инструкция 3 декабря 2028 По состоянию на 3 декабря 2028

Продавец на WB как оператор ПДн

Продавец на Wildberries — самостоятельный оператор персональных данных по ст. 3 ФЗ-152, а не уполномоченное лицо маркетплейса.

С 30.05.2025 утечка данных от 1 000 покупателей грозит штрафом 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15.

Если вы маркетолог продавца на WB и не знаете, нужно ли уведомлять РКН и ставить баннер cookies — эта инструкция отвечает на оба вопроса. →

После вступления в силу ФЗ-420 от 30.11.2024 регуляторная нагрузка на продавцов маркетплейсов резко возросла. Wildberries передаёт продавцу имена, адреса доставки и телефоны покупателей — это обработка персональных данных в смысле ст. 3 ФЗ-152. Продавец обязан встать на учёт в РКН, оформить пакет документов и выполнить технические требования независимо от того, работает ли он через личный кабинет WB или собственный сайт. Ниже — пошаговый порядок приведения бизнеса к требованиям закона.

Шаг 1. Установите, когда продавец становится оператором ПДн

Оператором признаётся любое лицо, которое организует или осуществляет обработку персональных данных (ст. 3 ФЗ-152). Продавец на WB получает от маркетплейса данные покупателей: ФИО, адрес, телефон, иногда email. Факт получения и хранения этих данных — уже обработка. Кто оператор: маркетплейс или продавец? Ответ: оба, но по разным основаниям. WB обрабатывает данные в рамках пользовательского соглашения с покупателем. Продавец обрабатывает те же данные для исполнения заказа — это отдельное основание по п. 5 ч. 1 ст. 6 ФЗ-152.

Продавец является самостоятельным оператором в трёх типичных сценариях:

получает данные покупателей через личный кабинет WB для передачи в службу доставки или CRM;
ведёт собственный сайт или лендинг с формой заявки, связанный с магазином на WB;
запускает email-рассылки или пуш-уведомления по базе покупателей.

Если продавец обрабатывает данные исключительно в интерфейсе WB без выгрузки и без собственных систем — вопрос о статусе оператора остаётся открытым. Однако большинство реальных бизнесов подпадают под первый или второй сценарий.

Шаг 2. Подайте уведомление в Роскомнадзор

До начала обработки персональных данных оператор обязан уведомить РКН (ст. 22 ФЗ-152). Форма подачи — через портал pd.rkn.gov.ru с использованием ЕСИА или квалифицированной электронной подписи. Срок включения в реестр операторов после подачи уведомления — 30 дней.

«Ст. 22 ФЗ-152 — оператор обязан уведомить уполномоченный орган о намерении осуществлять обработку ПДн до начала такой обработки. Форма и порядок подачи — Приказ РКН №180 от 28.10.2022.»

За неуведомление или несвоевременное уведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025). Уведомление — не разовая процедура: при изменении цели, состава данных или способов обработки нужно подать уточнение.

В уведомлении для продавца WB указываются: цели обработки (исполнение заказа, доставка, возврат, рассылки — отдельно по каждой), категории данных, перечень действий, срок хранения, меры защиты. Маркетинговые рассылки по покупателям — отдельная цель, которая требует согласия субъекта.

Не уверены, нужно ли уведомлять РКН именно вашему бизнесу?

Если маркетолог получает данные покупателей WB в CRM или рассылочный сервис — это самостоятельная обработка. У вас может быть обязанность стоять на учёте в РКН, которую вы не выполнили. Срок включения в реестр после подачи уведомления — 30 дней. Неуведомление — штраф до 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Подготовьте организационно-распорядительную документацию

Оператор обязан обеспечить ряд организационных мер защиты (ст. 18.1 ФЗ-152). Для продавца WB минимальный пакет включает следующие документы:

Что подготовить продавцу на WB

Политика обработки персональных данных — опубликована на сайте или странице магазина (ч. 2 ст. 18.1 ФЗ-152); отсутствие грозит штрафом 30 000–60 000 ₽ по ч. 3 ст. 13.11.
Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152).
Согласия на обработку ПДн — отдельным документом для каждой цели, не объединяемые с офертой или пользовательским соглашением (ст. 9 ФЗ-152 в редакции с 01.09.2025, ФЗ-156 от 24.06.2025).
Регламент реагирования на утечки — с описанием действий в первые 24 и 72 часа по Приказу РКН №187 от 14.11.2022.
Инструкция по работе с запросами субъектов ПДн — срок ответа 10 рабочих дней (ст. 20 ФЗ-152).

Отдельный документ согласия — требование, введённое ФЗ-156 с 01.09.2025. Согласие в тексте оферты или пользовательского соглашения с этой даты недействительно. Ранее полученные согласия (до 01.09.2025) переоформлять не требуется — закон не имеет обратной силы. Но все новые согласия — только отдельным документом с реквизитами по ст. 9 ФЗ-152.

Шаг 4. Настройте сайт: баннер cookies и политика конфиденциальности

Если продавец ведёт собственный сайт или лендинг, cookies следует рассматривать как персональные данные в соответствии с позицией РКН. Файлы cookie идентифицируют пользователя — следовательно, их обработка требует согласия до начала записи. Отсутствие баннера cookies с запросом согласия квалифицируется как обработка без правового основания по ч. 1 ст. 13.11 КоАП — штраф 150 000–300 000 ₽.

«Ст. 9 ФЗ-152 — согласие субъекта должно быть конкретным, информированным, сознательным. Молчание или бездействие не считаются согласием. Использование cookies для идентификации пользователя без согласия нарушает ч. 1 ст. 6 ФЗ-152.»

Требования к баннеру cookies: появляется до записи каких-либо идентификаторов; содержит кнопки «Принять» и «Отклонить»; ссылается на политику конфиденциальности; фиксирует факт согласия (лог с датой, IP, версией политики). Использование Google Analytics 4 (GA4) связано с трансграничной передачей данных в США. США не входит в перечень стран с адекватной защитой персональных данных по позиции РКН. Это означает: до начала использования GA4 нужно подать уведомление о трансграничной передаче в РКН по ст. 12 ФЗ-152.

Политика конфиденциальности на сайте должна содержать разделы по ч. 2 ст. 18.1 ФЗ-152: перечень обрабатываемых данных, цели, основания, сроки хранения, порядок реализации прав субъектов. Шаблонные политики из интернета, как правило, не соответствуют актуальным требованиям после ФЗ-156 и ФЗ-420.

Если маркетолог подключил GA4 без уведомления РКН о трансграничной передаче — это нарушение ст. 12 ФЗ-152. При проверке РКН используется автоматический мониторинг сайтов. Приведите документы в порядок до внепланового запроса.

Оценить риски по 152-ФЗ

Шаг 5. Организуйте обработку данных при email-рассылках и программах лояльности

Рассылки по покупателям WB — отдельная цель обработки, требующая отдельного согласия по ст. 9 ФЗ-152 и ст. 18 ФЗ «О рекламе». Данные, переданные WB для исполнения заказа, не дают права использовать их для маркетинга. Рассылка без согласия — нарушение ч. 1 ст. 13.11 КоАП и одновременно нарушение ФЗ «О рекламе».

Порядок организации рассылок:

Форма подписки — отдельная галочка согласия, не предзаполненная; хранить лог согласия.
Двойное подтверждение (double opt-in) — снижает риск жалоб субъектов и подтверждает добровольность согласия.
Отзыв подписки — кнопка «Отписаться» в каждом письме; обработать запрос в течение 10 рабочих дней (ст. 20 ФЗ-152).
Срок хранения базы — не дольше, чем необходимо для цели (ст. 5 ФЗ-152); удалять данные отписавшихся.

Программы лояльности с накоплением баллов и персонализацией — отдельная цель, которая может предполагать профилирование. Автоматизированное принятие решений на основе ПДн (например, персональные ценовые предложения) регулируется ст. 16 ФЗ-152 и требует либо согласия, либо иного правового основания.

