Продавец на Ozon как оператор
Маркетологи, работающие с Ozon, Wildberries и другими площадками, часто полагают, что вся ответственность за персональные данные лежит на маркетплейсе. Это ошибка, которая стоит сотни тысяч рублей. Ниже — пошаговый разбор того, как установить собственный статус оператора, что нужно сделать с cookies, рассылками, GA4 и политикой конфиденциальности, и чем всё это грозит, если оставить как есть.
Шаг 1. Кто из вас оператор: маркетплейс или продавец?
Оператор ПДн — тот, кто самостоятельно или совместно с другими лицами определяет цели и способы обработки (ст. 3 ФЗ-152). Маркетплейс обрабатывает данные покупателей в своих целях и несёт самостоятельную ответственность. Продавец получает от маркетплейса данные покупателя — имя, адрес доставки, телефон, email — и обрабатывает их для выполнения заказа, обратной связи, формирования собственной аналитики. С момента получения этих данных вы становитесь самостоятельным оператором.
Если продавец ведёт личный кабинет, CRM, email-рассылки, программу лояльности или использует пиксели аналитики на собственном сайте — каждое из этих действий образует самостоятельную цель обработки, закрепить которую нужно в политике конфиденциальности и уведомлении РКН по ст. 22 ФЗ-152.
Если продавец передаёт данные покупателей в колл-центр или агентство для обзвона — возникает поручение обработки по п. 3 ч. 3 ст. 6 ФЗ-152. Договор-поручение с этим подрядчиком обязателен. Ответственность за его действия несёте вы как оператор.
Не уверены, являетесь ли вы оператором по данным покупателей с Ozon?
Если маркетолог получает данные с маркетплейса и использует их для рассылок, аналитики или CRM — компания уже является самостоятельным оператором. Без уведомления РКН это нарушение ч. 10 ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и определят полный объём вашей ответственности.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 2. Уведомите РКН о намерении обрабатывать персональные данные
До начала обработки ПДн оператор обязан уведомить Роскомнадзор (ст. 22 ФЗ-152). Форма уведомления утверждена Приказом РКН №180 от 28.10.2022. Подача — через pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи. Срок включения в реестр после подачи — до 30 дней.
В уведомлении нужно указать все цели обработки, категории ПДн, перечень действий, правовые основания, сроки хранения и меры защиты. Продавцу на Ozon типовые цели выглядят так: исполнение договора купли-продажи, информирование о заказе, обратная связь, маркетинговые рассылки (если есть согласие), аналитика поведения на собственном сайте.
Если обработка уже ведётся, а уведомление не подано — нарушение длящееся. Подайте уведомление до проверки: это существенно снижает риски по ст. 4.1.1 КоАП при первичном нарушении.
Шаг 3. Разместите политику конфиденциальности и оформите правовые основания
Ст. 18.1 ФЗ-152 обязывает оператора опубликовать политику обработки ПДн в открытом доступе. Для продавца, у которого есть собственный сайт или страница на маркетплейсе с отдельным разделом — это обязательный документ. Отсутствие политики — основание для штрафа по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽).
Правовое основание для каждой цели обработки — отдельный вопрос. Исполнение договора не требует согласия (п. 5 ч. 1 ст. 6 ФЗ-152). Маркетинговые рассылки — требуют согласия по ст. 9 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку оформляется отдельным документом и не может быть встроено в оферту, договор или подвал сайта галочкой-«по умолчанию».
Если продавец использует форму подписки на рассылку — это согласие на обработку для маркетинговых целей. Форма должна содержать ссылку на политику, чекбокс без предустановленной галочки и понятное описание того, на что именно даётся согласие.
