инструкция 3 декабря 2026 По состоянию на 3 декабря 2026

Ссылка на политику из футера

Ссылка на политику конфиденциальности в футере сайта — это не элемент вёрстки, а обязательное условие выполнения требований ч. 2 ст. 18.1 152-ФЗ.

Отсутствие ссылки или неверный документ даёт Роскомнадзору основание для протокола по ч. 3 ст. 13.11 КоАП — штраф до 60 000 рублей за первое нарушение, а cookies без баннера согласия — по ч. 6 ст. 13.11.

→ Если вы маркетолог интернет-магазина и не уверены, правильно ли оформлена ссылка и сам документ — эта инструкция покажет, как это исправить пошагово.

С 2023 года Роскомнадзор включил наличие политики конфиденциальности и корректной ссылки на неё в перечень индикаторов риска при дистанционных проверках. Для интернет-магазина, маркетплейса или SaaS-платформы это означает: регулятор смотрит на футер сайта ещё до запроса документов. В этой инструкции — шесть шагов: от проверки текущего состояния документа до подключения баннера cookies и настройки форм рассылки.

Шаг 1. Проверьте, есть ли политика конфиденциальности и что в ней написано

Перед тем как ставить ссылку, убедитесь, что документ существует и содержит обязательные разделы по ч. 2 ст. 18.1 152-ФЗ. Без этих разделов ссылка не снимает нарушение — она лишь указывает на неполноценный документ.

«Ч. 2 ст. 18.1 152-ФЗ обязывает оператора опубликовать документ, определяющий политику в отношении обработки персональных данных, и обеспечить к нему неограниченный доступ.»

Обязательные разделы политики для интернет-магазина:

цели обработки персональных данных (покупки, рассылки, аналитика, программы лояльности — каждая отдельно);
правовые основания по ст. 6 152-ФЗ для каждой цели;
перечень обрабатываемых категорий ПДн (имя, email, телефон, IP-адрес, cookies);
порядок передачи данных третьим лицам — платёжным системам, агрегаторам, маркетинговым платформам;
срок хранения данных по каждой цели;
права субъекта и порядок их реализации;
наименование, адрес и контакты оператора.

Если политика написана в формате «мы уважаем ваши данные» без конкретных норм и сроков — её нужно переписать до публикации ссылки.

Шаг 2. Как правильно разместить ссылку на политику из футера?

Ссылка должна быть доступна с любой страницы сайта. Для интернет-магазина стандартный вариант — нижняя строка футера рядом с реквизитами компании. Роскомнадзор при дистанционной проверке заходит именно туда.

Требования к размещению:

ссылка кликабельна и ведёт на актуальную версию документа, а не на страницу 404;
анкор содержит понятное для пользователя обозначение — «Политика конфиденциальности» или «Политика обработки персональных данных»;
документ открывается без регистрации, авторизации и платного доступа (требование «неограниченного доступа» по ст. 18.1);
если сайт работает на нескольких языках — политика доступна на русском для российских пользователей.

Отдельный вопрос — мобильная версия. Если на мобильном сайте футер скрыт или ссылка недоступна, это самостоятельное нарушение. РКН проверяет оба варианта при плановых инспекциях.

Сайт уже работает, но политика не обновлялась с 2022 года?

С 30.05.2025 изменилась редакция ст. 13.11 КоАП: за отсутствие политики или некорректный документ — штраф до 60 000 рублей по ч. 3, за cookies без согласия — до 100 000 рублей по ч. 6. Отдельный риск — GA4 и Meta Pixel как трансграничная передача без уведомления РКН. Чем раньше исправить документ, тем меньше оснований для протокола.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Настройте баннер cookies — это отдельное требование, не часть политики

Cookies — это персональные данные по позиции Роскомнадзора, если через них можно идентифицировать пользователя. Это означает: для сбора cookies нужно согласие по ст. 6 и ст. 9 152-ФЗ. Ссылка на политику в футере это согласие не заменяет.

«Роскомнадзор в разъяснениях 2023–2024 годов квалифицирует cookies как персональные данные, если они используются для идентификации пользователя. Обработка без согласия — основание для протокола по ч. 1 ст. 13.11 КоАП.»

Минимальные требования к баннеру:

появляется при первом визите до начала любой обработки cookies;
содержит кнопки «Принять» и «Отклонить» (или «Настроить») с равным визуальным весом;
содержит ссылку на политику конфиденциальности — ту самую, из футера;
при отказе — технические cookies продолжают работу, маркетинговые и аналитические отключаются;
выбор пользователя сохраняется и не сбрасывается при каждом визите.

Для интернет-магазина с GA4, Яндекс.Метрикой и пикселями соцсетей баннер — не опция, а обязательный элемент. Каждый из этих инструментов передаёт данные за рубеж, что создаёт отдельный риск трансграничной передачи по ст. 12 152-ФЗ.

Шаг 4. Проверьте формы на сайте — согласие и отзыв подписки

Каждая форма — это отдельная точка сбора персональных данных. Для интернет-магазина это форма заказа, форма регистрации, форма подписки на рассылку, форма «перезвоните мне». С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом (ФЗ-156 от 24.06.2025). Это означает: чекбокс «Я согласен с политикой конфиденциальности» в форме заказа больше не является действительным согласием.

