Перейти к содержанию
инструкция 14 января 2029 По состоянию на 14 января 2029

Уведомление пользователей о смене политики

Смена политики конфиденциальности без уведомления пользователей — нарушение ст. 18.1 ФЗ-152 и ст. 10.1 ФЗ-152, при обнаружении которого РКН вправе возбудить дело по ч. 3 или ч. 2 ст. 13.11 КоАП.
С 30.05.2025 штраф за обработку ПДн без надлежащего согласия достигает 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Для интернет-магазина, маркетплейса или сервиса рассылок — каждое изменение политики требует конкретного сценария уведомления.
→ Если вы маркетолог и правите политику конфиденциальности или меняете состав cookies — у вас есть чёткий порядок действий: 6 шагов, чтобы остаться в рамках 152-ФЗ.

Интернет-магазины и маркетплейсы меняют политики конфиденциальности регулярно: подключают новый аналитический инструмент, добавляют партнёра по рассылкам, обновляют баннер cookies после предписания РКН. Каждое такое изменение запускает обязанности оператора перед субъектами персональных данных. Ниже — пошаговый порядок уведомления пользователей о смене политики с привязкой к конкретным нормам и типовым ошибкам e-commerce.

Когда смена политики конфиденциальности требует уведомления пользователей?

Оператор обязан публиковать политику обработки ПДн и обеспечивать неограниченный доступ к ней — это прямое требование ч. 2 ст. 18.1 ФЗ-152. Если содержание политики меняется, пользователи должны об этом знать. Обязанность уведомить возникает в трёх случаях:

  • Появляются новые цели обработки. Например, интернет-магазин начинает использовать данные покупателей для таргетированной рекламы — цель, которой раньше не было.
  • Меняется состав обрабатываемых данных. Подключили систему аналитики, которая собирает cookies как ПДн по позиции РКН, — состав данных расширился.
  • Появляется новый получатель данных. Передаёте email-базу партнёрскому агрегатору рассылок — это новый обработчик по поручению, о котором субъект вправе знать.
«Ст. 18.1 ФЗ-152 — оператор обязан опубликовать политику обработки ПДн и обеспечить к ней свободный доступ. Отсутствие актуальной политики или её недоступность — самостоятельный состав по ч. 3 ст. 13.11 КоАП (штраф для юрлица 30 000–60 000 ₽ в редакции с 30.05.2025).»

Отдельный триггер — программы лояльности: если бонусная программа изменила порядок обработки данных участников (новый партнёр, новый канал коммуникаций), изменения в политике требуют уведомления всех активных участников, а не только новых.

Cookies в позиции РКН квалифицируются как ПДн, если позволяют идентифицировать пользователя. Подключение нового трекера или смена платформы аналитики (например, переход с одного GA4-аккаунта на другой) означает изменение состава обрабатываемых данных — и обязанность уведомить.

Меняете политику, но не знаете, кого и как уведомлять?

Если вы маркетолог и правите документы конфиденциальности после изменений в аналитике, рассылках или партнёрских интеграциях — каждая ошибка в порядке уведомления создаёт риск по ч. 2 или ч. 3 ст. 13.11 КоАП. До получения предписания РКН проще устранить пробел, чем объяснять его инспектору. Юристы DATUM проведут аудит и подготовят актуальный пакет документов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 1. Определите категорию изменения и объём уведомления

Не все правки политики одинаковы. Разграничьте изменения по весу:

  • Технические правки (исправление реквизитов, замена URL) — публикация обновлённой версии с датой изменения достаточна.
  • Расширение целей или состава данных — требуется явное уведомление пользователей и, в ряде случаев, получение нового согласия по ст. 9 ФЗ-152.
  • Изменение правовых оснований обработки — например, переход с договорного основания на согласие — требует переоформления согласий по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): отдельным документом, с обязательными реквизитами.

Если изменение затрагивает cookies и трекинговые инструменты — проверьте, не образует ли новая конфигурация трансграничную передачу данных. GA4 с сервером Google в ЕС или США технически передаёт данные за рубеж; после ужесточения локализации с 01.07.2025 (ФЗ-233) и изменений регулирования это требует отдельного анализа и, при необходимости, уведомления РКН.