Что подготовить продавцу на Ozon
- Уведомление в реестре РКН по ст. 22 ФЗ-152 с актуальными целями обработки (подача через pd.rkn.gov.ru)
- Политика конфиденциальности по ч. 2 ст. 18.1 ФЗ-152, размещённая на собственном сайте или странице магазина
- Отдельные согласия на маркетинговые рассылки в формате ФЗ-156 (с 01.09.2025)
- Договор-поручение с каждым подрядчиком, получающим ПДн покупателей (колл-центр, агентство, CRM-сервис)
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
Шаг 4. Как продавцу на Ozon работать с cookies и счётчиками аналитики?
Если у продавца есть собственный сайт — он самостоятельно устанавливает счётчики аналитики (Яндекс.Метрика, GA4), пиксели ретаргетинга (VK Ads, myTarget) и cookies. По позиции РКН, cookies, позволяющие идентифицировать конкретного пользователя, относятся к персональным данным.
Без баннера-согласия на cookies и надлежащей политики — это обработка ПДн без надлежащего правового основания, что квалифицируется по ч. 1 ст. 13.11 КоАП. При повторном нарушении — ч. 1.1, штраф 300 000–500 000 ₽.
GA4 передаёт данные на серверы Google (США). Это трансграничная передача ПДн. По ст. 12 ФЗ-152, перед передачей в страну, не обеспечивающую адекватную защиту, оператор обязан уведомить РКН. В действующем перечне адекватных стран США нет. Если вы используете GA4 — проверьте, включён ли он как трансграничная передача в вашем уведомлении РКН.
Альтернативы: использование server-side таггинга с хранением данных в РФ, переход на Яндекс.Метрику или собственную аналитику, либо ограничение передачи GA4 только агрегированными данными без идентификаторов.
Если на вашем сайте установлены GA4, Meta Pixel или другие зарубежные счётчики — это трансграничная передача ПДн без уведомления РКН. Штраф по ч. 1 ст. 13.11 КоАП — 150 000–300 000 ₽. Юристы DATUM соберут пакет ОРД, включая уведомление о трансграничке, за фиксированную стоимость.
Собрать ОРД под ключШаг 5. Настройте реагирование на запросы покупателей и отзыв подписки
Субъект ПДн вправе в любой момент отозвать согласие на обработку (ч. 2 ст. 9 ФЗ-152). Способ отзыва должен быть указан в согласии. Для email-рассылок — стандартная ссылка «Отписаться» в каждом письме. После получения отзыва оператор обязан прекратить обработку для маркетинговых целей. Продолжение рассылок после отзыва — нарушение ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽).
На запрос субъекта о предоставлении информации о его данных оператор обязан ответить в течение 10 рабочих дней (ст. 20 ФЗ-152), с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Отсутствие ответа — ч. 4 ст. 13.11 КоАП, штраф 40 000–80 000 ₽.
Зафиксируйте в регламенте: кто принимает запросы субъектов, в какой форме, в какой срок регистрирует и исполняет. Без такого регламента даже добросовестные компании нарушают сроки из-за отсутствия единого ответственного.
Практика: как это применяется в реальных ситуациях
Ситуация 1. Продавец детских товаров (Приволжский ФО, весна 2026) использовал базу email-адресов покупателей, собранную через маркетплейс, для рассылок собственного магазина. Согласие в уведомлении РКН не было указано как отдельная цель. По результатам плановой проверки РКН составлен протокол по ч. 1 ст. 13.11 КоАП. Компания как малое предприятие с первичным нарушением получила предупреждение по ст. 4.1.1 КоАП. После проверки — срочное переоформление согласий и обновление уведомления РКН.
