инструкция 3 декабря 2026 По состоянию на 3 декабря 2026

Согласие на обработку при оформлении бонусной карты

Согласие на обработку персональных данных при выдаче бонусной карты — самостоятельный документ с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

С 01.09.2025 вставить согласие в оферту, заявление участника или правила программы лояльности недостаточно. Отсутствие отдельного документа — основание для штрафа по ч. 2 ст. 13.11 КоАП: 300 000–700 000 ₽ за каждое нарушение.

→ Если вы юрист и проверяете пакет ОРД программы лояльности — эта инструкция даёт пошаговый алгоритм от уведомления РКН до назначения ответственного.

Программы лояльности обрабатывают данные десятков тысяч клиентов: ФИО, телефон, email, дата рождения, история покупок. После вступления в силу ФЗ-156 от 24.06.2025 каждое согласие участника программы должно быть оформлено отдельным документом — вне зависимости от того, как давно запущена карта и как строилась документация раньше. Ниже — конкретный порядок действий для юриста, который приводит программу лояльности в соответствие.

Шаг 1. Проверьте основания обработки и состав собираемых данных

Прежде чем формировать документы, зафиксируйте правовое основание для каждой категории данных. Программа лояльности, как правило, собирает два типа данных с разными основаниями.

Данные, необходимые для исполнения договора (выдача карты, начисление баллов, идентификация при оплате), обрабатываются по п. 5 ч. 1 ст. 6 ФЗ-152 — согласие здесь не требуется. Данные для маркетинга и рассылок (история покупок в аналитических целях, отправка персональных предложений, передача партнёрам для совместных акций) — только с согласия субъекта по ст. 9 ФЗ-152.

Смешивать эти основания в одном документе нельзя: ст. 5 ФЗ-152 запрещает объединять базы с несовместимыми целями. Составьте перечень: какие данные и зачем нужны. Это — основа для согласия.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — согласие субъекта на обработку персональных данных оформляется отдельным документом и не может быть частью другого соглашения, договора или публичной оферты.»

Шаг 2. Составьте согласие с обязательными реквизитами по ст. 9 ФЗ-152

Закон устанавливает закрытый перечень сведений, которые должны быть в согласии. Отсутствие любого из них означает, что согласие считается ненадлежащим.

Обязательные реквизиты согласия участника программы лояльности:

фамилия, имя, отчество субъекта персональных данных;
контактные данные субъекта (телефон или email);
наименование и адрес оператора — юридического лица, выдающего карту;
цель обработки — конкретно: «направление персонализированных предложений», «передача данных партнёрам программы лояльности для совместных акций» и т. д.;
перечень персональных данных, на обработку которых даётся согласие;
перечень действий с данными (сбор, хранение, обезличивание, передача третьим лицам — с их перечнем);
срок действия согласия или указание на бессрочность;
способ отзыва согласия — конкретный, с реквизитами (адрес, email, телефон оператора).

Если программа предусматривает передачу данных партнёрам — каждый партнёр должен быть поимённо указан в согласии либо в приложении к нему, которое является частью согласия. Общая формулировка «партнёры программы» без перечня не соответствует требованиям.

Согласие на распространение персональных данных (публикация в соцсетях, размещение в рейтингах) оформляется отдельно по ст. 10.1 ФЗ-152 — его нельзя объединять с обычным согласием участника.

Нужен шаблон согласия под программу лояльности?

Если в программе лояльности участвуют несколько юридических лиц или партнёры-третьи лица — стандартный шаблон из интернета не подойдёт. Реквизиты согласия зависят от архитектуры обработки: кто оператор, кто обработчик, кто самостоятельный оператор. Юристы DATUM собирают полный пакет ОРД под конкретную программу лояльности с учётом требований ФЗ-156.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Уведомьте Роскомнадзор о намерении обрабатывать персональные данные

До начала обработки данных участников программы лояльности оператор обязан подать уведомление в РКН по ст. 22 ФЗ-152. Срок включения в реестр операторов — 30 дней с момента подачи.

Уведомление подаётся через портал pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи. Форма уведомления утверждена Приказом РКН №180 от 28.10.2022. В уведомлении указывают:

цели обработки — отдельно по каждой (программа лояльности, маркетинговые рассылки, аналитика и т. д.);
категории субъектов и данных;
сведения об обеспечении безопасности — уровень защищённости по ПП РФ №1119;
сведения о трансграничной передаче, если данные уходят за рубеж (в CRM, облако, аналитический сервис иностранного оператора).

Если программа лояльности уже работает и уведомление не подавалось — это нарушение ч. 10 ст. 13.11 КоАП: штраф 100 000–300 000 ₽. Неуведомление — самостоятельный состав, независимый от нарушений в согласии.

