инструкция 14 октября 2026 По состоянию на 14 октября 2026

Самозанятый-селлер: упрощённый режим

Самозанятый, торгующий на маркетплейсе или через собственный интернет-магазин, является оператором персональных данных по ст. 3 ФЗ-152 — независимо от налогового режима и масштаба бизнеса.

С 30.05.2025 штраф за обработку ПДн без надлежащего согласия достигает 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Cookies на сайте-витрине — персональные данные по позиции РКН, а GA4 с передачей данных в США — трансграничная операция.

Если вы маркетолог, который ведёт сайт или рассылки для самозанятого-селлера — эта инструкция покажет, какие шаги закрывают основные риски без лишних затрат.

Самозанятые продавцы нередко убеждены, что ФЗ-152 «для больших». Это заблуждение обходится дорого: Роскомнадзор не делает скидок на налоговый режим, а алгоритм проверок в 2025–2026 годах стал заметно автоматизированнее. Ниже — пошаговая инструкция, которая охватывает регистрацию в реестре операторов, оформление cookies, политику конфиденциальности, рассылки и работу с маркетплейсом как совместным оператором.

Шаг 1. Определите, кто вы: оператор, обработчик или совместный оператор?

Кто оператор — маркетплейс или продавец — зависит от того, кто определяет цели и состав обработки ПДн покупателя. Если самозанятый ведёт собственный сайт с формой заказа, он самостоятельный оператор. Если продаёт только через Wildberries или Ozon, и покупатель оформляет заказ в интерфейсе маркетплейса, основным оператором выступает платформа. Самозанятый в этом случае получает от маркетплейса ограниченный набор данных (например, адрес доставки) и действует как лицо, осуществляющее обработку по поручению оператора, — в терминах п. 3 ст. 6 ФЗ-152.

На практике граница размыта: многие самозанятые одновременно продают через маркетплейс и ведут собственный Telegram-канал, сайт-витрину или форму предзаказа. В этом случае по каждому каналу статус определяется отдельно. Смешивать базы покупателей, собранных в разных каналах с разными целями, запрещает принцип несовместимости из ст. 5 ФЗ-152.

«Ст. 3 ФЗ-152: оператор — лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку ПДн и определяющее её цели и состав. Ст. 6, п. 3: передача обработки по поручению не снимает ответственности с оператора за соблюдение закона.»

Шаг 2. Подайте уведомление в реестр операторов РКН

Уведомление по ст. 22 ФЗ-152 подаётся до начала обработки ПДн через pd.rkn.gov.ru с помощью ЕСИА или усиленной квалифицированной электронной подписи. Форму уведомления устанавливает Приказ РКН №180 от 28.10.2022. Если самозанятый уже принимает заказы через сайт и собирает контакты покупателей, он обязан уведомить регулятора незамедлительно.

Отсутствие в реестре — самостоятельный состав нарушения. По ч. 10 ст. 13.11 КоАП штраф для юридических лиц составляет 100 000–300 000 ₽; для физических лиц (к которым относится самозанятый) — существенно меньше, но факт нарушения фиксируется и используется при оценке повторности.

«Ст. 22 ФЗ-152: оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Срок включения в реестр — 30 дней с даты подачи уведомления (ч. 4 ст. 22).»

Уведомление подаётся один раз, но при изменении целей, категорий ПДн или состава обработки нужно направить обновлённые сведения. Это важно, если самозанятый запускает рассылку или подключает программу лояльности после первоначальной регистрации.

Ещё не в реестре РКН или данные устарели?

Если маркетолог ведёт сайт самозанятого и в реестре операторов РКН нет записи — каждый день просрочки создаёт основание для штрафа по ч. 10 ст. 13.11 КоАП. Срок включения в реестр после уведомления — 30 дней, но подать уведомление нужно до начала обработки. Юристы DATUM помогут подготовить уведомление, проверят комплект сведений и сформируют политику конфиденциальности под конкретный сайт.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Оформите политику конфиденциальности и обязательные документы

Политика конфиденциальности — не опция, а обязанность по ч. 2 ст. 18.1 ФЗ-152. Документ должен быть опубликован на сайте в открытом доступе. Отсутствие политики или её недоступность влечёт штраф по ч. 3 ст. 13.11 КоАП — 30 000–60 000 ₽ для юридических лиц.

Для интернет-магазина или сайта-витрины в политике необходимо указать: цели обработки ПДн (оформление заказа, доставка, рассылка — отдельно по каждой цели), категории ПДн (ФИО, адрес, телефон, email, cookies, идентификаторы устройств), правовые основания по ст. 6 ФЗ-152, сроки хранения и порядок уничтожения, а также информацию о трансграничной передаче, если используется GA4, Meta Pixel или иные зарубежные сервисы.

