инструкция 14 апреля 2029 По состоянию на 14 апреля 2029

Push-уведомления и согласие

Push-уведомления — это обработка персональных данных. Без отдельного согласия пользователя каждая отправка создаёт основание для штрафа по ст. 13.11 КоАП.

С 30.05.2025 штраф за обработку ПДн без надлежащего согласия составляет 300 000 — 700 000 ₽ по ч. 2 ст. 13.11 КоАП. При повторном нарушении — 1 000 000 — 1 500 000 ₽. Если маркетолог использует push через браузер или мобильное приложение без корректного согласия и политики — у интернет-магазина уже есть нарушение.

→ Если вы маркетолог и настраиваете push-рассылки без проверки юридической базы — проверьте согласие, политику и настройки GA4 прямо сейчас.

С 01.09.2025 согласие на обработку персональных данных должно быть оформлено отдельным документом — не встроено в оферту, политику или форму регистрации (ФЗ-156 от 24.06.2025). Для маркетолога это означает: push-подписка через всплывающее окно браузера без корректного баннера согласия на обработку ПДн — нарушение ст. 9 ФЗ-152. Ниже — пошаговый порядок: как оформить согласие, что указать в политике, как обработать отзыв подписки и что делать с GA4.

Шаг 1. Разберитесь, какие данные вы обрабатываете при push

Push-уведомления в браузере и мобильном приложении технически работают через токен устройства. Сам по себе токен — псевдоним. Но в момент, когда вы связываете его с ID пользователя, email, историей заказов или поведением на сайте, возникает персональный идентификатор в значении ст. 3 ФЗ-152. Roскомнадзор последовательно квалифицирует cookies и аналогичные трекеры как персональные данные, когда они позволяют идентифицировать конкретное лицо.

«Ст. 3 ФЗ-152 определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу. Токен push-подписки, связанный с учётной записью пользователя или поведенческим профилем, подпадает под это определение.»

Если push-сервис передаёт данные за рубеж — например, через Firebase Cloud Messaging (Google) или APNs (Apple) — это трансграничная передача по ст. 12 ФЗ-152. До передачи данных в страны без адекватной защиты необходимо уведомить РКН. Firebase зарегистрирован в США; США не входит в перечень стран с адекватной защитой персональных данных по позиции РКН.

Итого: push-подписка затрагивает три блока — согласие субъекта, локализацию данных (ч. 5 ст. 18 ФЗ-152) и трансграничную передачу. Проверять нужно все три.

Шаг 2. Оформите согласие на push-уведомления как отдельный документ

С 01.09.2025 согласие на обработку ПДн не может быть частью договора, оферты, политики конфиденциальности или общей формы регистрации. ФЗ-156 от 24.06.2025 прямо установил требование отдельного документа. Браузерный запрос разрешения на push («Разрешить уведомления?») не является таким согласием — это техническое разрешение операционной системы, не юридический документ по ст. 9 ФЗ-152.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) устанавливает обязательные реквизиты согласия: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень обрабатываемых данных, перечень действий, срок действия и способ отзыва. Согласие оформляется отдельным документом.»

Практический порядок оформления согласия для push-канала:

До браузерного запроса на push — показать отдельный экран/модал с текстом согласия по реквизитам ст. 9.
Зафиксировать дату и время согласия, версию документа, идентификатор пользователя.
Хранить согласие в журнале согласий — не в cookies, а на стороне сервера.
Предусмотреть ссылку «Отозвать согласие» в каждом push-уведомлении или в личном кабинете.

Согласие, полученное до 01.09.2025 в составе оферты или регистрационной формы, не требует принудительного переоформления — ФЗ-156 обратной силы не имеет. Но если пользователь обратится с запросом о составе обрабатываемых данных, оператор обязан ответить в течение 10 рабочих дней (ст. 20 ФЗ-152).

Согласие в форме регистрации — под риском штрафа 300–700 тыс. ₽?

