Перейти к содержанию
инструкция 11 января 2029 По состоянию на 11 января 2029

ПДн в API маркетплейса

API маркетплейса передаёт персональные данные покупателей продавцу — это обработка ПДн по ст. 3 и ст. 6 ФЗ-152, и оба участника несут ответственность как операторы.
С 30.05.2025 утечка данных от 1 000 субъектов через сторонний API грозит штрафом от 3 млн ₽ по ч. 12 ст. 13.11 КоАП. Cookies, передаваемые GA4 или Meta Pixel, также квалифицируются Роскомнадзором как ПДн и попадают под требования о трансграничной передаче.
→ Если вы маркетолог интернет-магазина или продавца на маркетплейсе — проверьте, оформлен ли каждый из пяти шагов ниже.

Маркетологи e-commerce работают с API Wildberries, Ozon, Яндекс Маркета ежедневно: выгружают заказы, синхронизируют адреса доставки, передают данные в CRM и email-рассылки. В каждом таком запросе содержатся персональные данные покупателей. Роскомнадзор с 2023 года проверяет именно цифровые каналы — cookies, сторонние трекеры, API-интеграции. Ниже — пять шагов, которые закрывают основные риски по 152-ФЗ для продавца на маркетплейсе.

Шаг 1. Определите, кто оператор: маркетплейс или продавец?

Разграничение ролей — первое, что проверяет инспектор РКН. По ст. 3 ФЗ-152 оператором является любое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки ПДн. Маркетплейс собирает данные покупателя при регистрации и оформлении заказа — он оператор по умолчанию. Продавец получает эти данные через API для исполнения заказа: имя, адрес, телефон, email. С этого момента продавец тоже становится оператором.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу на основании договора. Продавец, получающий данные через API маркетплейса для выполнения заказа, действует либо как самостоятельный оператор, либо как лицо, осуществляющее обработку по поручению — в зависимости от условий договора с площадкой.»

На практике крупные маркетплейсы включают в оферту для продавцов пункты о статусе обработчика данных. Если такого пункта нет или он сформулирован размыто — продавец несёт полную ответственность как самостоятельный оператор. Проверьте оферту до начала работы через API.

Шаг 2. Подайте уведомление в реестр РКН или проверьте актуальность записи

Если продавец самостоятельно обрабатывает ПДн покупателей через API — он обязан уведомить Роскомнадзор по ст. 22 ФЗ-152 до начала обработки. Форма подаётся через личный кабинет pd.rkn.gov.ru с УКЭП или через ЕСИА. Срок включения в реестр операторов — до 30 дней с момента подачи уведомления.

«Ч. 10 ст. 13.11 КоАП (в ред. с 30.05.2025): неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку ПДн — штраф для юридического лица от 100 000 до 300 000 ₽.»

Частая ошибка: уведомление подано три года назад для работы с кадровыми данными, а API маркетплейса и CRM-система появились позже. В реестре указаны цели, категории ПДн и получатели данных. Если реальная обработка шире — необходимо подать изменение в реестровую запись по форме Приказа РКН №180.

Реестровая запись устарела или отсутствует?

Если маркетолог запустил новый канал — email-рассылки, API маркетплейса, CRM-интеграцию — без обновления записи в реестре РКН, каждый из них создаёт самостоятельное нарушение. Штраф по ч. 10 ст. 13.11 КоАП применяется к каждому случаю неуведомления. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут план устранения нарушений с приоритизацией.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Установите баннер cookies и получите согласие до передачи данных в GA4

Роскомнадзор квалифицирует cookies как персональные данные, если они позволяют идентифицировать пользователя — в частности, при использовании в связке с другими данными профиля. Сайт интернет-магазина или лендинг продавца на маркетплейсе, передающий cookie-идентификаторы в Google Analytics 4, Meta Pixel или аналогичные сервисы, осуществляет трансграничную передачу ПДн по ст. 12 ФЗ-152.

«Ст. 10.1 ФЗ-152: распространение ПДн допускается только при наличии отдельного согласия субъекта. Молчание и бездействие пользователя не считаются согласием. Ст. 12 ФЗ-152: до передачи данных в страну, не обеспечивающую адекватную защиту, оператор обязан уведомить РКН.»

Баннер cookies — это не только UX-элемент. Он фиксирует момент получения согласия и должен содержать описание целей, перечень передаваемых данных и ссылку на политику конфиденциальности. До клика «Принять» cookies-трекеры не должны загружаться. Технически это реализуется через тег-менеджер с условной загрузкой скриптов. GA4 при правильной настройке Consent Mode v2 прекращает сбор идентификаторов до получения согласия — это снижает риск претензий по ч. 6 ст. 13.11 КоАП.

