Перейти к содержанию
инструкция 19 марта 2029 По состоянию на 19 марта 2029

Согласие на программу лояльности

Программа лояльности — это обработка персональных данных. Без надлежащего согласия по ст. 9 ФЗ-152 каждый участник карточной базы создаёт риск штрафа по ч. 2 ст. 13.11 КоАП: 300 000 — 700 000 ₽ за нарушение требований к составу согласия.
С 01.09.2025 согласие оформляется отдельным документом и не может быть частью договора, оферты или правил программы. Cookies, GA4 и push-уведомления — отдельные основания обработки, каждое требует своей разметки.
Если вы маркетолог и запускаете или проверяете программу лояльности — ниже пошаговый порядок приведения согласий в соответствие с нормами 2025–2026 годов.

Программы лояльности собирают ФИО, email, телефон, дату рождения, историю покупок и данные о поведении на сайте. По ст. 3 ФЗ-152 всё это — персональные данные, а интернет-магазин или маркетплейс — оператор. Инструкция описывает шесть шагов: от инвентаризации оснований обработки до проверки баннера cookies и настройки отзыва подписки. Каждый шаг — конкретное действие с указанием нормы и последствий за бездействие.

Шаг 1. Определите правовые основания обработки в программе лояльности

Прежде чем оформлять согласие, зафиксируйте, по каким основаниям ст. 6 ФЗ-152 вы обрабатываете данные участника программы. Путаница оснований — типичная причина претензий РКН при проверке.

Для программы лояльности обычно задействованы три основания:

  • Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). Начисление и списание баллов, идентификация участника — это обязательная часть договора об участии в программе. Согласие здесь не нужно: обработка законна без него, пока она укладывается в предмет договора.
  • Согласие (п. 1 ч. 1 ст. 6 ФЗ-152). Маркетинговые рассылки, профилирование для персональных предложений, передача данных партнёрам программы — всё, что выходит за рамки договора, требует явного отдельного согласия по ст. 9 ФЗ-152.
  • Законный интерес (ст. 6 ч. 1 п. 7 ФЗ-152) — применяется ограниченно. РКН не признаёт «законный интерес» самостоятельным основанием для маркетинга в российской практике. Полагаться на него без дополнительного правового анализа — риск.
«Ст. 6 ФЗ-152 устанавливает 11 оснований для обработки персональных данных. Обработка сверх необходимого для исполнения договора — отдельное основание, требующее отдельного согласия.»

Результат шага: таблица соответствия «вид обработки → правовое основание» на бумаге или в системе учёта документации.

Шаг 2. Оформите согласие по требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025

С 01.09.2025 согласие на обработку персональных данных — отдельный документ. ФЗ-156 от 24.06.2025 прямо запретил включать его в текст договора, оферты, правил программы или пользовательского соглашения. Если согласие участника программы лояльности по-прежнему встроено в «Правила участия» или проставляется единым чекбоксом «Согласен с условиями» — оно недействительно.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

  • ФИО субъекта и контактные данные (email или телефон);
  • наименование и адрес оператора — вашей компании;
  • цель обработки — конкретная, не «маркетинговые цели» в общем виде;
  • перечень персональных данных — закрытый список (ФИО, email, телефон, дата рождения, история покупок);
  • перечень действий с данными — сбор, хранение, использование, передача партнёрам (если есть);
  • срок действия согласия или условие его прекращения;
  • способ отзыва — конкретный и доступный (ссылка в письме, форма на сайте, обращение по email).
«Ст. 9 ч. 4 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — согласие оформляется в виде отдельного документа. Обязанность доказать наличие согласия лежит на операторе.»

Если программа предполагает передачу данных партнёрам (co-branding, коалиционные программы) — каждый получатель должен быть явно указан в согласии или согласие оформляется на передачу данных третьим лицам по ст. 6 ч. 3 ФЗ-152 (поручение обработки).