Если маркетолог настраивает push-рассылки, а согласие пользователей встроено в общую форму регистрации или оферту — это нарушение ч. 2 ст. 13.11 КоАП с 01.09.2025. Срок исправления не восстанавливается после возбуждения дела РКН. Юристы DATUM проведут аудит согласий, политики и пакета ОРД интернет-магазина: выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Разместите баннер cookies и обновите политику конфиденциальности

Push-инфраструктура интернет-магазина, как правило, сопряжена с cookie-трекингом: сегментация аудитории, A/B-тесты, аналитика кликов по уведомлениям — всё это cookies или их функциональные аналоги. Позиция РКН: cookies, позволяющие идентифицировать пользователя, — персональные данные. Сайт без баннера согласия на cookies нарушает требования ст. 9 ФЗ-152 и даёт основание для штрафа по ч. 2 ст. 13.11 КоАП.

Баннер должен соответствовать трём условиям:

Появляться до установки нефункциональных cookies (аналитических, маркетинговых).
Содержать раздельный выбор по категориям: технические, аналитические, маркетинговые cookies.
Опция «Отклонить всё» должна быть так же доступна, как «Принять всё» — без скрытия или серого цвета кнопки отказа.

Политика конфиденциальности интернет-магазина обязана содержать раздел о push-уведомлениях: цель обработки, категории данных, срок хранения токена, порядок отзыва согласия и контактные данные оператора. Отсутствие опубликованной политики — штраф по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽ для юрлица). Требования к содержанию политики установлены ч. 2 ст. 18.1 ФЗ-152.

«Ст. 18.1 ч. 2 ФЗ-152 обязывает оператора опубликовать документ, определяющий политику в отношении обработки ПДн, и обеспечить к нему неограниченный доступ. Политика должна содержать перечень целей, правовых оснований, категорий субъектов и данных, порядок прав субъектов.»

Как работает GA4 после ужесточения трансграничных ограничений?

Google Analytics 4 передаёт данные на серверы Google в США. США не входит в перечень стран, обеспечивающих адекватный уровень защиты персональных данных по оценке РКН. Это означает: использование GA4 без уведомления РКН о трансграничной передаче — нарушение ст. 12 ФЗ-152.

Порядок действий для маркетолога, использующего GA4:

Проверить, передаёт ли ваша конфигурация GA4 идентифицирующие данные (user_id, client_id, IP в полном формате, email через Measurement Protocol).
Подать уведомление в РКН о трансграничной передаче через pd.rkn.gov.ru до начала передачи данных.
Включить в политику конфиденциальности раздел о трансграничной передаче с указанием страны-получателя и принятых мер защиты.
Рассмотреть прокси-сервер (server-side tagging) с хранением данных на серверах в РФ как техническую альтернативу.

В связке push + GA4 типична следующая схема: push-сервис передаёт данные в Firebase (Google, США), GA4 получает идентификатор сессии через gtag, Measurement Protocol отправляет события — итого три точки трансграничной передачи. Уведомление в РКН должно охватывать все три. Неподача уведомления — штраф по ч. 10 ст. 13.11 КоАП (100 000 — 300 000 ₽).

Что подготовить маркетологу до запуска push-кампании

Отдельное согласие на обработку ПДн для push-канала с реквизитами по ст. 9 ФЗ-152 (не встроенное в оферту).
Баннер cookies с раздельным выбором категорий и равнодоступной кнопкой отказа.
Актуальная политика конфиденциальности с разделами о push, cookies и трансграничной передаче.
Уведомление в РКН о трансграничной передаче (GA4, Firebase, сторонние push-платформы).
Журнал согласий с датой, версией документа и идентификатором пользователя — на стороне сервера.

