152-ФЗ для интернет-магазина: что проверить прямо сейчас

Где интернет-магазин собирает персональные данные

Прежде чем разбирать документы, полезно пройтись по всем точкам сбора. Владельцы магазинов часто упускают половину из них.

Регистрация и личный кабинет. Имя, email, телефон, дата рождения. Иногда фото профиля. Кажется, немного, но это полноценные ПДн.

Оформление заказа. ФИО получателя, адрес доставки, контакты. Если покупателей несколько (подарки, корпоративные закупки) — данные разных людей.

Оплата. Сами реквизиты карты магазин обычно не хранит — их забирает эквайер. Но факт транзакции, сумма и привязка к личности покупателя — это тоже обработка ПДн.

Доставка. Если магазин работает через СДЭК, Boxberry, Почту России — передаёт ПДн третьим лицам. По 152-ФЗ это поручение обработки: нужен договор с пунктом об обязательствах перевозчика.

Рассылки. Email, SMS, пуши. Отдельная история со своими правилами (об этом ниже).

Отзывы и UGC. Имя или ник, фото, иногда данные из профиля соцсети через OAuth. Если отзыв публикуется с именем и фото — это распространение ПДн, на которое нужно отдельное письменное согласие (ст. 10.1 152-ФЗ).

Аналитика и cookie. Яндекс.Метрика, пиксели соцсетей, коллтрекинг. IP-адрес и идентификаторы сессии РКН и суды в 2025–2026 всё чаще квалифицируют как ПДн (ст. 3 152-ФЗ: «прямо или косвенно»). Статический IP — однозначно ПДн. Если на сайте стоит Метрика или пиксель ВКонтакте, магазин де-факто оператор.

Какие документы обязательны

Их четыре — пятый нужен, если ведёте рассылки.

Политика обработки персональных данных

Ст. 18.1 ч. 2 152-ФЗ прямо говорит: оператор, собирающий ПДн через интернет, обязан опубликовать политику на сайте. Держать файл в архиве мало: политику нужно опубликовать как страницу, доступную по прямой ссылке.

Что должно быть внутри: перечень собираемых данных по каждой точке сбора, цели обработки, основания (согласие, договор, закон), сроки хранения, список третьих лиц (доставка, платёжная система, аналитика), порядок реализации прав субъекта.

Отсутствие политики или её публикации — ч. 3 ст. 13.11 КоАП. Для юрлиц: от 30 000 до 60 000 рублей.

Согласие на обработку персональных данных

Нужно для каждой формы, где собираются ПДн. Технически это чекбокс рядом с формой: непредустановленный (пользователь ставит сам), с текстом согласия и ссылкой на политику.

Обработка без надлежащего согласия — ч. 2 ст. 13.11. Юрлицам: от 300 000 до 700 000 рублей. Повторно — до 1 500 000 рублей (ч. 2.1).

Отдельное согласие на рекламную рассылку

С 01.09.2025 (ФЗ-156) одна галочка под всё не работает. Согласие на обработку ПДн и согласие на рассылку — два разных документа/действия. Нельзя вшить в договор, оферту или совместить с согласием на обработку.

Основание для рассылок: ст. 15 152-ФЗ + ст. 18 ФЗ «О рекламе» № 38-ФЗ. Контроль у ФАС. Штраф за спам без согласия — ст. 14.3 КоАП, для юрлиц от 100 000 до 500 000 рублей.

Политика в отношении cookie

Если на сайте есть Яндекс.Метрика, пиксели, ретаргетинг — нужен раздел о cookie в политике (или отдельный документ) и баннер с реальным выбором. Формулировка «продолжая пользоваться сайтом, вы соглашаетесь» не подходит: нужны кнопки «Принять» и «Только необходимые» до начала сбора аналитических cookie. Технические cookie (сессия, корзина) согласия не требуют. Отсутствие описания cookie в политике — ч. 3 ст. 13.11 (до 60 000 рублей для юрлиц).

Внутренние документы оператора

Приказ о назначении ответственного за обработку ПДн (ст. 22.1 152-ФЗ, для юрлиц — обязательно). Положение о порядке обработки. Без этого при проверке у инспектора возникают вопросы.

