Реферальные программы и ПДн
Реферальные программы — один из самых ёмких каналов сбора ПДн в e-commerce. Один участник передаёт данные другого, интернет-магазин получает cookies обоих, email-адрес привлечённого уходит в рассылку ещё до завершения покупки. В редакции ФЗ-152 с учётом ФЗ-420 от 30.11.2024 (вступил в силу 30.05.2025) и требований к отдельному согласию по ФЗ-156 от 24.06.2025 (действует с 01.09.2025) каждый из этих сценариев нуждается в проверке. Инструкция проведёт по шести шагам — от ревизии оснований обработки до настройки уведомления об утечке.
Шаг 1. Определите, какие ПДн собирает реферальная программа
Прежде чем корректировать документы, зафиксируйте все потоки данных. Реферальная программа, как правило, охватывает четыре категории субъектов и данных.
Участник программы (реферер): ФИО, email, телефон, история покупок, реферальный код. Основание обработки — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152), если программа оформлена офертой. Если нет — нужно согласие по ст. 9 ФЗ-152.
Привлечённый пользователь (реферал): email или телефон передаёт реферер. Это передача ПДн третьего лица без его участия. Основание — согласие самого реферала либо поручение (п. 3 ч. 1 ст. 6 ФЗ-152). Без одного из них — нарушение ч. 1 ст. 13.11 КоАП.
Cookies обоих пользователей: РКН квалифицирует cookies как ПДн при наличии идентификатора, позволяющего прямо или косвенно установить личность. Обработка без баннера согласия — нарушение ч. 6 ст. 13.11 КоАП.
Данные для начисления вознаграждения: банковские реквизиты или номер карты лояльности. Финансовые данные не являются специальной категорией по ст. 10 ФЗ-152, но требуют отдельного основания обработки.
Что зафиксировать на этом шаге
- Перечень всех категорий субъектов и их ПДн в реферальной программе
- Для каждой категории — правовое основание обработки (договор, согласие, закон)
- Перечень третьих лиц, которым данные передаются (платёжные системы, email-платформы, GA4, CRM)
- Наличие cookies-баннера на посадочной странице программы
- Факт передачи данных за рубеж (GA4, Meta Pixel, Salesforce — трансграничная передача по ст. 12 ФЗ-152)
Шаг 2. Проверьте правовые основания для каждого потока данных
Реферальная программа создаёт минимум три отдельных правоотношения. Единое согласие в оферте или пользовательском соглашении не покрывает все три — это частая ошибка.
Поток 1 — данные реферера. Если участие в программе оформлено акцептом оферты с описанием всех условий обработки, основание — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). Но обработка для маркетинговых рассылок вне рамок программы требует отдельного согласия — это иная цель по ст. 5 ФЗ-152.
Поток 2 — данные реферала. Наиболее уязвимый поток. Реферер сообщает email или телефон третьего лица, который ещё не дал согласия. Безопасная схема: реферер нажимает «Пригласить», сервис отправляет приглашение, и лишь после перехода и акцепта реферал становится субъектом с надлежащим согласием. Хранить email реферала до его акцепта дольше технически необходимого — нарушение принципа минимизации (ст. 5 ФЗ-152).
Поток 3 — cookies и поведенческие данные. Для аналитических cookies (GA4, Яндекс.Метрика) и рекламных пикселей требуется информированное согласие через баннер. Cookies строго функционального назначения (сессия, корзина) согласия не требуют. Разделение cookies по категориям — обязательный элемент баннера.
Согласия в реферальной программе смешаны с офертой?
Если маркетолог использует единый документ для всех оснований обработки — с 01.09.2025 это нарушение ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за каждое согласие с нарушениями. Юристы DATUM проведут аудит оснований обработки по чек-листу из 38 пунктов и выявят уязвимые потоки до проверки РКН.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Настройте cookies-баннер под требования реферальной посадочной страницы
Реферальная ссылка ведёт на специальную посадочную страницу. Именно здесь баннер cookies критичен: посетитель пришёл по чужой рекомендации и ещё не является клиентом. GA4 и рекламные пиксели начинают сбор данных немедленно при загрузке страницы — до любого взаимодействия пользователя.
Технические требования к баннеру: блокировка аналитических и рекламных скриптов до акцепта (no pre-loading), отдельные категории (функциональные, аналитические, маркетинговые), возможность отказа от необязательных категорий, сохранение выбора в cookie с TTL не менее 180 дней.
Проблема GA4 как трансграничной передачи. Google Analytics 4 передаёт данные на серверы Google LLC (США). По ст. 12 ФЗ-152 передача ПДн граждан РФ в страну без адекватной защиты требует уведомления РКН. При этом локализация по ч. 5 ст. 18 ФЗ-152 обязывает первично записывать и хранить ПДн граждан РФ в базах данных на территории РФ. Использование GA4 без уведомления РКН о трансграничной передаче — отдельный риск, дополнительный к отсутствию баннера.
