Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: апрель 2026 года. Нормативная база: 152-ФЗ, КоАП ст. 13.11 (ред. ФЗ № 420-ФЗ от 30.11.2024), Постановление Правительства № 1119 от 01.11.2012.
Почему интернет-магазину грозит больше штрафов, чем обычному сайту
Обычный корпоративный сайт собирает имя и email в одной форме. Интернет-магазин — это 8–12 точек сбора персональных данных одновременно: форма регистрации, оформление заказа, доставка, оплата, письмо с трек-номером, программа лояльности, ретаргетинговые пиксели, CRM. Каждая точка — отдельное основание для обработки, отдельный документ, отдельный подрядчик.
По данным РКН, в 2025–2026 годах именно e-commerce стал приоритетным направлением проверок: в сфере розничной торговли и дистанционной продажи товаров возбуждено свыше 40% всех административных дел по ст. 13.11 КоАП. Причина простая — нарушений здесь больше, а суммы штрафов из-за масштаба обработки данных выше.
Средний интернет-магазин с выручкой 30 млн ₽ в год при повторном нарушении рискует оборотным штрафом в 300 000 — 900 000 ₽. Магазин с выручкой 500 млн ₽ — от 5 до 15 млн ₽. Это не теория: в 2025–2026 годах суды уже рассматривают первые дела с применением оборотных санкций.
Хорошая новость: привести интернет-магазин в порядок реально за 1–2 дня, если действовать по системе.
Кого касается этот чеклист
Если у вас есть хотя бы одно из следующего — вы оператор персональных данных с полным объёмом обязательств по 152-ФЗ:
- Интернет-магазин с формой заказа или корзиной
- Маркетплейс или агрегатор товаров
- Сайт с личным кабинетом покупателя
- Приём платежей онлайн (Сбер, Тинькофф, ЮKassa, Robokassa и любой другой эквайринг)
- Email-рассылки или SMS-уведомления покупателям
- Программа лояльности или накопительные баллы
- Отслеживание доставки (СДЭК, Boxberry, Почта России и др.)
- Facebook Pixel, ВКонтакте Pixel, TikTok Pixel или любой ретаргетинговый пиксель
- CRM-система (AmoCRM, Bitrix24, RetailCRM и т.д.)
Под всё перечисленное подпадает любой магазин — от ИП с ручной обработкой заказов в Телеграме до федерального ритейлера.
Какие данные обрабатывает интернет-магазин: полная карта
Перед составлением документов нужно понять, что именно вы обрабатываете. Большинство владельцев магазинов недооценивают масштаб.
| Точка сбора | Данные | Правовое основание |
|---|---|---|
| Форма регистрации | ФИО, email, телефон, пароль | Согласие (ст. 9 152-ФЗ) |
| Оформление заказа | ФИО, адрес доставки, телефон | Исполнение договора (ст. 6 ч. 5) |
| Оплата (эквайринг) | Номер карты → передаётся банку | Исполнение договора |
| Доставка (СДЭК/Boxberry) | ФИО, адрес, телефон → передаётся курьерской службе | Поручение + договор |
| Email-рассылки | Email, история покупок, поведение | Согласие (отдельное!) |
| Программа лояльности | История покупок, предпочтения, баллы | Согласие |
| CRM (AmoCRM/Bitrix24) | Всё вышеперечисленное + переписка | Поручение + договор |
| Аналитика (Метрика, GA4) | IP, cookie, поведение на сайте | Согласие (cookie-баннер) |
| Ретаргетинг (FB Pixel, VK Pixel) | cookie, события, трансграничная передача | Согласие + уведомление о трансгранице |
| Форма возврата/обмена | Паспортные данные, банковские реквизиты | Согласие или исполнение договора |
| Отзывы (фото/видео клиента) | Фото, текст, иногда ФИО | Отдельное согласие на распространение (ст. 10.1) |
Ключевой вывод: у интернет-магазина минимум 3–4 разных правовых основания обработки и минимум 5–8 подрядчиков, получающих данные. Каждый из них требует отдельного договора поручения.
Специфика e-commerce: что отличает вас от других операторов
Платёжные системы — не ваша ответственность, но документы нужны
Сбербанк, Тинькофф Касса, ЮKassa, Robokassa — все они обрабатывают платёжные данные покупателей самостоятельно по PCI DSS. Вы как магазин не видите и не храните номера карт. Но:
- В вашей политике конфиденциальности обязан быть раздел о передаче данных платёжным системам.
- Пользователь должен получить информацию до оплаты (обычно это ссылка на политику платёжной системы на странице оплаты).