Уведомление в Роскомнадзор: когда и как

Обязаны подать почти все — юрлица, ИП, самозанятые, которые собирают ПДн клиентов или посетителей сайта. ФЗ-266 с 01.09.2022 отменил большинство исключений. Осталось ровно три: государственные ИС безопасности; обработка исключительно вручную без автоматизации (1С, CRM, формы на сайте — это уже автоматизация); транспортная безопасность.

Если у вас на сайте форма заказа — вы обязаны уведомить РКН.

Подают через pd.rkn.gov.ru. Вариантов три: с УКЭП, через Госуслуги (отдельная ЭЦП не нужна — достаточно подтверждённого аккаунта, для юрлица — привязанного к организации) или бумагой в территориальный орган. Большинство магазинов идут через Госуслуги — удобнее всего.

Срок: до начала обработки данных. Магазин уже работает? Нужно подать сейчас. При изменениях в составе обработки — уведомить не позднее 15-го числа следующего месяца. При прекращении обработки — в течение 10 рабочих дней. РКН вносит в реестр в течение 30 дней.

Просрочка или неподача — ч. 10 ст. 13.11 КоАП. Для юрлиц и ИП: от 100 000 до 300 000 рублей.

Перед подачей проверьте реестр — возможно, оператор уже там (актуально для тех, кто подавал раньше). Повторно подавать не нужно, но стоит убедиться, что данные актуальны.

Локализация: где должны храниться данные покупателей

С 01.07.2025 (ФЗ-23) это уже не рекомендация, а прямой запрет: первичный сбор ПДн граждан РФ — только в базы на территории России. Хранить данные за рубежом после первичной записи закон не запрещает, но сама первая запись должна попасть в российскую базу.

Практически это значит:

Штраф за нарушение локализации — ч. 8 ст. 13.11 КоАП. Для юрлиц: от 1 000 000 до 6 000 000 рублей; для ИП — так же, как для юрлица. Повторное нарушение (ч. 9) — от 6 000 000 до 18 000 000 рублей.

Если у вас подключён Google Analytics — это потенциальное нарушение с 01.07.2025: GA отправляет идентификаторы пользователей на зарубежные серверы до попадания в российскую базу. Яндекс.Метрика хранит данные в России.

Чек-лист соответствия для интернет-магазина

Пройдитесь по каждому пункту. Пропуск в любом — нужно исправлять.

Документы

• [ ] Политика обработки ПДн опубликована на сайте (доступна по прямой ссылке, не PDF в архиве)
• [ ] Согласие на обработку — у каждой формы (регистрация, заказ, обратная связь)
• [ ] Чекбоксы не предустановлены — пользователь ставит сам
• [ ] Рядом с чекбоксом — ссылка на политику и текст согласия
• [ ] Согласие на рассылку — отдельное действие (с 01.09.2025, ФЗ-156)
• [ ] Политика cookie / описание cookie в политике
• [ ] Cookie-баннер с реальным выбором (до начала аналитических cookie)
• [ ] Внутренний приказ об ответственном за обработку ПДн (ст. 22.1 152-ФЗ)
• [ ] Договоры (соглашения) с перевозчиками и платёжными системами о порядке обработки ПДн

Технические настройки

• [ ] Хостинг и БД — в России
• [ ] CRM — российская или с данными в России
• [ ] Email-рассылки — через российского провайдера
• [ ] Аналитика — Яндекс.Метрика (Google Analytics — риск с 01.07.2025)
• [ ] Ссылка на политику — в футере на каждой странице

Регулятор

• [ ] Уведомление в РКН подано (проверить на pd.rkn.gov.ru)
• [ ] Данные в реестре актуальны (добавлены все цели и категории)

Если публикуете отзывы с именем и фото

• [ ] Письменное согласие на распространение ПДн (ст. 10.1 152-ФЗ) — от каждого автора

17 пунктов. Закрыли все — у вас реальный порядок, а не видимость порядка.

Штрафы в 2026: конкретные цифры

ФЗ-420 переработал ст. 13.11 КоАП, изменения вступили в силу с 30.05.2025. Штрафы выросли кратно. Несколько важных цифр для интернет-магазина:

По ч. 1.1, 8–18 ИП несёт ответственность как юрлицо (примечание 1 к ст. 13.11 КоАП). По ч. 2 — как должностное лицо (100 000 – 300 000 р.). По ч. 2.1 — отдельные суммы для ИП.

