Политика для маркетплейс-витрины (WB, Ozon)
Маркетплейс-витрина собирает персональные данные на нескольких уровнях сразу: cookies посетителей сайта-витрины, email-адреса подписчиков, телефоны покупателей из программы лояльности и данные, которые Ozon или WB передают продавцу по API. С 30.05.2025 за каждое из этих направлений — отдельный состав нарушения и отдельный штраф. В этой инструкции — шесть шагов от аудита фактической обработки до публикации готового документа.
Шаг 1. Проверьте, кто вы в цепочке маркетплейса: оператор или обработчик?
Ответ на этот вопрос определяет структуру всей политики. По ст. 3 ФЗ-152 оператор — тот, кто самостоятельно или совместно с другими лицами определяет цели и способы обработки ПДн. Обработчик действует по поручению оператора.
На практике разграничение выглядит так. Когда покупатель оформляет заказ в приложении Ozon или WB, оператором для этих данных выступает маркетплейс. Но если у продавца есть собственный сайт-витрина, собственная CRM, программа лояльности или рассылка — продавец становится самостоятельным оператором по этим каналам. WB и Ozon при передаче данных о заказах через API выступают в отношении продавца как обработчики по поручению или как самостоятельные операторы в зависимости от договорной конструкции.
Практический вывод: если у вас есть собственный сайт, CRM или рассылка — вы оператор. Политику конфиденциальности составляете от своего имени. В ней нужно раскрыть, каких обработчиков вы задействуете (Ozon, WB, сервисы рассылок, аналитики).
Если продаёте только через карточку маркетплейса без собственного сайта и не собираете ПДн за пределами площадки — обязанность размещать политику на своём ресурсе формально не возникает. Но при наличии email-рассылки или программы лояльности вне маркетплейса это правило не действует.
Шаг 2. Составьте карту обрабатываемых данных — основу для разделов политики
Политика конфиденциальности по ч. 2 ст. 18.1 ФЗ-152 должна содержать конкретный перечень ПДн, цели и правовые основания обработки, сведения об обработчиках и порядок реализации прав субъектов. Без карты данных документ будет либо неполным, либо избыточным.
Для маркетплейс-витрины типичная карта включает четыре блока данных.
Первый блок — cookies и аналитика. Cookies по позиции Роскомнадзора рассматриваются как ПДн, когда позволяют идентифицировать пользователя. Это относится к технически необходимым (сессионным), функциональным и маркетинговым cookies. Сервисы GA4, Яндекс.Метрика, Meta Pixel при передаче данных за рубеж создают правовое основание по ст. 12 ФЗ-152 о трансграничной передаче. GA4 передаёт данные на серверы Google в США — страну без формально признанного Россией адекватного уровня защиты.
Второй блок — данные из форм. Email, телефон, имя при подписке на рассылку или в программе лояльности. Правовое основание — согласие по ст. 6 ч. 1 п. 1 ФЗ-152 в сочетании со ст. 9. С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156 от 24.06.2025 — не может быть встроено в договор-оферту или общие условия.
Третий блок — данные о заказах от маркетплейса. Имя, адрес доставки, телефон, которые Ozon или WB передают продавцу через API или личный кабинет. Правовое основание — исполнение договора по ст. 6 ч. 1 п. 5 ФЗ-152.
Четвёртый блок — данные сотрудников и поставщиков. Если ИП или ООО с наёмными работниками — карта данных включает и кадровый блок, но это предмет отдельной политики.
Ваш сайт-витрина использует GA4 или Meta Pixel?
Маркетолог, который настроил GA4 без уведомления РКН о трансграничной передаче, создал нарушение ч. 8 ст. 13.11 КоАП с риском штрафа от 1 до 6 млн ₽. Это не тема на потом — РКН фиксирует трансграничные передачи в ходе плановых проверок. Юристы DATUM проверят конфигурацию сервисов аналитики и подготовят уведомление о трансграничной передаче.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Включите обязательные разделы по ч. 2 ст. 18.1 ФЗ-152
Политика конфиденциальности должна содержать восемь обязательных блоков. Отсутствие или неполнота любого из них — основание для предписания РКН и штрафа по ч. 3 ст. 13.11 КоАП в диапазоне 30 000–60 000 ₽ для юридического лица (в редакции с 30.05.2025).