Яндекс.Метрика обрабатывает данные на серверах в РФ и не создаёт риска трансграничной передачи, если доступ к данным не предоставлен зарубежным структурам.
Шаг 4. Проверьте цепочку поручений при работе с email-платформой и CRM
Реферальная программа почти всегда завязана на email-платформу (Unisender, SendPulse, Mindbox, Klaviyo) и CRM. Данные участников программы передаются туда автоматически. Это поручение обработки по п. 3 ч. 1 ст. 6 ФЗ-152 — оно должно быть оформлено договором.
Обязательный состав договора поручения (ст. 6 ФЗ-152): перечень ПДн, цели, перечень действий, обязанность конфиденциальности, меры защиты, сроки и порядок уничтожения после окончания поручения. Без договора оператор не может ссылаться на поручение как основание передачи данных.
Klaviyo, Mailchimp, HubSpot — серверы в США. Передача ПДн граждан РФ на эти платформы без уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152 — нарушение. Безопасная замена: российские платформы (Unisender, SendPulse, Mindbox с локальным хранением) либо настройка серверной пересылки с обезличиванием до передачи.
Маркетплейс как платформа для реферальной программы создаёт дополнительную сложность. Если программа запущена на Wildberries, Ozon или Яндекс.Маркете, роль оператора ПДн участников программы остаётся за продавцом — не за маркетплейсом. Маркетплейс обрабатывает данные по своим основаниям; продавец обязан иметь собственные документы для той части данных, которую получает через API.
Если маркетолог использует зарубежные email-платформы и CRM без договора поручения и уведомления РКН — это два самостоятельных нарушения с суммарным штрафом до 400 000 ₽. Юристы DATUM соберут полный пакет ОРД под реферальную программу, включая договоры поручения и уведомление о трансграничной передаче.
Собрать ОРД под ключШаг 5. Оформите механизм отзыва согласия и отписки
Реферальная программа создаёт несколько отдельных согласий: на участие в программе, на рассылки участнику, на рассылки привлечённому пользователю. Каждое из них субъект вправе отозвать независимо по ч. 2 ст. 9 ФЗ-152.
Отзыв согласия на участие в программе не означает автоматического уничтожения всех данных. Если обработка необходима для исполнения договора (начисление накопленного вознаграждения, урегулирование споров), основание меняется с согласия на договор. Но дальнейший сбор новых данных для программы после отзыва прекращается.
Отписка от email-рассылки — отдельный механизм. Ссылка «Отписаться» в каждом письме — требование не только ФЗ о рекламе (ст. 18), но и ст. 9 ФЗ-152. Срок прекращения рассылки после отзыва согласия — 10 рабочих дней (ст. 20 ФЗ-152 устанавливает аналогичный срок для ответа на запрос субъекта).
Технический механизм: отписка должна работать в один клик без авторизации, без подтверждения «вы уверены?» и без навязывания альтернатив. «Снизить частоту» вместо «Отписаться» — это не отзыв согласия.
Уничтожение данных после выполнения целей программы — обязанность по ст. 21 ФЗ-152. Хранить email и историю рефералов «на всякий случай» после того, как субъект потребовал уничтожения, — нарушение ч. 5 ст. 13.11 КоАП (штраф 50 000 – 90 000 ₽).
Шаг 6. Обновите политику конфиденциальности и уведомление в реестре РКН
Политика конфиденциальности интернет-магазина должна отражать реальную обработку данных в реферальной программе: новые категории субъектов (рефералы), новые цели (начисление вознаграждения), новых получателей (email-платформа, CRM), трансграничную передачу при наличии.
Уведомление в реестре РКН. Если реферальная программа изменяет цели обработки или добавляет новые категории ПДн по сравнению с ранее поданным уведомлением — оператор обязан подать уведомление об изменении сведений по форме Приказа РКН №180 от 28.10.2022. Срок — до начала обработки на новых основаниях. Обработка за пределами заявленных целей — ч. 1 ст. 13.11 КоАП (150 000 – 300 000 ₽).
Типовые ошибки при обновлении политики: описание реферальной программы скопировано из шаблона без адаптации к конкретному механизму; не указаны сторонние платформы (email, CRM, аналитика) как получатели; отсутствует раздел о трансграничной передаче; не описан порядок обработки cookies по категориям.
Как это применяется на практике
Кейс 1. Интернет-магазин бытовой техники (Центральный ФО, весна 2025) запустил реферальную программу с интеграцией Klaviyo. Данные зарегистрированных рефералов автоматически уходили в сегменты на серверах в США без договора поручения и без уведомления РКН о трансграничной передаче. После обращения директора по маркетингу в DATUM: договор поручения заключён с российским зеркальным провайдером, данные пересылки настроены через серверный коннектор с обезличиванием email до передачи, уведомление РКН подано. До проверки РКН компания привела документы в порядок — протокол не составлялся.