Согласия участников программы лояльности оформлены до 01.09.2025?

Если форма регистрации в программе не менялась после вступления ФЗ-156, каждый новый участник фиксируется с недействительным согласием. По ч. 2 ст. 13.11 КоАП штраф для юрлица — 300 000 — 700 000 ₽ за каждый факт обработки без надлежащего согласия. Юристы DATUM проверят комплект документов программы лояльности и приведут согласия в соответствие с нормами 2025 года.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Настройте баннер cookies и согласие на трекинг

Cookies, идентифицирующие конкретного пользователя (ID участника, история сессий, данные корзины), — это персональные данные по позиции РКН. Их сбор без согласия — нарушение ч. 1 ст. 6 ФЗ-152 и основание для штрафа по ч. 1 ст. 13.11 КоАП: 150 000 — 300 000 ₽.

Требования к баннеру cookies для программы лояльности:

  • Баннер появляется до начала сбора cookies — не после загрузки страницы со скриптами;
  • Пользователь должен иметь возможность отказаться от нефункциональных cookies без потери доступа к сайту;
  • Функциональные cookies (авторизация, корзина) допустимы без отдельного согласия — они обеспечивают исполнение договора;
  • Аналитические и маркетинговые cookies (GA4, Meta Pixel, Яндекс.Метрика) — только при явном согласии;
  • Согласие на cookies хранится и доступно для аудита — дата, версия баннера, выбор пользователя.

GA4 как инструмент трансграничной передачи данных: данные пользователей программы лояльности, передаваемые в Google Analytics 4, направляются на серверы за рубежом. По ст. 12 ФЗ-152 это трансграничная передача. До её начала оператор обязан уведомить РКН в соответствии с действующим порядком. Если уведомление не подавалось, а GA4 использовался — это самостоятельное нарушение.

«Ст. 12 ФЗ-152 — до передачи персональных данных в страну, не обеспечивающую адекватный уровень защиты, оператор обязан уведомить Роскомнадзор. Перечень адекватных стран устанавливается приказом РКН.»

Шаг 4. Разграничьте ответственность: маркетплейс или продавец — оператор?

Для программ лояльности на маркетплейсах вопрос об операторе принципиален. Ошибка в определении субъекта ответственности ведёт к тому, что штраф выписывается не тому лицу — или сразу двум.

Три типичные схемы:

  • Маркетплейс — единственный оператор. Участник программы заключает договор с платформой. Продавцы получают только агрегированную статистику без персональных данных. В этом случае оператор — маркетплейс, и именно он несёт ответственность по ст. 13.11.
  • Продавец — самостоятельный оператор. Продавец собирает данные покупателей в своём интерфейсе (отдельная карта лояльности, форма на сайте продавца). Продавец сам подаёт уведомление в реестр РКН по ст. 22 ФЗ-152 и несёт ответственность за свои базы.
  • Совместная обработка. Маркетплейс и продавец оба имеют доступ к персональным данным участника программы. В этом случае оба являются операторами, каждый — в части своей обработки. Необходимо соглашение об определении ответственности с поручением обработки по ч. 3 ст. 6 ФЗ-152.

Практика ВС РФ подтверждает: оператор несёт ответственность за утечку через подрядчика или партнёра по программе, если не оформлено надлежащее поручение обработки с требованиями по защите данных.

Если вы маркетолог и программа лояльности объединяет нескольких партнёров или работает на маркетплейсе — проверьте, кто в вашей схеме является оператором и есть ли соглашение о поручении обработки. Ошибка в субъекте ответственности обнаруживается на проверке РКН и не исправляется задним числом.

Оценить риски по 152-ФЗ

Шаг 5. Настройте механизм отзыва согласия и отписки от рассылок

Отзыв согласия — обязательный элемент его оформления. По ст. 9 ч. 2 ФЗ-152 субъект вправе отозвать согласие в любой момент. Оператор обязан прекратить обработку в течение 30 дней, если иное не предусмотрено договором или законом.