Шаг 4. Настройте механизм отзыва подписки и удаления данных

Субъект вправе в любой момент отозвать согласие на обработку персональных данных (ст. 9 ч. 2 ФЗ-152). Для push-канала это означает: кнопка «Отписаться» или «Отозвать согласие» должна быть доступна в каждом уведомлении или в личном кабинете. После отзыва оператор обязан прекратить обработку и уничтожить данные, если иное не предусмотрено законом.

«Ст. 21 ФЗ-152 обязывает оператора уничтожить персональные данные или обезличить их в течение 30 дней с момента отзыва согласия, если обработка осуществлялась только на основании согласия и иное основание отсутствует.»

Типичные ошибки при реализации отзыва:

Отписка от push обрабатывается на стороне push-провайдера, но токен и история активности остаются в CRM — это продолжение обработки без основания.
Форма отзыва требует авторизации, тогда как субъект уже не помнит пароль — де-факто блокирует реализацию права.
После отзыва данные «архивируются», а не уничтожаются — нарушение ст. 21 ФЗ-152.

Невыполнение требования субъекта об уничтожении ПДн в установленный срок — штраф по ч. 5 ст. 13.11 КоАП (50 000 — 90 000 ₽). При повторном нарушении — ч. 5.1 ст. 13.11 (300 000 — 500 000 ₽).

Шаг 5. Разграничьте ответственность с маркетплейсом или push-провайдером

Если интернет-магазин работает на маркетплейсе или использует внешний push-сервис (например, OneSignal, Pushwoosh, Sendpulse), возникает вопрос о разграничении ролей оператора и лица, осуществляющего обработку по поручению (п. 3 ст. 6 ФЗ-152).

Ключевое правило: оператор — тот, кто определяет цели и состав обработки. Если маркетолог интернет-магазина решает, кому и когда отправить push, — магазин является оператором независимо от того, чья инфраструктура используется. Push-провайдер в этом случае — обработчик по поручению. Договор поручения обработки должен содержать перечень действий, цели, меры защиты и ответственность обработчика (п. 3 ст. 6 ФЗ-152).

На маркетплейсах ситуация сложнее: маркетплейс собирает ПДн покупателей самостоятельно и может передавать продавцу только ограниченный набор для исполнения заказа. Самостоятельная push-рассылка продавца по базе маркетплейса без согласия субъекта — нарушение ст. 9 и ст. 10.1 ФЗ-152. Суды придерживаются позиции, что оператор отвечает за утечку и нарушения через подрядчика.

Если маркетолог получил запрос от РКН или жалобу пользователя на push-рассылку — у вас 10 рабочих дней на ответ субъекту (ст. 20 ФЗ-152) и риск проверки. Юристы DATUM соберут пакет ОРД под ключ: политика, согласия, договор с push-провайдером, журнал согласий.

Собрать ОРД под ключ

Практические сценарии: что происходит при нарушении

Сценарий 1. Push без баннера cookies. Интернет-магазин (Центральный ФО, лето 2025) запустил push-рассылку через сторонний сервис. Cookies устанавливались до получения согласия, баннера не было. После жалобы пользователя РКН возбудил дело по ч. 2 ст. 13.11 КоАП. Компания представила политику конфиденциальности, но согласие не было оформлено отдельным документом — нарушение подтверждено. Штраф составил несколько сотен тысяч рублей. Доработка потребовала переработки онбординга, формы согласия и политики — около двух недель инженерных работ.

Сценарий 2. GA4 без уведомления о трансгранике. E-commerce компания (Северо-Западный ФО, осень 2025) использовала GA4 и Firebase для аналитики push-кампаний. Уведомление в РКН о трансграничной передаче подано не было. При плановой проверке инспектор запросил подтверждение уведомления. Компания подала уведомление постфактум, но это не устраняет нарушение на дату проверки. Штраф по ч. 10 ст. 13.11 составил сотни тысяч рублей; параллельно возбуждено дело по ч. 2 ст. 13.11 за отсутствие отдельного согласия на трансграничную передачу.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, политики и push-инфраструктуры по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика, согласия, договор с обработчиком, журнал согласий
Защита при штрафе в арбитраже — оспаривание протокола по ст. 13.11, применение ст. 4.1.1 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

Да, если они позволяют прямо или косвенно идентифицировать физическое лицо в смысле ст. 3 ФЗ-152. Технические cookies, не связывающие сессию с конкретным пользователем, формально находятся в серой зоне. Аналитические и маркетинговые cookies, привязанные к user_id или поведенческому профилю, РКН квалифицирует как ПДн. Безопаснее исходить из того, что все нефункциональные cookies требуют согласия.