«Ст. 22 ФЗ-152 — оператор до начала обработки персональных данных направляет уведомление в уполномоченный орган по защите прав субъектов персональных данных.»

Как составить политику обработки персональных данных для программы лояльности?

Политика обработки персональных данных — обязательный документ по ч. 2 ст. 18.1 ФЗ-152. Оператор публикует её в открытом доступе (на сайте, в мобильном приложении). Отсутствие политики или её несоответствие требованиям — нарушение ч. 3 ст. 13.11 КоАП: штраф 30 000–60 000 ₽.

Политика для программы лояльности должна содержать:

перечень целей обработки и правовые основания для каждой;
состав собираемых данных с разбивкой по целям;
сроки хранения и условия уничтожения;
порядок передачи данных третьим лицам (партнёры программы, подрядчики-обработчики, иностранные сервисы);
права субъектов и порядок их реализации — с конкретными реквизитами для обращения;
сведения о мерах защиты без раскрытия конкретных технических решений.

Политика не заменяет согласие. Это два отдельных документа с разными функциями: политика информирует, согласие фиксирует волеизъявление субъекта.

Что подготовить юристу по программе лояльности

Отдельное согласие участника программы с реквизитами по ст. 9 ФЗ-152 (отдельный документ с 01.09.2025 по ФЗ-156).
Уведомление в РКН по ст. 22 ФЗ-152 — подано до начала обработки; выписка из реестра операторов.
Политика обработки ПДн на сайте/в приложении — актуальная, с разбивкой по целям программы лояльности.
Приказ о назначении ответственного за обработку по ст. 22.1 ФЗ-152 с описанием полномочий.
Договоры-поручения с обработчиками (CRM-система, SMS-провайдер, аналитика) — по п. 3 ч. 1 ст. 6 ФЗ-152.

Шаг 4. Назначьте ответственного за обработку персональных данных

Оператор — юридическое лицо — обязан назначить лицо, ответственное за организацию обработки персональных данных, по ст. 22.1 ФЗ-152. Это требование не зависит от масштаба бизнеса: оно распространяется на любой торговый оператор, запустивший программу лояльности.

Ответственный не несёт личной административной ответственности за нарушения — она остаётся у оператора. Но именно он организует выполнение требований закона внутри компании: проверяет документацию, отвечает на запросы субъектов в срок 10 рабочих дней по ст. 20 ФЗ-152, ведёт журнал обращений, координирует реагирование на инциденты.

Назначение оформляется приказом руководителя. Функцию ответственного можно передать на аутсорсинг — это прямо не запрещено законом и часто удобнее для компаний, у которых нет штатного специалиста по ПДн.

«Ст. 22.1 ФЗ-152 — оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Ответственный подотчётен непосредственно руководителю оператора.»

Если юрист проверяет программу лояльности и выясняется, что согласия включены в оферту или правила карты — каждый документ подлежит переработке. С 01.09.2025 срок на устранение нарушения не предусмотрен: штраф по ч. 2 ст. 13.11 (300 000–700 000 ₽) применяется при первой же проверке. DATUM проведёт аудит документации и соберёт корректный пакет ОРД.

Заказать аудит 152-ФЗ

Шаг 5. Оформите договоры-поручения с обработчиками

Программа лояльности почти всегда предполагает передачу данных третьим лицам: CRM-системе, SMS-агрегатору, провайдеру email-рассылок, аналитическому сервису. Если эти лица обрабатывают данные участников по заданию оператора — они являются обработчиками по поручению согласно п. 3 ч. 1 ст. 6 ФЗ-152.

Договор-поручение должен содержать:

перечень действий, которые обработчик вправе совершать с данными;
цели обработки — строго в рамках задания оператора;
обязанность обработчика соблюдать конфиденциальность;
обязанность применять меры защиты по ст. 19 ФЗ-152;
запрет на передачу данных третьим лицам без письменного согласия оператора.

Если зарубежный сервис (например, облачная CRM или аналитика) получает данные участников программы — это трансграничная передача по ст. 12 ФЗ-152. До передачи данных в страну, не включённую в список государств с адекватной защитой, оператор подаёт уведомление в РКН. Неподача уведомления — отдельное нарушение.