«Ст. 9 152-ФЗ в редакции ФЗ-156 от 24.06.2025: согласие субъекта персональных данных не может быть частью другого документа или формы. С 01.09.2025 согласие оформляется как отдельный документ с обязательными реквизитами.»

Что нужно исправить в формах:

заменить универсальный чекбокс «согласен с политикой» на отдельное поле согласия с полным текстом или ссылкой на отдельный документ согласия;
для email-рассылок — реализовать механизм двойного подтверждения (double opt-in) и хранить лог согласий;
в каждом письме рассылки — ссылка на отзыв подписки, которая работает немедленно без дополнительных действий;
форма отзыва подписки не должна требовать авторизацию или ввод паролей.

Шаг 5. Учтите специфику маркетплейсов и программ лояльности

Если бизнес работает через маркетплейс — Wildberries, Ozon, Яндекс.Маркет — вопрос о том, кто является оператором персональных данных покупателя, неоднозначен. По сложившейся позиции: маркетплейс является самостоятельным оператором в части покупки, продавец — в части своих прямых коммуникаций с покупателем (рассылки, программы лояльности, отзывы).

Для продавца на маркетплейсе это означает:

собственный сайт или лендинг с программой лояльности — требует собственной политики и ссылки в футере;
рассылки по базе покупателей маркетплейса — только при наличии отдельного согласия, полученного напрямую;
если покупатель дал согласие маркетплейсу — это не согласие продавцу на рассылки.

Программы лояльности создают отдельный пул персональных данных: история покупок, предпочтения, накопленные бонусы. Это самостоятельная цель обработки, которую нужно описать в политике с указанием срока хранения данных после прекращения участия в программе.

Если вы маркетолог интернет-магазина и используете GA4, программу лояльности или работаете через маркетплейс — каждый из этих инструментов создаёт самостоятельный риск по ч. 1 или ч. 6 ст. 13.11 КоАП. Юристы DATUM проверят комплаенс по чек-листу из 38 пунктов.

Заказать аудит 152-ФЗ

Шаг 6. Соберите итоговый чек-лист перед публикацией

После выполнения предыдущих шагов проверьте финальный список. Это минимальный набор для интернет-магазина, прошедшего базовый комплаенс по 152-ФЗ.

Что подготовить перед публикацией ссылки на политику

Политика конфиденциальности с обязательными разделами по ч. 2 ст. 18.1 152-ФЗ — актуальная редакция, не старше 2025 года.
Ссылка «Политика конфиденциальности» в футере на всех страницах сайта — включая мобильную версию.
Баннер cookies с равнозначными кнопками «Принять» и «Отклонить», активный до начала сбора cookies.
Отдельные документы согласия в формах (не чекбокс «согласен с политикой») — по ФЗ-156 от 24.06.2025, действует с 01.09.2025.
Ссылка на отзыв подписки в каждом письме рассылки — работает без авторизации и сразу.

Типовые ситуации: что происходит, если шаги не выполнены

Ситуация 1. Политика есть, но ссылки в футере нет или она ведёт на 404. При дистанционной проверке по индикаторам риска РКН фиксирует отсутствие доступа к политике. Протокол по ч. 3 ст. 13.11 КоАП — штраф до 60 000 рублей для юрлица. Устранение нарушения до вынесения постановления смягчает ответственность, но не отменяет её. При первичном нарушении для субъекта малого предпринимательства возможна замена штрафа на предупреждение по ст. 4.1.1 КоАП.

Ситуация 2. На сайте установлен GA4, баннера cookies нет, в политике написано «мы используем Google Analytics». GA4 передаёт данные пользователей на серверы Google (США) — это трансграничная передача по ст. 12 152-ФЗ без уведомления РКН и без согласия субъектов. Одновременно нарушены ч. 1 ст. 13.11 (обработка без основания) и ч. 6 ст. 13.11 (если cookies — неавтоматизированная обработка без соблюдения условий хранения). Совокупный штраф по двум частям — до 160 000 рублей, при повторном нарушении — до 800 000 рублей.

Ситуация 3. Интернет-магазин собирает согласия через чекбокс «согласен с политикой» в форме заказа, изменений после 01.09.2025 не вносил. Согласие, совмещённое с договором оферты или формой заказа, с 01.09.2025 недействительно по ст. 9 152-ФЗ в редакции ФЗ-156. Протокол по ч. 2 ст. 13.11 КоАП — штраф от 300 000 до 700 000 рублей за обработку без надлежащего согласия. Стратегия: немедленно разделить форму согласия, сохранить дату внедрения изменений как доказательство.