Ситуация 2. Интернет-магазин электроники (Центральный ФО, лето 2025) подключил GA4 с полным набором идентификаторов пользователей, не уведомив РКН о трансграничной передаче. Параллельно на сайте отсутствовал баннер согласия на cookies. РКН инициировал внеплановую проверку по обращению пользователя. Компании вменили два нарушения: ч. 1 ст. 13.11 (обработка без основания) и отдельно — непрохождение регистрации в части трансграничной передачи. Общая сумма штрафов по двум протоколам составила несколько сотен тысяч рублей. Снизить санкции помогло то, что к моменту рассмотрения дела компания устранила нарушения и представила доказательства.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — полная проверка обработки ПДн по 38 пунктам с приоритизированным планом устранения
- Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования, договоры-поручения
- Защита при штрафе в арбитраже — обжалование протоколов и постановлений по ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — cookies, которые позволяют идентифицировать конкретного пользователя (например, через связку cookie-идентификатора с учётной записью или поведенческим профилем), относятся к персональным данным. Обработка таких cookies требует правового основания по ст. 6 ФЗ-152. Анонимные технические cookies, не позволяющие идентифицировать лицо, к ПДн не относятся. На практике РКН оценивает конкретную конфигурацию — без анализа вашего сайта сказать однозначно невозможно.
2. Можно ли использовать GA4 после ограничений?
Использовать GA4 можно, но только при соблюдении требований ст. 12 ФЗ-152 о трансграничной передаче. Если данные передаются на серверы Google в США — необходимо уведомить РКН о трансграничной передаче до её начала. Альтернатива: server-side конфигурация GA4 с размещением прокси-сервера в РФ, при которой необработанные идентификаторы не покидают российскую инфраструктуру. Полный запрет GA4 законом не введён — вопрос в правильном оформлении процесса.
3. Кто оператор: маркетплейс или продавец?
Оба. Маркетплейс (Ozon, Wildberries и другие) обрабатывает данные покупателей в своих целях и несёт самостоятельную ответственность. Продавец, получая данные от маркетплейса для исполнения заказа, обратной связи, рассылок или аналитики, становится самостоятельным оператором с момента первого использования этих данных. Разграничение статусов регулирует ст. 3 ФЗ-152 — оператор тот, кто определяет цели и способы обработки.
4. Что грозит за отсутствие баннера cookies?
Если cookies на сайте относятся к ПДн (идентификационные, аналитические с привязкой к пользователю), а баннер согласия отсутствует — это обработка ПДн без надлежащего правового основания. Квалификация: ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽ для юридических лиц. При повторном нарушении — ч. 1.1, штраф 300 000–500 000 ₽. Если баннер есть, но не регистрирует факт согласия и не предоставляет выбор — нарушение сохраняется.
5. Как оформить отзыв подписки?
Отзыв согласия на рассылку должен быть простым и безусловным — ч. 2 ст. 9 ФЗ-152. В email-рассылках — ссылка «Отписаться» в каждом письме. В форме согласия — указанный способ отзыва (ссылка, email, письменное заявление). После получения отзыва оператор обязан прекратить обработку для маркетинговых целей. Технический срок исполнения отзыва из самого ФЗ-152 прямо не установлен, но практика РКН — незамедлительно, в разумный срок. Продолжение рассылок после отзыва — нарушение ч. 5 ст. 13.11 КоАП, штраф 50 000–90 000 ₽.
6. Нужно ли продавцу на Ozon назначать ответственного по ст. 22.1 ФЗ-152?
Да, если продавец является юридическим лицом. Ст. 22.1 ФЗ-152 обязывает каждое юрлицо-оператора назначить лицо, ответственное за организацию обработки ПДн. Это может быть штатный сотрудник или аутсорсинговый DPO. Назначение оформляется приказом. Отсутствие ответственного — один из типовых нарушений, которые РКН фиксирует при проверке.
Итог
Продавец на Ozon, использующий данные покупателей для рассылок, аналитики или CRM — полноценный оператор ПДн со всеми вытекающими обязанностями: уведомление РКН, политика конфиденциальности, отдельные согласия, договоры-поручения с подрядчиками. Отдельный контур — cookies и зарубежная аналитика (GA4): это трансграничная передача, требующая уведомления РКН по ст. 12 ФЗ-152.
Практика DATUM по сопровождению продавцов на маркетплейсах охватывает как первичное оформление документации, так и защиту при проверках РКН и оспаривание протоколов по ст. 13.11 КоАП.
22 января 2029 года