инструкция 19 января 2029 По состоянию на 19 января 2029

Политика конфиденциальности селлера

Политика конфиденциальности — обязательный документ для каждого продавца, который собирает ПДн покупателей: имена, адреса, email, cookies, историю заказов.

Без опубликованной политики оператор получает штраф по ч. 3 ст. 13.11 КоАП — до 60 000 ₽; если добавить нарушение по cookies и рассылкам, совокупный риск превышает 700 000 ₽. РКН в 2024 году зафиксировал 135 случаев компрометации данных в e-commerce — и проверки интернет-магазинов входят в план на 2026 год.

Если вы маркетолог или владелец онлайн-магазина и политика до сих пор — типовой текст из интернета, настало время её переписать: в этой инструкции — шесть шагов с нормами и чек-листом. →

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом (ФЗ-156 от 24.06.2025). Это означает: встроенное согласие в форму заказа или подписку больше не работает. Политика конфиденциальности стала не просто страницей «для галочки» — она часть юридической цепочки, от которой зависит действительность каждого согласия на сайте. Ниже — пошаговый порядок, как составить документ, который выдержит проверку Роскомнадзора и снизит риск штрафа по ст. 13.11 КоАП.

Шаг 1. Определите, кто является оператором ПДн: магазин или маркетплейс?

Для маркетолога это первый и принципиальный вопрос: от ответа зависит, кто несёт ответственность перед Роскомнадзором. По ст. 3 ФЗ-152 оператор — любое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. Если продавец (селлер) на маркетплейсе получает данные покупателя хотя бы для обработки возвратов или коммуникации — он уже оператор.

На практике возникают три типичные ситуации. Первая: продавец работает только через маркетплейс (Wildberries, Ozon, Яндекс.Маркет) и не имеет собственного сайта — тогда основным оператором является платформа, но продавец всё равно обрабатывает ПДн при переписке с покупателями, возвратах и рекламациях. Вторая: продавец ведёт собственный интернет-магазин параллельно с маркетплейсом — он оператор в полном объёме. Третья: продавец передаёт логистику сторонней службе — та становится обработчиком по поручению (ч. 3 ст. 6 ФЗ-152), а ответственность оператора с продавца не снимается.

Вывод: политика конфиденциальности нужна в любом из трёх случаев. Разница — в объёме разделов и перечне оснований обработки.

Шаг 2. Перечислите все категории ПДн и цели обработки

Политика должна описывать не то, что хотелось бы собирать, а то, что фактически собирается. Ст. 5 ФЗ-152 запрещает обрабатывать данные сверх целей: «лишние» поля формы — это нарушение принципа минимизации, которое РКН фиксирует при проверке сайта.

Типичные категории для интернет-магазина:

Идентификационные — имя, фамилия, телефон, email (для оформления заказа).
Адресные — адрес доставки (для исполнения договора).
Поведенческие — история просмотров, корзина, история заказов (для персонализации и аналитики).
Технические — IP-адрес, тип браузера, cookies (для работы сайта и рекламных инструментов).
Финансовые — последние цифры карты, история платежей (если магазин хранит — требует отдельного основания).

Для каждой категории нужно указать цель, правовое основание из ст. 6 ФЗ-152 и срок хранения. Например: email — цель «исполнение договора» (п. 5 ч. 1 ст. 6) плюс «рассылка» (согласие, п. 1 ч. 1 ст. 6) — это два разных основания для одного поля.

«Ст. 5 ФЗ-152 — обработка ПДн должна ограничиваться достижением конкретных, заранее определённых целей. Объединять базы с несовместимыми целями запрещено.»

Cookies как персональные данные: РКН с 2023 года последовательно квалифицирует идентификационные cookies (тем более в связке с email или телефоном) как ПДн по ст. 3 ФЗ-152. Это означает: использование рекламных cookies без согласия — нарушение ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽). Раздел о cookies в политике обязателен.

Политика написана, но cookies и GA4 не упомянуты?

Если маркетолог использует Google Analytics 4, Meta Pixel или другие зарубежные инструменты аналитики без раздела о трансграничной передаче в политике — это нарушение ч. 1 ст. 13.11 КоАП. РКН вправе возбудить дело по индикатору риска при плановой проверке. До 01.09.2025 успеть переписать политику и переоформить согласия.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Опишите порядок получения согласия — особенно для рассылок и cookies

После 01.09.2025 согласие на обработку ПДн — отдельный документ (ФЗ-156). Встроенный чекбокс в форме заказа с фразой «Согласен с политикой конфиденциальности» для целей рассылки больше недостаточен: нужен самостоятельный документ с обязательными реквизитами по ст. 9 ФЗ-152. В политике должен быть описан порядок получения такого согласия, его форма и способ отзыва.

Для email-рассылок практика double opt-in (подтверждение через ссылку в письме) снижает риск жалоб субъектов и упрощает доказательство факта согласия при проверке РКН. Политика должна прямо называть этот механизм и объяснять, что происходит с данными после отзыва согласия на рассылку: адрес переносится в стоп-лист, а не уничтожается немедленно — это правомерно, если зафиксировано в документе.