Про «РКН начнёт штрафовать автоматически за любое несоответствие с 1 марта 2026» — это маркетинговый миф, такой нормы нет. Корректнее так: в 2026 РКН усилил автоматизированный мониторинг и массовое сканирование сайтов. При выявлении нарушения практика — сначала требование об устранении (обычно около 10 рабочих дней), затем протокол. Первичное нарушение суды нередко заменяют предупреждением по ст. 4.1.1 КоАП. Но мониторинг стал массовым, и штрафы, если до них дошло, уже совсем другие.

Как привести магазин в порядок: с чего начать

Проблема большинства магазинов не в злом умысле, а в том, что этим никто специально не занимался. Сайт вырос из конструктора, формы подключили, Метрику поставили — и всё. Документы добавили скопированные «из интернета», чекбоксы сделали предустановленными, потому что «так всегда делали».

Разумный порядок старта:

1. Пройдитесь по сайту и выпишите все формы и точки сбора данных. Это займёт час, но без этого непонятно, что именно закрывать документами.
2. Проверьте, есть ли вы в реестре РКН на pd.rkn.gov.ru. Если нет — уведомление нужно подать первым делом.
3. Составьте или обновите политику под реальный список точек сбора. Шаблон «из интернета» без адаптации не защищает.
4. Расставьте согласия по формам: непредустановленный чекбокс с текстом и ссылкой на политику.
5. Разделите согласие на ПДн и согласие на рассылку — если ведёте email или SMS.
6. Проверьте, где физически хранятся данные (хостинг, CRM, рассылки).
7. Поставьте cookie-баннер с реальным выбором.

Если не хочется разбираться во всём этом самостоятельно, на пдн152.рф это делается под ключ за 2–4 рабочих дня: документы, настройка форм и согласий, уведомление в РКН через Госуслуги без ЭЦП. Тариф «Под ключ» — 14 900 рублей. Бесплатный экспресс-аудит за 2 минуты — на пдн152.рф/#quiz.

---

_Материал информационный, актуален на 2026 год. Не заменяет юридическую консультацию по конкретной ситуации._

Пошаговый порядок действий

1. Составьте карту точек сбора данных Пройдитесь по сайту и выпишите все формы и места, где вводятся или автоматически собираются ПДн: регистрация, заказ, оплата, доставка, рассылка, отзывы, аналитика. Это займёт час, но без этой базы непонятно, что именно закрывать документами.
2. Проверьте реестр РКН Зайдите на pd.rkn.gov.ru и найдите свою организацию. Если вас нет — уведомление нужно подать до начала (или продолжения) обработки. Если есть — проверьте, что данные актуальны: добавлены все цели, субъекты и обработчики.
3. Подайте уведомление в РКН через Госуслуги Войдите с подтверждённым аккаунтом (для юрлица — привязанным к организации). Отдельная УКЭП не нужна. Заполните форму на pd.rkn.gov.ru: цели обработки, категории субъектов, перечень данных, сроки хранения, обработчики.
4. Составьте политику обработки ПДн Опишите каждую точку сбора из карты: какие данные, для чего, на каком основании, сколько хранятся, кому передаются. Шаблон из интернета без адаптации под ваши реальные процессы не защищает. Опубликуйте документ на сайте — доступным по прямой ссылке.
5. Расставьте чекбоксы согласия по формам У каждой формы, где собираются ПДн — непредустановленный чекбокс с текстом согласия и ссылкой на политику. Пользователь ставит галочку сам. Техническая фиксация факта согласия (дата/время) — бремя доказывания на операторе.
6. Разделите согласие на ПДн и согласие на рассылку Если ведёте email, SMS или мессенджер-рассылки — с 01.09.2025 (ФЗ-156) это два отдельных чекбокса. Один нельзя совместить с другим и нельзя вшивать в договор или оферту.
7. Проверьте, где хранятся данные покупателей Хостинг, БД, CRM, рассылочный сервис, аналитика — всё, куда попадают данные граждан РФ при первичном сборе, должно быть в России (ФЗ-23, с 01.07.2025). Зарубежные сервисы без российской локализации — риск штрафа от 1 млн рублей.
8. Поставьте cookie-баннер с реальным выбором Баннер должен появляться до начала сбора аналитических cookie и предлагать реальный выбор: «Принять все» и «Только необходимые». Технические cookie (сессия, корзина) согласия не требуют. Описание всех типов cookie — в политике.

Материал носит информационный характер, актуален на 2026 год и не заменяет юридическую консультацию по вашему конкретному случаю.