Поручение обработки от маркетплейса
Маркетолог, работающий с маркетплейсами, ежедневно получает данные покупателей: имена, телефоны, адреса доставки, историю заказов. Юридически это поручение обработки персональных данных — и оно влечёт конкретные обязательства по ФЗ-152. Ниже — пошаговый порядок: от проверки уведомления в реестре РКН до настройки баннера cookies и оформления согласий на рассылку.
Шаг 1. Проверьте, включены ли вы в реестр операторов РКН
Любой продавец, получающий от маркетплейса данные покупателей, является оператором по ст. 3 ФЗ-152. До начала обработки — а не после — он обязан направить уведомление в Роскомнадзор по форме Приказа РКН №180 от 28.10.2022.
Проверьте наличие вашей компании в реестре на pd.rkn.gov.ru. Если записи нет — направьте уведомление через личный кабинет ЕСИА или с использованием усиленной квалифицированной электронной подписи. После подачи — 30 дней до включения в реестр.
Если вы уже в реестре — проверьте актуальность сведений. Если реальные цели обработки шире заявленных (например, появилась рассылка или программа лояльности) — подайте изменения. Расхождение между реестром и фактом — самостоятельное основание для протокола.
Шаг 2. Убедитесь, что договор с маркетплейсом содержит условия поручения
Поручение обработки оформляется договором или отдельным соглашением. По п. 3 ст. 6 ФЗ-152 в нём должны быть зафиксированы: перечень передаваемых данных, цели обработки, срок, перечень допустимых действий и обязательство соблюдать конфиденциальность.
Типовые оферты маркетплейсов (Wildberries, Ozon) содержат условия об обработке ПДн, но не всегда соответствуют требованиям ст. 6 ФЗ-152 в полном объёме. Проверьте, есть ли в договоре:
- перечень категорий ПДн, передаваемых продавцу;
- исчерпывающий список разрешённых действий (хранение, использование для доставки, аналитика);
- запрет передавать данные третьим лицам без согласия покупателя;
- обязательство уничтожить данные после выполнения поручения.
Если договор не содержит этих условий — вы обрабатываете ПДн без надлежащего правового основания. Это состав ч. 1 ст. 13.11 КоАП (штраф до 300 000 ₽) или ч. 2 (до 700 000 ₽), если отсутствует и согласие субъекта.
Получили данные покупателей от маркетплейса — как проверить соответствие 152-ФЗ?
Если маркетолог работает с данными покупателей из Wildberries или Ozon, но договор об обработке не приведён к требованиям ФЗ-152 — каждая итерация передачи данных создаёт основание для штрафа по ч. 1–2 ст. 13.11 КоАП. Чем раньше проверить документы, тем меньше риск.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Настройте баннер cookies и проверьте, считаются ли cookies персональными данными
Позиция Роскомнадзора: cookies, позволяющие идентифицировать пользователя (в связке с IP, поведенческими данными, историей сессий), являются персональными данными по ст. 3 ФЗ-152. Это означает, что сайт интернет-магазина, собирающий такие cookies без согласия, нарушает ч. 1 ст. 13.11 КоАП.
Баннер cookies — не рекомендация, а требование. Он должен:
- появляться до начала записи аналитических и маркетинговых cookies;
- предлагать явное согласие (opt-in), а не пассивное уведомление;
- давать возможность отклонить необязательные категории без ущерба для функциональности сайта;
- фиксировать согласие с датой и версией политики для последующего доказательства.
Технические cookie (обеспечение работы корзины, авторизации) согласия не требуют. Аналитические (GA4, Яндекс.Метрика) и маркетинговые (ретаргетинг, пиксели) — требуют.
Шаг 4. Разберитесь с GA4 как трансграничной передачей
Google Analytics 4 передаёт данные на серверы Google за пределами России. По ст. 12 ФЗ-152 передача ПДн в страну, не обеспечивающую адекватный уровень защиты, требует уведомления РКН до начала передачи.