Что подготовить для базового комплаенса

Уведомление в реестре операторов РКН (pd.rkn.gov.ru, актуальная запись)
Политика конфиденциальности с разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте
Отдельные согласия на обработку ПДн (с 01.09.2025 — отдельный документ, не встроенный в оферту или форму заказа)
Баннер согласия на cookies с возможностью отказа и фиксацией выбора пользователя
Уведомление РКН о трансграничной передаче, если используются GA4 или иные зарубежные счётчики

С 01.09.2025 согласие на обработку ПДн по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 оформляется отдельным документом: его нельзя включать в договор, оферту или форму заказа. Если форма на сайте содержала флажок «Согласен с политикой конфиденциальности» в составе чекаута — такое согласие требует переработки.

Шаг 4. Настройте баннер cookies и трансграничную передачу через GA4

РКН квалифицирует cookies и идентификаторы устройств как персональные данные, если они позволяют идентифицировать пользователя прямо или косвенно. Это означает, что сбор cookies без согласия нарушает ч. 1 ст. 6 ФЗ-152, а передача cookie-идентификаторов в Google Analytics или Meta Pixel — трансграничная передача ПДн по ст. 12 ФЗ-152.

Баннер должен: появляться до установки нетехнических cookies; содержать кнопки «Принять» и «Отказаться» с равным визуальным весом; фиксировать выбор пользователя с временной меткой. Реализация через Consent Mode v2 (Google) или аналогичный инструмент — технически приемлемое решение при условии, что данные не передаются до получения согласия.

«Ст. 12 ФЗ-152: до передачи ПДн в страну, не обеспечивающую адекватный уровень защиты, оператор обязан уведомить РКН. США не входят в перечень стран с адекватной защитой.»

Использование GA4 после 2025 года допустимо при соблюдении трёх условий: уведомление РКН о трансграничной передаче подано; в политике конфиденциальности указаны Google LLC как получатель и США как страна передачи; Consent Mode v2 настроен так, что GA4 не получает идентифицирующих данных без согласия. Если хотя бы одно из трёх условий не выполнено — риск по ч. 6 ст. 13.11 сохраняется.

Если маркетолог подключил GA4 или Meta Pixel к сайту самозанятого — у вас, вероятно, есть незакрытая трансграничная передача ПДн. Штраф по ч. 6 ст. 13.11 КоАП при повторном нарушении достигает сотен тысяч рублей. Юристы DATUM проверят настройки за один рабочий день.

Оценить риски по 152-ФЗ

Шаг 5. Оформите email-рассылки и программы лояльности

Email-рассылка покупателям требует двух самостоятельных оснований: согласия на обработку ПДн по ст. 9 ФЗ-152 и согласия на получение рекламных сообщений по ст. 18 ФЗ «О рекламе». Это два разных документа с разными реквизитами. Одна галочка «Хочу получать новости» не закрывает оба основания одновременно.

Двойное подтверждение (double opt-in) — технически не обязательно по российскому законодательству, но на практике создаёт доказательную базу: лог подтверждения с IP-адресом, временной меткой и содержанием письма-подтверждения. При жалобе субъекта или проверке РКН именно этот лог позволяет доказать, что согласие было получено.

Программы лояльности собирают данные об истории покупок, предпочтениях и геолокации. По ст. 5 ФЗ-152 эти данные нельзя объединять с базой email-рассылки, если цели несовместимы. Если самозанятый ведёт карточную программу лояльности — для неё нужно отдельное согласие с указанием специфических целей обработки.

Как это применяется на практике

Кейс 1. Самозанятый-продавец handmade (Сибирский ФО, осень 2025) вёл сайт-витрину на конструкторе с подключённым Meta Pixel и формой обратной связи. Маркетолог запустил ретаргетинговую кампанию в соцсети. РКН в рамках плановой проверки зафиксировал отсутствие уведомления о трансграничной передаче и баннера cookies. Итог — предписание об устранении нарушений и протокол по ч. 1 ст. 13.11 КоАП. Нарушения устранили за три недели, штраф для физического лица составил несколько тысяч рублей, но предписание осталось в базе и влияет на оценку повторности.

Кейс 2. Интернет-магазин малой компании (Центральный ФО, начало 2026) использовал GA4 с активированным Consent Mode v2, уведомление о трансграничной передаче в РКН подал своевременно, политику конфиденциальности опубликовал с описанием Google LLC как получателя. При проверке по жалобе пользователя претензий к трансгранике не возникло — РКН закрыл эпизод без протокола. Этот результат достигнут именно наличием уведомления и корректной политики, а не техническими настройками Consent Mode как таковыми.

