инструкция 14 апреля 2028 По состоянию на 14 апреля 2028

Версионирование политики: дата изменения

Политика конфиденциальности — это живой документ. Каждое изменение должно фиксироваться датой, номером версии и уведомлением пользователей.

По ч. 2 ст. 18.1 ФЗ-152 оператор обязан публиковать актуальную политику. Отсутствие версионирования при проверке РКН — основание для штрафа по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽). Системная ошибка в дате изменения может стоить дороже: если политика не отражает реальную обработку, применяется ч. 1 ст. 13.11 (150–300 тыс. ₽).

Если вы маркетолог и последний раз обновляли политику год назад — GA4, новый маркетплейс или баннер cookies уже создали расхождение с реальностью. Разбираемся, как это исправить.

С 2025 года РКН усилил контроль над интернет-магазинами: cookies признаны ПДн, GA4 проверяется как трансграничная передача, а программы лояльности требуют отдельного основания обработки. Политика конфиденциальности на сайте, написанная «один раз навсегда», перестала защищать от штрафа. Эта инструкция — пошаговый порядок версионирования для маркетолога: когда менять политику, как фиксировать дату изменения и что делать, чтобы пользователи считались уведомлёнными.

Шаг 1. Определите, когда политика требует новой версии

Версия политики меняется не по расписанию, а по событию. Маркетолог должен вести реестр триггеров — ситуаций, при которых действующая политика перестаёт отражать реальную обработку данных.

Обязательные триггеры для интернет-магазина и e-commerce проекта:

Подключение нового аналитического сервиса (GA4, Яндекс.Метрика, Amplitude, Mixpanel) — каждый такой инструмент собирает идентификаторы и передаёт их за рубеж или в облако.
Запуск или изменение программы лояльности — обработка карточных данных, истории покупок, поведенческого профиля требует отдельного правового основания по ст. 6 ФЗ-152.
Новый канал рассылки (email, push, SMS, мессенджеры) — каждый канал — отдельное согласие по ст. 9 ФЗ-152.
Выход на маркетплейс в роли продавца или подключение маркетплейса как канала продаж — меняется состав операторов и объём передаваемых данных.
Изменение структуры cookies на сайте: добавление пикселей Meta/VK, ретаргетинговых тегов, счётчиков рекламных сетей.
Изменение состава подрядчиков, обрабатывающих ПДн по поручению (ч. 3 ст. 6 ФЗ-152): смена CRM, ESP, колл-центра, склада фулфилмента.
Поправки в законодательстве: с 01.09.2025 изменились требования к согласиям по ФЗ-156; с 01.07.2025 — ужесточена локализация.

«Ст. 18.1 ФЗ-152 обязывает оператора публиковать документ, определяющий политику обработки ПДн, и обеспечивать к нему неограниченный доступ. Содержание документа должно соответствовать фактической обработке — иначе это уже нарушение ч. 1 ст. 13.11 КоАП как обработка, не соответствующая целям и основаниям.»

Практическое правило: если за последние три месяца маркетинговый стек изменился хотя бы в одном пункте из перечисленных — политика требует аудита и, вероятно, новой версии.

Политика обновлялась больше шести месяцев назад?

За полгода в среднем e-commerce проекте меняется 3–5 подрядчиков или инструментов, обрабатывающих ПДн. Каждое изменение — потенциальное расхождение с опубликованной политикой. РКН при проверке сравнивает дату последнего изменения документа с реальным составом обработки. Юристы DATUM проведут аудит политики по чек-листу из 38 пунктов и выдадут план устранения расхождений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Выберите формат версионирования

Стандартный формат версии для политики — сочетание номера и даты. Оба элемента обязательны: номер позволяет однозначно идентифицировать версию в переписке с регулятором, дата — доказать, что на момент обращения субъекта действовала именно эта редакция.

Рекомендуемый формат:

Номер версии — числовой (v1.0, v1.1, v2.0). Минорная версия (v1.0 → v1.1) — при точечных правках: добавлен один подрядчик, уточнена цель. Мажорная (v1.x → v2.0) — при структурном изменении: смена правового основания для ключевой категории ПДн, добавление новой категории (биометрия, специальные категории), полная переработка раздела о cookies.
Дата вступления в силу — в формате ДД.ММ.ГГГГ, отдельно от даты редактирования черновика. Важно: дата «вступает в силу» — это дата публикации на сайте, а не дата подписания внутреннего приказа.
История версий — таблица или нумерованный список в конце документа или на отдельной странице: версия, дата, краткое описание изменений.

Минимальная строка истории версий выглядит так: «v1.2 от 15.07.2025 — добавлены сведения об обработке cookies через Яндекс.Метрику, уточнён срок хранения данных программы лояльности». Такая запись при проверке РКН показывает, что оператор отслеживает изменения системно, а не по требованию.

Если у сайта несколько доменов или мобильное приложение — версионирование ведётся отдельно для каждого, потому что состав обработки может различаться.

