152-ФЗ для интернет-магазина: что нужно сделать в 2026 году — ПдПро
ПдПро
Электронная коммерция
1 мин чтения·

152-ФЗ для интернет-магазина: что нужно сделать в 2026 году

152-ФЗ для интернет-магазина: что нужно сделать в 2026 году
152-ФЗ для интернет-магазина: что нужно сделать в 2026 году

Для интернет-магазина 152-ФЗ о персональных данных — один из главных регуляторных рисков. Каждая форма заказа, регистрация, чат поддержки и даже счётчики аналитики — это обработка персональных данных. Роскомнадзор в 2024–2025 годах усилил мониторинг и автоматически проверяет наличие политики, корректность согласий и использование зарубежных сервисов.

С 30 мая 2025 года вступил в силу 420-ФЗ с новой редакцией ст. 13.11 КоАП. Штраф за предустановленный чекбокс или незаконную рассылку — до 700 000 рублей для юрлица. Штраф за утечку данных более 100 000 человек — до 15 миллионов рублей. Повторное нарушение — оборотный штраф до 500 миллионов. Скидка 50% при уплате штрафа по ст. 13.11 отменена.

Почему интернет-магазин — особый случай

Интернет-магазин собирает данные из множества источников одновременно:

  • Форма регистрации (ФИО, email, телефон)
  • Форма оформления заказа (адрес доставки, платёжные данные)
  • Личный кабинет (история заказов, адреса)
  • Форма подписки (email, телефон)
  • Чат поддержки (любые данные, которые сообщит клиент)
  • Аналитические системы (IP, cookie, поведение на сайте)
  • Отзывы (имя, фото, текст)

Каждый из этих случаев требует отдельного осмысления с точки зрения 152-ФЗ.

Шаг 1: Политика обработки персональных данных на сайте

Обязательно по ч. 2 ст. 18.1 152-ФЗ.

Политика должна:

  • Быть в открытом доступе — без авторизации
  • Иметь ссылку в подвале каждой страницы сайта
  • Обновляться при подключении новых сервисов

Что включить в политику для интернет-магазина:

  • Данные о компании-операторе (полное название, ИНН, адрес)
  • Перечень всех категорий собираемых данных
  • Цели (исполнение заказа, рассылки, аналитика)
  • Третьи лица, получающие данные (курьер, платёжная система, CRM-провайдер)
  • Сроки хранения
  • Cookie и аналитика — отдельный раздел
  • Права покупателя и контакты для запросов

Штраф за отсутствие политики — ч. 3 ст. 13.11 КоАП: для ИП до 20 000 руб., для юрлица до 60 000 руб.

Шаг 2: Формы согласия — правила для чекбоксов

Это самая частая зона нарушений в интернет-магазинах. Штраф за нарушение — ч. 2 ст. 13.11 КоАП: для юрлица от 300 000 до 700 000 руб.

С 01.09.2025 — новое требование 156-ФЗ

Согласие на обработку персональных данных должно быть оформлено отдельным документом и не может быть частью договора, оферты или иного документа. Если форма заказа содержит одновременно и условия продажи, и согласие на обработку ПД — это нарушение.

Правила для чекбоксов

Правило 1: Чекбокс не должен быть предустановлен Пользователь сам должен поставить галочку. Заранее отмеченный чекбокс — нарушение ч. 2 ст. 13.11 КоАП.

Правило 2: Разные цели — разные чекбоксы Нельзя одним чекбоксом охватить и согласие на обработку данных заказа, и согласие на маркетинговую рассылку. Это разные цели — нужны два отдельных чекбокса.

Правило 3: Текст должен быть информативным Недостаточно: «Я согласен с политикой конфиденциальности». Нужно: «Я даю согласие [Название компании] на обработку моих персональных данных (ФИО, email, телефон) в целях оформления и доставки заказа в соответствии с Политикой обработки ПД».

Правило 4: Ссылка на политику — обязательна В тексте согласия должна быть кликабельная ссылка на политику.