Для программы лояльности механизм отзыва должен включать:

  • Ссылку «Отписаться» в каждом маркетинговом письме — стандарт ФЗ «О рекламе»;
  • Форму отзыва согласия в личном кабинете — не более 2 кликов до неё;
  • Обработку отзыва в течение 30 дней с документальным подтверждением факта и даты;
  • Уничтожение или обезличивание данных после отзыва — если основание договора не требует их хранения;
  • Журнал отзывов — дата, способ, идентификатор субъекта — для ответа на запросы РКН.
«Ст. 9 ч. 2 ФЗ-152 — субъект вправе отозвать согласие на обработку персональных данных в любое время. После отзыва оператор прекращает обработку и при необходимости уничтожает данные.»

Важно: отзыв согласия на маркетинговые рассылки не означает выхода из программы лояльности как таковой. Обработка, необходимая для исполнения договора (начисление баллов), продолжается на основании договора — если субъект не расторг его отдельно.

Шаг 6. Подготовьте ОРД: политику, согласия и регламент для программы лояльности

Полный комплект организационно-распорядительной документации для программы лояльности включает не только форму согласия. РКН при проверке запрашивает систему документов.

Что подготовить для программы лояльности

  • Политика обработки персональных данных — с разделом о программе лояльности, опубликованная на сайте по ч. 2 ст. 18.1 ФЗ-152;
  • Форма согласия участника — отдельный документ по ст. 9 в ред. ФЗ-156, с перечнем данных, целей и способом отзыва;
  • Согласие на получение рассылок — отдельная форма или чекбокс, не объединённый с согласием на обработку данных;
  • Согласие на cookies и трекинг — реализовано через баннер с записью выбора пользователя;
  • Договор-поручение с партнёрами программы, процессинговыми платформами, CRM-провайдерами по ч. 3 ст. 6 ФЗ-152.

Уведомление в реестр РКН (ст. 22 ФЗ-152) должно отражать фактический объём обработки. Если после запуска программы лояльности состав обрабатываемых данных или цели изменились — уведомление об изменении подаётся по форме Приказа РКН №180. Штраф за неуведомление или несвоевременное уведомление по ч. 10 ст. 13.11 КоАП — 100 000 — 300 000 ₽.

Как это работает на практике: два сценария

Сценарий 1. Интернет-магазин перезапускает программу лояльности после 01.09.2025

Ситуация: онлайн-ретейлер одежды (Центральный ФО, осень 2025) перезапустил карту лояльности. Форма регистрации содержала единый чекбокс «Согласен с правилами программы и на обработку данных». После аудита выяснилось: согласие не является отдельным документом, не содержит перечня действий и не указывает способ отзыва.

Исход: компания получила предписание РКН устранить нарушение в 30-дневный срок. До предписания юристы переработали форму регистрации, разделили согласия на обработку данных и на рассылки, добавили баннер cookies. Риск штрафа по ч. 2 ст. 13.11 (300 000 — 700 000 ₽) был устранён до вынесения постановления.

Сценарий 2. Маркетплейс и партнёр программы — кто отвечает за утечку

Ситуация: коалиционная программа лояльности (Северо-Западный ФО, начало 2026) включала маркетплейс и трёх партнёров-ретейлеров. Данные участников хранились в облачной CRM одного из партнёров. После кибератаки утекли данные около 15 000 участников программы — ФИО, email, история покупок.

