152-ФЗ для интернет-магазина: пошаговый чек-лист

Интернет-магазин обрабатывает значительный объём персональных данных покупателей: ФИО, телефон, email, адрес доставки, история заказов, данные банковских карт (через платёжные системы). При использовании аналитики собираются IP-адреса, cookies, данные о поведении на сайте.

Помимо данных покупателей, магазин обрабатывает данные сотрудников (кадровый учёт) и контрагентов (поставщики, курьерские службы). Каждая из этих категорий субъектов требует отдельного правового основания для обработки.

Сбор данных начинается с момента, когда посетитель заполняет первую форму на сайте — будь то регистрация, подписка на рассылку или оформление заказа. С этого момента владелец магазина является оператором ПДн.

Минимальный набор документов включает: политику конфиденциальности для сайта, пользовательское соглашение, политику cookies, согласие на обработку ПДн (чекбокс при заказе), положение об обработке ПДн и уведомление в Роскомнадзор.

Политика конфиденциальности размещается на отдельной странице сайта и описывает: какие данные собираются, зачем, кому передаются (курьерские службы, платёжные системы), как защищаются и как долго хранятся. Ссылка на политику обязательна под каждой формой сбора данных.

Пользовательское соглашение определяет правила работы с сайтом и магазином. Политика cookies информирует о сборе данных через файлы cookie и системы аналитики.

При оформлении заказа покупатель должен дать согласие на обработку своих данных. Для интернет-магазина допустима электронная форма согласия — чекбокс перед кнопкой «Оформить заказ» со ссылкой на политику конфиденциальности.

Текст чекбокса: «Даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности». Оформление заказа без отметки чекбокса должно быть технически невозможно.

Отдельное согласие требуется на маркетинговые рассылки (SMS, email). Подписка на рассылку и согласие на обработку данных для исполнения заказа — это разные правовые основания, и их нельзя объединять в один чекбокс.

Интернет-магазины активно используют системы аналитики (Яндекс.Метрика, Google Analytics), рекламные пиксели (VK, Яндекс.Директ, Facebook), ретаргетинг и персонализацию. Все эти технологии собирают данные посетителей через cookies.

Необходимо: разместить cookie-баннер с информацией о типах cookies и возможностью выбора, описать используемые cookies в политике конфиденциальности, получить согласие на использование аналитических и рекламных cookies.

Технические cookies (корзина, авторизация) можно использовать без согласия, так как они необходимы для работы сайта. Аналитические и маркетинговые требуют согласия пользователя.

При доставке заказа данные покупателя (ФИО, телефон, адрес) передаются курьерской службе. При оплате — платёжной системе. Это передача ПДн третьим лицам, которая должна быть отражена в документах.

В политике конфиденциальности указываются все категории получателей данных: службы доставки, платёжные агрегаторы, маркетинговые платформы. С каждым партнёром рекомендуется заключить соглашение о поручении обработки ПДн.

Если магазин использует зарубежные сервисы (платёжные шлюзы с серверами за границей, аналитику), необходимо обеспечить локализацию первичного сбора данных на территории РФ.

Типичные нарушения интернет-магазинов: отсутствие политики конфиденциальности на сайте (штраф до 60 000 руб.), сбор данных без согласия через формы без чекбокса (штраф до 700 000 руб.), рассылка без согласия на маркетинг (штраф до 500 000 руб.).

Отдельный риск — утечка базы покупателей. С 2025 года за утечку данных более 1 000 субъектов штраф составляет от 3 до 15 млн руб. При повторной утечке — оборотный штраф до 3% годовой выручки.

Для минимизации рисков магазин должен: разместить все необходимые документы на сайте, настроить чекбоксы на формах, подать уведомление в Роскомнадзор, обеспечить защиту базы данных и регулярно проверять актуальность документов.