инструкция 22 апреля 2029 По состоянию на 22 апреля 2029

Уведомление РКН для селлеров

Каждый продавец на маркетплейсе или в интернет-магазине — оператор персональных данных по ст. 3 ФЗ-152, обязанный уведомить Роскомнадзор до начала обработки ПДн.

Отсутствие в реестре операторов или устаревшее уведомление — это штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП (ред. с 30.05.2025) при первой же проверке. Использование GA4, пикселей Meta, email-рассылок без корректного уведомления добавляет риски трансграничной передачи и неправомерной обработки.

Если вы маркетолог или владелец магазина — проверьте прямо сейчас: ваша компания в реестре pd.rkn.gov.ru? Cookies у вас — это ПДн по позиции РКН, и баннер без уведомления не спасёт от штрафа.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо 7, оборотные штрафы за повторные утечки. Для продавца на Wildberries, Ozon или через собственный сайт это означает: cookies, формы заказа, email-рассылки, программы лояльности и передача данных в GA4 или CRM — каждый из этих инструментов создаёт обязанности оператора ПДн. Эта инструкция — пошаговый разбор того, как подать уведомление, что включить, где ошибаются селлеры и как избежать штрафа.

Кто обязан подать уведомление в РКН?

По ст. 22 ФЗ-152 уведомление обязан подать любой оператор до начала обработки персональных данных. Исключения — узкий список в ч. 2 ст. 22: обработка только сотрудников на основании трудового договора, обработка ПДн без использования средств автоматизации в ряде случаев. Интернет-торговля под исключения не подпадает.

Селлер становится оператором в момент, когда:

покупатель оставляет имя, телефон и адрес при оформлении заказа;
посетитель сайта идентифицируется через cookies или счётчики аналитики;
подписчик рассылки передаёт email;
участник программы лояльности регистрируется в личном кабинете.

Маркетплейс (Wildberries, Ozon, Яндекс Маркет) при этом также является самостоятельным оператором — но за обработку данных покупателей в своих системах. Продавец-партнёр маркетплейса остаётся оператором в части данных, которые он сам собирает: через личный кабинет продавца, интеграции с CRM, внешние рассылки по базе покупателей. Позиция «маркетплейс отвечает за всё» не соответствует ФЗ-152.

«Ст. 22 ФЗ-152 — оператор обязан уведомить уполномоченный орган (РКН) о намерении осуществлять обработку ПДн до начала такой обработки. Форма уведомления установлена Приказом РКН № 180 от 28.10.2022.»

Что именно нужно указать в уведомлении для интернет-магазина?

Форма уведомления содержит 20 разделов. Для e-commerce критичны следующие блоки, в которых ошибаются чаще всего.

Цели обработки. Указать все фактические цели: исполнение договора купли-продажи, доставка товара, направление рекламных и транзакционных рассылок, аналитика поведения на сайте, программы лояльности. Неполный список целей — основание для штрафа по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽): обработка в целях, не указанных в уведомлении, признаётся несовместимой с заявленными.

Категории ПДн. Для стандартного интернет-магазина: фамилия, имя, отчество; адрес доставки; телефон; email; данные о заказах; IP-адрес и cookie-идентификаторы (по позиции РКН — ПДн при возможности идентификации субъекта). Если магазин собирает данные о состоянии здоровья (диетические предпочтения, медицинские товары) — это специальная категория по ст. 10 ФЗ-152, требующая отдельного основания.

Трансграничная передача. Если вы используете GA4 (сервер Google в США), Meta Pixel, Klaviyo, Mailchimp или любой другой зарубежный SaaS — это трансграничная передача по ст. 12 ФЗ-152. Страны, не входящие в перечень стран с адекватной защитой, требуют уведомления РКН отдельно — до начала передачи. США в перечень адекватных стран не входят.

Меры защиты. Необходимо описать технические и организационные меры по ст. 19 ФЗ-152: использование HTTPS, разграничение доступа, резервное копирование, политика конфиденциальности, назначение ответственного по ст. 22.1 ФЗ-152.

Маркетолог использует GA4 и Mailchimp — это трансграничка без уведомления?

Передача данных в зарубежные сервисы аналитики и email-рассылок без уведомления РКН о трансграничной передаче — нарушение ст. 12 ФЗ-152. Штраф по ч. 1 ст. 13.11 КоАП — 150–300 тыс. ₽, при повторном — 300–500 тыс. ₽. Юристы DATUM проведут аудит ваших инструментов, определят объём нарушений и подготовят пакет документов для легализации или замены инструментов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 1. Проверьте статус в реестре операторов РКН

Откройте pd.rkn.gov.ru — раздел «Реестр операторов». Найдите свою компанию по ИНН или наименованию. Возможны три ситуации:

Компании нет в реестре. Необходимо подать уведомление до начала обработки. Если обработка уже идёт — подать как можно скорее: каждый день без уведомления — длящееся нарушение.
Компания в реестре, но данные устарели. Изменились цели, категории ПДн, появились новые инструменты (CRM, рассылочный сервис, маркетплейс). Необходимо подать уведомление об изменении сведений по форме Приказа РКН № 180.
Компания в реестре, данные актуальны. Проверьте раздел о трансграничной передаче — он часто пропускается при первичной подаче.