Как разграничить ответственность между WB и продавцом?

Wildberries является оператором ПДн покупателей на основании пользовательского соглашения. Продавец получает данные от WB для исполнения заказа — это передача данных оператором оператору, а не поручение обработки. Каждая сторона несёт самостоятельную ответственность за соблюдение ФЗ-152 в части данных, которые она обрабатывает.

При утечке данных покупателей через CRM продавца ответственность несёт продавец. Если утечка произошла на стороне WB — ответственность несёт WB. Договор с маркетплейсом не освобождает продавца от обязанности уведомить РКН об утечке в течение 24 часов с момента обнаружения инцидента (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187).

Что грозит продавцу за нарушения в 2025–2026 году?

С 30.05.2025 действует ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо прежних 7. Ключевые риски для продавца на WB:

Обработка без уведомления РКН — ч. 10 ст. 13.11, штраф 100 000–300 000 ₽.
Отсутствие политики конфиденциальности на сайте — ч. 3 ст. 13.11, штраф 30 000–60 000 ₽.
Рассылка без согласия или согласие ненадлежащей формы — ч. 2 ст. 13.11, штраф 300 000–700 000 ₽; при повторном нарушении по ч. 2.1 — 1 000 000–1 500 000 ₽.
Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11, штраф 3 000 000–5 000 000 ₽.
Повторная утечка — оборотный штраф по ч. 15 ст. 13.11: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

С 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024). Незаконные сбор, хранение или передача компьютерной информации с персональными данными — уголовная ответственность вплоть до лишения свободы до 10 лет по ч. 5 (тяжкие последствия). Уголовный риск существует для сотрудников, которые выгружают и передают базы покупателей без надлежащих оснований.

Типовые ситуации: сценарии для маркетолога продавца WB

Сценарий 1. CRM подключена, уведомления в РКН нет. Продавец интегрировал личный кабинет WB с amoCRM через API. Данные покупателей (ФИО, телефон, адрес) автоматически попадают в CRM для повторных продаж. Уведомление в РКН не подавалось. Ситуация: нарушение ч. 10 ст. 13.11 (100–300 тыс. ₽). Дополнительно — нет политики на сайте (ч. 3 ст. 13.11). При плановой или внеплановой проверке РКН протоколы составляются по каждому нарушению отдельно. Стратегия: подать уведомление в РКН немедленно, опубликовать политику, собрать ОРД.

Сценарий 2. Email-рассылка без согласия. Маркетолог загрузил в рассылочный сервис базу покупателей из личного кабинета WB и запустил промо-рассылку. Согласие на маркетинг покупатели не давали — они соглашались только с условиями WB при покупке. Ситуация: нарушение ч. 2 ст. 13.11 (300 000–700 000 ₽) и ФЗ «О рекламе». Жалоба одного покупателя в РКН запускает проверку. Стратегия: прекратить рассылку, получить отдельные согласия через форму на сайте, зафиксировать лог подписок.

Сценарий 3. Сайт с GA4 без уведомления о трансгранике. Продавец ведёт лендинг для привлечения трафика на WB. На сайте установлен GA4 без баннера cookies и без уведомления РКН о трансграничной передаче в США. РКН обнаруживает сайт в ходе автоматического мониторинга. Ситуация: нарушение ст. 12 ФЗ-152 (трансграничная передача без уведомления) и ч. 1 ст. 13.11 (обработка без правового основания). Доначисление штрафа возможно по нескольким частям одновременно. Стратегия: подать уведомление о трансграничной передаче, установить баннер согласия, обновить политику конфиденциальности.

Практика: как это работает

Кейс 1. Продавец товаров для дома (Уральский ФО, лето 2025) подключил CRM к личному кабинету WB и запустил email-кампанию по базе 8 000 покупателей без отдельного согласия на рассылку. После жалобы РКН возбудил дело по ч. 2 ст. 13.11. Директор по маркетингу привлёк юристов до составления протокола. Компания прекратила рассылку, собрала новую базу согласий через double opt-in, подала уведомление в РКН. Штраф снижен до минимального диапазона с учётом устранения нарушения до вынесения постановления.

