Политика для B2B-сайта
B2B-сайт собирает данные контактных лиц, IP-адреса через cookies, адреса корпоративной почты и телефоны представителей юридических лиц. По позиции Роскомнадзора, все эти данные могут идентифицировать физическое лицо — и значит, являются персональными данными. С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей, штрафы до 500 млн ₽ при повторной утечке. Эта инструкция охватывает шесть шагов: от определения категорий ПДн до публикации баннера cookies и уведомления РКН.
Шаг 1. Какие персональные данные обрабатывает B2B-сайт?
Прежде чем писать политику, маркетологу нужно составить карту обработки. B2B-сайт собирает данные в нескольких точках: форма заявки (имя, телефон, email контактного лица), форма регистрации в личном кабинете, cookies и технические логи, данные для рассылок, данные для программ лояльности.
Корпоративный email вида ivanov@company.ru содержит фамилию и является персональными данными физического лица по ст. 3 ФЗ-152. Это позиция РКН, которую суды поддерживают стабильно с 2021 года. IP-адрес в сочетании с другими идентификаторами также квалифицируется как ПДн.
Составьте перечень: какие данные, в каких формах, с какой целью, на каком основании по ст. 6 ФЗ-152. Этот перечень станет основой для всех разделов политики.
Шаг 2. Считаются ли cookies персональными данными и нужен ли баннер?
Роскомнадзор занимает однозначную позицию: cookies в сочетании с другими идентификаторами (IP, device fingerprint) идентифицируют пользователя и относятся к персональным данным. Обработка cookies требует правового основания по ст. 6 ФЗ-152 — как правило, согласия по ст. 9.
Баннер cookies — это не UX-элемент, а инструмент получения согласия. Без него сайт обрабатывает cookies без правового основания. По ч. 6 ст. 13.11 КоАП (в редакции с 30.05.2025) за несоблюдение условий хранения ПДн при неавтоматизированной обработке, повлёкшее неправомерный доступ, предусмотрен штраф для юрлица 50 000–100 000 ₽. РКН также квалифицирует отсутствие баннера по ч. 1 ст. 13.11 — обработка без надлежащего основания, штраф 150 000–300 000 ₽.
Баннер должен: (1) появляться до загрузки счётчиков, (2) содержать описание категорий cookies, (3) предоставлять возможность отказа от необязательных категорий, (4) фиксировать факт согласия с timestamp. Технические cookies (сессия, авторизация) допустимы без согласия на основании ч. 1 ст. 6 ФЗ-152 — исполнение договора.
Баннер cookies отсутствует или не блокирует счётчики до согласия?
Это одна из наиболее частых причин протоколов РКН по результатам мониторинга сайтов. Нарушение фиксируется автоматически: регулятор использует технические средства для проверки порядка загрузки скриптов. Устранить несоответствие нужно до проверки — после протокол уже составлен.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Как описать GA4 и другие аналитические сервисы в политике?
Google Analytics 4 передаёт данные на серверы Google LLC в США. США не входит в перечень стран, обеспечивающих адекватную защиту персональных данных, по актуальному перечню РКН. Передача в такую страну — трансграничная передача по ст. 12 ФЗ-152 и требует уведомления РКН до начала передачи.
В политике для B2B-сайта необходимо раскрыть: наименование сервиса, страну получателя, цель передачи (аналитика поведения), основание (согласие субъекта через баннер), наличие или отсутствие уведомления РКН. Аналогичное требование применяется к Meta Pixel, HubSpot, Salesforce, Intercom и другим зарубежным инструментам маркетинга.
Практичный подход: составьте реестр всех внешних сервисов, которые получают данные пользователей сайта. Для каждого определите страну серверов, цель, правовое основание. Сервисы с российскими серверами (Яндекс.Метрика, VK Pixel) трансграничную передачу не создают — их описывают в политике без уведомления РКН.
Шаг 4. Какие разделы обязательны в политике по ст. 18.1 ФЗ-152?
Ч. 2 ст. 18.1 ФЗ-152 устанавливает минимальное содержание политики обработки персональных данных. Документ должен быть опубликован в открытом доступе — как правило, по ссылке в подвале сайта.
