Перейти к содержанию
инструкция 4 февраля 2029 По состоянию на 4 февраля 2029

Политика и Privacy by Design

Privacy by Design — это встраивание защиты персональных данных в продукт с первого дня, а не пакет документов после запуска.
С 30.05.2025 штраф за отсутствие баннера cookies или политики конфиденциальности достигает 300 000 ₽ по ч. 1 ст. 13.11 КоАП. Повторное нарушение — уже до 500 000 ₽ по ч. 1.1.
Если вы маркетолог и запускаете интернет-магазин, кабинет лояльности или email-рассылку — этот алгоритм покажет, какие шаги закрывают риск до претензии РКН. → Читайте инструкцию.

Роскомнадзор с 2023 года проверяет сайты по индикаторам риска: отсутствие политики обработки персональных данных, cookie-баннер без реального согласия, форма подписки без двойного opt-in. По данным РКН за 2024 год зафиксировано более 135 случаев компрометации баз данных и более 710 млн записей в открытом доступе. Штрафная нагрузка с 30.05.2025 принципиально изменилась: там, где раньше платили 50–60 тысяч рублей, теперь платят 150–300 тысяч и выше. Инструкция ниже разбирает шесть шагов — от аудита cookies до настройки процедуры отзыва согласия — применительно к e-commerce и маркетинговым инструментам.

Считаются ли cookies персональными данными и почему это важно для маркетолога?

По позиции Роскомнадзора, файлы cookie, которые позволяют идентифицировать конкретного пользователя — в том числе через связку cookie-идентификатор плюс IP-адрес, history браузера или профиль в рекламном кабинете, — относятся к персональным данным по ст. 3 ФЗ-152. Это означает: сайт, собирающий такие файлы, является оператором ПДн и обязан выполнять требования закона в полном объёме.

Практическое следствие для маркетолога: любой пиксель отслеживания, скрипт аналитики или рекламный тег создаёт основание для обработки ПДн. Если на сайте нет баннера с реальным выбором (принять / отклонить), нет политики конфиденциальности, нет отдельного согласия на cookies, — РКН фиксирует нарушение ч. 6 ст. 13.11 КоАП (несоблюдение условий хранения носителей при неавтоматизированной обработке) либо ч. 1–2 той же статьи. С 30.05.2025 минимальный штраф для юрлица по ч. 1 — 150 000 ₽.

«Ст. 3 ФЗ-152 относит к персональным данным любую информацию, прямо или косвенно позволяющую определить конкретное физическое лицо. Cookies, связанные с идентификатором пользователя, входят в этот объём по позиции РКН.»

Отдельный вопрос — GA4 как трансграничная передача. Когда событие из браузера уходит на серверы Google (США), данные пересекают границу России без уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152. С 01.07.2025 требования локализации ужесточены: первичный сбор и систематизация ПДн граждан РФ должны происходить в базах на территории России (ч. 5 ст. 18 ФЗ-152). Использование GA4 без серверной прослойки, исключающей передачу идентифицирующих данных за рубеж, — это не гипотетический риск, а действующее нарушение.

GA4 используете, а трансграничку с РКН не согласовали?

Если маркетолог настроил аналитику на GA4 или Meta Pixel без серверного прокси и уведомления РКН о трансграничной передаче — каждый день работы пикселя создаёт нарушение ч. 5 ст. 18 ФЗ-152. С 01.07.2025 это основание для внеплановой проверки. Юристы DATUM проведут аудит cookies-стека, оценят состав обрабатываемых данных и подготовят уведомление о трансграничной передаче.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Проведите инвентаризацию точек сбора данных на сайте

Перед тем как писать политику или настраивать баннер, необходимо зафиксировать, какие данные и через какие инструменты собираются. Типичные точки сбора для интернет-магазина:

  • форма регистрации и личный кабинет (имя, email, телефон, адрес доставки);
  • чекаут и оплата (платёжные данные через эквайринг, передача в банк);
  • скрипты аналитики — GA4, Яндекс.Метрика, пиксели ретаргетинга;
  • формы подписки на рассылку и push-уведомления;
  • виджеты чата, обратного звонка (телефон, история переписки);
  • программа лояльности — отдельная база субъектов с историей покупок;
  • маркетплейс-интеграция: данные покупателей, которые приходят от платформы.