1. Наименование и реквизиты оператора. Полное юридическое наименование, ИНН, адрес, контактные данные ответственного лица по ст. 22.1 ФЗ-152.
2. Перечень ПДн и целей обработки. Конкретные категории данных (имя, email, телефон, cookies, данные о заказах) и соответствующая каждой категории цель. Цели не должны объединять несовместимые основания — ст. 5 ч. 1 п. 2 ФЗ-152.
3. Правовые основания обработки. Для каждого блока данных — норма ст. 6 ФЗ-152: согласие, исполнение договора, законная обязанность.
4. Перечень обработчиков и третьих лиц. Название и функция: Ozon (передача данных о заказах), WB (то же), сервис email-рассылок, системы аналитики. При трансграничной передаче — указать страну и основание.
5. Срок хранения. Для каждой категории — конкретный срок или критерий его определения (например, «в течение срока действия программы лояльности плюс 3 года»).
6. Раздел о cookies. Категории cookies, их назначение, срок хранения, способ отказа. Позиция РКН: cookies = ПДн при наличии идентификации. Без этого раздела сайт не соответствует требованиям ч. 2 ст. 18.1.
7. Права субъектов. Перечисление прав по ст. 14–21 ФЗ-152: доступ, исправление, уничтожение, блокирование, отзыв согласия, ответ в 10 рабочих дней по ст. 20 ФЗ-152.
8. Порядок обновления политики. Дата последней редакции, способ уведомления об изменениях.
Как правильно оформить баннер cookies и согласие на рассылку?
Баннер cookies — отдельный инструмент получения согласия по ст. 6 ч. 1 п. 1 ФЗ-152 для маркетинговых и аналитических cookies. Технически необходимые cookies согласия не требуют. Маркетинговые и трекинговые — требуют. Отсутствие баннера при наличии маркетинговых cookies создаёт нарушение ч. 1 ст. 13.11 КоАП (обработка ПДн без правового основания): штраф для юрлица 150 000–300 000 ₽ в редакции с 30.05.2025.
Баннер должен соответствовать требованиям: отображаться до начала сбора маркетинговых cookies, содержать ссылку на политику конфиденциальности, предлагать выбор — принять все, принять выборочно или отказаться от маркетинговых. Молчание пользователя не равно согласию по ст. 9 ФЗ-152.
Согласие на email-рассылку с 01.09.2025 оформляется отдельным документом по ФЗ-156. Оно не может быть встроено в оферту, текст под кнопкой «Купить» или общие условия использования сайта. Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО или иные идентифицирующие данные субъекта, наименование оператора, цель, перечень ПДн (email, имя), конкретные действия с данными (хранение, использование для рассылки), срок, способ отзыва.
Отзыв подписки — отдельная обязанность оператора. Ссылка «Отписаться» в каждом письме выполняет функцию механизма отзыва согласия. После отзыва оператор обязан прекратить рассылку и уничтожить данные, если иное правовое основание для хранения отсутствует, — ст. 21 ч. 1 ФЗ-152.
Если маркетолог настроил форму подписки до 01.09.2025 и не обновил согласие — каждая подписка, полученная после этой даты, является нарушением ч. 2 ст. 13.11 КоАП (штраф до 700 000 ₽ за обработку без надлежащего согласия). Юристы DATUM соберут пакет согласий по новым требованиям и проверят сайт по чек-листу.
Заказать аудит 152-ФЗШаг 5. Решите вопрос с GA4 и трансграничной передачей
GA4 передаёт данные пользователей (включая cookies-идентификаторы, IP-адреса, параметры устройства) на серверы Google в США. США не входит в перечень стран, которым РКН признаёт адекватный уровень защиты ПДн. Это означает, что передача данных через GA4 формально является трансграничной передачей в страну без адекватной защиты и требует уведомления РКН по ст. 12 ФЗ-152.
До подачи уведомления оператор обязан убедиться, что обработка данных гражданами РФ происходит в базах, расположенных на территории РФ, — ч. 5 ст. 18 ФЗ-152. Функция первичной записи данных о российских пользователях должна быть настроена на российские серверы до передачи данных в Google.
