Интернет-магазин — оператор персональных данных по умолчанию: имя, email, телефон, адрес доставки, иногда паспортные данные. 152-ФЗ применим во всём объёме, и игнорировать его — гарантированный путь к штрафу при первой жалобе или плановой проверке.

Эта статья — про конкретные юридические и технические минимумы для интернет-магазина. Общий обзор всех 14 параметров — в пиллар-чек-листе.

Обязательный минимум на сайте

  1. Политика обработки ПД — отдельная страница, ссылка из футера.
  2. Согласие на обработку — чек-бокс или текст у каждой формы (заказ, регистрация, рассылка, обратная связь).
  3. Согласие на маркетинговые рассылки — отдельный чек-бокс, не объединяется с согласием на обработку.
  4. Уведомление об использовании cookie — баннер с возможностью отказа от аналитических трекеров.
  5. Реквизиты продавца — ИНН/ОГРН/адрес/контакты в подвале (это уже ЗОЗПП ст. 9, но связано).
  6. Публичная оферта — описание условий покупки (ГК РФ ст. 437). Подробнее — в отдельной статье.

Технические требования

  • HTTPS на всём сайте, особенно на формах;
  • пароли клиентов хранятся в виде хеша, не в открытом виде;
  • панель администратора закрыта от внешнего доступа или защищена двумя факторами;
  • журналируется кто и когда обращался к базе клиентов;
  • нет передачи данных третьим лицам без согласия (включая «контрагентов» вроде CRM, email-провайдеров — нужно прописать в политике).

Распространённые ошибки

«Корзина без регистрации» — кажется удобнее, но при оформлении вы всё равно собираете ПД, а согласие нигде не зафиксировано. Решение: чек-бокс согласия на шаге оформления заказа.

«Согласие в одном чек-боксе со всем подряд» — РКН требует разграничения целей: на обработку для исполнения договора и на маркетинговые рассылки нужны раздельные согласия.

Аналитика грузится сразу — Я.Метрика и GA отправляют данные о пользователе ещё до того, как он что-то нажал. Нужен баннер до загрузки. Подробности — в статье про cookie-согласие.

Передача данных в CRM/Email-провайдер не прописана в политике — Mailchimp, AmoCRM, retailCRM, ЮKassa — все они получают ПД клиентов. Это нужно явно перечислить в политике.

Бытовые ситуации и штрафы

  • Жалоба клиента в РКН на спам. Если согласия на маркетинг не было — штраф 100–300 тыс ₽ юрлицу по ст. 13.11.
  • Утечка базы клиентов. С 2024 года штраф для юрлиц от 3 до 15 млн ₽ при объёме утечки 100 тыс+ субъектов (152-ФЗ ст. 13.11 ч. 15).
  • Запрос пользователя на удаление данных не исполнен. Штраф 30–60 тыс ₽.

Проверка сайта за 2 минуты

Запустите экспресс-проверку на главной — она покажет, есть ли политика, cookie-баннер, реквизиты и HTTPS. Это базовый минимум для интернет-магазина. Полный отчёт по 14 параметрам — в платном разборе.