Результат шага — реестр обработчиков: кто из подрядчиков получает данные, на каком основании, в какой стране хранит. Без реестра политика конфиденциальности будет описывать не то, что происходит на самом деле, и не пройдёт проверку РКН.

Шаг 2. Составьте или актуализируйте политику конфиденциальности

Политика обработки персональных данных — обязательный публичный документ по ч. 2 ст. 18.1 ФЗ-152. За её отсутствие или неразмещение на сайте — штраф 30 000–60 000 ₽ по ч. 3 ст. 13.11 КоАП. Обязательный состав политики для интернет-магазина:

  • цели и правовые основания обработки каждой категории данных;
  • перечень обрабатываемых ПДн с указанием категорий (общие, специальные, биометрические — если есть);
  • список третьих лиц, которым передаются данные (курьерские службы, банки-эквайеры, email-платформы, рекламные сети);
  • сроки хранения по каждой цели;
  • порядок реализации прав субъекта: доступ, исправление, удаление, отзыв согласия;
  • контакты ответственного за обработку (ст. 22.1 ФЗ-152);
  • описание cookie-практики и используемых аналитических инструментов.

Политика не должна дублировать пользовательское соглашение или договор оферты. Размещать её нужно по прямой ссылке на каждой странице сайта, где есть форма ввода данных.

Шаг 3. Настройте корректный cookie-баннер и механизм согласия

«Продолжая использовать сайт, вы соглашаетесь с политикой cookies» — такая формулировка не является согласием по ст. 9 ФЗ-152. Молчание и продолжение использования сайта не считаются выражением воли субъекта. С 01.09.2025 требования к согласию ужесточены ФЗ-156 от 24.06.2025: согласие оформляется отдельным документом и не объединяется с другими юридическими текстами.

Минимальные требования к баннеру cookies:

  • отображается при первом визите до начала передачи данных аналитическим скриптам;
  • содержит кнопки «Принять все», «Только необходимые» и «Настроить» (детальный выбор по категориям);
  • аналитические и маркетинговые cookies отключены по умолчанию до получения согласия;
  • ссылка на политику конфиденциальности — обязательна;
  • отзыв согласия доступен из любой страницы сайта без дополнительных барьеров.

Если cookies передают данные за рубеж — в баннере указывается страна-получатель и правовое основание трансграничной передачи.

Как оформить согласие на email-рассылку и избежать штрафа за спам?

Email-рассылка затрагивает одновременно несколько норм: ст. 9 ФЗ-152 (согласие на обработку ПДн), ст. 18 ФЗ «О рекламе» (согласие на рекламу), ст. 15 ФЗ «Об информации» (нежелательная почта). Ошибки в каждой из них влекут самостоятельный штраф.

Правильная схема сбора подписки:

  • форма подписки содержит отдельный чекбокс согласия на рассылку (не предзаполненный);
  • после заполнения формы — подтверждающее письмо с ссылкой активации (double opt-in);
  • каждое письмо содержит явную ссылку отписки в одно действие;
  • отписка обрабатывается не позднее 10 рабочих дней (ст. 20 ФЗ-152) с момента запроса;
  • история согласий хранится не менее срока хранения ПДн по целям рассылки.

Программы лояльности дополнительно требуют отдельного согласия на профилирование: если система анализирует историю покупок для персонализации предложений, это обработка ПДн с целью, отличной от исполнения договора.

Если маркетолог уже собрал базу подписчиков без double opt-in или хранит согласия только в CRM без резервной копии — при жалобе субъекта доказать правомерность рассылки будет невозможно. Штраф по ч. 2 ст. 13.11 КоАП (обработка без надлежащего согласия) для юрлица — 300 000–700 000 ₽. Юристы DATUM соберут пакет ОРД для рассылочного процесса.

Собрать ОРД под ключ

Шаг 5. Настройте передачу данных маркетплейсу: кто оператор?