Для cookies — баннер согласия при первом посещении сайта. Баннер не должен быть «задизайнен» так, чтобы отказ был сложнее согласия (это нарушение принципа добровольности по ст. 9 ФЗ-152). В политике должен быть отдельный раздел: какие cookies используются, с какой целью, какие из них можно отключить и как.

«Ст. 9 ФЗ-152 (ред. ФЗ-156 от 24.06.2025) — согласие субъекта оформляется отдельным документом. Обязательные реквизиты: ФИО и контактные данные субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия согласия, способ отзыва.»

Шаг 4. Включите раздел о трансграничной передаче для GA4, Meta Pixel и аналогичных инструментов

Если интернет-магазин использует Google Analytics 4, Meta Pixel, TikTok Pixel, Mindbox, Retail Rocket или любой другой зарубежный SaaS — данные покупателей уходят за рубеж. По ст. 12 ФЗ-152 это трансграничная передача. До передачи в страны, не обеспечивающие адекватный уровень защиты (США, большинство стран Азии), оператор обязан уведомить РКН.

В политике конфиденциальности раздел о трансграничной передаче должен содержать: перечень зарубежных получателей (название сервиса, страна), категории передаваемых данных, цель передачи, правовое основание (согласие субъекта или иное из ст. 6 ФЗ-152). Отсутствие этого раздела при наличии GA4 на сайте — самостоятельное нарушение по ч. 1 ст. 13.11 КоАП.

Важно: локализация по ч. 5 ст. 18 ФЗ-152 требует, чтобы первичная запись, систематизация и хранение ПДн граждан РФ происходили в базах данных на территории России. Передача за рубеж возможна, но первичная база — в РФ. Если магазин использует CRM или аналитику только в облаке за рубежом без российского «зеркала» — это нарушение ч. 8 ст. 13.11 КоАП (1 000 000 — 6 000 000 ₽).

Что должна содержать политика конфиденциальности интернет-магазина

Перечень категорий ПДн с указанием цели и правового основания обработки по ст. 6 ФЗ-152.
Раздел о cookies: виды, цели, порядок управления через баннер согласия.
Порядок получения согласия в соответствии со ст. 9 ФЗ-152 (ред. с 01.09.2025), включая механизм отзыва.
Раздел о трансграничной передаче: получатели, страны, категории данных, основание.
Срок хранения ПДн по каждой цели и порядок уничтожения после достижения цели.

Шаг 5. Установите сроки хранения и порядок уничтожения ПДн

Ст. 5 ФЗ-152 запрещает хранить данные дольше, чем необходимо для достижения цели. Политика должна прямо указывать сроки: иначе при проверке РКН у магазина не будет позиции, почему email покупателя хранится три года после последнего заказа.

Рекомендуемые ориентиры для e-commerce:

Данные заказа — срок исковой давности плюс разумный резерв (3 года + 6 месяцев для претензий).
Email для рассылки — до отзыва согласия; после отзыва — перенос в стоп-лист, уничтожение исходной записи в течение 7 рабочих дней.
Технические логи с IP-адресами — по внутренней политике ИБ, как правило 90–180 дней.
Cookies — в соответствии со сроком сессии или техническими параметрами cookie (указать в политике).

Порядок уничтожения должен быть описан: кто отвечает, каким способом (удаление из БД, журналирование факта уничтожения), в какой срок после наступления основания.

Если в вашем магазине хранятся email-базы без фиксированного срока хранения — это основание для штрафа по ч. 1 ст. 13.11 КоАП при первой же проверке РКН. Юристы DATUM проверят сроки, цели и основания обработки за один рабочий день.

Заказать аудит 152-ФЗ

Шаг 6. Опубликуйте политику и обеспечьте к ней доступ с каждой страницы сайта

Ч. 2 ст. 18.1 ФЗ-152 обязывает оператора опубликовать политику обработки ПДн в открытом доступе. Для интернет-магазина это означает: ссылка в подвале (footer) каждой страницы, обязательно — на странице оформления заказа и в форме подписки на рассылку. Скрытая страница без индексации или документ в личном кабинете без публичного доступа — нарушение.

Технические требования к публикации: страница должна быть доступна без регистрации, индексироваться поисковыми системами (или явно закрыта от индексации, но доступна по прямой ссылке), загружаться без JavaScript (для пользователей с отключёнными скриптами). Версия для печати или PDF — желательно, но не обязательно.

После публикации — уведомить РКН о намерении обрабатывать ПДн через форму на pd.rkn.gov.ru по Приказу РКН №180 от 28.10.2022, если оператор ещё не включён в реестр. Включение занимает до 30 дней. Работать без уведомления при наличии обработки ПДн — штраф по ч. 10 ст. 13.11 КоАП (100 000 — 300 000 ₽).

