инструкция 11 февраля 2029 По состоянию на 11 февраля 2029

ПДн возвратов и претензий

При возврате товара или разборе претензии интернет-магазин обрабатывает персональные данные покупателя на отдельном правовом основании — и оно не совпадает с основанием для продажи.

Ст. 5 и ст. 6 ФЗ-152 требуют, чтобы цели обработки были конкретными и раздельными: данные, собранные для исполнения заказа, нельзя автоматически использовать для ведения претензионного досье или рассылки. За смешение оснований — штраф по ч. 1 ст. 13.11 КоАП от 150 000 ₽.

→ Если вы маркетолог и сейчас собираете данные возврата в той же форме, что и заказ, — проверьте правовое основание до следующей проверки РКН.

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей. Работа с ПДн при возвратах и претензиях затрагивает сразу несколько: цели обработки (ч. 1), согласие (ч. 2), политика (ч. 3), ответ на запрос субъекта (ч. 4). Ниже — пошаговый порядок: какие данные собирать, на каком основании, как хранить и когда уничтожать.

Шаг 1. Определите правовое основание для обработки данных при возврате

Возврат товара — это исполнение или расторжение договора купли-продажи. По п. 5 ч. 1 ст. 6 ФЗ-152 обработка ПДн допустима без согласия субъекта, если она необходима для исполнения договора, стороной которого является субъект. Это означает: для оформления возврата согласие покупателя на обработку его ФИО, адреса доставки и платёжных реквизитов не нужно — достаточно факта договора.

Претензия — другая ситуация. Если претензия ведёт к судебному спору или передаётся в контрольный орган, правовым основанием становится п. 3 ч. 1 ст. 6 ФЗ-152: обработка в целях осуществления правосудия, исполнения судебного акта или полномочий оператора. Если претензия урегулируется добровольно — остаёмся в поле исполнения договора.

«Ст. 6 ФЗ-152 (п. 5 ч. 1) — обработка допустима без согласия, если необходима для исполнения договора с субъектом. Ст. 5 ФЗ-152 запрещает объединять базы с несовместимыми целями.»

Типичная ошибка маркетолога: добавить адрес электронной почты из формы возврата в рассылочную базу. Это нарушение ст. 5 ФЗ-152 — цели несовместимы. Штраф по ч. 1 ст. 13.11 КоАП — от 150 000 до 300 000 ₽ для юридического лица.

Шаг 2. Проверьте состав данных — не собирайте лишнего

Принцип минимизации из ст. 5 ФЗ-152 прямо говорит: объём ПДн должен соответствовать целям обработки. Для оформления возврата достаточно: ФИО, номер заказа, контактный телефон или email для связи, банковские реквизиты для перечисления средств.

Для претензии дополнительно потребуются: описание дефекта, дата обнаружения, подтверждающие фото или видео. Но паспортные данные в полном объёме при возврате не нужны — достаточно последних цифр документа для идентификации, если это требует внутренний регламент.

Что подготовить для работы с ПДн возвратов

Отдельную форму возврата с перечнем только необходимых полей и ссылкой на политику конфиденциальности
Регламент обработки претензий с указанием правового основания (ст. 6 ФЗ-152) и сроков хранения
Запрет на автоматическое копирование данных из формы возврата в рассылочные базы — технически и организационно
Журнал обращений субъектов с входящими претензиями за последние 12 месяцев
Актуальную политику обработки ПДн с разделом «Обработка при возврате и претензионной работе»

Cookies как ПДн: если форма возврата размещена на сайте с GA4 или аналогичным трекером, cookie-идентификатор пользователя фиксируется автоматически. По позиции РКН cookies относятся к категории персональных данных. Без баннера согласия на сайте это нарушение, за которое предусмотрен штраф по ч. 6 ст. 13.11 КоАП.

Форма возврата собирает лишние данные или нет баннера cookies?

Если маркетолог не уверен, на каком основании обрабатываются данные в формах возврата и претензий, — это уже основание для проверки РКН. Ошибка в правовом основании фиксируется при плановой и внеплановой проверке одинаково. Исправить до проверки дешевле, чем после.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Установите сроки хранения и порядок уничтожения

Ст. 5 ФЗ-152 обязывает уничтожить или обезличить данные, когда цель обработки достигнута. Для возврата это момент зачисления денег покупателю или подписания акта. Для претензии — дата вступления в силу соглашения или судебного решения.

Однако бухгалтерское и налоговое законодательство требует хранить первичные документы не менее 5 лет. Поскольку акт о возврате — первичный документ, ПДн из него хранятся в бухгалтерской базе в течение этого срока. Это законное основание, но оно не распространяется на маркетинговые базы: переносить ПДн из акта возврата в CRM для ретаргетинга нельзя.