Шаг 2. Подготовьте актуальную редакцию политики конфиденциальности

Новая редакция политики должна соответствовать требованиям ч. 2 ст. 18.1 ФЗ-152. Обязательные разделы для интернет-магазина и маркетплейса:

  • Наименование и реквизиты оператора.
  • Цели обработки и правовые основания по каждой цели (ст. 6 ФЗ-152).
  • Категории обрабатываемых ПДн, включая cookies и данные аналитики.
  • Перечень третьих лиц (обработчиков по поручению): агрегаторы рассылок, CRM, аналитические сервисы.
  • Порядок и условия трансграничной передачи, если применимо (ст. 12 ФЗ-152).
  • Права субъектов и порядок их реализации (ст. 14, 21 ФЗ-152).
  • Срок обработки и порядок уничтожения данных.

Добавьте в начало раздел «История изменений» с датами редакций — это снижает риск спора с РКН об актуальности документа и служит доказательством того, что пользователи имели доступ к актуальной версии.

Шаг 3. Разместите обновлённую политику и зафиксируйте дату публикации

Политика конфиденциальности должна быть размещена в постоянно доступном месте: в подвале сайта, в личном кабинете пользователя, в мобильном приложении — везде, где пользователь взаимодействует с сервисом. Требования к публикации:

  • Прямая ссылка без дополнительных кликов: текст «Политика конфиденциальности» кликабелен на каждой странице.
  • Дата последнего обновления — в шапке документа.
  • Версия для печати или скачивания в форматах PDF или HTML.

Для маркетплейсов: если вы агрегируете продавцов, каждый продавец — самостоятельный оператор по ПДн покупателей в части обработки для своих целей (выполнение заказа, гарантийное обслуживание). Политика маркетплейса описывает только обработку на уровне платформы; продавцы обязаны иметь собственные политики.

«Ст. 10.1 ФЗ-152 — распространение ПДн допустимо только с отдельного согласия субъекта. Дефолтное молчание при смене политики не равно новому согласию. Если новая редакция политики предполагает распространение данных — нужно отдельное согласие по правилам ст. 10.1.»

Шаг 4. Уведомите пользователей и зафиксируйте факт уведомления

Способ уведомления зависит от канала коммуникации и категории изменения. Для интернет-магазина и сервисов e-commerce применимы следующие форматы:

  • Email-рассылка по базе зарегистрированных пользователей — с темой «Обновление политики конфиденциальности», датой вступления в силу и ссылкой на полный текст.
  • Push-уведомление в мобильном приложении или личном кабинете — для активных пользователей.
  • Баннер на сайте — при входе или на главной странице, с явным указанием на изменения и кнопкой «Ознакомиться».
  • Всплывающий блок (pop-up) при первом входе после даты обновления политики.

При расширении целей обработки или добавлении новых трекеров (cookies) — баннер cookies требует обновления. Баннер должен содержать: описание используемых cookies, правовое основание (согласие по ст. 6 п. 1 ФЗ-152 или законный интерес), кнопки принятия и отказа, ссылку на актуальную политику. Кнопка «Отказаться» должна быть равнозначна по размеру кнопке «Принять» — иначе это манипуляция согласием, что квалифицируется как нарушение ч. 6 ст. 13.11 КоАП в контексте условий хранения данных.

Зафиксируйте дату рассылки, список получателей (hash-файл или выгрузка из CRM), скриншот баннера с датой — эти материалы потребуются при проверке РКН как доказательство надлежащего уведомления.

Если маркетолог подключил новый трекер или обновил партнёра по рассылкам — у вас есть 30 рабочих дней на включение изменений в реестр операторов РКН (ст. 22 ФЗ-152). Пропустите срок — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Юристы DATUM проверят уведомление в реестре и актуализируют сведения.

Заказать аудит 152-ФЗ

Шаг 5. Обновите уведомление в реестре операторов РКН

Если изменение политики влечёт изменение сведений, поданных в уведомлении о намерении обрабатывать ПДн (ст. 22 ФЗ-152), оператор обязан направить уведомление об изменении сведений через личный кабинет на pd.rkn.gov.ru. Срок включения изменений в реестр — 30 дней.