Как применяется на практике: два сценария

Сценарий 1. Розничная сеть (Сибирский ФО, весна 2026) выдавала бонусные карты с 2019 года. Согласие участника было включено в правила программы лояльности — отдельным документом не оформлялось. После 01.09.2025 юридический отдел при плановом аудите выявил нарушение. Сеть в течение двух месяцев переработала форму согласия, внедрила отдельный документ на бумажном носителе при выдаче карты и QR-код с электронной версией для мобильного приложения. Проверка РКН, инициированная жалобой субъекта, не выявила нарушений в действующей документации — протокол составлен по старой форме согласия, применена ст. 4.1.1 КоАП и назначено предупреждение. Решающую роль сыграла скорость переработки документов до даты проверки.

Сценарий 2. Интернет-магазин (Центральный ФО, лето 2026) при запуске программы лояльности не подал уведомление в РКН по ст. 22 ФЗ-152 и не назначил ответственного по ст. 22.1. РКН выявил нарушение в ходе мониторинга сайта. По ч. 10 ст. 13.11 КоАП составлен протокол (неуведомление о намерении обрабатывать). Параллельно при проверке выяснилось, что согласие участника программы включено в пользовательское соглашение — второй протокол по ч. 2 ст. 13.11 КоАП. Итоговый штраф исчислялся как сумма по двум составам. Ни один из них не был первичным в совокупности — ст. 4.1.1 не применима к нескольким одновременным нарушениям по разным частям.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов, включая согласия и договоры-поручения.
Аудит соответствия 152-ФЗ — проверка программы лояльности по чек-листу из 38 пунктов.
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании.

Частые вопросы

1. Какие документы должны быть у оператора при программе лояльности?

Минимальный пакет: отдельное согласие участника по ст. 9 ФЗ-152 (обязательно с 01.09.2025), политика обработки ПДн по ст. 18.1 в открытом доступе, уведомление в РКН по ст. 22, приказ о назначении ответственного по ст. 22.1, договоры-поручения с каждым обработчиком (CRM, SMS-провайдер, аналитика). Отсутствие любого из документов — самостоятельный состав правонарушения по ст. 13.11 КоАП.

2. Как составить политику обработки персональных данных?

Политика должна содержать: цели и правовые основания для каждого вида обработки, состав данных по целям, сроки хранения, порядок передачи третьим лицам (включая иностранные сервисы), права субъектов и способы их реализации. Публикуется на сайте и в мобильном приложении. Общий текст без привязки к конкретным целям программы лояльности не соответствует требованиям ч. 2 ст. 18.1 ФЗ-152 — РКН квалифицирует это как ненадлежащую политику.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Закон не устанавливает требований к должности или квалификации — это может быть штатный юрист, сотрудник ИБ или выделенный специалист. Назначение оформляется приказом руководителя, ответственный подотчётен напрямую руководителю оператора. Функцию можно передать на аутсорсинг: законодательного запрета нет, практика РКН это допускает.

4. Можно ли использовать шаблон политики из интернета?

Готовый шаблон без адаптации под конкретную программу — источник риска. Политика должна отражать фактические цели, конкретных обработчиков, реальные сроки хранения данного оператора. Типовой текст с чужими реквизитами или общими формулировками при проверке РКН не подтвердит выполнение требований ч. 2 ст. 18.1 ФЗ-152 и создаст основание для штрафа по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽).

5. Какие согласия нужно переоформить после 01.09.2025?

Переоформления ранее полученных согласий ФЗ-156 не требует — обратной силы у поправок нет. Но все согласия, собираемые после 01.09.2025, должны быть отдельными документами. Если оператор продолжает использовать форму, в которой согласие входит в состав оферты или правил программы, — каждый новый участник карты создаёт нарушение ч. 2 ст. 13.11 КоАП.

6. Что делать, если программа лояльности работает давно, а уведомление в РКН не подавалось?

Подать уведомление следует до того, как РКН выявит нарушение. Самостоятельное устранение нарушения до составления протокола учитывается при рассмотрении дела как обстоятельство, смягчающее ответственность. Форма уведомления — Приказ РКН №180 от 28.10.2022, подача через pd.rkn.gov.ru. Штраф за неуведомление по ч. 10 ст. 13.11 КоАП — 100 000–300 000 ₽.

Итог

Согласие на обработку при оформлении бонусной карты — это отдельный документ с восемью обязательными реквизитами, который нельзя встроить в оферту, правила программы или пользовательское соглашение. С 01.09.2025 это требование закреплено на уровне ФЗ-156, и каждый новый участник программы лояльности, оформленный по старым правилам, создаёт самостоятельное нарушение ч. 2 ст. 13.11 КоАП с потенциальным штрафом до 700 000 ₽.

Юристы DATUM сопровождают приведение программ лояльности в соответствие с требованиями 152-ФЗ: от проверки действующей документации до сборки полного пакета ОРД и уведомления РКН.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

3 декабря 2026 года