Политика для маркетплейсов: продавец-площадка
Маркетплейс — это платформа, которая сама собирает ПДн покупателей (регистрация, оплата, доставка) и одновременно передаёт часть данных продавцу для исполнения заказа. Продавец при этом получает статус самостоятельного оператора — со всеми вытекающими обязанностями по ФЗ-152: уведомление РКН, политика, согласия, ответственный. Смешение ролей ведёт к двойной ответственности: РКН может составить протоколы и на площадку, и на продавца по одному инциденту.
Шаг 1. Определите роль: оператор или обработчик?
Первое, что предстоит закрепить юридически, — статус каждого участника. Маркетплейс, как правило, является оператором: он определяет цели и состав обрабатываемых ПДн, устанавливает правила платформы, ведёт реестр пользователей. Продавец получает ПДн покупателя (ФИО, телефон, адрес доставки) через API или личный кабинет платформы — и с этого момента сам становится оператором по ст. 3 ФЗ-152, поскольку самостоятельно определяет цели дальнейшей обработки: связь с покупателем, доставка, гарантийные обязательства.
Если продавец обрабатывает ПДн исключительно по инструкции маркетплейса и не определяет цели — он может быть квалифицирован как лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152). В этом случае требуется поручение на обработку. На практике продавцы на Wildberries, Ozon, Яндекс Маркете самостоятельно выстраивают логистику, хранят переписку с покупателями, ведут CRM — и потому признаются самостоятельными операторами.
Результат шага: зафиксируйте статус в служебной записке или приказе — «оператор» либо «обработчик по поручению». От этого зависит полнота пакета ОРД.
Юрист разбирается в ролях, но ОРД ещё не собран?
Если статус оператора определён, а пакета документов нет — каждый день без политики и уведомления РКН создаёт основание для штрафа. Юристы DATUM соберут комплект ОРД под ключ: политика, согласия, приказы, регламент — за фиксированную стоимость от 45 000 ₽.
Собрать ОРД под ключОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 2. Подайте уведомление в реестр РКН по ст. 22 ФЗ-152
Оператор обязан уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки. Форма подачи — через pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи. Форма уведомления установлена Приказом РКН №180 от 28.10.2022.
Маркетплейс уведомляет РКН как самостоятельный оператор. Продавец, который получает ПДн покупателей через платформу и обрабатывает их в своих целях, также обязан подать уведомление — это отдельная обязанность, не делегируемая площадке. Неподача или опоздание — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.
Результат шага: компания включена в реестр операторов ПДн pd.rkn.gov.ru, выписка доступна для предъявления при проверке.
Шаг 3. Разработайте политику обработки персональных данных
Политика обработки ПДн — обязательный публичный документ по ч. 2 ст. 18.1 ФЗ-152. Оператор обязан опубликовать её на своём сайте в свободном доступе. Структура документа должна соответствовать требованиям ч. 2 ст. 18.1: цели обработки, правовые основания, категории субъектов, состав ПДн, сроки хранения, меры защиты, порядок реализации прав субъектов.
Для маркетплейса политика описывает весь цикл: регистрацию, покупку, доставку, программу лояльности, рекламные рассылки, аналитику (включая cookies). Для продавца — только те операции, которые он ведёт самостоятельно: обработка заказа, переписка с покупателем, учёт возвратов, налоговая отчётность с данными контрагентов.
Типовые ошибки при составлении политики: указание несуществующих оснований обработки, отсутствие раздела о трансграничной передаче (если используются зарубежные сервисы — Google Analytics, Meta, AmoCRM), расплывчатые сроки хранения вместо конкретных периодов, отсутствие порядка ответа на запросы субъектов. Политика, скопированная из интернета без адаптации, не отражает реальных операций и при проверке расценивается как формальная — инспектор сверяет содержание политики с фактическими процессами.
Шаг 4. Соберите согласия по новым требованиям ст. 9 ФЗ-152
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не объединяется с договором, офертой, политикой конфиденциальности или пользовательским соглашением (ФЗ-156 от 24.06.2025). Это критически важно для маркетплейсов, где регистрация традиционно совмещалась с акцептом оферты.
Обязательные реквизиты согласия: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия, способ отзыва. Для рассылок маркетинговых коммуникаций требуется отдельное согласие по ст. 10.1 ФЗ-152 (распространение). Для биометрии (фото профиля, верификация по лицу) — письменное согласие по ст. 11 ФЗ-152.