Типовые сценарии нарушений и стратегия защиты

Сценарий 1. Сайт без реестровой записи и политики. Ситуация: самозанятый запустил сайт через конструктор, форма заказа работает, но уведомления в РКН нет и политики нет. Доказательства: скриншот сайта с рабочей формой и отсутствие записи в реестре на pd.rkn.gov.ru. Вероятный исход: протокол по ч. 10 и ч. 3 ст. 13.11 КоАП одновременно. Стратегия: немедленная подача уведомления и публикация политики снижают риск, но не устраняют факт нарушения за прошедший период. При первичности и статусе физического лица возможна замена на предупреждение по ст. 4.1.1 КоАП.

Сценарий 2. Маркетплейс как основной оператор, но самозанятый ведёт дополнительную рассылку. Ситуация: продавец на Ozon экспортирует список покупателей из личного кабинета и включает их в собственную рассылку без отдельного согласия. Доказательства: лог рассылки, выгрузка из маркетплейса. Вероятный исход: нарушение ч. 1 ст. 6 ФЗ-152 (обработка без основания) и ч. 2 ст. 13.11 КоАП. Стратегия: сбор отдельных согласий через маркетплейс невозможен — нужно собирать согласия через собственный канал (сайт, Telegram-бот) с фиксацией факта.

Сценарий 3. Жалоба покупателя на нежелательную рассылку. Ситуация: покупатель отписался от рассылки через ссылку в письме, но продолжает получать сообщения из-за технической ошибки в CRM. Доказательства: скриншоты писем, подтверждение отписки. Вероятный исход: протокол по ч. 5 ст. 13.11 КоАП (невыполнение требования субъекта об уточнении или прекращении обработки). Стратегия: автоматическая синхронизация статуса отписки между ESP и CRM с логированием — снижает риск до нуля.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка сайта, рассылок и работы с маркетплейсом по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика конфиденциальности, согласия, баннер cookies, уведомление РКН
Защита при штрафе в арбитраже — обжалование протокола по ст. 13.11 КоАП, применение ст. 4.1.1

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookie-идентификатор позволяет прямо или косвенно идентифицировать пользователя. Это означает, что установка нетехнических cookies (аналитика, ретаргетинг, персонализация) без согласия нарушает ст. 6 ФЗ-152. Техническое исключение сделано только для cookies, необходимых для работы сайта (авторизация, корзина заказов) — они не требуют отдельного согласия.

2. Можно ли использовать GA4 после ограничений?

Можно при соблюдении трёх условий: подано уведомление РКН о трансграничной передаче ПДн в США, в политике конфиденциальности указан Google LLC как получатель, реализован Consent Mode v2 так, что идентифицирующие данные не уходят в Google до получения согласия пользователя. Без уведомления — это нарушение ст. 12 ФЗ-152 независимо от технических настроек.

3. Кто оператор: маркетплейс или продавец?

Зависит от канала. Когда покупатель оформляет заказ через интерфейс маркетплейса (Wildberries, Ozon), основным оператором выступает платформа. Самозанятый получает данные по поручению оператора — это регулирует п. 3 ст. 6 ФЗ-152. Если самозанятый ведёт собственный сайт или собирает контакты через другие каналы — он самостоятельный оператор по ст. 3 ФЗ-152 со всеми вытекающими обязанностями.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера создаёт несколько рисков одновременно. Первый — нарушение ч. 1 ст. 6 ФЗ-152 (обработка без основания): штраф по ч. 1 ст. 13.11 КоАП 150 000–300 000 ₽ для юридических лиц. Второй — при передаче cookie-данных в зарубежный сервис без согласия — нарушение ст. 12 ФЗ-152. При повторном нарушении по ч. 1.1 ст. 13.11 КоАП — 300 000–500 000 ₽. Для физических лиц суммы ниже, но факт нарушения фиксируется.

5. Как оформить отзыв подписки?

В каждом маркетинговом письме обязательна ссылка для отписки с немедленным прекращением рассылки. По ст. 20 ФЗ-152 на исполнение требования субъекта об прекращении обработки отводится 10 рабочих дней. Технически это означает синхронизацию статуса отписки между сервисом рассылки и CRM. Если после перехода по ссылке письма продолжают приходить — нарушение ч. 5 ст. 13.11 КоАП: штраф 50 000–90 000 ₽ для юридических лиц.

Итог

Самозанятый-селлер подпадает под действие ФЗ-152 в полном объёме: налоговый режим не освобождает от обязанности уведомить РКН, опубликовать политику конфиденциальности, получить согласие на рассылку и оформить трансграничную передачу при использовании GA4 или Meta Pixel. С 01.09.2025 согласие оформляется исключительно отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156.

DATUM сопровождает самозанятых и малый бизнес в сегменте e-commerce: аудит сайта и рассылок, комплект ОРД, уведомление РКН о трансграничной передаче, защита в случае протокола по ст. 13.11 КоАП.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов.