ФЗ-152 для интернет-магазинов: 7 типичных нарушений в карточках товаров и оформлении заказа

Почему интернет-магазины – зона повышенного риска по ФЗ-152

Интернет-магазин – это один из самых «густонаселённых» персональными данными форматов сайтов. В обычной сессии покупки оператор собирает фамилию, имя, отчество, номер телефона, адрес электронной почты, почтовый адрес доставки, иногда паспортные данные для юридического лица или крупной сделки, сведения о покупках и предпочтениях, сведения об устройствах и IP-адресах. Каждое из этих полей – это персональные данные в терминологии статьи 3 ФЗ-152, и любое нарушение в обращении с ними попадает под действие закона.

Одновременно именно интернет-магазины находятся в фокусе Роскомнадзора: отраслевой анализ проверок 2024–2025 годов показывает, что электронная коммерция стабильно входит в тройку сегментов с наибольшим числом предписаний. Причина банальна – высокая интенсивность сбора данных, большой объём пользовательских сессий и массовые интеграции с CRM, платёжными системами, службами доставки и рекламными кабинетами, каждая из которых является самостоятельной точкой риска.

По статистике РКН за 2025 год, около 38% внеплановых проверок интернет-магазинов инициированы жалобами покупателей, не получивших ответ на свой запрос о предоставлении сведений об обработке их персональных данных. Это первая строка в топе причин.

Нарушение 1. Отсутствие согласия в карточке товара

На карточке многих интернет-магазинов встречается кнопка «Сообщить о поступлении», «Задать вопрос о товаре», «Узнать цену», «Получить индивидуальное предложение». Во всплывающей форме запрашивается телефон или email. При этом чекбокс согласия либо отсутствует, либо скрыт, либо поставлен «по умолчанию».

Каждая такая форма – это самостоятельная цель обработки персональных данных, а значит требует отдельного согласия по пункту 1 части 1 статьи 6 ФЗ-152. «Одно общее согласие» на весь сайт не работает: если субъект оставил телефон в форме «Сообщить о поступлении», а потом магазин отправляет ему каталог распродаж – это уже другая цель (реклама), и требуется отдельное согласие на неё.

Как сделать правильно

  • В каждой форме сбора данных – отдельный чекбокс согласия, снятый по умолчанию
  • Рядом с чекбоксом – ссылка на политику конфиденциальности, открываемая в новой вкладке
  • Если форма предполагает маркетинговую коммуникацию – второй отдельный чекбокс согласия на рекламу
  • Нажатие кнопки отправки формы фиксируется в журнале: IP, время, поля, отмеченные чекбоксы

Нарушение 2. Массовый сбор данных при регистрации

Большая часть магазинов требует при регистрации полного набора полей: ФИО, пол, дата рождения, адрес, телефон, email, пароль. Принцип минимальности, заложенный в пункте 5 части 1 статьи 5 ФЗ-152, требует собирать только те данные, которые действительно необходимы для заявленной цели.

Если цель – просто дать покупателю возможность сохранять корзину и отслеживать заказы, достаточно логина и пароля. ФИО и адрес запрашивают на этапе оформления заказа, дата рождения – только если действительно используется в программе лояльности и это отражено в политике. Собирать всё «про запас» – прямое нарушение принципа соразмерности.

При плановой проверке магазина электроники в 2025 году РКН зафиксировал избыточный сбор: при регистрации требовался СНИЛС, хотя ни в политике, ни в целях обработки связь со СНИЛС не обосновывалась. Штраф – 100 000 ₽ плюс предписание удалить все собранные СНИЛС в течение 30 дней.

Нарушение 3. Форма оформления заказа без информирования

Форма «Оформить заказ» – это финальная точка контакта с покупателем, и здесь часто не хватает информации об обработке персональных данных. Покупатель вводит адрес, телефон, email, иногда данные получателя (если доставка на другого человека). По статье 18 ФЗ-152 оператор обязан до начала обработки уведомить субъекта о целях, сроках, категориях получателей данных.

Что должно быть рядом с кнопкой «Оформить заказ»

  • Чекбокс согласия на обработку персональных данных для исполнения договора купли-продажи
  • Перечень третьих лиц, которым передаются данные: служба доставки, платёжная система, CRM
  • Ссылка на политику конфиденциальности
  • При доставке на другого человека – отдельное уведомление о том, что оператор получает данные третьего лица

Нарушение 4. Передача данных курьерским службам без правового основания

Когда магазин передаёт данные покупателя в СДЭК, Boxberry, Почту России или локальную курьерскую службу, он становится соисполнителем обработки с этим перевозчиком. По статье 6 части 3 ФЗ-152 передача должна быть основана либо на договоре с поручением на обработку, либо на договоре, стороной которого является субъект. У большинства магазинов договоры со службами доставки не содержат пункта с поручением обработки и не отвечают требованиям части 3 статьи 6.