Практические варианты для маркетолога: использовать server-side таггинг с российским прокси-сервером, перейти на Яндекс.Метрику как основной инструмент аналитики или настроить GA4 в режиме минимального сбора данных (без идентификаторов) с соответствующим уведомлением РКН о трансграничной передаче обезличенных данных. Каждый вариант требует юридической оценки конкретной конфигурации.
Аналогичная ситуация с Meta Pixel: передача данных Facebook/Meta в США без уведомления РКН создаёт риск нарушения ч. 8 ст. 13.11 КоАП (локализация) с штрафом 1–6 млн ₽ для юрлица.
Шаг 6. Опубликуйте политику и проверьте наличие в реестре РКН
Политика конфиденциальности размещается на сайте-витрине в свободном доступе — ссылка в футере на каждой странице. Формат: отдельная страница с постоянным URL, без авторизации для просмотра.
Параллельно проверьте статус в реестре операторов ПДн РКН. Уведомление о намерении обрабатывать ПДн подаётся по ст. 22 ФЗ-152 через pd.rkn.gov.ru до начала обработки или при изменении сведений. Неподача уведомления — ч. 10 ст. 13.11 КоАП, штраф для юрлица 100 000–300 000 ₽ в редакции с 30.05.2025.
Если вы уже обрабатываете данные, но в реестре не числитесь — подайте уведомление немедленно. РКН использует реестр операторов как один из индикаторов риска при формировании плана проверок.
После публикации политики убедитесь, что ссылка на неё присутствует в форме подписки, в письме-подтверждении подписки и в баннере cookies. Это закрывает три точки потенциальных нарушений одновременно.
Что подготовить перед публикацией политики
- Карта обрабатываемых данных с целями, правовыми основаниями и обработчиками по каждому блоку
- Отдельные согласия на рассылку и программу лояльности по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025)
- Баннер cookies с разделением категорий и механизмом отказа от маркетинговых cookies
- Уведомление в реестре РКН по ст. 22 ФЗ-152 с актуальным перечнем целей и обработчиков
- Оценка конфигурации GA4 и Meta Pixel на предмет трансграничной передачи по ст. 12 ФЗ-152
Практика: как это выглядит в реальных ситуациях
Сценарий 1. Маркетолог интернет-магазина запускает рассылку через стороннее SaaS-решение. Сервис рассылок расположен на серверах в Германии. Данные подписчиков (email, имя) передаются на серверы сервиса. Германия входит в перечень стран Совета Европы, имеющих конвенцию о защите данных. РКН рассматривает эти страны как обеспечивающие адекватный уровень защиты. Уведомление о трансграничной передаче в РКН всё равно требуется по ст. 12 ФЗ-152. Без него — ч. 10 ст. 13.11 КоАП в части нарушения порядка передачи. Правильное действие: уведомить РКН, указать сервис рассылок как обработчика в политике конфиденциальности, подписать договор поручения на обработку ПДн.
Сценарий 2. Продавец на WB получает данные покупателей через API маркетплейса и вносит их в собственную CRM для повторных продаж. Это самостоятельная обработка ПДн с новой целью, отличной от исполнения заказа. Правовое основание — согласие покупателя по ст. 9 ФЗ-152. Маркетплейс такого согласия не даёт автоматически. Без отдельного согласия покупателя на использование данных в CRM продавца — нарушение ч. 1 ст. 13.11 КоАП (обработка ПДн в целях, несовместимых с исходными): штраф 150 000–300 000 ₽. Стратегия: добавить механизм получения согласия при первой доставке или в программе лояльности, зафиксировать в политике.