Продавец получает ПДн покупателя через платформу — и должен убедиться, что в согласии покупателя, данном маркетплейсу, прямо указана передача данных продавцу и цели такой передачи. Если этого нет — продавец должен получить отдельное согласие. Отсутствие надлежащего согласия при обработке, где оно обязательно, — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽.
Если вы юрист и проверяете согласия после 01.09.2025 — старые формы в оферте уже не работают. DATUM проверит актуальность всего пакета согласий и подготовит новые формы по ФЗ-156.
Заказать аудит 152-ФЗШаг 5. Назначьте ответственного по ст. 22.1 ФЗ-152
Каждый оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки ПДн, — приказом или должностной инструкцией. Требования к такому лицу установлены ч. 4 ст. 22.1 ФЗ-152: оно не должно совмещать функцию с теми, кто фактически обрабатывает ПДн в интересах третьих лиц. Ответственный взаимодействует с субъектами ПДн и РКН, отвечает на запросы субъектов в течение 10 рабочих дней (ст. 20 ФЗ-152).
Для маркетплейса ответственным, как правило, назначается штатный юрист или DPO. Для небольшого продавца эту функцию можно передать на аутсорсинг — это допустимо по ст. 22.1 при условии надлежащего оформления. Отсутствие назначенного ответственного при проверке РКН — дополнительное нарушение, квалифицируемое в рамках ст. 13.11 КоАП.
Что подготовить юристу: минимальный пакет ОРД
- Выписка из реестра операторов ПДн (pd.rkn.gov.ru) — подтверждение уведомления по ст. 22 ФЗ-152
- Политика обработки ПДн — опубликована на сайте, соответствует ч. 2 ст. 18.1 ФЗ-152
- Согласия субъектов — отдельные документы по ст. 9 в ред. ФЗ-156, с обязательными реквизитами
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
- Договор-поручение на обработку с маркетплейсом или продавцами (п. 3 ст. 6 ФЗ-152) — если применимо
Как разграничить ответственность между маркетплейсом и продавцом на практике?
Разграничение строится через договорную конструкцию. В оферте для продавцов маркетплейс фиксирует: какие ПДн передаются, для каких целей, в каком объёме, и кто несёт ответственность за их обработку после передачи. Если такого разграничения нет — при инциденте РКН привлечёт обоих.
Сценарий 1. Продавец не подал уведомление в РКН
Ситуация: небольшой продавец на маркетплейсе (ИП или ООО) считает, что достаточно соглашения с площадкой и отдельно уведомлять РКН не нужно. При плановой или внеплановой проверке инспектор РКН устанавливает, что продавец обрабатывает ПДн покупателей (ФИО, телефон, адрес) в своей CRM без регистрации в реестре.
Вероятный исход: протокол по ч. 10 ст. 13.11 КоАП — штраф от 100 000 до 300 000 ₽. Смягчающие обстоятельства (первичность, признание вины) позволяют рассчитывать на минимальный порог.
Стратегия: немедленно подать уведомление через pd.rkn.gov.ru, получить выписку, предъявить инспектору как доказательство устранения нарушения до вынесения постановления.
Сценарий 2. Маркетплейс использует сервис рассылок с обработкой данных за рубежом
Ситуация: площадка подключила ESP (email-сервис) с серверами в ЕС для маркетинговых рассылок. В политике трансграничная передача не упомянута, уведомление РКН по ст. 12 ФЗ-152 не подавалось.
Вероятный исход: нарушение ч. 5 ст. 18 ФЗ-152 (локализация) и ст. 12 ФЗ-152 (трансграничная передача). Штраф по ч. 8 ст. 13.11 КоАП — от 1 000 000 до 6 000 000 ₽.
Стратегия: либо перенести обработку на российский сервис, либо оформить трансграничную передачу: уведомить РКН, проверить страну по перечню адекватной защиты, включить раздел в политику.
Сценарий 3. Утечка ПДн через API-интеграцию продавца
Ситуация: продавец подключил сторонний сервис аналитики через API маркетплейса. Уязвимость в интеграции привела к утечке контактных данных покупателей. Маркетплейс обнаружил инцидент первым.
Вероятный исход: оба оператора обязаны уведомить РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152). Неуведомление — штраф по ч. 11 ст. 13.11 от 1 000 000 до 3 000 000 ₽. Ответственность оператора за действия подрядчика сохраняется.
