инструкция 30 января 2027 По состоянию на 30 января 2027

Политика обработки в программе лояльности

Политика обработки персональных данных в программе лояльности — обязательный документ по ч. 2 ст. 18.1 ФЗ-152. Его отсутствие или несоответствие требованиям даёт Роскомнадзору основание для штрафа по ч. 3 ст. 13.11 КоАП в редакции с 30.05.2025.

С 01.09.2025 согласие на обработку ПДн участника программы лояльности оформляется отдельным документом — объединять его с договором оферты или формой заявки запрещено (ФЗ-156 от 24.06.2025). Программы лояльности аккумулируют данные о покупках, контактах, предпочтениях: состав обработки шире стандартного клиентского договора, что требует отдельной политики и отдельного согласия.

→ Если вы юрист и готовите ОРД для оператора программы лояльности — эта инструкция даёт пошаговый порядок составления политики с учётом норм ФЗ-156 и требований Приказа РКН №180.

Программа лояльности с правовой точки зрения — это отдельная цель обработки персональных данных. Оператор собирает имя, телефон, email, историю покупок, геолокацию (при мобильном приложении), поведенческие профили. Перечень шире, чем в стандартном договоре купли-продажи, и требует самостоятельной правовой регламентации. Ниже — восемь шагов, которые приведут политику обработки в соответствие с действующими требованиями.

Шаг 1. Определите состав обрабатываемых данных и цели

Первый шаг — инвентаризация: что именно обрабатывает программа лояльности и зачем. Это не описательная задача, а юридическая: ст. 5 ФЗ-152 запрещает обрабатывать ПДн сверх того, что необходимо для достижения заявленной цели. Типовые цели в программах лояльности: начисление и списание бонусов, персонализация предложений, коммуникация об акциях, аналитика покупательского поведения.

Для каждой цели зафиксируйте перечень ПДн. Если одна категория данных используется в двух несвязанных целях — это отдельные правовые основания и, как правило, отдельные разделы политики. Объединение баз с несовместимыми целями нарушает ст. 5 ФЗ-152.

«Ст. 5 ФЗ-152 — принцип соответствия объёма ПДн целям: нельзя обрабатывать данные, избыточные по отношению к заявленным целям. Ст. 6 ФЗ-152 — перечень правовых оснований обработки, включая согласие субъекта (п. 1) и исполнение договора (п. 5).»

Шаг 2. Проверьте наличие уведомления в реестре РКН

До публикации политики убедитесь, что оператор включён в реестр РКН по актуальной форме (Приказ РКН №180 от 28.10.2022). Если программа лояльности была запущена после подачи первоначального уведомления — сведения о новых целях и категориях ПДн нужно обновить. Срок включения в реестр после подачи уведомления — до 30 дней (ч. 4 ст. 22 ФЗ-152).

Неуведомление РКН о намерении обрабатывать ПДн или несвоевременное уведомление образует состав по ч. 10 ст. 13.11 КоАП — штраф для юрлица 100–300 тыс. ₽ в редакции с 30.05.2025. Для программ лояльности типична ситуация, когда оператор подал уведомление по основному бизнесу, но не обновил его при запуске бонусного модуля.

«Ст. 22 ФЗ-152 — обязанность оператора уведомить РКН до начала обработки. Приказ РКН №180 от 28.10.2022 — действующая форма уведомления. Подача через pd.rkn.gov.ru.»

Нужна проверка уведомления в реестре РКН или сборка ОРД для программы лояльности?

Ошибки в уведомлении и пробелы в составе ОРД — наиболее частые основания для протокола по ст. 13.11 при проверках программ лояльности. Юристы DATUM проверят текущее состояние реестра, выявят расхождения с фактической обработкой и подготовят полный комплект документов.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Составьте текст политики по реквизитам ст. 18.1 ФЗ-152

Политика обработки персональных данных — публичный документ. Ч. 2 ст. 18.1 ФЗ-152 устанавливает обязательные разделы: наименование и контактные данные оператора, цели обработки, правовые основания, перечень обрабатываемых ПДн, порядок и условия обработки, права субъектов, сведения об обеспечении безопасности.

Для программы лояльности добавьте специальные разделы: передача данных партнёрам по программе (поручение обработки по ст. 6 ч. 3 ФЗ-152), срок хранения бонусного профиля, условия обезличивания при аналитике, порядок удаления данных при выходе из программы. Политику размещают в открытом доступе — на сайте, в мобильном приложении, в точке продаж. Ссылка на политику обязательна в форме согласия.

«Ст. 18.1 ч. 2 ФЗ-152 — перечень обязательных разделов политики. Ст. 6 ч. 3 ФЗ-152 — поручение обработки третьему лицу: требуется письменный договор с перечнем действий и целей.»

Как составить отдельное согласие после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом — его нельзя включать в текст договора оферты, правил программы лояльности или политики конфиденциальности (ФЗ-156 от 24.06.2025, изменения ст. 9 ФЗ-152). Ранее полученные согласия, собранные до этой даты, переоформлять не требуется — закон обратной силы не имеет.

Реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия или условия прекращения, способ отзыва. Для программы лояльности укажите отдельно: согласие на получение маркетинговых коммуникаций, согласие на профилирование (если применяется автоматизированная обработка по ст. 16 ФЗ-152), согласие на передачу партнёрам.

Согласие на распространение ПДн (например, публикация имени победителя акции) — отдельный документ по ст. 10.1 ФЗ-152. Молчание субъекта означает запрет на распространение.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 — отдельный документ согласия с 01.09.2025. Ст. 10.1 ФЗ-152 — согласие на распространение: дефолт — только для оператора.»

Шаг 5. Назначьте ответственного по ст. 22.1 ФЗ-152

Оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн (ст. 22.1 ФЗ-152). Для программы лояльности это критично: обработка ведётся через несколько каналов (сайт, приложение, кассовое ПО, CRM), и без назначенного ответственного некому контролировать исполнение требований. Ответственный принимает запросы субъектов, ведёт журнал обращений, координирует реагирование при инциденте.

Назначение оформляется приказом. В политике и на сайте публикуют контактные данные ответственного или специальный email для обращений субъектов. Срок ответа на запрос субъекта — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта (ст. 20 ФЗ-152).

«Ст. 22.1 ФЗ-152 — обязанность назначить ответственного за организацию обработки ПДн. Ст. 20 ФЗ-152 — срок ответа на запрос субъекта: 10 рабочих дней с даты обращения.»

Если вы юрист и подготавливаете ОРД для программы лояльности — проверьте, оформлено ли согласие отдельным документом по нормам ФЗ-156 и назначен ли ответственный по ст. 22.1. Любой из этих пробелов — самостоятельный состав нарушения. Юристы DATUM собирают полный пакет документов за фиксированную стоимость.

Заказать аудит 152-ФЗ

Шаг 6. Проверьте трансграничную передачу и подрядчиков

Программы лояльности часто используют зарубежные CRM, email-платформы, аналитические сервисы. Если ПДн участников программы передаются за рубеж, необходимо уведомить РКН о трансграничной передаче до её начала (ст. 12 ФЗ-152). Для стран без адекватной защиты уведомление обязательно. Перечень стран с адекватной защитой — актуальная редакция приказа РКН.

Если обработку ведёт подрядчик (аутсорсинговый колл-центр, агентство программы лояльности, IT-интегратор) — с ним заключается договор поручения обработки по ст. 6 ч. 3 ФЗ-152. Договор должен содержать цели, перечень ПДн, действия подрядчика и требования по безопасности. Ответственность перед субъектом несёт оператор — независимо от вины подрядчика.

Шаг 7. Разместите политику и обеспечьте доступность

Политика должна быть размещена в открытом доступе до момента начала сбора ПДн. Для программы лояльности — на сайте (ссылка в подвале), в мобильном приложении (в разделе настроек и при регистрации), на кассовых стойках (QR-код или текст). Ссылка на политику должна быть активной в форме согласия: нельзя требовать согласие, не давая возможности ознакомиться с документом до его подписания.

Отсутствие опубликованной политики — самостоятельный состав нарушения по ч. 3 ст. 13.11 КоАП, штраф для юрлица 30–60 тыс. ₽ в редакции с 30.05.2025. Это наиболее часто выявляемое нарушение при плановых и внеплановых проверках РКН.

«Ч. 3 ст. 13.11 КоАП (ред. с 30.05.2025) — штраф 30–60 тыс. ₽ за невыполнение обязанности по опубликованию политики обработки ПДн по ст. 18.1 ФЗ-152.»

Шаг 8. Организуйте порядок реагирования на запросы субъектов

Участник программы лояльности вправе в любой момент запросить информацию об обработке его ПДн, потребовать уточнения, блокирования или уничтожения данных, отозвать согласие. Политика должна описывать порядок подачи таких обращений: адрес, форму, срок ответа.

Невыполнение требования субъекта об уточнении, блокировании или уничтожении ПДн в установленные сроки — ч. 5 ст. 13.11 КоАП, штраф 50–90 тыс. ₽. Повторное нарушение — ч. 5.1, штраф 300–500 тыс. ₽. Зафиксируйте в ОРД журнал обращений субъектов: без него невозможно подтвердить соблюдение сроков.

«Ч. 5 ст. 13.11 КоАП (ред. с 30.05.2025) — штраф 50–90 тыс. ₽ за невыполнение требования субъекта. Ст. 21 ФЗ-152 — сроки устранения нарушений по требованию субъекта.»

