инструкция 9 января 2029 По состоянию на 9 января 2029

Политика на нескольких языках

Политика конфиденциальности на нескольких языках — это не перевод ради удобства, а юридическое требование для операторов, обрабатывающих персональные данные иностранных пользователей.

Интернет-магазины, маркетплейсы и SaaS-продукты с зарубежной аудиторией обязаны соблюдать ч. 5 ст. 18 и ст. 12 ФЗ-152 одновременно. При этом каждая языковая версия должна содержать одинаковый правовой объём: цели, основания, cookies, сроки хранения. Отсутствие баннера cookies на русской версии — повод для штрафа по ч. 6 ст. 13.11 КоАП.

→ Если вы маркетолог и сайт работает на нескольких рынках — проверьте каждую языковую версию политики по чек-листу ниже.

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом по ФЗ-156. Политика конфиденциальности перестала быть «оберткой» для согласия — теперь это самостоятельный документ. Для сайта с несколькими языками это означает: каждая версия политики юридически равнозначна оригиналу и не может содержать расширений или ограничений по сравнению с русскоязычной версией. Ниже — пошаговая инструкция для маркетолога или владельца интернет-магазина.

Шаг 1. Определите, нужна ли вам политика на нескольких языках

Не каждый сайт обязан публиковать политику на иностранном языке. Обязанность возникает, если выполняется хотя бы одно условие:

сайт явно адресован пользователям конкретной страны: есть доменная зона (.de, .pl, .kz), локальная валюта, локальный номер телефона;
сайт направлял рекламу жителям иностранного государства через таргетинг;
сайт собирает данные пользователей, физически находящихся за рубежом (IP-геолокация, адрес доставки, язык браузера);
договор с маркетплейсом требует мультиязычной политики в оферте.

Если ни одно условие не выполняется — достаточно русскоязычной политики. Но даже в этом случае cookies как персональные данные требуют баннера согласия. По позиции Роскомнадзора, cookies, однозначно идентифицирующие пользователя, относятся к персональным данным и подпадают под требования ст. 6 ФЗ-152.

«Ст. 22 ФЗ-152 — оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки. При трансграничной передаче данных в страны без адекватной защиты — дополнительное уведомление по ст. 12 ФЗ-152.»

Страны с адекватной защитой персональных данных перечислены в актуальном перечне Роскомнадзора. В него входят государства — члены Конвенции Совета Европы о защите данных и ряд других. Если целевая аудитория сайта — резиденты страны из этого перечня, трансграничная передача допускается без отдельного уведомления РКН. Для остальных стран уведомление обязательно.

Сайт работает на нескольких рынках, но политика только на русском?

Это типичная ситуация для интернет-магазинов, которые вышли на международный рынок через маркетплейс или запустили рекламу в СНГ. Каждая языковая версия сайта — потенциальная точка нарушения ч. 6 ст. 13.11 КоАП (штраф 50–100 тыс. ₽ за неправомерное хранение носителей). Юристы DATUM проверят, какие версии политики вам нужны и соответствуют ли действующие документы требованиям ФЗ-156 с 01.09.2025.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Установите правовую основу для каждой языковой версии

Каждая языковая версия политики должна опираться на одну правовую базу — ФЗ-152. Не нужно встраивать GDPR в русскую политику или дублировать российские нормы в английской версии. Принцип единообразия: объём прав субъекта, цели обработки и перечень данных — одинаковы во всех версиях.

Структура каждой версии по ч. 2 ст. 18.1 ФЗ-152 включает:

наименование и контакты оператора;
цели обработки персональных данных;
правовые основания (согласие, договор, законная обязанность);
перечень категорий обрабатываемых данных;
условия передачи третьим лицам, в том числе трансграничной;
сроки хранения;
порядок реализации прав субъектов — как направить запрос, срок ответа 10 рабочих дней по ст. 20 ФЗ-152;
раздел о cookies с указанием технологий и механизма отзыва согласия.

Языковые версии — это переводы, а не самостоятельные документы. Правовая ответственность оператора одна — по российскому праву. Если версия на казахском или английском языке содержит иной перечень целей — это уже нарушение принципа достоверности ст. 5 ФЗ-152.

«Ст. 18.1 ФЗ-152 — оператор обязан опубликовать политику обработки персональных данных в открытом доступе. Невыполнение — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽.»

Шаг 3. Настройте баннер cookies для каждого языка

Баннер cookies — это механизм получения согласия на обработку персональных данных при первом посещении сайта. Согласие должно быть свободным, конкретным и информированным. Молчание или продолжение просмотра не считается согласием — это прямо следует из ст. 9 ФЗ-152.