США не входят в перечень стран с адекватной защитой по актуальному приказу РКН. Это означает, что использование GA4 без уведомления о трансграничной передаче — нарушение ст. 12 ФЗ-152 и основание для предписания РКН.
Практические варианты для маркетолога:
- подать уведомление о трансграничной передаче в РКН через pd.rkn.gov.ru с описанием цели и перечня передаваемых данных;
- перейти на Яндекс.Метрику или другой инструмент с хранением данных в РФ — это снимает вопрос трансграничной передачи;
- настроить GA4 в режиме анонимизации IP и минимизации данных — снижает риск, но не устраняет полностью.
Аналогичная логика — для Meta Pixel (запрещённой организации на территории РФ): его использование создаёт дополнительные правовые риски помимо 152-ФЗ.
Если маркетолог использует GA4 и не подал уведомление о трансграничной передаче — РКН вправе выдать предписание в ходе плановой или внеплановой проверки. Срок устранения по предписанию — фиксированный, нарушение не восстанавливается.
Оценить риски по 152-ФЗШаг 5. Оформите согласия на email-рассылки и программы лояльности
Рассылка по email — это обработка персональных данных (имя + email) в маркетинговых целях. С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн должно быть оформлено отдельным документом, не совмещённым с договором, офертой или политикой конфиденциальности.
Для email-рассылки это означает: форма подписки должна содержать отдельный чекбокс с явной формулировкой согласия на обработку ПДн в целях маркетинга. Предзаполненный (pre-checked) чекбокс не является согласием по ст. 9 ФЗ-152.
Для программ лояльности: карта лояльности предполагает сбор и использование данных покупок, предпочтений, поведения. Это специфическая цель обработки, которая должна быть отдельно заявлена в уведомлении РКН и отдельно согласована с субъектом. Объединение согласия на рассылку и на программу лояльности в одном чекбоксе — нарушение ст. 5 ФЗ-152 (несовместимость целей).
Отзыв подписки: субъект вправе отозвать согласие в любой момент по ст. 9 ч. 2 ФЗ-152. Ссылка «Отписаться» в письме должна прекращать именно обработку в маркетинговых целях, а не только отправку писем. Данные, обработанные до отзыва, — правомерно обработаны; после отзыва дальнейшая обработка в этих целях неправомерна.
Что подготовить маркетологу для соответствия 152-ФЗ
- Выписка из реестра операторов ПДн с pd.rkn.gov.ru с актуальными целями обработки (включая рассылки, аналитику, программы лояльности).
- Договор с маркетплейсом с условиями поручения обработки по п. 3 ст. 6 ФЗ-152: перечень ПДн, цели, допустимые действия, срок, конфиденциальность.
- Настроенный баннер cookies с раздельными категориями согласия (технические / аналитические / маркетинговые) и журналом фиксации согласий.
- Отдельные согласия на email-рассылку и программу лояльности по требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156).
- Уведомление о трансграничной передаче в РКН, если используется GA4, зарубежные CRM или рекламные платформы.
Как это работает на практике: три сценария для маркетолога
Сценарий 1: продавец на Wildberries без уведомления в реестре РКН. Интернет-магазин одежды (Центральный ФО) работает на Wildberries с 2022 года, получает данные покупателей (ФИО, адрес, телефон) для организации доставки, хранит в CRM. Уведомление в РКН не подавалось. В ходе плановой проверки 2026 года РКН запросил выписку из реестра — её не оказалось. Протокол по ч. 10 ст. 13.11 КоАП (штраф 100–300 тыс. ₽) + протокол по ч. 1 за обработку без правового основания. Стратегия: уведомить РКН немедленно после получения запроса, предоставить доказательства направления уведомления суду — это смягчающее обстоятельство по ст. 4.1 КоАП.
Сценарий 2: сайт с GA4 без уведомления о трансграничной передаче. Маркетолог крупного интернет-магазина (Северо-Западный ФО, начало 2026) настроил GA4 для отслеживания конверсий. Согласие пользователей получено через баннер, но уведомление РКН о трансграничной передаче данных в Google LLC не подавалось. РКН выдал предписание об устранении нарушения ст. 12 ФЗ-152. Предписание исполнено: подано уведомление, данные партиально переведены в Яндекс.Метрику. Штраф не назначен — предписание исполнено в срок. Стратегия: подача уведомления о трансграничной передаче — приоритет первого дня при использовании любого зарубежного аналитического инструмента.