Исход: РКН возбудил дело одновременно против маркетплейса и партнёра-оператора CRM. Договор поручения обработки между ними не был оформлен. Оба субъекта квалифицированы как самостоятельные операторы по ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов: 5 000 000 — 10 000 000 ₽). Отсутствие поручения лишило маркетплейс возможности переложить ответственность на партнёра.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookie идентифицирует конкретного пользователя: содержит ID участника программы лояльности, привязан к истории сессий или профилю покупателя. В этом случае сбор cookies без согласия нарушает ст. 6 ФЗ-152. Функциональные cookies (авторизация, корзина), необходимые для исполнения договора, допустимы без отдельного согласия — они не выходят за рамки п. 5 ч. 1 ст. 6 ФЗ-152. Маркетинговые и аналитические cookies требуют баннера с явным согласием до начала их сбора.

2. Можно ли использовать GA4 после ограничений для программы лояльности?

GA4 технически доступен, но передача данных участников программы лояльности через него — трансграничная передача по ст. 12 ФЗ-152. США не включены в перечень стран с адекватным уровнем защиты. До начала передачи оператор обязан уведомить РКН. Если уведомление не подавалось, а GA4 использовался для трекинга участников программы — это самостоятельное нарушение, отдельное от нарушений по согласию. Альтернатива: перейти на отечественные аналитические инструменты, данные которых не покидают российскую инфраструктуру.

3. Кто оператор в программе лояльности: маркетплейс или продавец?

Зависит от архитектуры программы. Если участник регистрируется на платформе маркетплейса и продавец не имеет прямого доступа к персональным данным — оператор маркетплейс. Если продавец самостоятельно собирает данные в своём интерфейсе — он самостоятельный оператор по ст. 3 ФЗ-152. При совместном доступе к данным оба являются операторами, и между ними необходимо соглашение с поручением обработки по ч. 3 ст. 6 ФЗ-152. Без такого соглашения оба несут полную ответственность по ст. 13.11 КоАП.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies при использовании аналитических или маркетинговых скриптов квалифицируется как обработка персональных данных без согласия. По ч. 1 ст. 13.11 КоАП (редакция с 30.05.2025) штраф для юридического лица — 150 000 — 300 000 ₽. При повторном нарушении по ч. 1.1 — 300 000 — 500 000 ₽. РКН фиксирует отсутствие баннеров в рамках плановых и внеплановых проверок интернет-магазинов и сайтов программ лояльности.

5. Как оформить отзыв подписки так, чтобы не получить жалобу в РКН?

Ссылка «Отписаться» в каждом письме — обязательный минимум по ФЗ «О рекламе». По ст. 9 ч. 2 ФЗ-152 субъект вправе отозвать согласие через любой доступный способ: ссылку в письме, форму в личном кабинете, обращение на email оператора. После отзыва рассылка прекращается, данные обезличиваются или уничтожаются в части маркетинговой обработки — если нет других оснований для их хранения. Оператор фиксирует дату и способ отзыва в журнале для подтверждения перед РКН. Задержка обработки отзыва сверх разумного срока — основание для жалобы субъекта и внеплановой проверки.

6. Нужно ли переоформлять согласия участников, которые вступили в программу до 01.09.2025?

ФЗ-156 от 24.06.2025 обратной силы не имеет: согласия, полученные до 01.09.2025 по ранее действующим правилам, остаются действительными для той обработки, на которую были получены. Переоформлять их принудительно не нужно. Однако если вы расширяете программу лояльности — добавляете новые цели, партнёров или виды обработки — новое согласие по требованиям ФЗ-156 обязательно. Для новых участников с 01.09.2025 старая форма не работает.

Итог

Согласие на программу лояльности с 01.09.2025 — это отдельный документ с закрытым перечнем данных, целей, действий и обязательным способом отзыва. Cookies и GA4 требуют самостоятельных оснований обработки. Для маркетплейсов и коалиционных программ — договор поручения обработки с каждым партнёром, иначе ответственность по ст. 13.11 КоАП несут все операторы одновременно.

Юристы DATUM сопровождают программы лояльности интернет-магазинов, маркетплейсов и ретейлеров: от формы согласия и баннера cookies до ОРД и уведомлений в РКН о трансграничной передаче.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.

19 марта 2029 года