Что включить в политику B2B-сайта
- Наименование и контакты оператора, реквизиты ответственного за обработку ПДн по ст. 22.1 ФЗ-152
- Цели обработки, перечень категорий ПДн и правовые основания по ст. 6 ФЗ-152 для каждой цели
- Перечень третьих лиц, которым передаются данные (подрядчики, аналитические сервисы, маркетплейсы), с указанием цели и основания
- Описание cookies: категории, цели, срок хранения, инструкция по отказу
- Права субъектов по ст. 14–17 ФЗ-152 и порядок их реализации — адрес для запросов, срок ответа 10 рабочих дней
За отсутствие опубликованной политики или её несоответствие требованиям ч. 2 ст. 18.1 предусмотрена ответственность по ч. 3 ст. 13.11 КоАП: штраф для юрлица 30 000–60 000 ₽. Это минимальный, но фиксируемый инспекторами РКН состав.
Шаг 5. Как учесть маркетплейсы и программы лояльности?
B2B-компании, продающие через маркетплейсы (Яндекс.Маркет, Ozon, СберМегаМаркет), сталкиваются с вопросом: кто является оператором — маркетплейс или продавец? По ст. 6 ФЗ-152 оба субъекта обрабатывают данные покупателя самостоятельно в своих целях. Продавец-юрлицо является самостоятельным оператором и обязан иметь собственную политику, уведомление в реестре РКН и пакет ОРД — независимо от наличия аналогичных документов у маркетплейса.
Программы лояльности в B2B предполагают обработку данных контактных лиц для начисления бонусов, рассылок, персонализации предложений. Рассылка на корпоративный адрес требует согласия физического лица — контактного представителя компании, а не только реквизитов юридического лица в договоре. Email-рассылки без отдельного согласия субъекта создают риск по ч. 1 и ч. 2 ст. 13.11 КоАП.
В политику необходимо включить отдельный раздел о программе лояльности: какие данные собираются, как используются для персонализации, кому передаются (CRM-системы, сервисы рассылок), как отозвать согласие. Форма отзыва подписки должна быть функциональной — ссылка «Отписаться» в каждом письме и механизм обработки такого запроса в течение 10 рабочих дней.
Если вы маркетолог и запускаете новый B2B-продукт или переходите на маркетплейс — проверьте, есть ли актуальная политика, уведомление в реестре РКН и согласия для рассылок. Без этого первый же аудит или жалоба субъекта превратится в протокол по ст. 13.11 КоАП.
Заказать аудит 152-ФЗШаг 6. Уведомление РКН и публикация — финальные действия
Перед публикацией политики и запуском обработки данных оператор обязан подать уведомление в РКН по ст. 22 ФЗ-152. Форма подаётся через портал pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Срок включения в реестр — 30 дней с момента подачи. Обработка до включения в реестр — нарушение по ч. 10 ст. 13.11 КоАП (штраф 100 000–300 000 ₽).
Если сайт уже работает и уведомление не подавалось — это типичная ситуация для B2B-компаний, которые запускали сайт без юридического сопровождения. В таком случае нужно подать уведомление немедленно: регулятор учитывает добровольное устранение нарушения при назначении санкции.
После публикации политики проверьте: ссылка в подвале ведёт на актуальный документ, баннер cookies подключён и блокирует аналитику до согласия, форма заявки содержит чекбокс с согласием на обработку ПДн (отдельный от принятия оферты с 01.09.2025 по ФЗ-156), рассылки имеют ссылку отписки.
Как это применяется на практике
Кейс 1. B2B-платформа для дистрибьюторов (Приволжский ФО, осень 2025) провела ребрендинг сайта и подключила GA4, HubSpot и программу лояльности без обновления политики и без уведомления РКН о трансграничной передаче. При плановой проверке РКН инспекторы зафиксировали три нарушения: отсутствие баннера cookies, несоответствие политики требованиям ч. 2 ст. 18.1 и передачу данных в США без уведомления. Совокупный штраф составил несколько сотен тысяч рублей. После сопровождения юристами компания обновила пакет документов, подала уведомление и получила снижение санкции по ч. 3 ст. 13.11 до минимального размера.
