Перейти к содержанию
инструкция 4 июня 2026 По состоянию на 4 июня 2026

Push-уведомления и согласие

Push-уведомления — это обработка персональных данных. Без отдельного согласия по ст. 9 ФЗ-152 каждая отправка пуша нарушает закон.
С 30.05.2025 штраф за обработку ПДн без письменного согласия — от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Повторное нарушение — от 1 до 1,5 млн ₽.
Если вы маркетолог и настраиваете push-рассылки — проверьте, есть ли согласие, соответствует ли оно требованиям ФЗ-156 от 24.06.2025, и куда уходят данные подписчиков.

Push-уведомления работают через токены браузера или мобильного устройства. Эти токены в связке с идентификатором пользователя, email или телефоном образуют персональные данные по ст. 3 ФЗ-152. С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — больше нельзя включать его в текст оферты, чекбокс в форме заказа или в политику конфиденциальности. Ниже — пошаговый разбор: что нужно сделать, чтобы push-кампании интернет-магазина были юридически чистыми.

Шаг 1. Определите: что именно вы обрабатываете при отправке пуша?

Большинство маркетологов считают, что push-токен — это технический идентификатор, не относящийся к ПДн. Это ошибка. Позиция Роскомнадзора: cookies и браузерные идентификаторы признаются персональными данными, если позволяют прямо или косвенно идентифицировать пользователя. Push-токен в связке с историей заказов, email или номером телефона — однозначно ПДн.

«Ст. 3 ФЗ-152 относит к персональным данным любую информацию, прямо или косвенно относящуюся к определённому физическому лицу. Связка технического идентификатора с профилем пользователя соответствует этому критерию.»

Определите список данных, которые ваш сервис push-уведомлений (OneSignal, Firebase, VK Mini Apps, собственное решение) получает и хранит: токен устройства, user_id, email, сегменты аудитории, история кликов. Каждый из этих элементов — часть обрабатываемых ПДн.

Если сервис push-уведомлений находится на серверах за рубежом (Firebase/FCM Google, APNs Apple), это трансграничная передача по ст. 12 ФЗ-152. Потребуется уведомление РКН до начала передачи, если страна не входит в перечень адекватной защиты.

Шаг 2. Проверьте, есть ли отдельное согласие — и соответствует ли оно требованиям с 01.09.2025

До ФЗ-156 от 24.06.2025 согласие на push можно было включить в общую форму регистрации или чекбокс «согласен с политикой». С 01.09.2025 это недопустимо: согласие должно быть оформлено отдельным документом с конкретными реквизитами.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие на обработку ПДн не может объединяться с другими документами — договором, офертой, политикой конфиденциальности или иным соглашением.»

Обязательные реквизиты согласия: наименование оператора, ФИО субъекта, контактные данные, цель обработки (маркетинговые рассылки через push), перечень обрабатываемых данных (токен устройства, email, история взаимодействий), перечень действий с ПДн, срок действия согласия, способ отзыва. Если хотя бы одного реквизита нет — согласие юридически ничтожно.

Сценарий «двойное согласие» (double opt-in): пользователь разрешил уведомления в браузере — это технический разрешение OS/браузера, не правовое основание по ФЗ-152. Дополнительно нужно юридическое согласие оператора на обработку ПДн для целей маркетинговых коммуникаций.

Согласия на push ещё в форме регистрации или в политике?

Если маркетолог не переоформил согласия после 01.09.2025, каждое push-сообщение — потенциальное нарушение ч. 2 ст. 13.11 КоАП со штрафом 300 000 — 700 000 ₽. Повторное — от 1 до 1,5 млн ₽. Срок на устранение не восстанавливается после протокола РКН.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте баннер cookies и политику конфиденциальности сайта

Push-подписка — не единственный канал с проблемой согласия. Cookies-трекеры (GA4, Яндекс Метрика, Meta Pixel, ретаргетинг) также обрабатывают ПДн и требуют отдельного согласия через баннер. Отсутствие баннера cookies — нарушение ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000 — 300 000 ₽.

«Ст. 10.1 ФЗ-152: распространение ПДн допустимо только с отдельного согласия субъекта. По умолчанию молчание субъекта означает запрет на обработку данных за пределами необходимого для оказания услуги.»