- Если вы сохраняете данные о транзакциях в своей CRM — это уже ваша обработка финансовых данных.
Курьерские службы — обязателен договор поручения
Когда вы передаёте имя, адрес и телефон покупателя в СДЭК, Boxberry, DHL или Почту России — вы поручаете им обработку персональных данных. Согласно ст. 6 ч. 3 152-ФЗ, для этого обязателен договор поручения на обработку ПДн.
Хорошая новость: крупные курьерские службы давно добавили стандартное приложение к договору. Проверьте, подписан ли у вас соответствующий документ. Если нет — запросите и подпишите.
Без договора: если СДЭК потеряет данные покупателя, ответственность частично ляжет на вас. С договором: ответственность разграничена, ваши риски снижены.
Рассылки требуют отдельного согласия
Одно из самых частых нарушений в e-commerce: продавец считает, что раз покупатель оформил заказ, то автоматически согласился на рекламные письма. Это не так.
Согласно ст. 9 152-ФЗ и ст. 18 ФЗ «О рекламе», согласие на:
- получение товара / исполнение договора — автоматически (не нужно отдельного чекбокса)
- транзакционные письма (статус заказа, трек-номер) — автоматически
- рекламные и маркетинговые рассылки — отдельное согласие, отдельный чекбокс
Если вы используете Unisender, SendPulse, GetResponse или другой ESP — в договоре с ними также нужен раздел о поручении обработки ПДн.
Facebook Pixel и ВКонтакте Pixel — трансграничная передача
Facebook Pixel передаёт данные на серверы Meta в США. ВКонтакте Pixel — в российскую юрисдикцию, что проще. Для Facebook / Instagram / TikTok в 2026 году требуется:
- Отдельный пункт в cookie-политике с описанием передачи данных за рубеж.
- Ссылка на механизм трансграничной передачи (обычно стандартные договорные оговорки).
- Уведомление пользователя до загрузки пикселя (то есть до принятия cookie-согласия пиксель не должен загружаться).
Программы лояльности и история покупок — спецкатегория?
Сама по себе история покупок — не специальная категория ПДн. Но если из неё можно сделать вывод о состоянии здоровья (аптека, медтехника, детские товары) или религиозных взглядах (кошерная/халяль продукция) — РКН может квалифицировать её как чувствительные данные с повышенными требованиями.
Возвраты и обмены — паспортные данные
При возврате денег на банковский счёт продавец обязан идентифицировать покупателя. Это порождает обработку паспортных данных — категория с повышенным риском. Требования:
- Отдельный пункт в политике
- Чёткий срок хранения (обычно 3 года — срок исковой давности)
- Защищённое хранилище (не таблица в Google Sheets)
Отзывы с фото — отдельный документ
Если на вашем сайте есть отзывы с фотографиями покупателей, видео-обзоры, кейсы с именем и фото клиента — это распространение персональных данных по ст. 10.1 152-ФЗ. Требуется отдельное письменное согласие, которое нельзя смешивать с общим согласием на обработку ПДн.
Актуальные штрафы 2026: что грозит интернет-магазину
Согласно КоАП с учётом ФЗ № 420-ФЗ от 30.11.2024:
| Нарушение | Штраф для ООО/ИП | Статья |
|---|---|---|
| Рассылка без согласия | 100 000 – 300 000 ₽ | ст. 13.11 ч. 2 |
| Нет политики конфиденциальности | 30 000 – 100 000 ₽ | ст. 13.11 ч. 3 |
| Нет cookie-баннера | до 100 000 ₽ | ст. 13.11 ч. 8 |
| Нет договора с подрядчиком (СДЭК, CRM) | до 100 000 ₽ | ст. 13.11 ч. 1 |
| Facebook Pixel без уведомления о трансгранице | до 18 000 000 ₽ | ст. 13.11 ч. 8.1 |
| Утечка базы клиентов (первичная) | 3 000 000 – 15 000 000 ₽ | ст. 13.11 ч. 12 |
| Утечка базы клиентов (повторная) | 1–3% выручки, min 20 млн, max 500 млн ₽ | ст. 13.11 ч. 13 |
| Неуведомление РКН о регистрации | до 300 000 ₽ | ст. 19.7 |
| Отказ в удалении данных покупателя | до 80 000 ₽ | ст. 13.11 ч. 5 |
| Хранение данных в иностранном облаке без локализации | до 18 000 000 ₽ | ст. 13.11 ч. 8.1 |
Важно для 2026 года: штраф за нарушение локализации (хранение данных не в российском ЦОД) вырос до 18 млн рублей. Если ваша CRM или платформа магазина работает на серверах вне России — это не просто теоретический риск.