Для мультиязычного сайта баннер должен автоматически отображаться на языке интерфейса. Если язык не определён — показывать на языке страны по IP-геолокации. Минимальные требования к баннеру на каждом языке:

чёткое указание, что сайт использует cookies для аналитики, таргетинга, функциональных целей;
кнопка «Принять» и кнопка «Отклонить» с равной визуальной доступностью;
ссылка на полную политику на том же языке;
возможность изменить выбор в любой момент через настройки сайта.

Отдельного внимания заслуживает GA4. Роскомнадзор рассматривает передачу данных через Google Analytics как трансграничную передачу персональных данных в США — страну без адекватной защиты по российскому праву. Это означает обязательное уведомление РКН по ст. 12 ФЗ-152 до начала использования сервиса. Если уведомление не подавалось — это самостоятельное нарушение ст. 22 ФЗ-152.

Если маркетолог использует GA4, Meta Pixel или другие зарубежные аналитические инструменты — каждый из них требует уведомления РКН о трансграничной передаче. Без уведомления — нарушение ч. 10 ст. 13.11 КоАП (штраф 100–300 тыс. ₽). Юристы DATUM подготовят уведомления и оценят риски по всем сервисам аналитики.

Оценить риски по 152-ФЗ

Шаг 4. Урегулируйте вопрос маркетплейса: кто оператор?

Для продавцов на маркетплейсах вопрос об операторе — не академический. Маркетплейс собирает данные покупателей от своего имени: адрес, телефон, историю заказов. Продавец получает часть этих данных для исполнения заказа. Формально оба — операторы, но в разных целях.

Практическое последствие: продавец на маркетплейсе обязан:

уведомить РКН о намерении обрабатывать персональные данные (ст. 22 ФЗ-152);
опубликовать собственную политику конфиденциальности на своём сайте или в карточке магазина;
заключить соглашение с маркетплейсом о распределении ответственности операторов по п. 3 ст. 6 ФЗ-152 (поручение обработки);
не передавать данные покупателей третьим лицам сверх объёма, переданного маркетплейсом.

Если продавец использует данные покупателей для собственных рассылок — это отдельная цель обработки, требующая отдельного согласия по ст. 9 ФЗ-152 в редакции ФЗ-156. Без такого согласия рассылка по клиентской базе маркетплейса — нарушение ч. 1 ст. 13.11 КоАП (штраф 150–300 тыс. ₽).

Шаг 5. Настройте email-рассылки: двойное подтверждение и отзыв подписки

Email-рассылки входят в зону повышенного контроля РКН. Согласие на рассылку — отдельный вид согласия по ст. 9 ФЗ-152. С 01.09.2025 оно должно быть оформлено отдельным документом, не встроенным в форму регистрации или оферту.

Механизм двойного opt-in (double opt-in) — подтверждение через письмо на email — не является обязательным по российскому праву, но существенно снижает риски при проверке: фиксирует момент и объём согласия. Отзыв подписки должен быть доступен в каждом письме одним кликом. Обработка данных после отзыва — нарушение ст. 21 ФЗ-152.

Для мультиязычных рассылок: форма подписки, письмо-подтверждение и механизм отписки должны быть на языке интерфейса пользователя. Ссылка «Отписаться» в английском письме должна вести на страницу управления подпиской на английском языке, а сама страница — содержать ссылку на языковую версию политики.

Что подготовить для мультиязычной политики

Политика конфиденциальности на каждом языке с одинаковым правовым объёмом, включая раздел о cookies и трансграничной передаче.
Баннер cookies на каждом языке с кнопками «Принять» и «Отклонить» равной доступности, ссылкой на политику.
Уведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) и отдельное уведомление о трансграничной передаче (ст. 12), если используется GA4, Meta Pixel или аналогичные зарубежные сервисы.
Отдельные согласия на рассылку по ФЗ-156 с 01.09.2025 — не встроены в договор или оферту.
Соглашение с маркетплейсом о поручении обработки по п. 3 ст. 6 ФЗ-152 с разграничением ответственности операторов.

Как это применяется на практике

Кейс 1. Интернет-магазин детских товаров (Уральский ФО, осень 2025) запустил рекламу на казахскоязычную аудиторию через таргетинг и настроил GA4. Политика конфиденциальности была только на русском, баннера cookies не было, уведомление о трансграничной передаче в РКН не подавалось. По итогам внеплановой проверки компания получила предписание устранить нарушения по ч. 3 и ч. 10 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. После разработки мультиязычной политики, баннера cookies и подачи уведомления о трансграничной передаче предписание было исполнено без дальнейшего производства.