При работе через маркетплейс (Wildberries, Ozon, Яндекс Маркет и др.) данные покупателя сначала попадают к платформе, а затем частично передаются продавцу для исполнения заказа. Вопрос о том, кто является оператором ПДн, решается через анализ договора с маркетплейсом.

Типичные сценарии:

  • Маркетплейс — оператор, продавец — обработчик по поручению (ст. 6 п. 3 ФЗ-152): продавец получает только те данные, которые нужны для доставки, не вправе использовать их для собственных рассылок без отдельного согласия покупателя.
  • Продавец — самостоятельный оператор: когда покупатель делает заказ напрямую через собственный сайт и платит продавцу — продавец обязан уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152), разместить политику и организовать весь цикл защиты.

Независимо от сценария: использовать данные покупателей маркетплейса для собственных рекламных рассылок без их прямого согласия — нарушение ч. 1 ст. 13.11 КоАП (обработка в целях, несовместимых с заявленными).

Шаг 6. Встройте Privacy by Design в процессы разработки и маркетинга

Privacy by Design — подход, при котором защита ПДн встраивается в продукт на этапе проектирования, а не добавляется как юридическое приложение после запуска. В e-commerce это означает конкретные технические и организационные решения.

Минимальный набор для интернет-магазина:

  • сбор только тех данных, которые нужны для конкретной цели транзакции (принцип минимизации, ст. 5 ФЗ-152);
  • автоматическое удаление данных по истечении срока хранения (не «будем хранить всегда»);
  • логирование доступа к базам данных клиентов — кто, когда, какие записи запрашивал;
  • разграничение доступа: менеджер по продажам не видит платёжные данные, которые видит бухгалтер;
  • при запуске новой фичи (чат, программа лояльности, персонализация) — DPIA или минимальная оценка воздействия до релиза;
  • договор с каждым подрядчиком-обработчиком (аналитика, CRM, email-платформа) по ст. 6 п. 3 ФЗ-152 с перечнем разрешённых действий.

Privacy by Design снижает не только регуляторный риск. По данным InfoWatch, в 2025 году 55% утечек в ритейле произошло через подрядчиков. Организованный контроль доступа и минимизация данных сокращают поверхность атаки.

Типичные ситуации: как это работает на практике

Сценарий 1. Запуск рассылки без ревизии базы. Интернет-магазин одежды (Приволжский ФО, осень 2025) запустил новую email-программу лояльности через ESP-платформу, зарегистрированную в ЕС. Маркетолог не проверил, есть ли в базе согласие на рекламные рассылки и передачу данных за рубеж. Один из подписчиков подал жалобу в РКН. Регулятор инициировал внеплановую документарную проверку. Компания столкнулась одновременно с двумя составами: ч. 1 ст. 13.11 (несовместимая цель) и нарушение ст. 12 ФЗ-152 (трансграничка без уведомления). Устранение нарушений потребовало полного аудита базы и переподписки активных клиентов.

Сценарий 2. Cookie-баннер «для галочки». SaaS-маркетплейс (Центральный ФО, начало 2026) добавил на сайт баннер с кнопкой «Принять», которая никак не управляла загрузкой скриптов аналитики: GA4 и пикселей загружались при первом открытии страницы до нажатия кнопки. РКН выявил это через технический аудит — скрипты фиксировали события ещё до взаимодействия пользователя с баннером. Итог: предписание об устранении нарушения и протокол по ч. 1 ст. 13.11 КоАП. Штраф для юрлица — в диапазоне 150 000–300 000 ₽. Технически корректный баннер с реальным управлением скриптами потребовал переработки фронтенда. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Что подготовить маркетологу для соответствия 152-ФЗ

  • Актуальная политика конфиденциальности с разделом о cookies и аналитических инструментах, размещённая на сайте по прямой ссылке.
  • Cookie-баннер с реальным управлением скриптами: аналитические и рекламные cookies отключены по умолчанию до согласия.
  • Отдельные согласия на рассылку с историей double opt-in и механизмом отписки в одно действие.
  • Договоры с подрядчиками-обработчиками (ESP, CRM, аналитика) с перечнем разрешённых действий по ст. 6 п. 3 ФЗ-152.
  • Уведомление о трансграничной передаче в РКН, если аналитика или рассылочная платформа зарегистрированы за рубежом.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookie-идентификатор позволяет прямо или косвенно идентифицировать пользователя (например, в связке с IP-адресом или профилем в рекламном кабинете). В этом случае сбор cookies — это обработка ПДн по ст. 3 ФЗ-152, и сайт становится оператором с полным набором обязательств: политика, согласие, уведомление РКН.