Форма заказа: пример правильной структуры

[Поля: ФИО, телефон, email, адрес доставки]

☐ Я даю согласие ООО «Название» на обработку 
  персональных данных для оформления заказа 
  [ссылка на Политику обработки ПД]

☐ Я согласен(а) получать информационные рассылки 
  о новинках и акциях. Отписаться можно в любой момент.

[КНОПКА: Оформить заказ]

Первый чекбокс — согласие на обработку для исполнения заказа (технически для этой цели согласие необязательно — есть договор, но практика требует его наличия). Второй — на рассылку (без этого рассылать нельзя). Оба согласия должны быть самостоятельными документами (требование 156-ФЗ).

Шаг 3: Cookie и аналитика — ВАЖНЫЕ ИЗМЕНЕНИЯ 2025 ГОДА

Что такое cookie с точки зрения 152-ФЗ

Cookie-файлы, которые позволяют идентифицировать конкретного пользователя (user_id, рекламные идентификаторы, трекинговые пиксели), являются персональными данными. Значит, их сбор — обработка ПД, требующая основания.

Виды cookie по степени чувствительности

Тип cookie Пример Требует согласия?
Технические (сессионные) Корзина, авторизация Нет (необходимы для работы сайта)
Аналитические Яндекс.Метрика, Google Analytics Да (если они идентифицируют пользователя)
Рекламные (ретаргетинг) Яндекс.Аудитории, ВКонтакте Pixel Да
Персонализации «Вы недавно смотрели» Нет (обезличенные)/Да (персонализированные)

Как получить согласие на cookie

В российском праве нет прямой нормы об обязательном cookie-баннере (в отличие от GDPR). Однако поскольку аналитические cookie собирают ПД — нужно либо:

  1. Разместить в Политике информацию об использовании cookie и указать, что, продолжая пользоваться сайтом, пользователь соглашается
  2. Или использовать cookie-баннер с явным согласием

Рекомендация: для крупных интернет-магазинов с ретаргетингом — cookie-баннер обязателен.

Google Analytics и зарубежные сервисы аналитики — нарушение с 01.07.2025

С 1 июля 2025 года вступил в силу 23-ФЗ от 28.02.2025, который прямо запрещает обработку персональных данных граждан РФ с использованием баз данных, находящихся за пределами России.

Google Analytics хранит данные на зарубежных серверах — это нарушение ч. 8 ст. 13.11 КоАП. Штраф для юрлица: от 1 до 6 миллионов рублей. Для ИП — те же суммы (по примечанию 1 к ст. 13.11 ИП приравниваются к юрлицам по ч. 8).

Это уже не «нежелательно» и не «рекомендуется заменить». Это прямое нарушение действующего закона.

Что делать: перейти на Яндекс.Метрику или self-hosted аналитику (Matomo на российском сервере). Яндекс.Метрика хранит данные в России — соответствует 152-ФЗ и 23-ФЗ.

Шаг 4: Платёжные системы

При подключении эквайринга или платёжных агрегаторов (ЮKassa, Тинькофф Касса, Robokassa) возникают вопросы о передаче ПД.

Что происходит при оплате на сайте

  1. Покупатель вводит данные карты — они уходят напрямую в платёжный сервис (не хранятся у магазина)
  2. Магазин получает от платёжной системы: ФИО плательщика, email, факт и сумму оплаты
  3. Эти данные магазин хранит в базе заказов

Что нужно сделать

  • В политике указать название платёжного сервиса как третье лицо — получателя данных
  • Заключить с платёжной системой соглашение о поручении обработки ПД (большинство агрегаторов предоставляют такое соглашение в рамках договора)
  • Не хранить полные данные карт — только последние 4 цифры для идентификации транзакции

Шаг 5: Доставка — передача данных курьерским службам

При передаче данных покупателя в службу доставки (СДЭК, Boxberry, Почта России, Ozon Логистика и др.) вы как оператор передаёте ПД третьему лицу.

Что нужно

Вариант А (предпочтительный): Заключить с курьерской службой соглашение о поручении обработки ПД по ст. 6 ч. 3 152-ФЗ. Крупные службы доставки, как правило, имеют типовые соглашения.