Как закрыть брешь

  1. Заключить дополнительные соглашения со всеми службами доставки с поручением обработки (обязательные пункты: цели, перечень данных, срок, требования к защите)
  2. В политике конфиденциальности указать список курьерских служб, которым передаются данные
  3. В форме заказа при выборе способа доставки – информировать о конкретном получателе данных

Нарушение 5. Отсутствие локализации клиентской базы

Статья 18.1 ФЗ-152 обязывает операторов размещать базы данных, используемые для первичного сбора персональных данных граждан РФ, на территории России. Интернет-магазины, использующие зарубежные SaaS-платформы (Shopify, BigCommerce, WooCommerce на зарубежном хостинге), автоматически нарушают это требование. Аналогично нарушает закон магазин на российском движке, но с базой данных MySQL/PostgreSQL на серверах DigitalOcean, AWS, Hetzner в Европе или США.

Платформа Соответствие 18.1 ФЗ-152 Комментарий
1С-Битрикс, хостинг в РФ Да Российское ПО и инфраструктура
WooCommerce, хостинг в РФ (Beget, Reg.ru, Timeweb) Да При условии размещения MySQL в России
Shopify Нет Серверы в США и Канаде, локализация невозможна
Tilda Магазин Да Инфраструктура Tilda размещена в России
InSales Да Российский облачный сервис, локализация подтверждена
Ecwid (сейчас Lightspeed) Нет Серверы за пределами РФ
Magento на AWS Europe Нет Нужен перенос на российский хостинг

Нарушение 6. Cookies и аналитика без согласия

Массовая проблема интернет-магазинов – подключение Яндекс.Метрики, Google Analytics (у кого остался), Meta Pixel, AppMetrica, Mango Office, callbackhunter, JivoChat, Carrot Quest с загрузкой скриптов до получения согласия на cookies. Плюс интеграция с рекламными пикселями ВКонтакте, MyTarget, Яндекс.Директа.

Любой из этих инструментов собирает идентификаторы устройств, которые в терминологии ФЗ-152 (после поправок 2024 года и разъяснений РКН) признаются персональными данными. Значит необходимо: получать согласие до загрузки скрипта, предоставлять возможность отказа, отражать в политике конфиденциальности.

Техническое решение

  • Cookie-banner с явными кнопками «Принять» и «Отклонить» (не просто «Принять» с крестиком закрытия)
  • Разделение скриптов на категории: обязательные (работа сайта), аналитика, маркетинг
  • Аналитика и маркетинг не загружаются до согласия пользователя
  • Сохранение факта согласия с меткой времени, IP и версией политики

Нарушение 7. Программа лояльности как «ловушка»

Программы лояльности – это отдельная сущность по обработке персональных данных. Оператор собирает дополнительные сведения: предпочтения, даты рождения, состав семьи (для семейных карт), сведения об истории покупок для профилирования. Профилирование – автоматизированное принятие решений по статье 16 ФЗ-152 – требует явного согласия и уведомления субъекта о логике и последствиях.

Типичная ошибка: при регистрации в программе лояльности чекбокс «согласен с правилами программы» одновременно включает и согласие на обработку ПДн для целей программы, и согласие на получение рекламы, и согласие на профилирование, и согласие на передачу данных партнёрам программы. Это нарушение принципа отдельного согласия на каждую цель.

Как разделить согласия в программе лояльности

  1. Согласие на обработку ПДн для регистрации в программе – обязательно
  2. Согласие на получение рекламных сообщений – отдельный чекбокс, не обязательный
  3. Согласие на автоматизированное профилирование и формирование персональных предложений – отдельный чекбокс, не обязательный
  4. Согласие на передачу данных партнёрам программы – отдельный чекбокс, не обязательный, с указанием перечня партнёров

Сеть магазинов бытовой техники в 2025 году получила штраф 400 000 ₽ за программу лояльности: один чекбокс включал четыре разные цели обработки, получить одно без других было невозможно, а отказ лишал покупателя скидок. Такую конструкцию РКН квалифицирует как «принуждение к согласию» – прямое нарушение части 4 статьи 9 ФЗ-152.

Бонус: типичные «серые зоны» интернет-магазинов

Отзывы на товары

Когда покупатель оставляет отзыв с указанием имени (даже никнейма + фото), это персональные данные. Магазин обязан информировать, что отзыв будет опубликован, срок хранения, возможность удаления по запросу. Отзыв не может публиковаться автоматически с указанием ФИО покупателя – необходимо явное согласие на публикацию.