Кейс 2. Продавец на крупном маркетплейсе (Центральный ФО, начало 2026) использовал базу покупателей для собственной email-рассылки — без отдельного согласия по требованиям ФЗ-156. Один из покупателей направил жалобу в РКН. Регулятор квалифицировал нарушение по ч. 1 ст. 13.11 КоАП. Защита потребовала демонстрации механизма согласия и документов о поручении обработки от маркетплейса. Отсутствие соглашения об операторском статусе увеличило объём доказательной работы. Штраф был снижен до минимального значения в диапазоне по ч. 1 благодаря оперативному устранению нарушения до постановления.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всех языковых версий политики и механизмов согласия
Комплект ОРД под ключ — политика, согласия, приказы, регламент рассылок
Защита при штрафе в арбитраже — если РКН уже возбудил дело по ст. 13.11

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookie однозначно идентифицирует конкретного пользователя (например, привязан к аккаунту, профилю или устройству). Такие cookies подпадают под определение персональных данных ст. 3 ФЗ-152. Для технических cookies, не связанных с конкретным лицом, — нет. На практике большинство рекламных и аналитических cookies считаются персональными данными, что требует баннера согласия до их активации.

2. Можно ли использовать GA4 после ограничений?

Использование GA4 не запрещено, но требует уведомления РКН о трансграничной передаче персональных данных в США по ст. 12 ФЗ-152, поскольку США не входят в перечень стран с адекватной защитой ПДн. Без уведомления — нарушение ч. 10 ст. 13.11 КоАП (штраф 100–300 тыс. ₽). Кроме того, в политике конфиденциальности необходимо указать, что данные передаются Google LLC, цель передачи и механизм отзыва согласия на передачу.

3. Кто оператор: маркетплейс или продавец?

Оба. Маркетплейс — оператор в части данных, собранных от своего имени в рамках платформы. Продавец — оператор в части данных, полученных для исполнения заказа. Отношения регулируются соглашением о поручении обработки по п. 3 ст. 6 ФЗ-152. Если продавец использует данные за пределами переданного объёма — он становится самостоятельным оператором с полным набором обязанностей: уведомление РКН, собственная политика, отдельные согласия.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies при использовании идентифицирующих cookies — нарушение требования к согласию субъекта по ст. 9 ФЗ-152. РКН квалифицирует это как обработку персональных данных без надлежащего основания. Штраф по ч. 1 ст. 13.11 КоАП в редакции с 30.05.2025 — от 150 000 до 300 000 ₽ для юридического лица. При повторном нарушении — ч. 1.1 ст. 13.11, штраф 300 000–500 000 ₽.

5. Как оформить отзыв подписки на рассылку?

В каждом рекламном письме должна быть ссылка для отписки — это требование ст. 18 Федерального закона «О рекламе» и ст. 21 ФЗ-152 в части прекращения обработки. После перехода по ссылке система должна немедленно прекратить обработку данных для целей рассылки. Хранить данные можно только в той мере, в которой это требуется для других целей (например, для исполнения ранее размещённого заказа). Механизм отписки должен работать на языке письма и не требовать дополнительной авторизации.

6. Нужно ли переоформлять согласия, полученные до 01.09.2025?

Нет. ФЗ-156 от 24.06.2025 не имеет обратной силы — согласия, полученные до 01.09.2025 в соответствии с требованиями, действовавшими на тот момент, сохраняют силу. Переоформление требуется только при новом сборе согласий или при изменении целей обработки. При этом все новые согласия с 01.09.2025 должны оформляться отдельным документом вне договора, оферты или политики конфиденциальности.

Итог

Политика конфиденциальности на нескольких языках — это синхронизированный пакет документов с единым правовым основанием по ФЗ-152. Каждая версия должна содержать раздел о cookies, механизм трансграничной передачи и порядок отзыва согласия. Баннер cookies, мультиязычные формы подписки и уведомления РКН о трансграничной передаче — обязательные элементы, а не опция.

DATUM сопровождает интернет-магазины, маркетплейсы и SaaS-продукты в вопросах многоязычного комплаенса по 152-ФЗ: от аудита действующих политик до подготовки полного пакета ОРД с учётом требований ФЗ-156.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

9 января 2029 года