«Ст. 5 ч. 4 ФЗ-152 — хранение ПДн допустимо не дольше, чем этого требуют цели обработки, если иное не установлено законом. При истечении срока — уничтожение или обезличивание.»

На практике: маркетолог должен договориться с бухгалтерией и IT о разделении баз. В бухгалтерской — только документарные данные для отчётности. В CRM — только активные покупатели с действующим согласием на маркетинг.

Шаг 4. Разберитесь с ролью маркетплейса: кто оператор?

Если продажа идёт через маркетплейс, при возврате данные покупателя поступают к продавцу через платформу. Здесь возникает вопрос о распределении ролей оператора и лица, осуществляющего обработку по поручению (п. 3 ст. 6 ФЗ-152).

Маркетплейс, как правило, является самостоятельным оператором — он собирает данные при регистрации и управляет ими по собственной политике. Продавец, получающий данные для обработки возврата, также становится оператором в части этих данных, поскольку самостоятельно определяет цели и способы их обработки при претензионной работе.

Это означает: продавец на маркетплейсе обязан иметь собственную политику обработки ПДн, собственное уведомление в реестре РКН и собственные регламенты хранения — даже если маркетплейс предоставляет данные через API. Отсутствие уведомления — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

Если вы маркетолог интернет-магазина или продавца на маркетплейсе и не уверены, стоит ли ваша компания в реестре операторов РКН, — проверьте до следующего квартала. Внеплановая проверка по жалобе покупателя может прийти в любой момент. Юристы DATUM оценят полноту ОРД за 5 рабочих дней.

Собрать ОРД под ключ

Шаг 5. Настройте ответ на запросы субъектов по претензиям

Покупатель, подавший претензию, сохраняет все права субъекта ПДн по ФЗ-152. Он вправе запросить подтверждение факта обработки, состав данных и цели (ст. 14 ФЗ-152). Ответить нужно в течение 10 рабочих дней с момента обращения. Срок может быть продлён ещё на 5 рабочих дней с уведомлением субъекта.

Если покупатель требует уничтожить данные до истечения срока хранения — необходимо проверить, есть ли законное основание продолжать хранение (например, незакрытый судебный спор или требования бухгалтерского законодательства). Если оснований нет — данные уничтожаются, а субъекту направляется уведомление об исполнении.

«Ст. 20 ФЗ-152 — оператор обязан предоставить субъекту информацию об обработке его ПДн в течение 10 рабочих дней. Невыполнение — ч. 4 ст. 13.11 КоАП, штраф для юрлица от 40 000 до 80 000 ₽.»

Email-рассылки: если покупатель при возврате отозвал согласие на маркетинговые рассылки, его адрес должен быть исключён из рассылочной базы. Для этого нужен технический механизм отписки и внутренний регламент его исполнения. Отписка — не просто ссылка внизу письма, а фиксируемое юридическое действие.

Как это применяется на практике

Кейс 1. Интернет-магазин бытовой техники (Уральский ФО, начало 2026) получил внеплановую проверку РКН после жалобы покупателя: тот обнаружил, что его email из формы возврата попал в рассылочную базу и он начал получать акционные письма. РКН квалифицировал это как обработку ПДн в целях, несовместимых с первоначальными, по ч. 1 ст. 13.11 КоАП. Магазин оспорил протокол в суде, привёл доказательства технической ошибки интеграции CRM и получил минимальный штраф в диапазоне нижней трети санкции.

Кейс 2. Продавец на крупном маркетплейсе (Центральный ФО, осень 2025) обнаружил, что не стоит в реестре операторов РКН: компания ошибочно считала, что регистрация маркетплейса покрывает всю цепочку. По итогам самопроверки подала уведомление в РКН. Нарушение зафиксировано не было — маркетплейс сам сообщил РКН об актуализации реестра в рамках плановых процедур. Самостоятельное устранение нарушения — весомый аргумент при возможной проверке.

Типовые ситуации при работе с ПДн возвратов

Ситуация 1. Форма возврата дублирует форму заказа и собирает все те же поля. Доказательство нарушения: поля «дата рождения», «пол», «предпочтения» в форме возврата явно избыточны. Вероятный исход: нарушение ст. 5 ФЗ-152 (принцип минимизации), предписание РКН, штраф по ч. 1 ст. 13.11 от 150 000 ₽. Стратегия: отдельная минимальная форма возврата с отдельным перечнем полей.