Сценарий 3: email-рассылка с согласием в тексте оферты. Интернет-магазин электроники (Приволжский ФО, осень 2025) включил согласие на рассылку в текст пользовательского соглашения — отдельного чекбокса не было. После 01.09.2025 это нарушает ст. 9 ФЗ-152 в редакции ФЗ-156. Жалоба одного из покупателей в РКН повлекла проверку. Протокол по ч. 2 ст. 13.11 КоАП (штраф 300–700 тыс. ₽ для юрлица). Стратегия: аудит всех форм сбора данных после 01.09.2025, переработка форм подписки с отдельным чекбоксом согласия по новым требованиям.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка документов, баннера cookies, согласий и реестра РКН
- Комплект ОРД под ключ — политика, согласия, договоры поручения для маркетплейсов
- Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да, если cookie позволяет идентифицировать пользователя в связке с другими данными (IP-адрес, история браузера, поведение на сайте). Технические cookies, необходимые для работы сайта, согласия не требуют. Аналитические и маркетинговые cookies подпадают под требования ст. 3 и ст. 9 ФЗ-152: их запись без согласия — основание для штрафа по ч. 1 ст. 13.11 КоАП.
2. Можно ли использовать GA4 после ограничений?
Использование GA4 не запрещено, но требует оформления. Google LLC не входит в перечень стран с адекватной защитой ПДн, поэтому передача данных через GA4 — это трансграничная передача по ст. 12 ФЗ-152. До начала передачи необходимо уведомить РКН через pd.rkn.gov.ru с указанием цели, перечня данных и сведений об иностранном получателе. Без уведомления — нарушение ст. 12, основание для предписания РКН.
3. Кто оператор: маркетплейс или продавец?
Оба. Маркетплейс — первичный оператор, собирающий данные покупателей при заказе. Продавец, получающий эти данные для исполнения заказа (организации доставки, общения с покупателем), — самостоятельный оператор по п. 3 ст. 6 ФЗ-152. Это поручение обработки, и продавец несёт полную ответственность за обработку данных в пределах переданного поручения. Утечка через продавца — ответственность продавца, даже если данные получены от маркетплейса.
4. Что грозит за отсутствие баннера cookies?
Отсутствие баннера означает сбор cookies без согласия субъекта. Это обработка ПДн без правового основания — состав ч. 1 ст. 13.11 КоАП в редакции с 30.05.2025, штраф для юрлица от 150 000 до 300 000 ₽. При повторном нарушении по ч. 1.1 — от 300 000 до 500 000 ₽. РКН фиксирует подобные нарушения при мониторинге сайтов, в том числе по жалобам пользователей.
5. Как оформить отзыв подписки?
По ст. 9 ч. 2 ФЗ-152 субъект вправе отозвать согласие в любой момент. Ссылка «Отписаться» в письме должна обеспечивать именно прекращение обработки в маркетинговых целях — не только остановку рассылки. После получения отзыва оператор обязан прекратить обработку в заявленных целях и уничтожить данные, если иное правовое основание для их хранения отсутствует. Срок — без промедления, практика РКН допускает технический период до 5 рабочих дней.
Итог
Работа маркетолога с данными покупателей от маркетплейса — это полноценная операторская деятельность по ФЗ-152, а не пассивное использование чужой базы. Реестр РКН, договор с маркетплейсом, баннер cookies, согласия на рассылку и уведомление о трансграничной передаче — пять обязательных элементов, отсутствие любого из которых создаёт основание для штрафа по ст. 13.11 КоАП в диапазоне от 150 000 до 700 000 ₽.
Юристы DATUM сопровождают интернет-магазины и маркетологов в части 152-ФЗ: от аудита документов до подготовки уведомлений РКН и защиты при назначении штрафа.