Как это выглядит на практике: два сценария

Сценарий 1. Интернет-магазин одежды (Центральный ФО, весна 2026) использовал Meta Pixel и GA4 без раздела о трансграничной передаче в политике. На сайте — типовая политика 2020 года без упоминания cookies. Индикаторы риска РКН сработали при плановом мониторинге: возбуждено дело по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽). Дополнительно — предписание обновить политику в 10-дневный срок. Стоимость приведения в соответствие после возбуждения дела оказалась в 4 раза выше превентивного аудита.

Сценарий 2. Продавец на маркетплейсе (Уральский ФО, осень 2025) считал, что политика конфиденциальности — задача платформы. После запуска собственного сайта-витрины с формой сбора email получил требование РКН предоставить документы оператора. Ни политики, ни уведомления в реестре не было — штраф по ч. 3 и ч. 10 ст. 13.11 КоАП в совокупности составил сотни тысяч рублей. При наличии подготовленного пакета ОРД оба нарушения были бы исключены.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка политики, cookies, согласий и оснований обработки по чек-листу из 38 пунктов.
Комплект ОРД под ключ — политика конфиденциальности, согласия, приказы, регламенты в соответствии с ФЗ-156.
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП, применение ст. 4.1.1 для снижения или замены штрафа.

Частые вопросы

1. Считаются ли cookies персональными данными?

Да, если cookies позволяют идентифицировать конкретного пользователя — прямо (в связке с email или телефоном) или косвенно (устойчивый идентификатор устройства). РКН с 2023 года квалифицирует идентификационные cookies как персональные данные по ст. 3 ФЗ-152. Рекламные cookies, передаваемые в Google или Meta, — тем более: это ещё и трансграничная передача. Без раздела о cookies в политике и без баннера согласия сайт нарушает ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽ для юрлица).

2. Можно ли использовать GA4 после ограничений?

GA4 не запрещён в России напрямую, однако его использование — трансграничная передача ПДн в США, страну без адекватного уровня защиты по перечню РКН. Для законного использования необходимо: описать GA4 в разделе трансграничной передачи политики, получить согласие субъекта на эту передачу (отдельным документом по ст. 9 ФЗ-152 с 01.09.2025), уведомить РКН по ст. 12 ФЗ-152. Использование GA4 «молча», без этих шагов, — риск штрафа по ч. 1 ст. 13.11 КоАП и предписания РКН.

3. Кто оператор: маркетплейс или продавец?

Оба могут быть операторами одновременно — каждый в рамках своих целей обработки. Маркетплейс обрабатывает ПДн покупателей для работы платформы; продавец — для исполнения заказа, коммуникации и возвратов. Если продавец ведёт собственный сайт, CRM или рассылки — он оператор в полном объёме и обязан иметь политику конфиденциальности, уведомление в реестре РКН и пакет ОРД вне зависимости от наличия договора с маркетплейсом.

4. Что грозит за отсутствие баннера cookies?

Использование рекламных или аналитических cookies без согласия пользователя — обработка ПДн без надлежащего правового основания, что квалифицируется по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽ для юрлица, 300 000 — 500 000 ₽ при повторном нарушении по ч. 1.1). Если через cookies передаются данные за рубеж без уведомления РКН — дополнительно риск по ч. 1 ст. 13.11 КоАП за нарушение требований к трансграничной передаче.

5. Как оформить отзыв подписки?

В политике должен быть указан конкретный способ отзыва согласия на рассылку: ссылка «отписаться» в каждом письме, форма на сайте или обращение на email оператора. После отзыва согласия — 7 рабочих дней на прекращение обработки в соответствующей цели (ст. 21 ФЗ-152). Адрес переносится в стоп-лист (чтобы случайно не добавить повторно), исходная запись для рассылки уничтожается. Факт отзыва и дата — фиксируются в журнале согласий.

6. Нужно ли обновлять старую политику после 01.09.2025?

Да, если в ней закреплён порядок получения согласий, не соответствующий требованиям ФЗ-156: объединённое согласие в договоре или форме заказа. Саму политику как документ ФЗ-156 не отменяет — но механизм согласия, описанный в ней, должен быть приведён в соответствие. Ранее полученные согласия в соответствующей форме обратной силы ФЗ-156 не имеет — их переоформлять не требуется, только новые.

Итог

Политика конфиденциальности для интернет-магазина — не формальная страница, а рабочий документ, который описывает реальную практику обработки данных: cookies, рассылки, аналитические сервисы, трансграничные передачи. Каждый пробел в документе — основание для штрафа по ст. 13.11 КоАП, совокупный размер которого по нескольким основаниям превышает стоимость годового комплаенс-обслуживания.

Юристы DATUM специализируются на e-commerce: политики конфиденциальности для интернет-магазинов и маркетплейс-продавцов, согласия по ФЗ-156, трансграничные уведомления для GA4 и зарубежных CRM. Подготовим документы под вашу конфигурацию — не шаблон из интернета.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), политики конфиденциальности для маркетплейсов.

19 января 2029 года