инструкция 4 декабря 2028 По состоянию на 4 декабря 2028

Политика для лендинга и одностраничника

Политика конфиденциальности — обязательный элемент любого лендинга, собирающего данные через форму или cookies.

Без неё оператор нарушает ч. 2 ст. 18.1 ФЗ-152: штраф по ч. 3 ст. 13.11 КоАП — до 60 000 ₽ за отсутствие публикации, по ч. 6 — до 100 000 ₽ за cookies без согласия. Если лендинг передаёт данные в GA4 — это трансграничная передача по ст. 12 ФЗ-152.

→ Если вы маркетолог и только запускаете посадочную страницу — 5 шагов ниже закрывают требования РКН.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 составов вместо прежних семи. Лендинг, собирающий имя и телефон через форму, подпадает под минимум три из них. Маркетолог, запускающий одностраничник с пикселем Meta или аналитикой GA4, создаёт риски трансграничной передачи и нарушения локализации по ч. 5 ст. 18 ФЗ-152. Эта инструкция разбирает пять шагов: от проверки уведомления в реестре РКН до оформления баннера cookies и настройки отзыва подписки.

Шаг 1. Нужна ли вашему лендингу отдельная политика конфиденциальности?

Политика обязательна, если лендинг выполняет хотя бы одно из следующих действий: собирает имя, телефон или email через форму; устанавливает cookies, идентифицирующие браузер; передаёт данные посетителя в сторонние сервисы аналитики или рекламы.

Ч. 2 ст. 18.1 ФЗ-152 требует от оператора опубликовать документ, определяющий политику в отношении обработки персональных данных. Документ должен быть доступен неограниченному кругу лиц. Ссылка на него размещается на каждой странице, где пользователь передаёт данные, — как правило, рядом с кнопкой отправки формы.

«Ст. 18.1 ФЗ-152, ч. 2: оператор обязан опубликовать или обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, а также сведениям о реализуемых требованиях к защите ПДн.»

Одностраничник, продающий курс или собирающий заявки на услугу, — классический случай. Политика нужна, даже если форма содержит только поле «Ваш телефон»: номер телефона является персональным данным по ст. 3 ФЗ-152. Отсутствие политики — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽ для юридических лиц.

Шаг 2. Что включить в политику для лендинга?

Политика лендинга короче корпоративной, но содержит те же обязательные разделы. Минимальный состав определяется ч. 2 ст. 18.1 ФЗ-152 и практикой проверок РКН.

Что должна содержать политика лендинга

Наименование и контактные данные оператора (юрлицо или ИП, адрес, email).
Цели обработки и перечень собираемых данных (имя, телефон, email, cookies).
Правовые основания обработки по ст. 6 ФЗ-152 (согласие или исполнение договора).
Третьи лица, которым передаются данные (подрядчики рассылок, сервисы аналитики, маркетплейсы).
Порядок отзыва согласия и реквизиты для обращений субъекта.

Если лендинг использует сервисы email-рассылок (Unisender, Sendsay, SendPulse) или сервисы аналитики, данные передаются третьим лицам. Каждого получателя надо перечислить явно: «данные передаются ООО "Ромашка" в целях отправки информационной рассылки».

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом по требованию ФЗ-156 от 24.06.2025. Политика конфиденциальности согласием не является: галочка «Согласен с политикой» — это не согласие субъекта по ст. 9 ФЗ-152. Нужна отдельная форма или чекбокс с отдельным текстом согласия, ссылающимся на перечень обрабатываемых данных и цели.

«Ст. 9 ФЗ-152, ч. 1 (в ред. ФЗ-156 от 24.06.2025): согласие субъекта оформляется отдельным документом, не объединяется с другими документами оператора — договором, офертой, политикой конфиденциальности. Действует с 01.09.2025.»

Лендинг уже запущен, но политики нет?

Если маркетолог запустил посадочную страницу без политики и чекбокса согласия — каждый день работы формы создаёт основание для протокола по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). После 01.09.2025 согласие, встроенное в оферту или условия использования, недействительно по ФЗ-156. Юристы DATUM соберут пакет документов: политику, шаблон согласия и баннер cookies — и проверят соответствие сайта требованиям РКН.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Как настроить баннер cookies и избежать штрафа по ч. 6 ст. 13.11?

Cookies, позволяющие идентифицировать конкретного пользователя, квалифицируются как персональные данные в позиции РКН. Установка таких cookies без согласия пользователя нарушает ч. 1 ст. 6 ФЗ-152 и влечёт административную ответственность по ч. 6 ст. 13.11 КоАП — до 100 000 ₽ для юрлиц.

Баннер cookies для лендинга должен выполнять три функции. Первая: информировать о том, какие cookies устанавливаются и с какими целями (аналитика, реклама, функциональность). Вторая: получить явное согласие до установки нефункциональных cookies — то есть баннер должен появляться до загрузки пикселей и счётчиков, а не после. Третья: предоставить возможность отказаться от отдельных категорий.