Кейс 2. E-commerce компания (Северо-Западный ФО, осень 2025) получила жалобу субъекта в РКН: после участия в реферальной программе конкурента данные пользователя оказались в рассылке этой компании. Оказалось, что реферальная платформа передавала email-адреса всех упомянутых рефералов оператору ещё до их акцепта приглашения. РКН возбудил дело по ч. 1 ст. 13.11 КоАП. Компания предоставила доказательства того, что не имела договора с реферальной платформой и не контролировала передачу — дело прекратили, но предписание об устранении нарушений выдали.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка реферальной программы по чек-листу 38 пунктов
- Комплект ОРД под ключ — договоры поручения, согласия, политика, уведомление РКН
- Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции РКН: cookies, содержащие идентификатор, который прямо или косвенно позволяет установить личность пользователя, относятся к персональным данным по ст. 3 ФЗ-152. Функциональные cookies (сессия, корзина) без привязки к личности — как правило, нет. Аналитические и рекламные cookies с UserID или связкой с email — да. Обработка таких cookies без согласия (баннера) нарушает ст. 6 ФЗ-152 и может квалифицироваться по ч. 1 ст. 13.11 КоАП с штрафом для юрлица 150 000 – 300 000 ₽.
2. Можно ли использовать GA4 после ограничений?
Использовать GA4 не запрещено, но сопряжено с двумя требованиями. Первое — cookies-баннер с возможностью отказа от аналитических cookies до их загрузки. Второе — уведомление РКН о трансграничной передаче ПДн граждан РФ в Google LLC (США) по ст. 12 ФЗ-152, поскольку США не включены в перечень стран с адекватной защитой. Обработка без уведомления — риск предписания и штрафа. Альтернатива с меньшим риском — Яндекс.Метрика или GA4 с серверной стороной в RU-зоне.
3. Кто оператор: маркетплейс или продавец?
При реферальной программе продавца на маркетплейсе оператором данных участников программы является продавец. Маркетплейс (Wildberries, Ozon, Яндекс.Маркет) обрабатывает данные покупателей по собственным основаниям и не берёт на себя ответственность за программу продавца. Продавец обязан иметь собственную политику конфиденциальности, согласия участников и уведомление в реестре РКН, отражающие реферальную программу. Отсутствие документов у продавца не устраняется наличием документов маркетплейса.
4. Что грозит за отсутствие баннера cookies?
Отсутствие баннера cookies на сайте создаёт основания для составления протокола по ч. 1 ст. 13.11 КоАП (обработка ПДн без надлежащего основания) — штраф для юрлица 150 000 – 300 000 ₽ в редакции с 30.05.2025. При повторном нарушении — ч. 1.1, штраф 300 000 – 500 000 ₽. Дополнительно РКН вправе выдать предписание об устранении. Жалоба одного субъекта достаточна для возбуждения дела.
5. Как оформить отзыв подписки?
Отзыв согласия на email-рассылку должен быть технически доступен в один клик — ссылка «Отписаться» в каждом письме без авторизации и дополнительных шагов. После отзыва оператор обязан прекратить рассылку в разумный срок (ориентир — 10 рабочих дней по аналогии со ст. 20 ФЗ-152). Данные, обработка которых была основана исключительно на отозванном согласии, подлежат уничтожению по ст. 21 ФЗ-152, если нет иного основания для их хранения. Продолжение рассылки после отзыва — ч. 5 ст. 13.11 КоАП (50 000 – 90 000 ₽).
6. Нужно ли отдельное согласие реферала до того, как он перешёл по ссылке?
До перехода по реферальной ссылке реферал не является субъектом, добровольно вступившим в отношения с оператором. Хранить и использовать его email (переданный реферером) для любых целей, кроме однократной отправки приглашения, до акцепта — нарушение ст. 5 ФЗ-152 (обработка сверх целей). Безопасная схема: email удаляется из системы, если реферал не акцептировал приглашение в течение установленного срока (рекомендуемый максимум — 30 дней).
Итог
Реферальная программа порождает не менее шести потоков ПДн и требует шести отдельных правовых решений: основание для данных реферера, механизм сбора данных реферала, cookies-баннер с блокировкой скриптов, договоры поручения с email-платформами и CRM, механизм отзыва согласия и уничтожения данных, актуальная политика и уведомление РКН. Ни один из этих элементов не покрывает другой.
Практика DATUM включает сопровождение e-commerce операторов по полному циклу: от аудита реферальной программы до подготовки к проверке РКН и защиты от протоколов по ст. 13.11 КоАП. Типовой срок подготовки пакета ОРД для реферальной программы среднего интернет-магазина — 10 рабочих дней.
Есть реферальная программа — нужен аудит?
Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · Telegram · +7 (383) 310-38-76 · +7 (983) 510-38-76
12 февраля 2027 года