152-ФЗ для местного интернет-магазина: чтобы не прилетел штраф

Зачем интернет-магазину 152-ФЗ

Меня зовут Чимитдоржи Дарижапов, я помогаю местному бизнесу разбираться с цифровой частью работы — от сайтов и ботов до соответствия требованиям закона. И один из самых частых вопросов, который мне задают владельцы небольших интернет-магазинов: «У меня же не банк и не маркетплейс, я просто продаю товары землякам. Зачем мне этот 152-ФЗ?»

Ответ простой и неприятный: закон не делает скидку на размер бизнеса. Федеральный закон № 152-ФЗ «О персональных данных» применяется к любому, кто обрабатывает персональные данные граждан. А персональные данные — это не только паспорт. Это имя, фамилия, номер телефона, адрес доставки, электронная почта, иногда дата рождения. Как только покупатель оформляет у вас заказ и оставляет эти сведения, вы автоматически становитесь оператором персональных данных.

Многие думают, что под закон попадают только крупные компании с тысячами клиентов. Это не так. Под 152-ФЗ попадает и магазин с десятком заказов в месяц, и страница с одной формой «оставьте телефон — перезвоним». Если вы получаете данные человека и что-то с ними делаете — храните в таблице, передаёте курьеру, заносите в CRM, — вы обрабатываете персональные данные.

Почему это важно именно сейчас? За последние годы контроль за обработкой персональных данных заметно усилился, а штрафы выросли. Роскомнадзор активнее проверяет сайты, в том числе по жалобам обычных пользователей. И самое обидное, что чаще всего наказывают не за какую-то злонамеренную утечку, а за элементарные вещи: на сайте нет политики обработки данных, форма заказа собирает телефон без согласия, не подано уведомление в РКН. Это формальные нарушения, которые легко выявляются и которые так же легко исправить заранее.

Для местного магазина риск ещё и репутационный. В небольшом городе или республике все друг друга знают. Один недовольный клиент, который пожаловался на то, что его номер «гуляет» по рассылкам, способен создать вам проблем больше, чем сам штраф. Соответствие 152-ФЗ — это не только про закон, это про доверие покупателей.

Что требует закон

Давайте разберём по-человечески, что именно закон ждёт от вас как от оператора персональных данных. Я намеренно говорю обобщённо и практично — без попытки заменить юриста, а чтобы вы понимали логику и не пропустили главное.

Первое — у обработки данных должно быть законное основание. Чаще всего для магазина это либо согласие покупателя, либо необходимость исполнить договор (а оформление и доставка заказа — это по сути договор). Если вы используете данные для рассылок и рекламы, одного «исполнения договора» уже мало — нужно отдельное согласие именно на маркетинговые сообщения.

Второе — принцип минимизации. Собирайте только те данные, которые вам реально нужны для конкретной цели. Если для доставки достаточно имени, телефона и адреса, не стоит просить дату рождения, паспорт или место работы «на всякий случай». Чем меньше лишнего вы храните, тем меньше рисков и тем проще объясниться при проверке.

Третье — прозрачность. Покупатель должен понимать, кто собирает его данные, зачем, как долго они хранятся и кому могут передаваться. Именно для этого существует политика обработки персональных данных — публичный документ на сайте.

Четвёртое — хранение данных российских граждан на серверах, расположенных в России. Это требование локализации. На практике для магазина это означает: ваш хостинг, база данных и CRM, где лежат сведения о покупателях, должны находиться на территории РФ. Зарубежный хостинг или иностранный сервис без российских серверов — это типичная мина под небольшим магазином.

Пятое — уведомление Роскомнадзора. Оператор персональных данных в большинстве случаев обязан подать уведомление в РКН о намерении обрабатывать персональные данные. Раньше для ряда случаев действовали исключения, но в последнее время требования ужесточились, и подавать уведомление приходится почти всем, кто работает с клиентскими данными. Уведомление подаётся через сайт Роскомнадзора или Госуслуги.

Шестое — обеспечение безопасности данных. Закон требует принимать организационные и технические меры защиты: ограничивать доступ к базе, использовать защищённое соединение (HTTPS), не пересылать списки клиентов в открытых чатах, регулярно делать резервные копии. Для маленького магазина это не обязательно дорогая система защиты, но базовый порядок должен быть.

• Законное основание обработки — согласие или исполнение договора.
• Минимизация — только нужные данные.
• Прозрачность — политика обработки ПД на сайте.
• Локализация — хранение данных россиян в РФ.
• Уведомление Роскомнадзора.
• Меры безопасности — доступ, шифрование, бэкапы.

Документы и согласия на сайте

Теперь самое практичное — что конкретно должно появиться на сайте вашего магазина. Это та часть, которую я при аудите проверяю в первую очередь, потому что именно её чаще всего нет или она сделана формально.