Кейс 2. Онлайн-продавец косметики (Центральный ФО, осень 2025) работал через лендинг с формой заявки и GA4 без баннера. После автоматической проверки РКН направил запрос о трансграничной передаче и основаниях обработки cookies. Компания обратилась за сопровождением, подала уведомление о трансграничной передаче, установила баннер согласия и обновила политику конфиденциальности. Дело прекращено без штрафа на стадии рассмотрения замечаний РКН.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всей цепочки обработки ПДн продавца
Комплект ОРД под ключ — политика, согласия, приказы, регламент за 5 дней
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookie-файл позволяет идентифицировать конкретного пользователя (например, привязан к аккаунту, устройству или поведенческому профилю). Обработка таких cookies без согласия субъекта нарушает ч. 1 ст. 6 ФЗ-152 и квалифицируется по ч. 1 ст. 13.11 КоАП — штраф для юрлица 150 000–300 000 ₽. Баннер согласия с кнопкой «Принять/Отклонить» и логированием выбора — обязательный элемент любого сайта продавца.

2. Можно ли использовать GA4 после ограничений?

GA4 технически доступен, но его использование требует соблюдения ряда условий. США не входит в перечень стран с адекватной защитой ПДн по позиции РКН, поэтому передача данных через GA4 — трансграничная передача по ст. 12 ФЗ-152. До начала использования нужно подать уведомление в РКН. Дополнительно: баннер согласия на сайте, упоминание GA4 как обработчика в политике конфиденциальности и соглашение об обработке данных с Google.

3. Кто оператор: маркетплейс или продавец?

Оба. Wildberries — оператор в отношении данных покупателей на основании пользовательского соглашения. Продавец — самостоятельный оператор в момент, когда получает данные для исполнения заказа, загружает их в CRM или использует для рассылок. Передача данных от WB продавцу — это взаимодействие двух операторов, а не поручение обработки. Каждый несёт собственную ответственность перед РКН и субъектами ПДн.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies при наличии идентифицирующих файлов — обработка ПДн без правового основания по ч. 1 ст. 6 ФЗ-152. Штраф по ч. 1 ст. 13.11 КоАП (в редакции с 30.05.2025) — 150 000–300 000 ₽ для юрлица при первичном нарушении. При повторном нарушении — ч. 1.1 ст. 13.11, штраф 300 000–500 000 ₽. РКН ведёт автоматический мониторинг сайтов на наличие трекеров и отсутствие механизмов согласия.

5. Как оформить отзыв подписки?

В каждом маркетинговом письме должна быть ссылка для отписки — кнопка или URL. При нажатии формируется запрос субъекта на прекращение обработки ПДн в маркетинговых целях. Оператор обязан обработать запрос в течение 10 рабочих дней (ст. 20 ФЗ-152). После отписки данные должны быть удалены из рассылочного сервиса или переведены в статус «заблокированных» — дальнейшая отправка писем недопустима. Лог запросов на отписку и факт их исполнения следует хранить как доказательство соблюдения закона.

Итог

Продавец на WB — самостоятельный оператор персональных данных. Минимальный набор действий: уведомление РКН, политика конфиденциальности, отдельные согласия с 01.09.2025, баннер cookies, уведомление о трансграничной передаче при использовании GA4. После 30.05.2025 штрафы по ст. 13.11 КоАП многократно выросли: утечка 1 000 покупателей стоит от 3 млн ₽, повторная утечка — до 500 млн ₽.

DATUM сопровождает продавцов e-commerce и маркетплейсов в приведении обработки ПДн к требованиям 152-ФЗ: аудит, полный пакет ОРД, уведомление РКН, защита от штрафов по ст. 13.11 КоАП.

Получите план приведения магазина к требованиям 152-ФЗ

Если вы маркетолог продавца на WB и не уверены, все ли требования выполнены — обратитесь за консультацией. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений. Практика Ветров и партнёры по 152-ФЗ с 2014 года.