Баннер cookies должен содержать: описание категорий cookies, перечень третьих сторон (GA, Meta, Яндекс), возможность принять или отклонить каждую категорию, ссылку на политику конфиденциальности. Кнопка «принять всё» без возможности отказа нарушает принцип свободного согласия.

GA4 передаёт данные на серверы Google в США. Если данные граждан РФ обрабатываются в GA4 без уведомления РКН о трансграничной передаче — это нарушение ст. 12 ФЗ-152. Аналогичная ситуация с Firebase Cloud Messaging при хранении push-токенов за рубежом.

Что подготовить маркетологу для соответствия 152-ФЗ

  • Отдельное согласие на push-уведомления с реквизитами по ст. 9 ФЗ-152 (ред. ФЗ-156) — отдельный документ, не часть оферты или политики
  • Баннер cookies с категориями и возможностью отклонить каждую — включая GA4, Яндекс Метрику, пиксели ретаргетинга
  • Обновлённая политика конфиденциальности с перечнем всех third-party сервисов, куда передаются ПДн
  • Уведомление РКН о трансграничной передаче, если push-сервис или аналитика хранят данные за рубежом (ст. 12 ФЗ-152)
  • Механизм отзыва подписки — кнопка «отписаться» в каждом пуше, ведущая к реальному удалению токена из базы

Шаг 4. Настройте механизм отзыва согласия и удаления данных

Субъект вправе отозвать согласие в любой момент по ст. 9 ФЗ-152. После отзыва оператор обязан прекратить обработку и уничтожить данные, если нет иного правового основания для хранения. Для push-уведомлений это означает: удаление токена устройства из базы и прекращение сегментации пользователя.

Стандартная практика «кнопка отписки ведёт только к отключению пушей в интерфейсе» не соответствует закону. Токен и профиль пользователя продолжают обрабатываться. Нужно: удалить токен из push-платформы, исключить пользователя из сегментов, зафиксировать факт отзыва с датой в журнале обращений субъектов.

«Ст. 21 ФЗ-152: при отзыве согласия оператор обязан прекратить обработку ПДн. Срок устранения — 7 рабочих дней с момента обращения субъекта при выявлении незаконной обработки.»

Ответ на запрос субъекта об уточнении, блокировании или уничтожении ПДн — в течение 7 рабочих дней (ст. 21 ФЗ-152). Ответ на запрос о предоставлении информации об обработке — 10 рабочих дней (ст. 20 ФЗ-152). Невыполнение требования об уничтожении — штраф по ч. 5 ст. 13.11 КоАП от 50 000 до 90 000 ₽, при повторном — от 300 000 до 500 000 ₽.

Шаг 5. Проверьте роль оператора при работе через маркетплейс или CRM

Если интернет-магазин продаёт через маркетплейс (Wildberries, Ozon, Яндекс Маркет), возникает вопрос о распределении ролей. Маркетплейс — самостоятельный оператор ПДн покупателей. Продавец-магазин получает только те данные, которые переданы ему платформой для исполнения заказа. Самостоятельно запускать push-уведомления по этой базе продавец не вправе — у него нет согласия покупателя на маркетинговые рассылки.

CRM-системы с push-модулями (AmoCRM, Bitrix24, RetailCRM с интеграцией push-сервисов) обрабатывают ПДн по поручению оператора. Отношения оформляются договором поручения по п. 3 ст. 6 ФЗ-152. Без договора CRM-вендор становится самостоятельным оператором — что невыгодно обеим сторонам и создаёт ответственность.

Если маркетолог использует CRM с push-модулем, GA4, Firebase и маркетплейсы без разграничения ролей оператора — это несколько самостоятельных нарушений ст. 13.11 КоАП одновременно. Юристы DATUM проведут аудит и подготовят договоры поручения обработки.