«Ч. 6 ст. 13.11 КоАП (ред. с 30.05.2025): несоблюдение условий хранения материальных носителей ПДн при неавтоматизированной обработке, если это повлекло неправомерный доступ — 50 000–100 000 ₽ для юрлиц. Для cookies применяется в части отсутствия согласия на обработку данных файлами cookie.»

Техническая реализация: баннер блокирует загрузку сторонних скриптов (GA4, Meta Pixel, Яндекс.Метрика) до получения согласия. Это реализуется через Consent Mode v2 для Google или аналогичные механизмы. При использовании GA4 важно учитывать: передача данных на серверы Google — трансграничная передача по ст. 12 ФЗ-152, требующая уведомления РКН до начала обработки или оценки страны на предмет адекватной защиты.

Если лендинг работает на платформе (Tilda, Wix, Taplink) — оператор остаётся ответственным за обработку ПДн вне зависимости от того, кто предоставляет техническую платформу. Платформа выступает обработчиком по поручению (п. 3 ст. 6 ФЗ-152); поручение оформляется договором или офертой.

Шаг 4. Лендинг на маркетплейсе: кто оператор и что писать в политике?

При продажах через маркетплейс (Wildberries, Ozon, Яндекс.Маркет) разграничение ролей операторов определяет содержание политики. Маркетплейс собирает данные покупателя при регистрации и оформлении заказа. Продавец-селлер получает данные покупателя (имя, адрес, телефон) для исполнения договора купли-продажи.

Оба субъекта — самостоятельные операторы по ст. 3 ФЗ-152. Маркетплейс передаёт данные покупателя продавцу на основании договора оферты или соглашения. Если у продавца есть собственный сайт или лендинг, отдельная политика конфиденциальности обязательна. В ней нужно указать, что часть данных поступает от маркетплейса, и описать цели их дальнейшей обработки (доставка, обработка возвратов, программы лояльности).

Программы лояльности создают отдельный правовой контекст. Если лендинг собирает данные для зачисления бонусов — это самостоятельная цель обработки, отличная от исполнения договора купли-продажи. Согласие на участие в программе лояльности должно быть отдельным по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156.

«Ст. 3 ФЗ-152: оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных. Маркетплейс и продавец — самостоятельные операторы с разными целями обработки.»

Если вы маркетолог и ваш лендинг работает через маркетплейс или передаёт данные в GA4 — это трансграничная передача по ст. 12 ФЗ-152. Уведомление РКН до начала обработки обязательно. Без него — основание для проверки по ч. 1 ст. 13.11 КоАП.

Оценить риски по 152-ФЗ

Шаг 5. Email-рассылки, отзыв подписки и сроки хранения данных

Сбор email на лендинге для рассылки — одна из самых распространённых форм обработки ПДн в e-commerce. Чтобы рассылка соответствовала ФЗ-152, нужно выполнить четыре условия.

Первое: при сборе email зафиксировать отдельное согласие на получение рассылки (маркетинговых сообщений) по ст. 9 ФЗ-152. Согласие хранится оператором — оно понадобится при жалобе субъекта или проверке РКН. Второе: политика конфиденциальности должна описывать цель «рассылка информационных и маркетинговых материалов» отдельно от цели «исполнение договора». Третье: в каждом письме рассылки — ссылка на отзыв подписки (unsubscribe). Четвёртое: после отзыва — прекратить рассылку в разумный срок (практика: не более 10 рабочих дней) и уничтожить email из базы рассылок, если нет иных оснований для хранения.

Оператор обязан ответить на запрос субъекта об уничтожении его данных. Срок — 10 рабочих дней с момента обращения по ст. 20 ФЗ-152 (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Невыполнение этого требования — штраф по ч. 5 ст. 13.11 КоАП от 50 000 до 90 000 ₽.

«Ст. 20 ФЗ-152: оператор обязан предоставить субъекту или его представителю информацию об обработке его персональных данных в течение 10 рабочих дней с момента обращения. Продление возможно ещё на 5 рабочих дней с уведомлением субъекта.»

Если база рассылки передаётся подрядчику (сервису email-маркетинга), нужно оформить поручение на обработку по п. 3 ст. 6 ФЗ-152. Поручение может быть частью договора-оферты с платформой рассылок. Без поручения оператор нарушает условия передачи данных третьему лицу.

Типовые ситуации с лендингами в практике РКН

Ситуация 1. Маркетолог запустил лендинг на Tilda для продвижения онлайн-курса. Форма собирала имя и телефон без политики конфиденциальности и без чекбокса согласия. РКН выявил нарушение при плановой проверке. Результат: протокол по ч. 1 ст. 13.11 (обработка без надлежащего правового основания) и по ч. 3 ст. 13.11 (отсутствие политики). Компания устранила нарушения в ходе проверки, что учли как смягчающее обстоятельство. Штраф составил сумму в нижней части диапазона по обоим составам.