Шаг 2. Сформируйте перечень обрабатываемых ПДн и инструментов

До заполнения формы составьте карту обработки: для каждого инструмента — какие данные собираются, с каким основанием, куда передаются. Типичный состав для e-commerce:

Форма заказа на сайте: ФИО, телефон, адрес — основание ст. 6 п. 5 ФЗ-152 (исполнение договора).
Форма подписки на рассылку: email — основание ст. 9 ФЗ-152 (согласие), с 01.09.2025 — отдельный документ по ФЗ-156.
Cookie-баннер: IP, cookie-идентификатор, данные браузера — основание ст. 9 ФЗ-152 (согласие), отдельное от прочих оснований.
CRM (Bitrix24, AmoCRM): хранение истории заказов и обращений — основание ст. 6 п. 5.
GA4 / Яндекс.Метрика: передача поведенческих данных — при использовании зарубежного GA4 = трансграничная передача; Метрика = обработка внутри РФ (при серверах в РФ).
Программа лояльности: дата рождения, пол, история покупок — основание ст. 9 ФЗ-152.

Шаг 3. Подготовьте обязательные документы перед подачей

Уведомление без поддерживающей документации — неполный комплаенс. РКН при проверке запросит следующее:

Что подготовить до подачи уведомления

Политика обработки персональных данных (опубликована на сайте, соответствует ч. 2 ст. 18.1 ФЗ-152).
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
Форма согласия на обработку ПДн — отдельный документ с 01.09.2025 (ФЗ-156 от 24.06.2025).
Cookie-баннер с возможностью отказа от нефункциональных cookies и ссылкой на политику.
Соглашение об обработке ПДн по поручению — с каждым подрядчиком (CRM, рассылочный сервис, служба доставки).

Шаг 4. Заполните и подайте уведомление через портал РКН

Уведомление подаётся через pd.rkn.gov.ru с авторизацией через ЕСИА (Госуслуги) или УКЭП. Технические директора часто делегируют это задачу HR или юристу — ошибка: подписант должен иметь полномочия действовать от имени юрлица.

Критичные поля для e-commerce:

Раздел «Цели обработки» — перечислите все: продажа товаров, доставка, маркетинговые рассылки, аналитика, программы лояльности. Не используйте общие формулировки «улучшение сервиса» без расшифровки.
Раздел «Категории субъектов» — покупатели, подписчики, участники программы лояльности, посетители сайта.
Раздел «Трансграничная передача» — если передаёте данные в зарубежные сервисы, укажите страну и получателя. Для стран без адекватной защиты — отдельно уведомите РКН по ст. 12 ФЗ-152 до начала передачи.
Раздел «Сроки обработки» — не «бессрочно». Укажите: для покупателей — срок исковой давности + 1 год; для подписчиков — до отзыва согласия; для cookie — сессия или конкретный период.

После подачи уведомления срок включения в реестр — 30 дней (ч. 4 ст. 22 ФЗ-152). В этот период хранить квалифицированную электронную подпись и подтверждение об отправке.

Если магазин уже работает, а уведомление не подано — каждый день является длящимся нарушением. Штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП назначается без предупреждения. Юристы DATUM подготовят уведомление и документацию под ключ.

Собрать ОРД под ключ

Как это работает на практике: типовые сценарии для маркетолога

Сценарий 1. Магазин работает без уведомления, РКН пришёл с плановой проверкой.

Ситуация: небольшой интернет-магазин бытовой техники ведёт продажи через собственный сайт и Ozon. Уведомление в РКН не подавалось — владелец считал, что «маркетплейс закрывает вопрос». При плановой проверке РКН выявил: оператор не в реестре, cookie-баннер отсутствует, политика конфиденциальности не опубликована, GA4 передаёт данные в США без уведомления. Итог: четыре состава нарушений по ст. 13.11 КоАП — ч. 1 (несовместимые цели/отсутствие основания), ч. 3 (нет политики), ч. 10 (нет уведомления). Общий штраф — в несколько сотен тысяч рублей. Довод «маркетплейс отвечает за всё» суд отклонил: продавец самостоятельно собирал ПДн через форму заявки на возврат на своём домене. Стратегия: проверить все точки сбора данных на сайте и отделить их от функций маркетплейса до проверки.

Сценарий 2. Маркетолог запустил email-рассылку без отдельного согласия после 01.09.2025.