Политика обработки персональных данных. Это базовый документ. Он размещается на отдельной странице, доступной с любой страницы сайта — обычно ссылку ставят в подвал. В политике описывают: кто оператор (название, ИНН, контакты), какие данные собираются, для каких целей, на каком основании, как долго хранятся, кому могут передаваться (например, службе доставки), как покупатель может отозвать согласие или запросить удаление данных. Политика должна соответствовать тому, что вы реально делаете, — нельзя написать «мы не передаём данные третьим лицам», а потом отдавать список клиентов курьерской службе.

Согласие на обработку персональных данных в формах. В каждой форме, где покупатель оставляет данные — оформление заказа, регистрация, обратный звонок, — должна быть отметка о согласии с обработкой данных и ссылка на политику. Важно: галочка не должна быть проставлена заранее. Покупатель ставит её сам, осознанно. Формулировка примерно такая: «Нажимая кнопку, я соглашаюсь на обработку персональных данных в соответствии с политикой». Текст согласия должен быть конкретным и понятным, а не спрятанным мелким шрифтом.

Отдельное согласие на рассылки и рекламу. Если вы планируете отправлять покупателям акции, новости и предложения по e-mail, в SMS или в мессенджерах вроде Telegram и MAX, под это нужно отдельное согласие. Нельзя «зашивать» маркетинг в общее согласие на оформление заказа — это разные цели обработки. Лучше сделать отдельную галочку «хочу получать новости и акции», которую покупатель ставит по желанию.

Баннер cookie. Большинство сайтов используют cookie и системы аналитики. Если ваш магазин собирает данные о поведении посетителей, нужен баннер с информированием об использовании cookie и ссылкой на соответствующий документ или раздел политики. Баннер должен появляться при первом заходе и давать пользователю понятную информацию.

Форма обратной связи. Любая форма «напишите нам» тоже собирает персональные данные — как минимум имя и контакт. К ней применяются те же правила: согласие и ссылка на политику. Это частая слепая зона — основную форму заказа владельцы оформляют, а про форму вопросов забывают.

Подробный разбор того, как формулировать согласия и не превратить их в пустую формальность, я делал в отдельном материале — рекомендую заглянуть в статью про аудит по 152-ФЗ, там много практики на конкретных примерах.

Штрафы и риски

Теперь о том, чего все боятся, — о штрафах. Сразу честно: я не буду называть точные суммы и даты, потому что закон и подзаконные акты меняются, а ответственность зависит от множества факторов. Моя задача — дать вам реалистичную картину рисков, а не пугать цифрами из устаревшей статьи.

Главное, что важно понимать: штрафы за нарушения в области персональных данных за последние годы выросли, и тенденция на ужесточение сохраняется. Размер ответственности зависит от характера нарушения. Одно дело — формальное отсутствие политики на сайте или неподанное уведомление, и совсем другое — утечка базы клиентов или обработка данных без законного основания. Это разные нарушения с разными последствиями.

Условно риски можно разделить на несколько уровней:

• Формальные нарушения. Нет политики обработки, не подано уведомление в РКН, в формах отсутствует согласие. Это самые частые и при этом самые легко устранимые проблемы. Их обычно выявляют при проверке по жалобе или в ходе мониторинга.
• Нарушения по существу. Обработка данных без законного основания, передача данных третьим лицам без согласия, отказ удалить данные по требованию покупателя.
• Утечки. Самый тяжёлый сценарий — когда база клиентов утекает в сеть. За утечки персональных данных ответственность особенно серьёзная, и здесь последствия могут быть ощутимыми даже для небольшого бизнеса.

Важный нюанс: ответственность несёт оператор, то есть вы как владелец магазина, даже если технически сайт делал подрядчик, а данные хранятся в чужой CRM. Перекладывать вину на разработчика не получится — закон спрашивает с того, кто определяет цели обработки.

Ещё один момент, который часто упускают: штраф — это не единственный риск. Есть предписания об устранении нарушений, есть возможность приостановки обработки данных, а в некоторых случаях — гражданские иски от самих покупателей о компенсации. Поэтому я всегда говорю клиентам прямо: я не могу обещать, что «вам ничего не грозит». Соответствие закону не даёт абсолютной гарантии, но кардинально снижает вероятность проблем и упрощает защиту, если проверка всё же придёт.

Как привести магазин в порядок

Хорошая новость: привести интернет-магазин в соответствие с 152-ФЗ — задача понятная и конечная. Это не бесконечный процесс, а набор шагов, которые делаются один раз, после чего нужно лишь поддерживать актуальность при изменениях. Вот как я обычно выстраиваю эту работу.

Шаг 1. Инвентаризация данных. Сначала надо честно ответить на вопрос: какие данные вы собираете, где они хранятся и кому передаются. Имя, телефон, адрес, почта? Где лежат — в админке сайта, в таблице, в CRM, в мессенджере? Передаёте ли курьерам, бухгалтеру, рекламным сервисам? Без этой карты невозможно построить корректные документы.

Шаг 2. Проверка хостинга и сервисов. Убеждаемся, что данные российских покупателей хранятся на серверах в РФ. Проверяем хостинг, базу данных, CRM, сервисы рассылок. Если что-то находится за рубежом — планируем перенос на российскую инфраструктуру.