Корзина и брошенные корзины

Многие магазины отправляют email или SMS «Вы забыли товары в корзине» через 1-3 часа после того, как покупатель добавил товар, но не завершил заказ. Это маркетинговая коммуникация – требуется отдельное согласие на рекламу (статья 18 ФЗ-38 «О рекламе» + статья 9 ФЗ-152). Использование email, полученного при регистрации, для таких напоминаний без согласия на рекламу – нарушение.

Чат-боты и онлайн-консультанты

JivoSite, Carrot Quest, Сhatra собирают переписку клиента, его контакты, идентификаторы устройства. Значит это обработка ПДн, требует информирования клиента (в начале чата – уведомление + ссылка на политику) и фиксации правового основания.

Сообщество в социальных сетях

Если магазин ведёт группу ВКонтакте, в ней публикуются отзывы клиентов с указанием их ВК-профилей, публикуются фотографии клиентов – это обработка ПДн. Нужно согласие клиента на публикацию и указание в политике. Группы в запрещённых соцсетях (Meta) добавляют риск: передача данных за границу.

Чек-лист соответствия интернет-магазина ФЗ-152

  1. Регистрация собирает минимальный набор полей, остальные – только при оформлении заказа
  2. В каждой форме обратной связи – отдельный чекбокс согласия со снятой галкой
  3. Рядом с кнопкой «Оформить заказ» – явное информирование о целях и получателях
  4. В политике конфиденциальности указаны все службы доставки и платёжные системы
  5. Со всеми контрагентами (доставка, CRM, телефония, аналитика) заключены дополнительные соглашения о поручении обработки
  6. База данных магазина размещена на серверах в РФ, зарубежные SaaS-платформы не используются для первичного сбора
  7. Cookie-banner загружает аналитические и маркетинговые скрипты только после явного согласия
  8. Согласие фиксируется в журнале: время, IP, чекбоксы, версия политики
  9. Брошенные корзины рассылаются только при наличии согласия на рекламу
  10. Программа лояльности предусматривает отдельные согласия на каждую цель
  11. Отзывы на товары публикуются с отдельного согласия
  12. Онлайн-чат информирует пользователя об обработке ПДн в первом сообщении
  13. Уведомление в РКН подано с актуальным перечнем целей и категорий данных
  14. Уполномоченное лицо за обработку ПДн назначено приказом
  15. Есть процедура ответа на запросы субъектов в срок 10 рабочих дней

Штрафы за типовые нарушения в 2026 году

Нарушение Статья КоАП Штраф для ЮЛ
Обработка без согласия (ст.6 ФЗ-152) ч.2 ст.13.11 300 000 – 700 000 ₽
Несоблюдение принципов (избыточный сбор, нарушение локализации) ч.1 ст.13.11 60 000 – 100 000 ₽
Отсутствие политики на сайте ч.3 ст.13.11 30 000 – 60 000 ₽
Непредоставление ответа субъекту ч.4 ст.13.11 80 000 – 100 000 ₽
Утечка ПДн (оборотный штраф при повторе) ч.1-3 ст.13.11.3 от 15 млн ₽ или 3% выручки
Отсутствие уведомления в РКН ч.10 ст.13.11 100 000 – 300 000 ₽

Практический порядок аудита интернет-магазина

Если вы владелец интернет-магазина и не уверены в соответствии сайта, следующий порядок действий поможет пройти аудит за 1-2 недели:

  1. День 1–2: собрать список всех форм, собирающих персональные данные (регистрация, заказ, отзывы, вопросы к товарам, подписка, обратный звонок, онлайн-чат)
  2. День 3–4: для каждой формы определить цель обработки, перечень собираемых полей, получателей данных
  3. День 5: сверить формы с политикой конфиденциальности – все ли цели и формы отражены, актуальна ли версия
  4. День 6–7: выявить и исправить формы без отдельного чекбокса согласия, убрать автоматически отмеченные чекбоксы
  5. День 8: проверить cookie-banner – блокирует ли он загрузку аналитики до согласия
  6. День 9–10: проверить, где физически размещена база данных магазина (MySQL/PostgreSQL)
  7. День 11: собрать актуальный список контрагентов (доставка, CRM, телефония) – на каких условиях передаются данные
  8. День 12: заключить или обновить поручения обработки со всеми контрагентами
  9. День 13: обновить и опубликовать новую версию политики конфиденциальности
  10. День 14: проверить уведомление в РКН, при необходимости – подать актуализацию

После аудита и устранения нарушений рекомендуется закрепить регулярные проверки: раз в квартал – актуальность политики, раз в полгода – аудит форм и контрагентов, при каждом крупном изменении сайта – внеочередная проверка соответствия ФЗ-152.