Шаг 4. Проверьте политику конфиденциальности и согласия на рассылки

Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 должна быть опубликована в открытом доступе на сайте. Для интернет-магазина минимальный состав: перечень обрабатываемых данных, цели, правовые основания по ст. 6, сроки хранения, порядок обращения субъектов. Если магазин использует программы лояльности — бонусный баллы, кешбэк — данные карты лояльности обрабатываются по отдельному основанию и требуют отдельного блока в политике.

«Ч. 3 ст. 13.11 КоАП (в ред. с 30.05.2025): невыполнение обязанности по опубликованию политики обработки ПДн — штраф для юридического лица от 30 000 до 60 000 ₽. Ч. 2 ст. 13.11: обработка ПДн без письменного согласия, когда оно требуется, или с нарушением состава согласия — штраф от 300 000 до 700 000 ₽.»

Email-рассылки — отдельный риск. Согласие на коммерческую рассылку по ст. 18 Закона о рекламе должно быть явным и задокументированным. С 01.09.2025 по ст. 9 ФЗ-152 в редакции ФЗ-156 согласие на обработку ПДн оформляется отдельным документом и не может быть частью пользовательского соглашения или оферты. Это означает: если подписка на рассылку раньше была вшита в регистрационную форму — её необходимо переработать. Отзыв подписки должен быть реализован одним действием: кнопка «Отписаться» в каждом письме или форма на сайте.

Что подготовить маркетологу

  • Актуальная политика конфиденциальности с разделами по всем каналам сбора данных: сайт, CRM, API маркетплейса, программа лояльности, email-рассылки.
  • Баннер cookies с условной загрузкой трекеров до получения согласия (Consent Mode v2 для GA4).
  • Отдельное согласие на рассылку — не в форме регистрации, а самостоятельным чекбоксом с явным описанием цели.
  • Уведомление РКН о трансграничной передаче данных в сервисы, серверы которых расположены вне РФ (GA4, CRM-системы на зарубежном хостинге).
  • Форма для обработки запросов субъектов: отзыв согласия, запрос на удаление, запрос на предоставление сведений — срок ответа 10 рабочих дней по ст. 20 ФЗ-152.

Шаг 5. Настройте реагирование на утечку через API

Интеграции через API маркетплейса — типичный вектор инцидентов: некорректные права доступа, хранение токенов в открытом виде, передача данных в незащищённом канале. По ч. 3.1 ст. 21 ФЗ-152 оператор обязан направить первичное уведомление в РКН в течение 24 часов с момента обнаружения утечки. Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022.

«Ч. 11 ст. 13.11 КоАП (в ред. с 30.05.2025): неуведомление или несвоевременное уведомление РКН об инциденте — штраф для юридического лица от 1 000 000 до 3 000 000 ₽. Ч. 12: утечка от 1 000 до 10 000 субъектов — от 3 000 000 до 5 000 000 ₽. Ч. 15: при повторной утечке — оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.»

Практически это означает: в компании должен быть утверждён регламент реагирования на инциденты с ПДн — кто фиксирует, кто принимает решение, кто подаёт уведомление в РКН. Маркетолог, обнаруживший аномалию в данных CRM или выгрузке с маркетплейса, обязан знать, кому немедленно сообщить. 24-часовой срок не восстанавливается.

Типовые ситуации: как применяются нормы на практике

Ситуация 1. Продавец использует API Ozon для синхронизации заказов в AmoCRM без уведомления РКН. Маркетолог настраивает интеграцию: заказы с именем, телефоном и адресом покупателя автоматически попадают в воронку CRM. AmoCRM — сервис с серверами, в том числе за пределами РФ. Ни уведомление об операторе, ни уведомление о трансграничной передаче не подавались. При плановой проверке РКН фиксирует два нарушения: ч. 10 ст. 13.11 (неуведомление о намерении обрабатывать — до 300 тыс. ₽) и нарушение ст. 12 ФЗ-152. Стратегия: немедленно подать уведомление, оформить договор с AmoCRM как поручение обработки, направить уведомление РКН о трансграничной передаче. Первичность нарушения открывает возможность применения ст. 4.1.1 КоАП — замены штрафа на предупреждение для микропредприятий.

Ситуация 2. Утечка данных покупателей через скомпрометированный API-токен маркетплейса. Токен хранился в коде фронтенда в открытом виде. Злоумышленник получил выгрузку с данными около 15 000 покупателей: имена, телефоны, адреса. Ответственный выявил инцидент через 6 часов. Уведомление в РКН направлено через 30 часов после обнаружения — нарушение 24-часового срока по ч. 3.1 ст. 21 ФЗ-152. Дело квалифицировано по ч. 11 ст. 13.11 (неуведомление в срок — 1–3 млн ₽) и ч. 13 ст. 13.11 (утечка от 10 000 субъектов — 5–10 млн ₽). Арбитражный суд региона при наличии регламента реагирования и доказательств оперативных мер снизил штраф к минимальной границе по каждой части. Стратегия: задокументировать время обнаружения, зафиксировать все принятые меры, подготовить отчёт за 72 часа с полным описанием инцидента по Приказу РКН №187.

