152-ФЗ для интернет-магазина

Обновлено: март 2026 · 13 мин чтения

Интернет-магазин собирает персональные данные на каждом шаге: оформление заказа, регистрация, подписка на рассылку, обратный звонок. Каждая из этих форм попадает под действие 152-ФЗ. С 2025 года штрафы за нарушения выросли до 25 млн рублей, а Роскомнадзор активно проверяет именно e-commerce. Разбираемся, что конкретно нужно сделать, чтобы торговать спокойно.

Содержание

  1. 1. Какие ПДн собирает интернет-магазин
  2. 2. Формы сбора данных: где нужно согласие
  3. 3. Обязательные документы
  4. 4. Передача данных третьим лицам: доставка и оплата
  5. 5. Штрафы для интернет-магазинов
  6. 6. Чек-лист для интернет-магазина

1. Какие персональные данные собирает интернет-магазин

Персональные данные — это любая информация, которая позволяет прямо или косвенно идентифицировать физическое лицо. В контексте интернет-магазина это не только ФИО и паспортные данные. Телефон, email-адрес, cookie-идентификатор, IP-адрес, история покупок — всё это ПДн по закону.

Типичный интернет-магазин собирает данные в нескольких точках. Вот какие именно данные попадают в каждую форму:

Форма / точка сбораСобираемые данные
Оформление заказаФИО, телефон, email, адрес доставки, комментарий
Регистрация / личный кабинетФИО, email, телефон, дата рождения, история заказов
Подписка на рассылкуEmail, иногда имя
Обратный звонок / чатТелефон, имя
Отзывы и вопросыИмя, email, текст отзыва
Программа лояльностиФИО, телефон, email, дата рождения, предпочтения

Важно: платёжные данные (номер карты, CVV) обычно не хранятся на стороне магазина — их обрабатывает платёжный агрегатор. Но если вы сохраняете хотя бы последние 4 цифры карты для истории заказов — это тоже ПДн.

2. Формы сбора данных: где нужно согласие

Каждая форма, которая запрашивает у пользователя хотя бы одно поле с персональными данными, требует получения согласия. Разберём конкретные случаи.

Форма оформления заказа

Самая важная форма в интернет-магазине. Здесь покупатель указывает ФИО, телефон, адрес доставки, email. Правовое основание обработки — исполнение договора купли-продажи (ст. 6 ч. 1 п. 5 152-ФЗ). Однако это не освобождает от обязанности информировать пользователя.

Рекомендация: добавьте под кнопкой «Оформить заказ» текст вида «Нажимая кнопку, вы соглашаетесь с условиями оферты и политикой конфиденциальности».

Регистрация и личный кабинет

При регистрации данные сохраняются на постоянной основе. Пользователь должен дать явное согласие на обработку. Чекбокс обязателен и не должен быть отмечен по умолчанию. В личном кабинете копится история заказов, адреса доставки, платёжные методы — всё это ПДн.

Не забудьте: пользователь должен иметь возможность удалить аккаунт и все свои данные. Это прямое требование 152-ФЗ.

Подписка на рассылку

Рассылка — это отдельная цель обработки. Нельзя подписывать покупателя на рассылку автоматически при оформлении заказа. Требуется отдельный чекбокс или отдельная форма подписки с явным согласием.

Частая ошибка: предзаполненный чекбокс «Хочу получать новости и акции» при оформлении заказа. Роскомнадзор считает это нарушением — согласие должно быть добровольным.

Обратный звонок и онлайн-чат

Виджеты обратного звонка (Callibri, Envybox и подобные) и чаты собирают номер телефона или имя. Каждый такой виджет — точка сбора ПДн. Необходимо либо добавить чекбокс согласия в виджет, либо разместить текст согласия под формой. Многие владельцы магазинов забывают об этом, потому что виджет ставится через внешний сервис.

3. Обязательные документы для интернет-магазина

152-ФЗ требует от оператора персональных данных наличия нескольких документов. Для интернет-магазина ключевыми являются три.

Политика конфиденциальности

Публичный документ, описывающий порядок сбора, хранения и обработки ПДн. Обязательно размещается на сайте со ссылкой из футера каждой страницы.

Наименование и контакты оператора
Перечень собираемых данных и цели обработки
Сроки хранения и порядок уничтожения
Права субъекта ПДн и порядок их реализации
Информация о передаче данных третьим лицам
Порядок отзыва согласия

Согласие на обработку ПДн

Явное, информированное и добровольное согласие пользователя. В интернет-магазине реализуется через чекбокс, который НЕ отмечен по умолчанию.

Текст согласия со ссылкой на политику
Чекбокс не активирован по умолчанию
Указаны конкретные цели обработки
Возможность отозвать согласие в любой момент

Публичная оферта (договор купли-продажи)

Регулирует отношения между магазином и покупателем. Должна содержать раздел об обработке ПДн в рамках исполнения договора.