Ситуация 2. GA4 установлен на странице формы возврата без баннера согласия на cookies. Доказательство: скриншот страницы без баннера или с баннером, где согласие предустановлено. Вероятный исход: штраф по ч. 6 ст. 13.11 КоАП, предписание об устранении. GA4 передаёт данные в США — это ещё и нарушение требований к трансграничной передаче по ст. 12 ФЗ-152. Стратегия: баннер с отдельным согласием на аналитические cookies, отключение GA4 на страницах с формами до получения согласия.

Ситуация 3. Программа лояльности предлагает бонусы за оформление возврата через личный кабинет. При этом данные возврата автоматически обогащают профиль лояльности для таргетинга. Вероятный исход: нарушение ст. 5 ФЗ-152, возможна квалификация по ч. 1 ст. 13.11 КоАП. Стратегия: разделить технически базы программы лояльности и претензионного учёта; в форме чётко указать, какие данные идут в программу лояльности и на каком основании.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверим формы возврата, политику и ОРД по чек-листу из 38 пунктов
Комплект ОРД под ключ — подготовим регламент претензионной обработки ПДн и актуализируем политику
Защита при штрафе в арбитраже — оспорим протокол по ч. 1 или ч. 6 ст. 13.11, если проверка уже началась

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да. Cookie-идентификатор позволяет отслеживать действия конкретного пользователя и в совокупности с IP-адресом и поведенческими данными признаётся персональными данными по ст. 3 ФЗ-152. Если на странице формы возврата установлен трекер (GA4, Яндекс.Метрика, Meta Pixel), без баннера с отдельным согласием это нарушение ч. 6 ст. 13.11 КоАП.

2. Можно ли использовать GA4 после ограничений?

Технически — да, с оговорками. GA4 передаёт данные в США, что квалифицируется как трансграничная передача по ст. 12 ФЗ-152. До начала передачи оператор обязан уведомить РКН. Кроме того, для страниц с формами ввода ПДн аналитику рекомендуется отключать до получения явного согласия пользователя. Альтернатива — серверная аналитика без передачи данных за рубеж.

3. Кто оператор: маркетплейс или продавец?

Оба являются операторами в отношении разных этапов обработки. Маркетплейс — при регистрации и ведении аккаунта покупателя. Продавец — при получении данных для оформления заказа, доставки, возврата и претензионной работы. Продавец обязан самостоятельно встать в реестр операторов РКН, иметь собственную политику и ОРД по ст. 22 и ст. 18.1 ФЗ-152. Отсылки на политику маркетплейса недостаточно.

4. Что грозит за отсутствие баннера cookies?

Штраф по ч. 6 ст. 13.11 КоАП — от 50 000 до 100 000 ₽ для юридического лица при условии, что отсутствие баннера повлекло неправомерный сбор данных. Если на сайте одновременно нет политики конфиденциальности, добавляется ч. 3 ст. 13.11 КоАП — ещё от 30 000 до 60 000 ₽. Совокупность нарушений фиксируется при одной проверке.

5. Как оформить отзыв подписки?

Отзыв согласия на рассылку должен быть простым и задокументированным. По ст. 9 ФЗ-152 субъект вправе отозвать согласие в любой момент. Оператор обязан прекратить обработку в течение срока, указанного в согласии, но не позднее 30 дней. Технически: ссылка «Отписаться» в каждом письме, обработка запроса с фиксацией в системе, архивирование отписки на случай проверки. Повторная отправка после отзыва — нарушение ч. 1 ст. 13.11 и Закона о рекламе.

6. Нужно ли отдельное согласие для обработки данных при возврате?

Нет, если возврат связан с исполнением договора купли-продажи. Основание — п. 5 ч. 1 ст. 6 ФЗ-152: договор с субъектом является самостоятельным основанием для обработки без согласия. Согласие потребуется, если вы планируете использовать данные возврата в маркетинговых целях — например, для персональных предложений по категории возвращённых товаров. Это уже отдельная цель, несовместимая с исполнением договора.

Итог

Обработка ПДн при возвратах и претензиях подчиняется тем же принципам ФЗ-152, что и любая другая обработка: конкретная цель, минимальный состав данных, ограниченный срок хранения. Главный риск для маркетолога — смешение баз: данные, собранные для возврата, не могут автоматически стать маркетинговыми.

Юристы DATUM сопровождают интернет-магазины, маркетплейсных продавцов и e-commerce платформы в части соответствия ФЗ-152: от аудита форм и политик до защиты в арбитраже при штрафах по ст. 13.11 КоАП.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.

11 февраля 2029 года