Утечка на маркетплейсе: кто отвечает
Маркетолог редко думает об ответственности за утечку персональных данных — это «не его зона». Но именно маркетинговая инфраструктура чаще всего становится точкой входа: баннер cookies без реального согласия, GA4 с передачей данных в США, программа лояльности без отдельного согласия на рассылки. После 30.05.2025 вся эта цепочка — прямой путь к протоколу Роскомнадзора. Инструкция разбирает, кто несёт ответственность при утечке на маркетплейсе и как действовать, если инцидент уже произошёл или вот-вот будет обнаружен.
Шаг 1. Определите, кто оператор персональных данных в вашей цепочке
Первый и ключевой вопрос при утечке — кто юридически является оператором персональных данных. Ответ определяет, кто несёт ответственность перед Роскомнадзором и субъектами.
Если вы — интернет-магазин, торгующий через собственный сайт, то вы оператор в полном смысле ст. 3 ФЗ-152: самостоятельно определяете цели и состав обработки данных покупателей. Если вы продавец на маркетплейсе (Wildberries, Ozon, Яндекс Маркет), ситуация сложнее: маркетплейс собирает данные покупателей, но вы как продавец получаете имена, адреса, телефоны для исполнения заказа. Формально вы тоже становитесь оператором в части полученных данных — со всеми вытекающими обязательствами.
Практическое последствие: если произошла утечка из вашей CRM или из данных, переданных вам маркетплейсом, — РКН предъявит претензии именно вам. Договор поручения с маркетплейсом снижает риск, но не исключает его полностью: ВС РФ устойчиво придерживается позиции, что оператор отвечает за действия обработчика по поручению.
Проверьте прямо сейчас: есть ли у вас заключённый договор поручения с маркетплейсом или подрядчиком по рассылкам? Если нет — вы обрабатываете ПДн самостоятельно и несёте полную ответственность.
Не знаете, как оформлена ответственность между магазином и маркетплейсом?
Если маркетолог не понимает, кто оператор в его цепочке — юридической ответственности это не отменяет. Юристы DATUM проведут аудит ролей и помогут выстроить договорную конструкцию, которая выдержит проверку РКН.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 2. Проверьте, считаются ли cookies и данные аналитики персональными данными на вашем сайте
Роскомнадзор официально занял позицию: cookies могут являться персональными данными, если позволяют идентифицировать конкретного пользователя — через связку с email, телефоном, ID в CRM или профилем программы лояльности. Для интернет-магазина с личным кабинетом покупателя это почти всегда так.
GA4 (Google Analytics 4) передаёт данные на серверы Google в США. По ст. 12 ФЗ-152, передача персональных данных в страну, не обеспечивающую адекватный уровень защиты, требует уведомления Роскомнадзора. США не входят в перечень стран с адекватной защитой по приказу РКН. Это означает, что если ваш сайт использует GA4 без уведомления о трансграничной передаче — вы уже нарушаете ст. 12 ФЗ-152.
Отсутствие баннера согласия на cookies или его некорректная реализация (все трекеры включены по умолчанию) — состав по ч. 6 ст. 13.11 КоАП. Для проверки: откройте свой сайт в режиме инкогнито и посмотрите, какие cookie-файлы установлены до того, как вы нажали «Принять» или «Настроить».
Для программ лояльности: если email-адрес участника используется и для исполнения программы, и для рекламных рассылок — нужно два отдельных согласия или одно с явным указанием обеих целей. С 01.09.2025 (ФЗ-156) согласие на обработку оформляется отдельным документом, не встроенным в пользовательское соглашение или оферту.
Шаг 3. Зафиксируйте факт утечки и запустите внутреннее расследование
Если произошёл инцидент — утечка данных покупателей, несанкционированный доступ к CRM, слив базы рассылок — первое действие: зафиксировать время обнаружения. От этого момента отсчитываются 24 и 72 часа по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187 от 14.11.2022.
Распределение ответственности при типичных маркетинговых инцидентах выглядит так. Если утечка произошла из ESP (email-сервис рассылок) — проверьте договор: если это договор поручения, ESP — обработчик, вы — оператор и обязаны уведомить РКН. Если договор оказания услуг без поручения — оба могут считаться самостоятельными операторами, но ваши данные утекли именно через их инфраструктуру. Если утечка из маркетплейса — вы как продавец получили копию данных покупателей; если они утекли из вашей системы, ответственность на вас.
Что подготовить для уведомления РКН об утечке
- Время и дату обнаружения инцидента — зафиксировать письменно с временной меткой
- Категории и приблизительное число затронутых субъектов (покупателей, участников программы лояльности)
- Описание предполагаемого источника и канала утечки (CRM, ESP, API маркетплейса)
- Перечень принятых мер по локализации инцидента на момент первичного уведомления
- Контактные данные ответственного за обработку ПДн по ст. 22.1 ФЗ-152
Срок первичного уведомления — 24 часа. Срок не восстанавливается. Неуведомление или просрочка — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Через 72 часа подаётся отчёт о результатах внутреннего расследования с описанием причин, объёма утечки и мер по устранению.
