152. Отзыв должен быть технически реализован: ссылка «отписаться» в каждом письме, обработка запроса в течение 10 рабочих дней (ст. 20 ФЗ-152). После отзыва согласия оператор обязан прекратить обработку данных для цели рассылки. Хранение адреса после отзыва допустимо только при наличии иного правового основания (например, исполнение договора).
6. Нужно ли повторно получать согласия от существующей базы подписчиков после 01.09.2025?
ФЗ-156 от 24.06.2025 не имеет обратной силы — согласия, полученные до 01.09.2025, переоформлять не требуется. Однако если старое согласие не содержало обязательных реквизитов по ст. 9 ФЗ-152 (цель, перечень ПДн, срок, способ отзыва) — оно не является надлежащим независимо от даты. Рекомендуется провести ревизию базы и при необходимости получить новые согласия через double opt-in.
Итог
Переход на OWOX BI как локальную аналитику закрывает требование локализации по ч. 5 ст. 18 ФЗ-152, но не заменяет остальные элементы комплаенса: баннер согласия, политику конфиденциальности, уведомление в реестре РКН и документирование согласий на рассылки. Каждый из этих элементов — самостоятельный состав нарушения при его отсутствии.
DATUM сопровождает интернет-магазины и маркетплейсы при переходе на российские аналитические инструменты: аудит стека, подготовка ОРД, обновление уведомлений в РКН, защита при протоколах по ст. 13.11 КоАП.