Что потребует актуализации реестровой записи:

  • Изменение целей обработки.
  • Изменение категорий данных.
  • Появление новых получателей или обработчиков по поручению.
  • Изменение срока хранения.
  • Начало трансграничной передачи в страну, не указанную в реестровой записи.

Форма уведомления об изменении сведений — по Приказу РКН №180 от 28.10.2022. Подача через pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Неуведомление или несвоевременное уведомление — штраф по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽ для юридического лица в редакции с 30.05.2025).

Шаг 6. Проверьте порядок отзыва согласия и обработку отказов

При смене политики часть пользователей захочет отозвать согласие или отписаться от рассылок. Оператор обязан обеспечить простой механизм отзыва (ст. 9 ФЗ-152). Для e-commerce это означает:

  • Ссылка «Отписаться» в каждом маркетинговом письме — обязательный элемент.
  • Механизм отзыва согласия на обработку данных в личном кабинете — без звонка в поддержку.
  • Возможность управления cookies через баннер или настройки — отдельно по категориям (аналитика, маркетинг, функциональные).

После отзыва согласия оператор обязан прекратить обработку и уничтожить данные в сроки, установленные политикой, если нет иного правового основания (например, выполнение договора или хранение по требованию закона). Срок исполнения требования об уничтожении — по ст. 21 ФЗ-152, как правило, 7 рабочих дней с момента поступления требования.

Для программ лояльности: выход из программы не всегда означает отзыв всех согласий — зависит от структуры правовых оснований. Если данные обрабатываются частично на основании договора (участие в программе), часть обработки продолжается до завершения срока хранения по договорным обязательствам.

Типовые ошибки маркетолога при смене политики конфиденциальности

Сценарий 1. Подключён новый партнёр по email-рассылкам без обновления политики. Интернет-магазин передаёт базу подписчиков новому агрегатору рассылок. Политика конфиденциальности не обновлена, пользователи не уведомлены. При жалобе одного подписчика РКН фиксирует передачу данных третьему лицу, не указанному в политике. Квалификация — ч. 1 ст. 13.11 КоАП (обработка в целях, не предусмотренных документами оператора), штраф для юрлица 150 000–300 000 ₽. Стратегия: перед подключением нового обработчика — обновить политику, уведомить базу, заключить договор поручения обработки по ст. 6 п. 3 ФЗ-152.

Сценарий 2. Баннер cookies обновлён, но реестровая запись — нет. После подключения новой аналитики маркетолог обновил баннер cookies и политику на сайте, но забыл актуализировать уведомление в реестре операторов РКН. При плановой проверке инспектор РКН выявляет несоответствие. Неуведомление об изменении сведений — штраф до 300 000 ₽ по ч. 10 ст. 13.11 КоАП. Стратегия: каждое изменение состава обрабатываемых данных = задача в CRM с дедлайном «подать изменение в РКН» в течение 30 дней.

Сценарий 3. Рассылка об обновлении политики не содержит механизма отказа. Компания направляет письмо «Мы обновили политику» без кнопки «Отписаться» и без механизма управления согласиями. Это нарушение ст. 9 ФЗ-152 о праве отзыва согласия и требований к коммерческим рассылкам. Стратегия: шаблон письма об обновлении политики всегда содержит блок управления согласиями — ссылки на личный кабинет и кнопку отписки.

Что подготовить перед сменой политики конфиденциальности

  • Актуальная редакция политики с датой обновления и разделом «История изменений».
  • Шаблон email-уведомления пользователям с описанием изменений, датой вступления в силу и ссылкой на полный текст.
  • Обновлённый баннер cookies с раздельным управлением категориями (аналитика, маркетинг, функциональные).
  • Форма уведомления об изменении сведений для реестра РКН (Приказ РКН №180).
  • Договор поручения обработки с новым обработчиком (если изменение связано с подключением третьего лица).

Как это применяется на практике

Кейс 1. Онлайн-ретейлер (Центральный ФО, осень 2025) подключил новую CRM с аналитикой поведения пользователей. Директор по маркетингу обновил политику конфиденциальности и баннер cookies в течение 5 дней, направил рассылку по базе с описанием изменений, актуализировал реестровую запись в РКН. При последующей внеплановой проверке нарушений по обработке ПДн через новый инструмент выявлено не было — оператор подтвердил уведомление базой рассылки и скриншотами баннера с датами.