Как это работает на практике

Кейс 1. Интернет-магазин электроники (Центральный ФО, осень 2025). Директор по маркетингу обратился после получения запроса РКН в рамках дистанционной проверки: регулятор зафиксировал отсутствие баннера cookies при использовании Яндекс.Метрики и пикселя ВКонтакте. Политика конфиденциальности в футере была, но не содержала раздела об аналитических инструментах. Юристы DATUM подготовили обновлённую политику, внедрили баннер с раздельными категориями согласия и направили ответ в РКН с подтверждением устранения нарушений в течение 10 рабочих дней. Протокол по ч. 6 ст. 13.11 был составлен, однако с учётом добровольного устранения мировой суд назначил минимальный штраф.

Кейс 2. SaaS-платформа для ритейла (Северо-Западный ФО, начало 2026). CTO и директор по маркетингу работали без политики для b2b-клиентов: на сайте была политика для конечных пользователей, но не для партнёров-ритейлеров, чьи данные обрабатывались через интеграционные формы. При аудите DATUM выявлено также отсутствие раздела о трансграничной передаче (платёжный процессор Stripe, серверы в ЕС). Подготовлен комплект ОРД из 38 документов, включая политику для b2b, уведомление РКН о трансграничной передаче и форму согласия для партнёров.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка политики, форм согласия, cookies и трансграничной передачи по 38 пунктам.
Комплект ОРД под ключ — политика конфиденциальности, формы согласий, баннер cookies, регламент ответа субъектам.
Защита при штрафе в арбитраже — обжалование протоколов по ч. 3 и ч. 6 ст. 13.11, применение ст. 4.1.1 КоАП.

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если через cookies возможна идентификация конкретного пользователя. Это относится к аналитическим и маркетинговым cookies, включая идентификаторы рекламных систем. Техническим (сессионным) cookies, необходимым для работы сайта, статус ПДн, как правило, не присваивается. Основание для обработки маркетинговых cookies — согласие субъекта по ст. 9 152-ФЗ, оформленное через баннер до начала сбора.

2. Можно ли использовать GA4 после ограничений по трансграничной передаче?

Использование GA4 формально допустимо, но требует выполнения нескольких условий: получение согласия пользователей на cookies через баннер, отражение трансграничной передачи в политике конфиденциальности, уведомление РКН о передаче данных в США по ст. 12 152-ФЗ. Без выполнения этих требований GA4 создаёт риски по ч. 1 и ч. 6 ст. 13.11 КоАП одновременно. Также необходимо настроить анонимизацию IP в параметрах GA4 и минимизировать срок хранения данных в аккаунте.

3. Кто оператор персональных данных — маркетплейс или продавец?

Они являются самостоятельными операторами в отношении разных массивов данных. Маркетплейс — оператор данных покупателя в части транзакции. Продавец становится самостоятельным оператором, когда получает данные напрямую: при подписке на рассылку, регистрации в программе лояльности, заполнении форм на собственном сайте. Согласие, данное маркетплейсу, не распространяется на рассылки продавца — для них нужно самостоятельное согласие по ст. 9 152-ФЗ.

4. Что грозит за отсутствие баннера cookies?

Обработка cookies без согласия пользователя квалифицируется по ч. 1 ст. 13.11 КоАП (обработка ПДн без надлежащего правового основания) — штраф для юрлица от 150 000 до 300 000 рублей. Если cookies передаются в рекламные системы без согласия, дополнительно возникает риск по ч. 6 ст. 13.11. Повторное нарушение по ч. 1.1 ст. 13.11 — штраф от 300 000 до 500 000 рублей.

5. Как правильно оформить отзыв подписки по закону?

Ссылка на отзыв подписки обязательна в каждом письме рассылки. По ст. 9 152-ФЗ субъект вправе отозвать согласие в любой момент; по ст. 20 152-ФЗ оператор обязан прекратить обработку в течение 30 дней после получения отзыва (для рассылок на практике — немедленно или в течение ближайшего рабочего дня). Ссылка на отписку не должна требовать авторизации или повторного ввода данных. Сохраняйте лог отписок: он подтверждает исполнение требования при проверке РКН.

6. Нужно ли переоформлять старые согласия, полученные до 01.09.2025?

По ФЗ-156 от 24.06.2025 обратной силы нет: согласия, полученные до 01.09.2025 в прежнем порядке (в том числе через чекбокс в форме), действуют до их отзыва или истечения срока. Переоформлять ранее собранные согласия закон не требует. Однако все новые согласия — с 01.09.2025 — должны оформляться отдельным документом с реквизитами, перечисленными в ст. 9 152-ФЗ. Форма «согласен с политикой» в форме заказа для новых пользователей с этой даты недействительна.

Итог

Ссылка на политику конфиденциальности в футере — видимая часть комплаенса по 152-ФЗ. За ней стоит цепочка из шести элементов: актуальный документ, баннер cookies, корректные формы согласия, механизм отписки, учёт специфики маркетплейса и отдельная работа с программами лояльности. Каждый из этих элементов создаёт самостоятельное основание для протокола по ст. 13.11 КоАП, если не выполнен.

Юристы DATUM сопровождают интернет-магазины, SaaS-платформы и маркетплейсных продавцов в приведении обработки персональных данных в соответствие с 152-ФЗ — от аудита до комплекта ОРД под ключ.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики для маркетплейсов.

3 декабря 2026 года