Ситуация 2. Интернет-магазин (Центральный ФО, осень 2025) использовал GA4 и Meta Pixel без баннера согласия на cookies. Пиксели загружались при входе на сайт до любого действия пользователя. РКН зафиксировал нарушение по обращению пользователя. Оператор был привлечён к ответственности по ч. 1 ст. 13.11 (передача данных в Google и Meta без надлежащего основания). Дополнительно — уведомление о трансграничной передаче по ст. 12 ФЗ-152 не было подано. Совокупность нарушений привела к штрафу в сотни тысяч рублей.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка сайта, форм, cookies и политики по чек-листу из 38 пунктов.
Комплект ОРД под ключ — политика, согласия, поручение на обработку, баннер cookies.
Защита при штрафе в арбитраже — обжалование протокола и постановления по ст. 13.11 КоАП.

Частые вопросы

1. Считаются ли cookies персональными данными?

В позиции РКН — да, если cookie позволяет идентифицировать конкретного пользователя: например, через связку с аккаунтом, IP-адресом или профилем поведения. Технические cookies, необходимые для работы сайта (сессионные), обычно не квалифицируются как ПДн. Аналитические и рекламные cookies, передаваемые в Google, Meta или Яндекс, — ПДн по ст. 3 ФЗ-152. Без согласия пользователя их установка нарушает ч. 1 ст. 6 ФЗ-152.

2. Можно ли использовать GA4 после ограничений?

Использование GA4 формально не запрещено, но требует соблюдения двух условий. Первое: баннер cookies с получением согласия до загрузки счётчика. Второе: уведомление РКН о трансграничной передаче данных в Google по ст. 12 ФЗ-152, поскольку серверы Google расположены за пределами России. США не включены в список стран с адекватной защитой ПДн. Без этих мер — риск нарушения по ч. 1 ст. 13.11 КоАП.

3. Кто оператор: маркетплейс или продавец?

Оба. Маркетплейс — оператор в отношении данных покупателя, которые он собирает при регистрации и оплате. Продавец-селлер — самостоятельный оператор в отношении данных, которые маркетплейс передаёт ему для исполнения заказа (имя, адрес доставки, телефон). Если у продавца есть собственный лендинг или программа лояльности — он обязан иметь собственную политику конфиденциальности и уведомление в реестре РКН по ст. 22 ФЗ-152.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера создаёт риск нарушения по ч. 1 ст. 13.11 КоАП (обработка ПДн без надлежащего правового основания) — штраф для юрлиц 150 000–300 000 ₽ в редакции с 30.05.2025. Дополнительно, если cookies передаются сторонним сервисам — нарушение условий передачи ПДн третьим лицам. При повторном нарушении применяется ч. 1.1 ст. 13.11 — 300 000–500 000 ₽.

5. Как оформить отзыв подписки?

В каждом письме рассылки должна быть ссылка «Отписаться» (unsubscribe). После перехода по ссылке обработка данных в целях рассылки должна быть прекращена. Практический срок — не более 10 рабочих дней. Если пользователь дополнительно направил запрос об уничтожении данных в письменной форме — оператор обязан выполнить его в тот же срок по ст. 21 ФЗ-152 и уведомить субъекта об уничтожении. Хранение email после отзыва без иных оснований — нарушение принципа ограничения хранения (ст. 5 ФЗ-152).

6. Нужно ли уведомлять РКН, если лендинг только собирает заявки?

Да. Уведомление об обработке ПДн по ст. 22 ФЗ-152 обязательно для оператора, осуществляющего обработку в информационных системах, за исключением ограниченного перечня оснований из ч. 2 ст. 22. Сбор заявок на лендинге под эти исключения, как правило, не подпадает. Отсутствие уведомления — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

Итог

Политика для лендинга — не формальность, а пять конкретных элементов: сам документ с обязательными разделами, отдельное согласие по ФЗ-156, баннер cookies с блокировкой сторонних скриптов, уведомление РКН о трансграничной передаче при использовании GA4 или зарубежных сервисов, и корректно оформленный механизм отзыва подписки. Каждый элемент закрывает отдельный состав ст. 13.11 КоАП.

Юристы DATUM специализируются на цифровых продуктах и e-commerce: политики конфиденциальности, согласия по требованиям ФЗ-156, уведомления РКН о трансграничной передаче — под конкретный стек технологий лендинга.

Есть лендинг — нужна политика и баннер cookies?

Практика Ветров и партнёры по 152-ФЗ с 2014 года. Юристы DATUM проведут аудит соответствия лендинга за 3 рабочих дня: проверят политику, согласия, cookies-баннер и уведомление РКН. Результат — отчёт с приоритизированным планом и комплект документов под ключ. Запросы обрабатываем в течение 2 часов.