Кейс 2. Маркетплейс (Северо-Западный ФО, начало 2026) получил жалобу пользователя на изменение условий программы лояльности без уведомления. РКН провёл внеплановую проверку, выявил расхождение между фактической обработкой данных участников программы и опубликованной политикой. По итогам проверки оператор получил предписание об устранении нарушений, штраф по ч. 3 ст. 13.11 КоАП в диапазоне десятков тысяч рублей. Устранение заняло 3 недели — подготовка актуальной политики, рассылка уведомлений и актуализация реестровой записи.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookie-идентификатор позволяет прямо или косвенно идентифицировать конкретного пользователя. Технические сессионные cookies, не позволяющие идентификации, как правило, не квалифицируются как ПДн. Аналитические и маркетинговые cookies, связывающие поведение с профилем пользователя, подпадают под действие ФЗ-152, и их обработка требует правового основания — как правило, согласия по ст. 6 п. 1 ФЗ-152.

2. Можно ли использовать GA4 после ограничений?

GA4 с передачей данных на серверы Google за пределами РФ формально образует трансграничную передачу по ст. 12 ФЗ-152. После ужесточения требований локализации с 01.07.2025 использование GA4 требует: анализа правового основания, уведомления РКН о трансграничной передаче, если страна назначения не включена в перечень адекватной защиты, и отражения этого в политике конфиденциальности. Полный запрет на GA4 законом не установлен, но порядок соблюдения норм требует юридической проработки.

3. Кто оператор: маркетплейс или продавец?

Зависит от цели обработки. Маркетплейс — оператор в части данных, обрабатываемых для функционирования платформы (регистрация, доставка через собственную логистику, аналитика). Продавец — самостоятельный оператор в части данных, передаваемых ему для выполнения заказа и последующего обслуживания. Оба обязаны иметь отдельные уведомления в реестре РКН и политики конфиденциальности, отражающие их собственные цели обработки по ст. 22 ФЗ-152.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера cookies при использовании аналитических и маркетинговых cookies означает отсутствие согласия пользователя на обработку его ПДн. Это основание для возбуждения дела по ч. 2 ст. 13.11 КоАП (обработка ПДн без письменного согласия) — штраф для юрлица 300 000–700 000 ₽ в редакции с 30.05.2025. При повторном нарушении — ч. 2.1 ст. 13.11, штраф 1 000 000–1 500 000 ₽.

5. Как оформить отзыв подписки?

Отзыв подписки на маркетинговые рассылки — это реализация права отзыва согласия по ст. 9 ФЗ-152. Оператор обязан обеспечить простой механизм: ссылка «Отписаться» в каждом письме и управление согласиями в личном кабинете без необходимости обращаться в поддержку. После отзыва — прекращение рассылок и уничтожение данных, если нет иного правового основания для хранения. Срок исполнения — в соответствии с политикой конфиденциальности, как правило, 7 рабочих дней с момента поступления требования.

6. Нужно ли новое согласие при каждом обновлении политики?

Новое согласие требуется только при изменении целей обработки или состава обрабатываемых данных, для которых согласие было правовым основанием. Технические правки (обновление реквизитов, уточнение формулировок без изменения содержания) нового согласия не требуют — достаточно уведомления. С 01.09.2025 по ФЗ-156 согласие оформляется отдельным документом; согласия, полученные до этой даты в иной форме, переоформлять не требуется — обратной силы норма не имеет.

Итог

Уведомление пользователей о смене политики конфиденциальности — это не формальность, а обязательный элемент соответствия ФЗ-152 для любого e-commerce оператора. Шесть шагов: определить категорию изменения, обновить политику, разместить и зафиксировать публикацию, уведомить пользователей по каналам, актуализировать реестровую запись РКН, обеспечить механизм отзыва согласия.

Практика DATUM по цифровым продуктам и e-commerce включает сопровождение изменений политик конфиденциальности, подготовку баннеров cookies, договоров поручения обработки и взаимодействие с реестром РКН для интернет-магазинов, маркетплейсов и сервисов рассылок.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

14 января 2029 года