Шаг 3. Зафиксируйте дату изменения в документе и на сайте

Дата изменения должна быть видна без скачивания документа — это требование РКН при дистанционных проверках. Регулятор проверяет страницу политики через парсер: если дата не находится в тексте страницы, документ считается без даты.

Что зафиксировать при каждом обновлении

Дата вступления в силу — в шапке документа, крупным шрифтом, не в подвале PDF.
Номер версии — рядом с датой, в том же блоке.
Строка в истории версий — описание изменений одним предложением.
Дата публикации новой версии на сайте — совпадает с датой вступления в силу (или позднее, но не раньше).
Дата уведомления пользователей — email-рассылка, всплывающий баннер или push: зафиксировать в CRM или ESP с подтверждением отправки.

Технически дата ставится в мета-тег страницы (dateModified в Schema.org) и в видимый заголовок документа. Это позволяет поисковикам и регулятору видеть актуальность одновременно. Если политика размещена как PDF — дата обновляется и в свойствах файла, и в тексте страницы, на которой файл опубликован.

Ошибка, которую допускают 9 из 10 интернет-магазинов: дата стоит в PDF, но страница не обновлялась. РКН при проверке видит страницу с кешем двухлетней давности и формирует протокол по ч. 3 ст. 13.11 как за отсутствие публично доступной политики.

Шаг 4. Уведомите пользователей об изменениях

Уведомление — не формальность. По ст. 9 ФЗ-152 согласие действительно только в пределах тех целей и операций, которые были в нём указаны на момент получения. Если вы добавили новую цель обработки или нового подрядчика — согласие на это действие у вас ещё нет. Публикация новой версии политики без уведомления не равна получению согласия.

Порядок уведомления зависит от характера изменений:

Редакционные правки (уточнение формулировок, добавление контактных данных ответственного) — достаточно баннера на сайте и записи в истории версий без повторного получения согласия.
Новая цель обработки или новая категория ПДн — обязательная email-рассылка по базе с кратким описанием изменений и ссылкой на новую версию. Для существующих пользователей — запрос нового согласия, если старое не охватывало новую операцию.
Изменение срока хранения в сторону увеличения — уведомление плюс возможность для субъекта отозвать согласие по ст. 9 ФЗ-152.

«Ст. 10.1 ФЗ-152: распространение ПДн допустимо только при наличии отдельного согласия с явным указанием целей распространения. Дефолт молчания — обработка только для нужд оператора. Если вы передаёте данные в рекламные сети (Meta Pixel, ретаргетинг) — это распространение, требующее отдельного согласия.»

Минимальный стандарт уведомления для e-commerce: email-рассылка за 7–10 дней до вступления новой версии в силу плюс баннер на сайте в день публикации. В письме — ссылка на страницу с историей версий и кнопка «Отписаться от рассылки» как способ реализации права субъекта.

Баннер cookies при этом — отдельный элемент, не часть уведомления об обновлении политики. Баннер фиксирует первичное согласие на cookies при входе на сайт; уведомление об изменении политики — информирование уже существующих пользователей.

Если маркетолог подключил новый пиксель или запустил программу лояльности — у вас есть 30 дней до следующей плановой проверки РКН, чтобы синхронизировать политику с реальностью. После этого каждый день расхождения — риск штрафа по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). Юристы DATUM соберут комплект ОРД под ключ и актуализируют политику под ваш маркетинговый стек.

Собрать ОРД под ключ

Как версионирование работает на практике: типовые ситуации

Ситуация 1. Маркетолог подключил GA4 и не обновил политику. Интернет-магазин (Центральный ФО, лето 2025) использовал GA4 с осени 2024 года. Политика конфиденциальности последний раз обновлялась в 2023 году — GA4 в ней не упоминался. При внеплановой проверке РКН зафиксировал передачу идентификаторов пользователей в Google LLC (США) без уведомления регулятора о трансграничной передаче по ст. 12 ФЗ-152 и без отражения этой операции в политике. Результат: протокол по ч. 1 ст. 13.11 (обработка, не соответствующая заявленным целям) и предписание об уведомлении о трансграничной передаче. Штраф — в диапазоне 150–300 тыс. ₽; предписание выполнено за 30 дней.

Ситуация 2. Продавец на маркетплейсе не разграничил роли операторов. Продавец на крупном российском маркетплейсе (Приволжский ФО, осень 2025) публиковал единую политику конфиденциальности для собственного сайта и для заказов через маркетплейс. При обращении субъекта с запросом об уничтожении данных (ст. 21 ФЗ-152) выяснилось, что в политике не указан маркетплейс как самостоятельный оператор части ПДн. Компания не смогла выполнить требование субъекта в части данных, хранящихся на стороне маркетплейса, в 10-рабочих дней срок (ст. 20 ФЗ-152), что повлекло протокол по ч. 4 ст. 13.11 (40–80 тыс. ₽). После версионирования политика разграничила роли, и повторных обращений с аналогичной проблемой не поступало.