Шаг 3. Документы. Готовим политику обработки персональных данных под ваш реальный бизнес, тексты согласий для форм, при необходимости — отдельное согласие на рассылки. Размещаем их на сайте: политику на отдельной странице со ссылкой в подвале, согласия — в формах.

Шаг 4. Проверка форм и сайта. Проходим по всем формам — заказ, регистрация, обратная связь, обратный звонок. Везде должна быть отметка о согласии и ссылка на политику, и нигде галочка не должна стоять заранее. Добавляем баннер cookie, проверяем, что сайт работает по HTTPS.

Шаг 5. Уведомление Роскомнадзора. Подаём уведомление об обработке персональных данных через сайт РКН или Госуслуги. Это формальный, но важный шаг — именно его отсутствие чаще всего фигурирует в претензиях.

Шаг 6. Базовая безопасность и порядок. Ограничиваем доступ к базе клиентов, настраиваем резервное копирование, договариваемся внутри команды, что списки клиентов не пересылаются в открытых чатах. Простые организационные правила нередко важнее дорогих технических средств.

Эту работу можно сделать самостоятельно, если есть время разобраться, а можно делегировать под ключ. Я предлагаю формат, когда всё перечисленное закрывается комплексно — от аудита до готовых документов на сайте: услуга 152-ФЗ под ключ. Так владелец магазина не тонет в юридических формулировках, а получает работающий результат.

Отдельно отмечу: соответствие 152-ФЗ — это весомый аргумент в пользу собственного сайта-магазина, а не только торговли через площадки. На маркетплейсе данными клиентов распоряжается площадка, а на своём сайте вы сами контролируете и данные, и соответствие закону. Я подробно сравнивал эти подходы в материале про свой магазин против маркетплейсов.

Частые вопросы

У меня совсем маленький магазин, несколько заказов в месяц. Меня это правда касается? Да, касается. 152-ФЗ не зависит от размера бизнеса и количества клиентов. Как только вы собираете имя, телефон или адрес покупателя, вы становитесь оператором персональных данных и обязаны выполнять требования закона. Объём работы для маленького магазина меньше, но базовый набор — политика, согласия, уведомление РКН — нужен всем.

Мой сайт делал подрядчик, и магазин на готовой платформе. Кто отвечает за нарушения — я или они? Ответственность несёт оператор, то есть владелец магазина, который определяет, зачем собираются данные. Даже если сайт делал фрилансер, а данные хранятся в чужой CRM, спрашивать будут с вас. Поэтому важно убедиться, что и подрядчик, и платформа обеспечивают хранение данных в РФ и не нарушают закон за вас.

Я храню заказы в обычной таблице на компьютере и в переписке в Telegram. Это нарушение? Сама по себе таблица не запрещена, но важно, как организованы хранение и доступ. Данные должны храниться на российской инфраструктуре, доступ к ним нужно ограничивать, а пересылка списков клиентов в открытых чатах — это риск утечки и нарушение принципов безопасности. Для постоянной работы лучше использовать упорядоченную систему хранения с контролем доступа.

Если я уже работаю несколько лет без всех этих документов, что делать в первую очередь? Не паниковать и привести всё в порядок поэтапно. Начните с инвентаризации данных и размещения политики обработки ПД на сайте, затем поправьте формы и согласия, проверьте хостинг и подайте уведомление в Роскомнадзор. Чем раньше вы закроете формальные пробелы, тем ниже риск. Если не уверены, что справитесь сами, — есть смысл заказать аудит и сопровождение.

Достаточно ли просто скачать чужую политику обработки данных и вставить себе? Нет, это плохая идея. Чужой шаблон почти всегда не соответствует тому, что вы реально делаете с данными: другие цели, другие сервисы, другая передача третьим лицам. Несоответствие политики реальной практике — это само по себе нарушение. Политику нужно адаптировать под ваш конкретный магазин.

Коротко о главном

152-ФЗ касается любого интернет-магазина, который собирает данные покупателей, — независимо от размера и оборота. Как только вы получаете имя, телефон или адрес клиента, вы становитесь оператором персональных данных со всеми вытекающими обязанностями.

Минимальный набор, который должен быть у каждого магазина: политика обработки персональных данных на сайте, корректные согласия в формах заказа и обратной связи, отдельное согласие на рассылки, баннер cookie, хранение данных россиян на серверах в РФ и поданное уведомление в Роскомнадзор. Плюс базовый порядок с безопасностью — ограничение доступа, шифрование, резервные копии.

Штрафы за нарушения выросли, и их размер зависит от характера проблемы — от формального отсутствия документов до утечки клиентской базы. Гарантировать, что вам ничего не грозит, не может никто. Но привести магазин в соответствие — реально и не так сложно, как кажется: это конечный набор шагов, который снижает риск в разы и одновременно повышает доверие покупателей.

Если хотите снять с себя эту головную боль и получить результат под ключ — я готов помочь с аудитом, документами и настройкой сайта. Соответствие закону — это не разовая «страховка от штрафа», а нормальная часть взрослого бизнеса, который относится к данным своих клиентов серьёзно.