Кейс 2. Производственная компания (Уральский ФО, начало 2026) использовала Salesforce CRM с серверами в Ирландии для управления B2B-клиентами. После получения запроса РКН о трансграничной передаче выяснилось, что уведомление по ст. 12 ФЗ-152 не подавалось, а в политике сайта Salesforce вообще не упоминался. Директор по маркетингу инициировал аудит: юристы выявили ещё четыре смежных нарушения в согласиях на рассылку. Компания самостоятельно устранила нарушения до составления протокола — РКН ограничился предписанием.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка сайта, политики и согласий по чек-листу 38 пунктов
- Комплект ОРД под ключ — политика, согласия, приказы, баннер cookies за фиксированную стоимость
- Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да, если cookies в сочетании с другими идентификаторами (IP-адрес, device fingerprint, идентификатор браузера) позволяют косвенно идентифицировать физическое лицо. Это следует из определения ПДн по ст. 3 ФЗ-152. Технические cookies, необходимые для работы сайта, можно обрабатывать без согласия на основании п. 5 ч. 1 ст. 6 (исполнение договора). Аналитические и маркетинговые cookies требуют отдельного согласия через баннер.
2. Можно ли использовать GA4 после ограничений?
Использование GA4 не запрещено, но требует соблюдения процедуры трансграничной передачи по ст. 12 ФЗ-152: уведомление РКН до начала передачи данных в США, описание GA4 в политике конфиденциальности с указанием страны получателя и цели передачи. Дополнительно баннер cookies должен блокировать загрузку gtag.js до получения согласия пользователя. Альтернатива — Яндекс.Метрика с серверами в России.
3. Кто оператор: маркетплейс или продавец?
Оба являются самостоятельными операторами по ст. 3 ФЗ-152, если каждый самостоятельно определяет цели и способы обработки данных покупателя. Маркетплейс обрабатывает данные для исполнения заказа и развития платформы; продавец — для обработки своей части сделки, маркетинга, программы лояльности. Наличие документов у маркетплейса не освобождает продавца от собственного уведомления в РКН, политики и пакета ОРД.
4. Что грозит за отсутствие баннера cookies?
РКН квалифицирует отсутствие баннера cookies как обработку ПДн без надлежащего правового основания — нарушение ч. 1 ст. 13.11 КоАП (штраф для юрлица 150 000–300 000 ₽ в редакции с 30.05.2025). При повторном нарушении — ч. 1.1, штраф 300 000–500 000 ₽. Дополнительно может применяться ч. 3 (отсутствие или несоответствие политики) — ещё 30 000–60 000 ₽. Нарушения фиксируются в том числе при автоматизированном мониторинге сайтов.
5. Как оформить отзыв подписки?
По ст. 9 ФЗ-152 субъект вправе отозвать согласие на обработку ПДн в любой момент. Для email-рассылок минимальный стандарт: ссылка «Отписаться» в каждом письме, обработка запроса в течение 10 рабочих дней с момента получения, фиксация даты отзыва в CRM. Направление писем после отзыва согласия — нарушение ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 ₽). Форма отзыва должна быть описана в политике конфиденциальности.
6. Нужно ли переделывать согласия, если сайт работает давно?
С 01.09.2025 ФЗ-156 от 24.06.2025 установил требование: согласие на обработку ПДн оформляется отдельным документом, не объединяется с договором, офертой или политикой. Ранее полученные согласия обратной силы закон не имеет и переоформлять не обязывает. Но все новые согласия, собираемые с 01.09.2025, должны соответствовать актуальным требованиям ст. 9 ФЗ-152. Форму чекбокса в форме заявки, совмещённую с принятием оферты, необходимо разделить.
Итог
Политика конфиденциальности для B2B-сайта — это живой документ: он должен отражать реальный состав обработки, список внешних сервисов и актуальные правовые основания. Ошибка маркетолога — считать, что документ достаточно опубликовать один раз при запуске сайта. Изменение CRM, подключение нового аналитического инструмента или запуск рассылки — каждое из этих действий требует обновления политики и, возможно, нового уведомления РКН.
Юристы DATUM сопровождают B2B-компании в подготовке политик конфиденциальности, настройке баннеров cookies, уведомлении РКН о трансграничной передаче и составлении полного пакета ОРД по ст. 18.1 ФЗ-152.
4 февраля 2029 года