2. Можно ли использовать GA4 после ужесточения локализации?

Использовать GA4 возможно, но с ограничениями. Данные, которые уходят на серверы Google в США, — это трансграничная передача по ст. 12 ФЗ-152. Чтобы работать легально, необходимо: а) настроить серверную сторону так, чтобы идентифицирующие данные граждан РФ не передавались за рубеж напрямую (серверный проксинг с первичной записью в РФ), или б) уведомить РКН о трансграничной передаче и иметь правовое основание. С 01.07.2025 требование ч. 5 ст. 18 ФЗ-152 распространяется на первичный сбор и систематизацию — не только на хранение.

3. Кто оператор ПДн: маркетплейс или продавец?

Зависит от договорной конструкции. Если продавец получает данные покупателя от маркетплейса для исполнения заказа — он обработчик по поручению по ст. 6 п. 3 ФЗ-152 и не вправе использовать эти данные в собственных целях (рассылки, профилирование). Если продавец принимает заказы на собственном сайте — он самостоятельный оператор со всеми обязательствами по ст. 22 ФЗ-152 (уведомление РКН), ст. 18.1 (политика) и ст. 19 (технические меры).

4. Что грозит за отсутствие баннера cookies?

Если cookies обрабатываются без согласия — штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽ для юрлица (в редакции с 30.05.2025). Если нарушение повторяется — ч. 1.1 той же статьи: 300 000–500 000 ₽. Отдельно штраф по ч. 3 ст. 13.11 (отсутствие политики конфиденциальности на сайте) — 30 000–60 000 ₽. При наличии трансграничной передачи без уведомления РКН — отдельное основание.

5. Как оформить отзыв подписки на рассылку?

По ст. 9 ФЗ-152 субъект вправе в любой момент отозвать согласие, и оператор обязан прекратить обработку. Практически: каждое письмо рассылки должно содержать ссылку «Отписаться» с немедленным исполнением — не через форму подачи запроса, а автоматически. Срок исполнения — не позднее 10 рабочих дней с момента получения запроса по ст. 20 ФЗ-152. После отзыва хранить email для рекламных целей нельзя, но данные транзакций могут сохраняться для бухгалтерии на основании иного правового основания (исполнение обязанностей оператора).

6. Нужно ли отдельное согласие на программу лояльности?

Да, если программа лояльности предполагает профилирование (анализ покупок, персональные предложения) или рекламные рассылки. Эти цели не следуют автоматически из договора купли-продажи, а значит, не покрываются п. 5 ст. 6 ФЗ-152 (исполнение договора). Нужно отдельное согласие с указанием цели «профилирование в рамках программы лояльности» и перечня действий. С 01.09.2025 это согласие оформляется отдельным документом — не частью публичной оферты (ФЗ-156 от 24.06.2025).

Итог

Privacy by Design в e-commerce — это не разовый проект, а набор постоянных практик: инвентаризация точек сбора, корректная политика, управляемый cookie-баннер, прозрачные согласия на рассылки, чёткие границы с подрядчиками-обработчиками. С 30.05.2025 стоимость ошибки в каждом из этих элементов выросла кратно — ч. 1 ст. 13.11 КоАП начинается с 150 000 ₽, повторное нарушение — с 300 000 ₽.

Юристы DATUM специализируются на e-commerce, цифровых продуктах и маркетинговых инструментах. Мы закрывали аудиты cookies-стека, готовили ОРД для программ лояльности и выстраивали трансграничные схемы для ESP-платформ — без выдуманных ссылок на рейтинги, только с понятным планом устранения нарушений.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

4 февраля 2029 года