Шаг 4. Оцените, какой штраф грозит и как снизить риск
После 30.05.2025 размер штрафа за утечку зависит от числа затронутых субъектов или идентификаторов. Для маркетинговых баз данных (база покупателей интернет-магазина, программа лояльности) пороги выглядят так.
Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Утечка от 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Утечка свыше 100 000 субъектов — 10–15 млн ₽ по ч. 14. Повторная утечка при наличии предыдущего привлечения — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.
Для малого бизнеса: если компания является микропредприятием, суд вправе применить ст. 4.1.1 КоАП и заменить штраф предупреждением — при первичном нарушении и отсутствии имущественного вреда. Это не применяется к оборотным составам (ч. 15 ст. 13.11). Дела по ст. 13.11 с 28.12.2025 рассматривают мировые судьи (ФЗ-508).
Практика 2025–2026 годов показывает, что большинство дел по новым нормам пока завершаются минимальными штрафами — суды нарабатывают практику. Арбитражный суд Москвы по делу с утечкой 26 млн записей назначил 150 тыс. ₽, применив нормы редакции до 30.05.2025: утечка произошла до вступления ФЗ-420 в силу. Аналогичный инцидент после 30.05.2025 — уже ч. 14, от 10 млн ₽.
Если у вас произошла утечка или РКН уже запросил пояснения — у вас есть 24 часа на первичное уведомление. Юристы DATUM возьмут реагирование под контроль: уведомление, расследование, отчёт за 72 часа.
Реагировать на утечкуШаг 5. Разберите типовые сценарии для маркетолога
Сценарий 1. Утечка из ESP при рассылке. Маркетолог использует зарубежный сервис email-рассылок. База покупателей — 80 000 адресов — утекла через уязвимость в API сервиса. Оператор — интернет-магазин — обязан уведомить РКН за 24 часа. Договор с ESP без поручения означает, что сервис обрабатывал данные как самостоятельный оператор. Протокол будет составлен в отношении магазина по ч. 13 ст. 13.11 (80 000 субъектов — 5–10 млн ₽). Параллельно — проверка наличия уведомления о трансграничной передаче по ст. 12 ФЗ-152. Стратегия: немедленное уведомление, фиксация мер локализации, договор поручения с ESP на будущее, юридическое сопровождение в РКН.
Сценарий 2. Продавец на маркетплейсе получил данные покупателей и хранит их в таблице. Небольшой продавец скачивал данные покупателей из личного кабинета маркетплейса в Excel для учёта. После взлома корпоративной почты таблица утекла. Данных — 3 500 строк (имя, адрес, телефон). Продавец как самостоятельный оператор обязан подать уведомление в РКН за 24 часа. Квалификация — ч. 12 ст. 13.11 (от 1 000 до 10 000 субъектов), штраф 3–5 млн ₽. При первичности и статусе микропредприятия — возможна ст. 4.1.1. Стратегия: уведомление, документирование инцидента, переговоры о смягчении.
Сценарий 3. Сайт с GA4 без уведомления о трансграничной передаче. РКН проводит плановую проверку интернет-магазина и обнаруживает, что GA4 установлен без уведомления о трансграничной передаче и без соответствующего раздела в политике конфиденциальности. Утечки как таковой нет, но данные систематически передавались в США. Состав — ч. 8 ст. 13.11 (нарушение ч. 5 ст. 18 ФЗ-152 о локализации) и ч. 1 ст. 13.11 (обработка без надлежащего основания). Суммарный штраф может составить от 1 млн до нескольких миллионов рублей. Стратегия: до проверки — уведомить РКН, заменить GA4 на российский аналог или настроить server-side передачу через российский прокси.
Как это применяется на практике
Кейс 1. Интернет-магазин в Приволжском ФО (осень 2025) допустил утечку базы программы лояльности — около 15 000 участников. Данные появились в открытом доступе через бот в Telegram. Компания уведомила РКН за 20 часов, через 71 час направила отчёт с описанием мер. Протокол составлен по ч. 13 ст. 13.11 (10 000–100 000 субъектов, штраф 5–10 млн ₽). В суде первой инстанции с учётом оперативного уведомления, первичности нарушения и наличия политики конфиденциальности назначен штраф в нижней трети диапазона. Ключевой фактор — задокументированное время первичного уведомления.