Вариант Б: Получить у покупателя явное согласие на передачу данных конкретной курьерской службе. Это неудобно, но альтернативно допустимо.

В политике обязательно укажите: «Для организации доставки ваши данные (ФИО, адрес, телефон) передаются курьерским службам» с перечнем или оговоркой.

Штраф за отсутствие соглашения или согласия — ч. 1 ст. 13.11 КоАП (обработка без основания): для юрлица от 150 000 до 300 000 рублей.

Шаг 6: Email и SMS-маркетинг

Рассылки — высокая зона риска. ФАС и РКН активно работают с жалобами на спам.

Для законной рассылки нужно:

  1. Явное согласие пользователя (отдельный чекбокс — не предустановленный)
  2. Возможность лёгкой отписки (ссылка «Отписаться» в каждом письме)
  3. Хранить доказательство согласия (дата, время, IP, версия текста согласия)

При покупке баз e-mail адресов — это незаконно. Согласие должно быть дано лично вам, а не «кому-то когда-то».

При использовании сервисов рассылок (Unisender, SendPulse, ExpertSender и др.) — заключите с ними соглашение о поручении обработки. Большинство провайдеров имеют серверы в России или предоставляют соответствующие гарантии.

Шаг 7: Личный кабинет и удаление данных

С ростом осознанности пользователей запросы на удаление аккаунтов участились. По ст. 21 152-ФЗ вы обязаны:

  • Прекратить обработку в течение 30 дней после отзыва согласия
  • Уничтожить данные (если нет другого основания для хранения)
  • Составить акт уничтожения персональных данных (требование Приказа РКН № 179)

Практические требования:

  • В личном кабинете должна быть кнопка «Удалить аккаунт» или инструкция
  • При удалении аккаунта данные должны реально удаляться, а не скрываться
  • Исключение: данные по выполненным заказам могут храниться для налогового учёта (5 лет)

Шаг 8: Отзывы, UGC и комментарии

Если на сайте публикуются отзывы с именем, фото или другими данными покупателя — это обработка ПД.

Что нужно:

  • В форме отзыва — согласие на публикацию имени/фото
  • Возможность изменить или удалить отзыв
  • При публикации чужих отзывов из соцсетей — убедитесь в наличии права на использование

Шаг 9: Уведомление об утечке — 24 часа + 72 часа

По ст. 21 ч. 3.1 152-ФЗ и Приказу РКН № 187 при выявлении инцидента (утечки, несанкционированного доступа) оператор обязан:

  1. В течение 24 часов — подать первичное уведомление в РКН через портал pd.rkn.gov.ru
  2. В течение 72 часов — подать уведомление с результатами расследования

Штраф за неуведомление — ч. 11 ст. 13.11 КоАП: для юрлица от 1 до 3 млн рублей.

Заблаговременно подготовленный регламент реагирования на инциденты позволяет уложиться в эти сроки даже при нештатной ситуации.

Уведомление Роскомнадзора для интернет-магазина

Интернет-магазин, как правило, обязан уведомить РКН, поскольку:

  • Обрабатывает данные клиентов в CRM (выходит за рамки конкретного договора)
  • Ведёт рассылки
  • Использует аналитические системы

Исключение из обязанности уведомить применимо только при строго определённых условиях (ст. 22 152-ФЗ).

Таблица штрафов для интернет-магазина (420-ФЗ, действует с 30.05.2025)

Нарушение Статья КоАП ИП Юрлицо
Нет политики на сайте ч. 3 до 20 000 руб. до 60 000 руб.
Передача данных без основания (нет соглашения с курьером/агрегатором) ч. 1 до 15 000 руб. до 300 000 руб.
Предустановленный чекбокс / нет письменного согласия ч. 2 до 15 000 руб. до 700 000 руб.
Нет отдельного согласия на рассылку ч. 2 до 15 000 руб. до 700 000 руб.
Google Analytics и зарубежные БД (с 01.07.2025, 23-ФЗ) ч. 8 до 6 млн руб. до 6 млн руб.
Неуведомление об утечке в 24 ч + 72 ч ч. 11 до 3 млн руб. до 3 млн руб.
Утечка данных более 100 000 чел. ч. 14 до 15 млн руб. до 15 млн руб.
Повторная утечка ч. 15 оборотный до 500 млн оборотный до 500 млн

Скидка 50% при уплате штрафа по ст. 13.11 — отменена (420-ФЗ). Штрафы уплачиваются полностью.