Заказать аудит 152-ФЗ

Как это работает на практике

Кейс 1. Интернет-магазин бытовой техники (Центральный ФО, осень 2025) использовал Firebase Cloud Messaging для push-уведомлений. При проверке РКН установил: согласие на push включено в оферту, отдельного документа нет, уведомление о трансграничной передаче в Firebase не подавалось. Возбуждено два дела: по ч. 2 ст. 13.11 (отсутствие письменного согласия, штраф в диапазоне сотен тысяч рублей) и по ч. 1 ст. 13.11 (несовместимая с целями обработка через Firebase). Директор по маркетингу стал свидетелем при составлении протокола; ответственность за оба нарушения — у юрлица.

Кейс 2. Онлайн-ритейлер программ лояльности (Северо-Западный ФО, начало 2026) получил жалобу от субъекта: запрос на отзыв push-подписки проигнорирован, токен продолжал использоваться для сегментации. Арбитражный суд региона зафиксировал нарушение ч. 5 ст. 13.11 КоАП (невыполнение требования об уничтожении ПДн). Компания представила журнал обращений субъектов, в котором запрос не был зафиксирован. Штраф назначен в нижней части диапазона — благодаря тому, что нарушение было первичным и компания устранила его в ходе разбирательства.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookie-идентификатор позволяет прямо или косвенно установить личность пользователя. Сам по себе cookie-файл может быть обезличен, но в связке с user_id, email или профилем покупателя он образует персональные данные по ст. 3 ФЗ-152. Именно поэтому РКН требует размещать баннер согласия на сайтах, использующих аналитические и маркетинговые cookies.

2. Можно ли использовать GA4 после ограничений?

Использование GA4 допустимо при соблюдении двух условий: пользователь дал отдельное согласие на передачу данных в Google через баннер cookies, и оператор уведомил РКН о трансграничной передаче ПДн граждан РФ в США по ст. 12 ФЗ-152. Без этих шагов каждая сессия пользователя из РФ — потенциальное нарушение ч. 1 ст. 13.11 КоАП. Альтернатива — серверная аналитика с хранением данных в РФ.

3. Кто оператор: маркетплейс или продавец?

Маркетплейс — самостоятельный оператор ПДн покупателей платформы. Продавец-магазин получает данные покупателя только для исполнения конкретного заказа и не вправе использовать их для маркетинговых рассылок без самостоятельного согласия покупателя. Push-уведомления по базе маркетплейса без отдельного согласия — нарушение ч. 1 ст. 13.11 КоАП со штрафом 150 000 — 300 000 ₽.

4. Что грозит за отсутствие баннера cookies?

Отсутствие или ненадлежащий баннер cookies квалифицируется по ч. 1 ст. 13.11 КоАП как обработка ПДн в случаях, не предусмотренных законом. Штраф для юрлица — 150 000 — 300 000 ₽ в редакции с 30.05.2025. При повторном нарушении — 300 000 — 500 000 ₽ по ч. 1.1 той же статьи. Кроме того, использование маркетинговых cookies без согласия нарушает ст. 10.1 ФЗ-152 о распространении ПДн.

5. Как оформить отзыв подписки на push?

Отзыв подписки должен быть технически реализован как отдельное действие: кнопка в пуше или в личном кабинете, ведущая к удалению токена из push-платформы, удалению из всех сегментов и фиксации в журнале обращений субъектов с датой. Только отключение отправки в интерфейсе без удаления токена не соответствует ст. 21 ФЗ-152. Срок исполнения требования об уничтожении — 7 рабочих дней.

6. Нужно ли отдельное согласие, если пуш отправляется уже зарегистрированным покупателям?

Да. Факт регистрации и согласие на условия оферты не являются правовым основанием для маркетинговых рассылок. Согласие на обработку ПДн для целей push-уведомлений должно быть самостоятельным документом с реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Существующие «встроенные» согласия после 01.09.2025 не переоформлять обязательно, но новые собирать — только отдельным документом.

Итог

Push-уведомления — полноценный канал обработки ПДн, требующий отдельного согласия, баннера cookies, договора поручения с push-платформой и уведомления РКН при трансграничной передаче. С 01.09.2025 ни одна из этих обязанностей не может быть исполнена через «галочку в оферте».

DATUM сопровождает интернет-магазины и e-commerce-платформы при аудите обработки ПДн в маркетинговых каналах: от проверки согласий и баннера cookies до уведомлений о трансграничной передаче в Firebase и GA4.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.

4 июня 2026 года