Ситуация 3. Email-рассылка после обновления политики без нового согласия. Компания (Северо-Западный ФО, начало 2026) обновила политику, добавив партнёрские рассылки как новую цель обработки email-адресов. Уведомление пользователям не отправляла, новое согласие не собирала. Первая же партнёрская рассылка повлекла жалобы в РКН. Регулятор квалифицировал ситуацию по ч. 1 и ч. 2 ст. 13.11 как обработку без надлежащего согласия. Штраф по совокупности составил несколько сотен тысяч рублей; компания дополнительно столкнулась с отписками 30% базы при повторном сборе согласий.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка политики и ОРД по 38 пунктам, план устранения нарушений.
Комплект ОРД под ключ — актуальная политика конфиденциальности, согласия, приказы, журналы.
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП.

Частые вопросы

1. Считаются ли cookies персональными данными?

Да, по позиции РКН, сформированной в 2024–2025 годах. Cookie-идентификаторы, которые позволяют отследить поведение конкретного пользователя на сайте, подпадают под определение ПДн по ст. 3 ФЗ-152 (любая информация, относящаяся к определённому или определяемому физическому лицу). Сбор cookies без баннера согласия — основание для штрафа по ч. 1 или ч. 2 ст. 13.11 КоАП в зависимости от категории данных. Политика конфиденциальности обязана содержать раздел о cookies с указанием их типов, целей и третьих лиц, которым передаются идентификаторы.

2. Можно ли использовать GA4 после ограничений?

Использование GA4 не запрещено, но требует двух обязательных действий. Первое — уведомление РКН о трансграничной передаче ПДн в США по ст. 12 ФЗ-152, поскольку Google LLC не входит в перечень стран с адекватной защитой. Второе — отражение передачи данных в GA4 в политике конфиденциальности с указанием цели (аналитика), категории данных (идентификаторы устройств, IP) и получателя (Google LLC). Без этих шагов каждый сеанс GA4 на сайте создаёт длящееся нарушение ч. 1 ст. 13.11 КоАП.

3. Кто оператор: маркетплейс или продавец?

Оба, но в разных объёмах. Маркетплейс — оператор данных покупателя в части, необходимой для исполнения договора с покупателем (доставка, оплата, поддержка). Продавец — оператор в части данных, которые он получает напрямую: email для рассылки, телефон для связи, адрес для доставки через собственный склад. Если продавец использует маркетплейс как канал сбора лидов и передаёт данные в свою CRM — это уже самостоятельная обработка с отдельным правовым основанием по ст. 6 ФЗ-152. Политика продавца должна явно разграничивать эти роли.

4. Что грозит за отсутствие баннера cookies?

Штраф по ч. 1 ст. 13.11 КоАП — от 150 000 до 300 000 ₽ для юридического лица за обработку данных (cookies как ПДн) без надлежащего правового основания. При повторном нарушении — ч. 1.1 ст. 13.11, от 300 000 до 500 000 ₽. Дополнительный риск: если через cookies передаются данные за рубеж (GA4, Meta Pixel) без уведомления РКН о трансграничной передаче — применяется самостоятельный состав. Все штрафы суммируются.

5. Как оформить отзыв подписки?

По ст. 9 ФЗ-152 субъект вправе в любой момент отозвать согласие на обработку ПДн, и оператор обязан прекратить обработку в разумный срок. Для email-рассылок стандарт — ссылка «отписаться» в каждом письме с немедленным (не позднее 3 рабочих дней) исключением из базы. Политика конфиденциальности обязана содержать раздел «Как отозвать согласие» с конкретным способом: адрес email, форма на сайте или почтовый адрес. Отсутствие механизма отзыва — нарушение ст. 9 ФЗ-152 и основание для протокола по ч. 5 ст. 13.11 (50–90 тыс. ₽).

Итог

Версионирование политики конфиденциальности — это не бюрократия, а инструмент управления риском. Каждое изменение маркетингового стека, не отражённое в документе с актуальной датой, — это длящееся нарушение ст. 18.1 ФЗ-152. При проверке РКН сравнивает дату последнего обновления политики с реальным составом обработки: расхождение в три месяца и более почти всегда означает протокол.

Юристы DATUM сопровождают e-commerce компании и интернет-магазины в приведении политик конфиденциальности в соответствие с актуальным маркетинговым стеком: GA4, рекламные пиксели, программы лояльности, маркетплейсы. Аудит политики занимает 5–7 рабочих дней, результат — актуализированный документ с историей версий и инструкцией по уведомлению пользователей.

Нужно привести политику в соответствие с 152-ФЗ?

Юристы DATUM специализируются на политиках конфиденциальности для интернет-магазинов и e-commerce проектов. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Оценим расхождения за 2 часа после первого звонка.