Штраф до 700 000 ₽ или пакет документов за 2 990 ₽ — считайте сами

Один предустановленный чекбокс на форме заказа — это ч. 2 ст. 13.11, штраф для юрлица от 300 000 до 700 000 рублей. Отсутствие соглашения с курьерской службой — ещё до 300 000 рублей. Подключён Google Analytics — риск до 6 миллионов. При этом все эти нарушения типичны для среднего интернет-магазина.

Сервис ПдПро формирует до 38 документов 152-ФЗ под конкретный интернет-магазин за ~10 минут: политика обработки ПД, все согласия (в том числе отдельные по 156-ФЗ), соглашения о поручении для курьеров и агрегаторов, регламент инцидентов (24ч/72ч), оценка вреда субъектам, акт уничтожения ПД и другие.

Стоимость: 2 990 ₽ на 6 месяцев или 4 990 ₽ бессрочно.

Получить полный пакет документов за 10 минут →

Полный чек-лист соответствия 152-ФЗ для интернет-магазина

Документы

  • Политика обработки ПД разработана и актуальна
  • Ссылка на политику есть в подвале каждой страницы
  • Политика доступна без авторизации
  • Разработано Положение об обработке ПД (внутреннее)
  • Назначен ответственный за ПД (приказ)
  • Подано уведомление в Роскомнадзор
  • Оценка вреда субъектам ПД (Приказ РКН № 178)
  • Акт уничтожения персональных данных (Приказ РКН № 179)
  • Регламент реагирования на инциденты (Приказ РКН № 187)

Формы и согласия

  • На форме заказа — незаранее отмеченный чекбокс согласия
  • Согласие оформлено отдельным документом (требование 156-ФЗ с 01.09.2025)
  • На форме подписки — отдельный чекбокс на рассылку
  • В тексте согласия перечислены данные, цели и срок
  • Есть ссылка на политику в тексте согласия

Технические меры

  • Сайт работает по HTTPS
  • Cookie-политика (раздел в политике или баннер)
  • Аналитика — Яндекс.Метрика или российский аналог (не Google Analytics — нарушение с 01.07.2025)
  • Данные покупателей хранятся на российских серверах

Партнёры

  • С платёжной системой заключено соглашение о поручении ПД
  • С курьерской службой заключено соглашение о поручении ПД
  • С CRM-провайдером заключено соглашение о поручении ПД
  • С сервисом рассылок заключено соглашение о поручении ПД

Операционные процессы

  • Есть email для запросов субъектов
  • Есть процедура удаления аккаунта
  • Есть процедура отзыва согласия на рассылку (ссылка в письме)
  • При утечке — регламент реагирования с уведомлением РКН в 24 ч (первичное) + 72 ч (результаты расследования)

Типичные нарушения интернет-магазинов при проверках

Нарушение Штраф для юрлица
Нет политики на сайте до 60 000 руб.
Предустановленный чекбокс до 700 000 руб.
Нет отдельного согласия на рассылку до 700 000 руб.
Нет соглашения с курьерской службой до 300 000 руб.
Google Analytics и зарубежные БД (23-ФЗ с 01.07.2025) до 6 000 000 руб.
Неуведомление об утечке до 3 000 000 руб.

Проверьте соответствие вашего интернет-магазина 152-ФЗ и получите полный пакет документов на pd-pro.ru/wizard. Заполните анкету за 10 минут — сервис автоматически определит, какие из 38 документов нужны именно вашему магазину, и сформирует их с учётом требований 420-ФЗ, 23-ФЗ и 156-ФЗ.

Стоимость: от 2 990 ₽. Без юристов. Без ожидания.

Нужны документы по 152-ФЗ?

Проверьте свой бизнес бесплатно — узнайте какие документы нужны

Мы используем cookie для работы сервиса и аналитики. Подробнее