Стратегия: зафиксировать инцидент, определить число затронутых субъектов, направить первичное уведомление в РКН, через 72 часа — отчёт о расследовании по Приказу РКН №187.
Как это выглядит в практике
Кейс 1. Юрист e-commerce-платформы (Приволжский ФО, осень 2025) провёл ревизию пакета ОРД перед аудитом РКН. Выяснилось: политика конфиденциальности не обновлялась с 2022 года, согласия вшиты в договор-оферту, ответственный по ст. 22.1 не назначен. За три недели DATUM собрал обновлённый пакет документов: политику с актуальными основаниями обработки, отдельные согласия по ФЗ-156, приказ об ответственном. Проверка РКН завершилась предписанием об устранении технических недостатков — без штрафа.
Кейс 2. Продавец крупного маркетплейса (Центральный ФО, начало 2026) получил уведомление о плановой проверке РКН. Уведомление о намерении обрабатывать ПДн не подавалось. Юрист компании обратился в DATUM за день до проверки. Уведомление подали экстренно, политику разработали и разместили в течение суток. Инспектор зафиксировал нарушение ч. 10 ст. 13.11, однако с учётом устранения до составления протокола штраф составил минимальный диапазон.
Услуги DATUM по теме
- Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования
- Аудит соответствия 152-ФЗ — проверка пакета ОРД по чек-листу из 38 пунктов
- DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный пакет включает: политику обработки ПДн (ст. 18.1 ФЗ-152), уведомление в реестре РКН (ст. 22 ФЗ-152), согласия субъектов по ст. 9 в редакции ФЗ-156 от 24.06.2025, приказ о назначении ответственного по ст. 22.1 ФЗ-152, локальные акты о правилах обработки и мерах защиты. Для маркетплейса дополнительно — договоры-поручения с продавцами и раздел о трансграничной передаче при использовании зарубежных сервисов.
2. Как составить политику обработки ПДн?
Структура политики определена ч. 2 ст. 18.1 ФЗ-152: цели и правовые основания обработки, категории субъектов и состав ПДн, сроки хранения, меры защиты, порядок реализации прав субъектов (ответ на запрос — 10 рабочих дней по ст. 20 ФЗ-152). Если компания передаёт данные за рубеж или использует зарубежные сервисы — обязателен раздел о трансграничной передаче со ссылкой на ст. 12 ФЗ-152.
3. Кого назначить ответственным по ст. 22.1?
Ответственным назначается любой сотрудник или внешний специалист (DPO-аутсорсинг), который не совмещает эту функцию с фактической обработкой ПДн в интересах третьих лиц — ограничение установлено ч. 4 ст. 22.1 ФЗ-152. Контактные данные ответственного публикуются в политике обработки ПДн. Для небольших продавцов на маркетплейсах оптимальна передача функции на аутсорсинг.
4. Можно ли использовать шаблон политики из интернета?
Шаблон из открытых источников может использоваться только как структурная основа — его необходимо адаптировать под реальные операции конкретного оператора: фактические цели обработки, используемые системы, сроки хранения, контрагентов. При проверке РКН инспектор сверяет содержание политики с фактическими процессами. Несоответствие политики реальной обработке квалифицируется как нарушение ч. 2 ст. 18.1 ФЗ-152 и влечёт штраф по ч. 3 ст. 13.11 КоАП до 60 000 ₽.
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не включается в оферту, договор или политику конфиденциальности (ФЗ-156 от 24.06.2025, ст. 9 ФЗ-152). Для маркетинговых рассылок — дополнительно отдельное согласие по ст. 10.1 ФЗ-152. Ранее полученные согласия, соответствовавшие требованиям на момент получения, переоформлять не требуется. Нарушение требований к составу согласия — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽.
Итог
Маркетплейс и продавец — два самостоятельных оператора ПДн. Каждый обязан самостоятельно пройти весь цикл: уведомление РКН, политика, согласия по новым требованиям ФЗ-156, назначение ответственного. Договорное разграничение ответственности между площадкой и продавцом не снимает обязанностей ни с одной из сторон.
DATUM сопровождает маркетплейсы и продавцов на всём цикле приведения в соответствие с ФЗ-152: от аудита фактической обработки до сборки пакета ОРД и представления интересов при проверке РКН.
24 января 2027 года