Что подготовить юристу для программы лояльности

Уведомление в реестре РКН (pd.rkn.gov.ru) с актуальными целями и категориями ПДн по Приказу РКН №180
Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, размещённая в открытом доступе до сбора данных
Отдельное согласие участника программы лояльности с реквизитами ст. 9 ФЗ-152 в редакции ФЗ-156 (применяется к новым согласиям с 01.09.2025)
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с публикацией контактов
Договор поручения обработки с каждым подрядчиком, получающим ПДн участников

Типовые ситуации при проверке программы лояльности

Ситуация 1. Ретейлер из Сибирского ФО (осень 2025) получил внеплановую проверку РКН после жалобы участника программы лояльности: человек не мог отозвать согласие, форма отзыва на сайте не работала. Инспектор выявил три нарушения: согласие включено в правила программы (нарушение ст. 9 в ред. ФЗ-156), на сайте нет ссылки на политику (ч. 3 ст. 13.11), ответственный по ст. 22.1 не назначен. Юрист компании самостоятельно устранил нарушения до вынесения постановления и представил доказательства — штраф был минимальным по каждому составу.

Ситуация 2. Сеть аптек (Центральный ФО, начало 2026) передавала данные участников программы лояльности маркетинговому агентству без договора поручения. При плановой проверке РКН квалифицировал это как обработку без правового основания (ч. 1 ст. 13.11 КоАП) — штраф для юрлица в диапазоне 150–300 тыс. ₽. Агентство не было названо соответчиком: ответственность перед субъектом несёт оператор.

Связанные услуги DATUM

Комплект ОРД под ключ — 38 документов, включая политику, согласия и журналы для программы лояльности
Аудит соответствия 152-ФЗ — проверка ОРД и фактической обработки по чек-листу из 38 пунктов
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн в программе лояльности?

Минимальный пакет включает: уведомление в реестре РКН, политику обработки ПДн по ст. 18.1 ФЗ-152 в открытом доступе, отдельное согласие субъекта по ст. 9, приказ о назначении ответственного по ст. 22.1, договоры поручения с подрядчиками по ст. 6 ч. 3 ФЗ-152, журнал учёта обращений субъектов. Для программ с профилированием или автоматизированными решениями — дополнительно документы по ст. 16 ФЗ-152.

2. Как составить политику обработки ПДн для программы лояльности?

Политика составляется на основе ч. 2 ст. 18.1 ФЗ-152 и должна содержать: реквизиты оператора, цели обработки (начисление бонусов, маркетинг, аналитика — каждая отдельно), правовые основания по ст. 6, перечень категорий ПДн, порядок и сроки хранения, порядок обеспечения безопасности, права субъектов и порядок их реализации. Для программ лояльности обязательно укажите условия передачи данных партнёрам и порядок удаления профиля при выходе из программы.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Закон не устанавливает обязательной квалификации, но ч. 4 ст. 22.1 требует, чтобы ответственный имел доступ к документам об обработке и мог взаимодействовать с РКН. На практике назначают юриста, руководителя IT-подразделения или compliance-менеджера. Допустим аутсорсинг этой функции — в этом случае с исполнителем заключается договор и в политике указываются его контактные данные.

4. Можно ли использовать шаблон политики из интернета?

Шаблон из открытых источников не учитывает специфику конкретной программы лояльности: состав партнёров, каналы сбора данных, наличие мобильного приложения, профилирование. Использование чужого шаблона без адаптации под фактическую обработку создаёт расхождение между документом и реальностью — это самостоятельное основание для нарушения по ч. 1 ст. 13.11 КоАП (обработка в несовместимых с целями случаях). Политику нужно составлять под конкретную архитектуру обработки.

5. Какие согласия нужны участникам программы лояльности после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может включаться в договор, правила программы или политику конфиденциальности (ФЗ-156 от 24.06.2025, ст. 9 ФЗ-152). Для программы лояльности потребуется как минимум три отдельных согласия: на базовую обработку (идентификация, бонусы), на маркетинговые коммуникации, на профилирование — если применяется. Согласие на распространение ПДн (например, публикация имени победителя) оформляется по ст. 10.1 ФЗ-152 отдельно.

6. Что будет, если программа лояльности уже работает и документы не соответствуют требованиям?

При плановой проверке РКН фиксирует нарушения на дату проверки. Если к этому моменту документы не приведены в порядок — каждый состав нарушения образует отдельный протокол. Наиболее распространённые: ч. 3 ст. 13.11 (политика не опубликована, 30–60 тыс. ₽), ч. 2 ст. 13.11 (согласие оформлено неправильно, 300–700 тыс. ₽), ч. 10 ст. 13.11 (уведомление не подано или устарело, 100–300 тыс. ₽). Устранение нарушений до вынесения постановления — смягчающее обстоятельство по ст. 4.2 КоАП.

Итог

Политика обработки в программе лояльности — не формальность: это документ, который проверяет РКН в первую очередь. Основные риски 2025–2026 годов связаны с переходом на отдельное согласие по ФЗ-156, неактуальными уведомлениями в реестре и отсутствием договоров поручения с подрядчиками.

DATUM сопровождает операторов программ лояльности от инвентаризации состава обработки до публикации политики и обучения ответственного. Практика включает аудиты e-commerce, ретейла и сервисных компаний с многоканальными программами лояльности.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных. Специализация — согласия по ст. 9 ФЗ-152 в ред. ФЗ-156, обработка в программах лояльности, проверки РКН в коммерческих структурах.