Ситуация: директор по маркетингу федерального ретейлера переоформил базу подписчиков при смене ESP-платформы (email service provider). Согласие на рассылку было включено в текст пользовательского соглашения — стандартный «галочкой». После 01.09.2025 (ФЗ-156) это несоответствует требованию отдельного документа согласия. Один из подписчиков подал жалобу в РКН. При проверке жалобы инспектор запросил форму согласия. Нарушение квалифицировано по ч. 2 ст. 13.11 КоАП (обработка без надлежащего письменного согласия) — штраф для юрлица 300–700 тыс. ₽. Стратегия: до 01.09.2025 переоформить все формы согласия на рассылку в самостоятельный документ с обязательными реквизитами по ст. 9 ФЗ-152; реализовать double opt-in с хранением лога согласия.

Сценарий 3. Cookies отсутствует баннер — жалоба конкурента в РКН.

Ситуация: интернет-магазин одежды (Сибирский федеральный округ, начало 2026 года) использовал счётчики аналитики без cookie-баннера. Конкурент направил жалобу в РКН, приложив скриншоты. РКН возбудил дело по ч. 1 ст. 13.11 (обработка ПДн без надлежащего основания) и ч. 3 (политика не соответствует требованиям ч. 2 ст. 18.1 ФЗ-152). Штраф по двум составам — суммарно в диапазоне нескольких сотен тысяч рублей. Стратегия: cookie-баннер с раздельным управлением категориями (функциональные/аналитические/маркетинговые) должен быть имплементирован до запуска счётчиков, а не одновременно с ними.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всех точек сбора данных и инструментов e-commerce.
Комплект ОРД под ключ — политика, согласия, cookie-баннер, приказы, соглашения с подрядчиками.
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП, применение ст. 4.1.1.

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если с помощью cookies можно идентифицировать конкретного пользователя (IP в связке с идентификатором устройства, история поведения на сайте). Это делает установку cookie-счётчиков без согласия нарушением ч. 1 ст. 13.11 КоАП — обработка ПДн без надлежащего правового основания. Штраф для юрлица — 150–300 тыс. ₽, при повторном нарушении — 300–500 тыс. ₽ по ч. 1.1 ст. 13.11. Для соблюдения требований необходим cookie-баннер с возможностью отказа от нефункциональных категорий.

2. Можно ли использовать GA4 после ограничений?

Технически — да, юридически — с обязательным уведомлением РКН о трансграничной передаче по ст. 12 ФЗ-152, поскольку Google LLC обрабатывает данные на серверах в США, не входящих в перечень стран с адекватной защитой ПДн. До начала передачи нужно уведомить РКН отдельно. Альтернатива — Яндекс.Метрика при условии хранения данных на серверах в РФ или серверная аналитика без передачи ПДн за рубеж.

3. Кто оператор: маркетплейс или продавец?

Оба — самостоятельные операторы в отношении разных массивов ПДн. Маркетплейс обрабатывает данные покупателей в своей инфраструктуре. Продавец остаётся оператором в части данных, которые он собирает независимо: через собственный сайт, CRM, внешние рассылки по базе покупателей, личный кабинет с историей заказов. Аргумент «маркетплейс несёт ответственность» не освобождает продавца от обязанности уведомить РКН и соблюдать ФЗ-152 в части собственной обработки.

4. Что грозит за отсутствие баннера cookies?

Отсутствие cookie-баннера при использовании счётчиков, собирающих ПДн, квалифицируется по ч. 1 ст. 13.11 КоАП — обработка ПДн без законного основания (согласие не получено). Штраф для юрлица — 150–300 тыс. ₽. Если одновременно отсутствует или не соответствует требованиям политика конфиденциальности — добавляется состав по ч. 3 ст. 13.11 (30–60 тыс. ₽). При повторном нарушении по ч. 1 — 300–500 тыс. ₽.

5. Как оформить отзыв подписки на рассылку?

Отзыв согласия на обработку ПДн для рассылки должен быть таким же простым, как его предоставление, — это требование ст. 9 ФЗ-152. Механизм: ссылка «Отписаться» в каждом письме с немедленным прекращением обработки. После отзыва согласия оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней (если нет иного основания хранения). Хранить email в стоп-листе для исключения повторной отправки — допустимо при условии минимизации данных.

Итог

Уведомление РКН для селлера — не разовая формальность, а постоянно поддерживаемый документ. Каждый новый инструмент (GA4, новый ESP, CRM, программа лояльности) потенциально изменяет состав обрабатываемых ПДн и требует актуализации уведомления. С 30.05.2025 штрафы по ст. 13.11 КоАП выросли кратно — ч. 10 за неуведомление составляет 100–300 тыс. ₽, ч. 2 за ненадлежащее согласие — 300–700 тыс. ₽.

Юристы DATUM специализируются на комплаенсе для e-commerce: от cookie-баннеров до трансграничных передач и защиты при проверках РКН. Проводим аудит, собираем пакет ОРД и сопровождаем при инцидентах.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн (позиция РКН), согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.