Ситуация 3. Рассылка по базе, собранной на маркетплейсе без отдельного согласия. Продавец экспортировал email-адреса покупателей через API Wildberries и запустил промо-рассылку. Согласие на рассылку в явном виде не запрашивалось — предполагалось, что покупатель «согласился при оформлении заказа». После ФЗ-156 (01.09.2025) согласие на ПДн-обработку должно быть отдельным документом. Жалоба одного из получателей в РКН инициировала проверку. Нарушение по ч. 2 ст. 13.11 — 300–700 тыс. ₽. Стратегия: прекратить рассылку, собрать повторные согласия по новым требованиям, добавить механизм отзыва в каждое письмо.

Если маркетолог запускает новые каналы — API, CRM, рассылки — без обновлённых согласий и уведомлений РКН, компания накапливает нарушения по нескольким частям ст. 13.11 одновременно. До первой проверки есть время исправить. Юристы DATUM соберут комплект ОРД и проведут аудит цифровых каналов.

Заказать аудит 152-ФЗ

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookie-идентификаторы позволяют прямо или косвенно идентифицировать пользователя. Это касается прежде всего сессионных идентификаторов и идентификаторов рекламных платформ, передаваемых в GA4, Meta Pixel и аналогичные сервисы. Такая передача признаётся обработкой ПДн по ст. 3 ФЗ-152. Технические cookies, не позволяющие идентифицировать пользователя, под это определение не подпадают — но провести границу на практике сложно, поэтому безопаснее запрашивать согласие на все типы.

2. Можно ли использовать GA4 после ограничений?

Можно, при выполнении двух условий. Первое: настроить Consent Mode v2 так, чтобы до получения согласия пользователя идентификаторы не передавались на серверы Google. Второе: подать уведомление РКН о трансграничной передаче ПДн по ст. 12 ФЗ-152, поскольку серверы Google Analytics расположены за пределами РФ. Обе меры снижают риск претензий по ч. 6 и ч. 8 ст. 13.11 КоАП, но не устраняют их полностью — регулятор пока не выработал единой позиции по Consent Mode v2.

3. Кто оператор: маркетплейс или продавец?

Оба могут быть операторами, если самостоятельно определяют цели обработки ПДн покупателя. Маркетплейс — оператор в части регистрации и управления аккаунтом покупателя. Продавец — оператор в части обработки данных для выполнения заказа: хранение адреса, передача в службу доставки, включение в CRM. Если в оферте маркетплейса прямо указано, что продавец действует как обработчик по поручению — это меняет распределение ответственности, но не снимает с продавца обязанность подать уведомление в РКН по ст. 22 ФЗ-152.

4. Что грозит за отсутствие баннера cookies?

Отсутствие механизма получения согласия на обработку cookies, передаваемых аналитическим и рекламным сервисам, квалифицируется как нарушение ч. 1 ст. 13.11 КоАП — обработка ПДн без надлежащего правового основания. Штраф для юридического лица — от 150 000 до 300 000 ₽. Если cookies передаются в зарубежный сервис без уведомления РКН — добавляется нарушение ч. 8 ст. 13.11 (локализация) с штрафом от 1 000 000 до 6 000 000 ₽ при установленном нарушении ч. 5 ст. 18 ФЗ-152. Инспекторы РКН проверяют наличие баннера автоматически через технические средства мониторинга.

5. Как оформить отзыв подписки?

По ст. 9 ФЗ-152 субъект вправе отозвать согласие в любой момент. Для email-рассылок это означает: в каждом письме должна быть ссылка для отписки, ведущая на форму или обрабатывающая отзыв автоматически. После отзыва согласия оператор обязан прекратить обработку ПДн в указанных целях. Срок ответа субъекту на запрос об отзыве — 10 рабочих дней по ст. 20 ФЗ-152 с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Хранить данные отписавшихся для подтверждения факта отзыва — правомерно и рекомендуется.

Итог

ПДн в API маркетплейса — не абстрактная юридическая проблема, а операционный риск для каждого продавца, использующего интеграции с площадками, CRM и рекламными платформами. Пять шагов выше закрывают основные направления: разграничение ролей оператора, уведомление РКН, cookies и GA4, политика и согласия на рассылки, реагирование на инциденты.

Юристы DATUM сопровождают продавцов на маркетплейсах и интернет-магазины в части 152-ФЗ: аудит цифровых каналов, комплект ОРД, уведомления РКН о трансграничной передаче, защита в арбитраже при штрафах по ст. 13.11 КоАП.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.