Кейс 2. Продавец на маркетплейсе (Центральный ФО, начало 2026) хранил данные покупателей в облачной таблице без контроля доступа. После слива таблицы в сеть — около 2 200 записей — РКН инициировал проверку. Отдельного уведомления об утечке подано не было (продавец не классифицировал инцидент как утечку ПДн). Протокол по ч. 12 ст. 13.11 (1 000–10 000 субъектов) и отдельно по ч. 11 ст. 13.11 (неуведомление об инциденте, 1–3 млн ₽). Итоговая нагрузка оказалась значительно выше, чем если бы уведомление было подано своевременно. Стратегия сопровождения — обжалование в части срока: продавец не знал о факте утечки вовремя, срок 24 часов исчисляется с момента обнаружения.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка маркетинговой инфраструктуры, cookies, рассылок, политик
- Комплект ОРД под ключ — политика конфиденциальности, согласия, баннер cookies, договор поручения
- Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да, если cookie-идентификатор позволяет связать сессию с конкретным пользователем: через аккаунт, email, телефон или профиль программы лояльности. Для интернет-магазина с личным кабинетом это выполняется почти всегда. Следствие: установка аналитических и маркетинговых cookies до получения согласия нарушает ст. 9 ФЗ-152 и ст. 10.1 ФЗ-152, что образует состав по ч. 2 ст. 13.11 КоАП (штраф до 700 тыс. ₽). Технически-необходимые cookies (сессия, корзина) согласия не требуют.
2. Можно ли использовать GA4 после ограничений?
Технически — да, но требует ряда мер. Если GA4 передаёт персональные данные (идентификаторы, IP, данные аккаунта) на серверы Google в США, необходимо уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152. Альтернатива: server-side таггинг через российский сервер, где первичная обработка происходит в РФ, а в GA4 уходят обезличенные агрегаты — но это требует технической настройки и юридической оценки конкретной схемы. Самый безопасный вариант — российские аналитические инструменты (Яндекс Метрика) без трансграничной передачи.
3. Кто оператор: маркетплейс или продавец?
Маркетплейс — оператор в части данных, которые он собирает самостоятельно при регистрации покупателя и оформлении заказа. Продавец становится самостоятельным оператором в момент, когда получает данные покупателя (имя, адрес, телефон) для исполнения заказа и обрабатывает их в своих системах. Если между маркетплейсом и продавцом заключён договор поручения по ст. 6 ч. 3 ФЗ-152, продавец действует как обработчик. На практике большинство договоров с маркетплейсами такого поручения не содержат — юридически проверьте текущий договор.
4. Что грозит за отсутствие баннера cookies?
Отсутствие механизма получения согласия на установку необязательных cookies (аналитических, маркетинговых) — нарушение требований к согласию по ст. 9 ФЗ-152. Это состав ч. 2 ст. 13.11 КоАП (обработка ПДн без надлежащего согласия): штраф для юрлица 300 000–700 000 ₽. Если cookies используются для трансграничной передачи данных — дополнительно состав по ч. 1 ст. 13.11. РКН уже включил «отсутствие баннера согласия на cookies» в индикаторы риска для плановых и внеплановых проверок интернет-ресурсов.
5. Как оформить отзыв подписки на рассылку?
Отзыв согласия на рассылку должен быть таким же простым, как и его дача — требование ст. 9 ч. 2 ФЗ-152. Технически: кнопка «Отписаться» в каждом письме, немедленное прекращение рассылки после отписки (не «в течение 10 рабочих дней»). Юридически: факт отзыва фиксируется в системе с датой и временем. Продолжение рассылки после отзыва согласия — состав ч. 1 ст. 13.11 КоАП (обработка ПДн без законного основания). Отдельно: отзыв согласия на рассылку не означает автоматического требования уничтожить все ПДн — если есть договорные основания хранения (история заказов), данные хранятся на основании ст. 6 ФЗ-152.
6. Что делать, если 24 часа на уведомление уже прошли?
Срок 24 часов для первичного уведомления РКН по ч. 3.1 ст. 21 ФЗ-152 не восстанавливается. Если срок пропущен — нарушение ч. 11 ст. 13.11 КоАП (штраф 1–3 млн ₽) уже зафиксировано. Тем не менее уведомить РКН нужно незамедлительно даже с опозданием: просрочка смягчается, если инцидент был обнаружен позже (срок считается с момента обнаружения, а не с момента самого инцидента). Задокументируйте, когда и как стало известно об утечке — это ключевой аргумент в переговорах с регулятором и в суде.
Итог
Ответственность за утечку персональных данных на маркетплейсе или в интернет-магазине не зависит от того, кто технически допустил инцидент. Юридически отвечает тот, кто обрабатывает данные — и маркетолог, работающий с базами рассылок, GA4 и программами лояльности, напрямую формирует правовые риски компании. Cookies без согласия, GA4 без уведомления о трансграничной передаче, рассылки без отдельного согласия — каждый из этих элементов образует самостоятельный состав по ст. 13.11 КоАП.
Практика DATUM включает сопровождение интернет-магазинов и маркетплейс-продавцов по всему циклу: от аудита маркетинговой инфраструктуры до представления интересов при проверке РКН и обжалования штрафов в суде.
14 апреля 2028 года