Раздел о персональных данных
Основание обработки — исполнение договора
Перечень третьих лиц (доставка, оплата)
Сроки хранения данных после исполнения заказа

Помимо этих документов, интернет-магазин должен подать уведомление в Роскомнадзор об обработке персональных данных через портал pd.rkn.gov.ru. Отсутствие уведомления — отдельный состав правонарушения по КоАП.

Проверьте свой интернет-магазин за 60 секунд

Автоматический аудит покажет, какие формы и документы на вашем сайте не соответствуют 152-ФЗ.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

4. Передача данных третьим лицам: доставка и оплата

Интернет-магазин не работает в изоляции. Данные покупателей передаются курьерским службам, платёжным агрегаторам, CRM-системам, сервисам рассылок. Каждая такая передача — это поручение обработки персональных данных, которое регулируется ст. 6 152-ФЗ.

Курьерские службы

Когда вы передаёте ФИО, телефон и адрес покупателя в СДЭК, Boxberry, Почту России или DPD — вы поручаете им обработку ПДн. По закону вам необходимо:

  • Заключить договор поручения обработки ПДн с каждой службой доставки
  • Указать в политике конфиденциальности, каким третьим лицам и для каких целей передаются данные
  • Получить согласие покупателя на передачу его данных (достаточно включить это в общее согласие)

Платёжные системы

ЮKassa, Robokassa, CloudPayments, Тинькофф Оплата — все они обрабатывают данные ваших покупателей. Хорошая новость: крупные платёжные агрегаторы сертифицированы по PCI DSS и имеют собственные политики обработки ПДн. Но ответственность перед покупателем несёте вы как оператор.

Убедитесь, что в вашей политике конфиденциальности указаны платёжные системы, которым передаются данные, и цели такой передачи.

CRM, аналитика и рассылки

Отдельная проблема — сервисы аналитики и маркетинга. Яндекс.Метрика, Mindbox, RetailCRM, Unisender — все они получают данные ваших клиентов. Особенно критично:

  • Google Analytics — передаёт данные на серверы в США. Без отдельного согласия пользователя на трансграничную передачу это прямое нарушение 152-ФЗ.
  • Meta Pixel (Facebook) — аналогичная ситуация. Рекомендуется отключить или заменить на Яндекс.Метрику.
  • Яндекс.Метрика — российский сервис, данные хранятся в России. Но cookie-баннер всё равно нужен.

Совет: составьте реестр всех третьих лиц, которым вы передаёте данные покупателей. Включите этот список в политику конфиденциальности. Это значительно упрощает прохождение проверок Роскомнадзора.

5. Штрафы для интернет-магазинов

С 2025 года размеры штрафов за нарушение 152-ФЗ существенно выросли. Для e-commerce наиболее актуальны следующие составы:

НарушениеШтраф (юрлица)
Обработка ПДн без согласия (нет чекбоксов в формах)150 000 — 500 000 ₽
Нет политики конфиденциальности на сайте30 000 — 60 000 ₽
Не подано уведомление в Роскомнадзор100 000 — 300 000 ₽
Хранение данных за пределами России1 000 000 — 6 000 000 ₽
Утечка персональных данных (повторно)до 25 000 000 ₽
Утечка данных (оборотные штрафы с 2025)1–3% выручки

Штрафы суммируются. Интернет-магазин без политики, без чекбоксов согласия и без уведомления в РКН рискует получить совокупный штраф от 280 000 до 860 000 рублей — и это без учёта утечек.

Реальный кейс: в 2025 году крупный интернет-магазин одежды получил штраф 500 000 ₽ за то, что формы регистрации и оформления заказа не содержали чекбоксов согласия на обработку ПДн. Магазин работал 3 года и считал, что наличия политики конфиденциальности достаточно.

6. Чек-лист для интернет-магазина

Пройдите по каждому пункту. Если хотя бы один не выполнен — ваш магазин уязвим при проверке Роскомнадзора.

На сайте размещена политика конфиденциальности с полным описанием обработки ПДн
Ссылка на политику доступна с каждой страницы (футер)
Все формы сбора данных содержат чекбокс согласия (не отмечен по умолчанию)
Текст согласия ссылается на политику конфиденциальности и указывает цели обработки
Cookie-баннер информирует о сборе cookie и позволяет отказаться
Данные передаются курьерским службам и платёжным системам только с согласия и на основании договора
SSL-сертификат установлен, HTTP перенаправляется на HTTPS
Подано уведомление в Роскомнадзор (pd.rkn.gov.ru)
Данные хранятся на серверах в России (или есть локализация)
Разработан порядок реагирования на утечки (уведомление РКН за 24 часа)

Проверьте свой интернет-магазин бесплатно

Автоматический аудит на соответствие 152-ФЗ. Политика, формы, cookie, SSL, трекеры — результат за 60 секунд.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

← Согласие на обработкуПолитика конфиденциальности →Cookie-баннер →

Данная статья носит информационный характер и не является юридической консультацией. Для получения юридически значимых заключений обратитесь к квалифицированному юристу в области защиты персональных данных.