Сценарий 3. У компании (Приволжский ФО, начало 2026) сайт-витрина без баннера cookies и GA4 без уведомления. При плановой проверке РКН выявил три нарушения: отсутствие баннера (ч. 1 ст. 13.11), отсутствие политики конфиденциальности (ч. 3 ст. 13.11), неуведомление о трансграничной передаче (ч. 10 ст. 13.11). Совокупный штраф составил несколько сотен тысяч рублей по трём отдельным постановлениям. После подключения юристов к процессу подготовки к проверке аналогичные ситуации удавалось закрыть документально до начала проверочных действий.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверим сайт, cookies, согласия и реестр РКН по чек-листу из 38 пунктов
- Комплект ОРД под ключ — политика конфиденциальности, согласия, договоры с обработчиками и уведомления РКН
- Защита при штрафе в арбитраже — оспорим протокол или постановление по ст. 13.11 КоАП, применим ст. 4.1 и 4.1.1
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да, если они позволяют идентифицировать пользователя. Это относится к маркетинговым и аналитическим cookies, которые связывают устройство с конкретным поведением на сайте. Технически необходимые сессионные cookies, которые не передаются третьим лицам и не используются для идентификации, под это определение формально не подпадают. Практически безопаснее рассматривать все cookies, передаваемые аналитическим сервисам, как ПДн и получать на них согласие.
2. Можно ли использовать GA4 после ограничений?
Можно, но с соблюдением порядка трансграничной передачи по ст. 12 ФЗ-152. Необходимо уведомить РКН о передаче данных в США, обеспечить первичную запись данных российских пользователей на российских серверах по ч. 5 ст. 18 ФЗ-152 (требование локализации), а также раскрыть использование GA4 в политике конфиденциальности и баннере cookies. Альтернатива — server-side таггинг с минимизацией передаваемых идентификаторов или переход на Яндекс.Метрику как основной инструмент.
3. Кто оператор: маркетплейс или продавец?
Оба могут быть операторами, но для разных наборов данных. Maркетплейс — оператор для данных, которые покупатель вводит на платформе при оформлении заказа. Продавец становится самостоятельным оператором, когда использует переданные маркетплейсом данные в собственной CRM, рассылках или программе лояльности. Для этих целей продавцу нужны собственная политика конфиденциальности, уведомление в реестре РКН и отдельные согласия покупателей.
4. Что грозит за отсутствие баннера cookies?
Отсутствие баннера при использовании маркетинговых или аналитических cookies — обработка ПДн без правового основания по ч. 1 ст. 13.11 КоАП в редакции с 30.05.2025. Штраф для юридического лица составляет 150 000–300 000 ₽. При повторном нарушении — ч. 1.1 той же статьи, штраф 300 000–500 000 ₽. Кроме того, GA4 без баннера и без уведомления о трансграничной передаче создаёт риск нарушения ч. 8 ст. 13.11 (локализация) — штраф 1 000 000–6 000 000 ₽.
5. Как оформить отзыв подписки?
Отзыв согласия на рассылку оформляется через ссылку «Отписаться» в каждом письме — это минимальный стандарт. После отзыва оператор обязан прекратить рассылку и уничтожить данные, если нет иного правового основания для хранения (ст. 21 ч. 1 ФЗ-152). Рекомендуемый срок уничтожения — не позднее 30 дней с момента отзыва. Факт отзыва и дату уничтожения данных следует фиксировать в журнале учёта обращений субъектов для демонстрации РКН.
6. Нужно ли переоформлять согласия, полученные до 01.09.2025?
Ранее полученные согласия переоформлять не требуется — ФЗ-156 от 24.06.2025 не имеет обратной силы. Однако с 01.09.2025 все новые согласия оформляются только отдельным документом по ст. 9 ФЗ-152 в новой редакции. Если форма подписки по-прежнему включает согласие в текст оферты или общих условий — каждое новое согласие, полученное таким способом после 01.09.2025, будет ненадлежащим основанием обработки и создаёт риск нарушения ч. 2 ст. 13.11 КоАП.
Итог
Политика конфиденциальности для маркетплейс-витрины — не формальность. Это документ, который закрывает три самостоятельных состава нарушений ст. 13.11 КоАП одновременно: отсутствие политики, обработку cookies без согласия и несоблюдение требований к согласию на рассылку. Совокупный потенциальный штраф по этим составам в редакции с 30.05.2025 превышает 1 млн ₽ для юридического лица при первом нарушении по каждому составу.
Юристы DATUM сопровождают интернет-магазины и маркетплейс-продавцов в разработке политик конфиденциальности, настройке согласий и подаче уведомлений в РКН — от аудита фактической обработки до публикации готового документа.
9 октября 2028 года