2. Можно ли использовать GA4 после ужесточения ограничений?

Можно, при соблюдении двух условий: подано уведомление в РКН о трансграничной передаче данных в США (ст. 12 ФЗ-152), и в политике конфиденциальности есть раздел о передаче данных Google с описанием принятых мер защиты. Если данные передаются через Measurement Protocol или server-side tagging, каждый поток данных также должен быть отражён в уведомлении. Без уведомления — штраф по ч. 10 ст. 13.11 КоАП (100 000 — 300 000 ₽).

3. Кто оператор: маркетплейс или продавец?

Зависит от того, кто определяет цели и состав обработки применительно к конкретной операции. Маркетплейс — оператор в отношении ПДн покупателей, которые он собирает для своих целей. Продавец становится оператором, когда самостоятельно ведёт push-рассылку или CRM-коммуникацию по покупателям. Если продавец использует данные, переданные маркетплейсом, без самостоятельного согласия субъекта — это нарушение ст. 9 ФЗ-152 со стороны продавца.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies при наличии нефункциональных трекеров на сайте влечёт ответственность по ч. 2 ст. 13.11 КоАП за обработку ПДн без надлежащего согласия — штраф 300 000 — 700 000 ₽ для юрлица. Если нарушение повторное — ч. 2.1 ст. 13.11, штраф 1 000 000 — 1 500 000 ₽. Дополнительно может быть возбуждено дело по ч. 3 ст. 13.11 за отсутствие опубликованной политики конфиденциальности (30 000 — 60 000 ₽).

5. Как оформить отзыв подписки, чтобы выполнить требования ФЗ-152?

Ссылка на отзыв должна быть в каждом push-уведомлении или в личном кабинете, доступна без обязательной авторизации. После клика — форма подтверждения отзыва с фиксацией даты. В течение 30 дней после отзыва оператор уничтожает токен и связанные данные, обрабатывавшиеся только на основании согласия (ст. 21 ФЗ-152). Факт уничтожения фиксируется в журнале. Продолжение обработки после отзыва — ч. 5 ст. 13.11 КоАП, штраф 50 000 — 90 000 ₽.

6. Нужно ли переоформлять согласия, полученные до 01.09.2025?

ФЗ-156 от 24.06.2025 обратной силы не имеет: согласия, полученные до 01.09.2025 в составе договора или оферты, не признаются автоматически недействительными. Переоформлять их принудительно не требуется. Однако все новые согласия с 01.09.2025 обязаны быть оформлены отдельным документом по реквизитам ст. 9 ФЗ-152. Если пользователь отзывает старое согласие и вы запрашиваете новое — оно уже должно соответствовать новым требованиям.

Итог

Push-уведомления охватывают три регуляторных блока: согласие субъекта по ст. 9 ФЗ-152 в редакции с 01.09.2025, cookies как персональные данные с требованием баннера, и трансграничную передачу при использовании Firebase и GA4. Несоблюдение любого из них создаёт основание для штрафа по ч. 2, ч. 3 или ч. 10 ст. 13.11 КоАП.

Практика DATUM охватывает аудит push-инфраструктуры, разработку пакета ОРД для e-commerce и сопровождение в ходе проверок РКН. Работаем с интернет-магазинами, маркетплейсами и SaaS-продуктами с 2014 года.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности.

14 апреля 2029 года