Какие документы нужны интернет-магазину: полный перечень
Обязательный минимум (Старт)
- Политика конфиденциальности — должна отражать все реальные потоки данных: платёжные системы, курьерские службы, CRM, пиксели, аналитику, рассылки.
- Cookie-политика — перечень всех cookie с разбивкой по категориям (обязательные / аналитические / маркетинговые).
- Cookie-баннер — с кнопками «Принять всё», «Только необходимые» и ссылкой на cookie-политику. Маркетинговые и аналитические cookie нельзя загружать до нажатия «Принять».
- Форма согласия — чекбоксы на всех формах сбора данных (регистрация, заказ, подписка). Согласие на рассылку — отдельный чекбокс.
Расширенный пакет (Стандарт)
- Пользовательское соглашение — правила использования сайта, регистрации, размещения отзывов, гарантии и возвраты.
- Реестр операций с ПДн — перечень всех операций: кто, что, зачем, как долго, кому передаёт.
- Уведомление в РКН — подача через pd.rkn.gov.ru.
Документы для специфических операций
- Договоры поручения с каждым подрядчиком:
- Курьерская служба (СДЭК, Boxberry, DHL, Почта России) - CRM-система (AmoCRM, Bitrix24, RetailCRM) - Email-платформа (Unisender, SendPulse, GetResponse) - Платформа магазина (если на SaaS: Shopify, inSales, «Эктив») - Служба поддержки (если внешний колл-центр)
- Согласие на распространение ПДн (ст. 10.1) — если публикуете отзывы с именами/фото.
- Политика возвратов с разделом об обработке паспортных данных.
- Приказ об ответственном за ПДн — обязателен при обработке паспортных данных или биометрии.
Пошаговый чеклист: от регистрации магазина до первой продажи
Шаг 1: Инвентаризация данных (2–3 часа)
Пройдите по сайту как покупатель и зафиксируйте каждую точку, где вводятся данные:
- [ ] Регистрация / личный кабинет — какие поля?
- [ ] Оформление заказа — какие поля? Обязательны ли все?
- [ ] Выбор доставки — какой провайдер получает адрес?
- [ ] Оплата — какой эквайринг? Что видит ваш сервер?
- [ ] Форма подписки на рассылку — есть ли отдельный чекбокс?
- [ ] Программа лояльности — что хранится?
- [ ] Форма обратной связи / чат — куда идут данные?
- [ ] Форма отзыва — публикуются ли имена/фото?
- [ ] Форма возврата — запрашиваются ли паспортные данные?
Шаг 2: Аудит подрядчиков (1–2 часа)
Составьте список всех сервисов, которым вы передаёте данные покупателей:
- [ ] Платёжная система (ЮKassa, Тинькофф, Сбер Pay и т.д.)
- [ ] Курьерская служба (СДЭК, Boxberry, Почта России, DHL)
- [ ] CRM (AmoCRM, Bitrix24, RetailCRM, Мой склад)
- [ ] Email-рассылки (Unisender, SendPulse, DashaMail)
- [ ] SMS-рассылки (СМС.ру, МТС, Beeline Business)
- [ ] Платформа магазина (если SaaS — inSales, Ecwid, Shopify)
- [ ] Поддержка (JivoSite, Carrot Quest, внешний колл-центр)
- [ ] Реклама (Facebook/Instagram Pixel, VK Pixel, myTarget, TikTok Pixel)
- [ ] Аналитика (Яндекс.Метрика, Google Analytics 4)
Для каждого подрядчика нужен договор поручения — либо отдельный, либо в виде приложения к основному договору.
Шаг 3: Документы (1 день)
- [ ] Составить политику конфиденциальности, отражающую реальный список из Шагов 1–2
- [ ] Составить cookie-политику с перечнем всех трекеров
- [ ] Разместить политику по постоянному адресу '/privacy'
- [ ] Добавить ссылку в подвал каждой страницы
- [ ] Подготовить пользовательское соглашение / оферту
- [ ] Подготовить договоры поручения с подрядчиками и подписать их
- [ ] Если есть отзывы с фото — подготовить форму согласия на распространение
Шаг 4: Технические изменения (полдня разработки)
- [ ] Установить cookie-баннер: «Принять всё» + «Только необходимые»
- [ ] Настроить загрузку FB Pixel, GA4, VK Pixel только после принятия cookie
- [ ] Добавить чекбоксы согласия на:
- форму регистрации - форму оформления заказа (если поля выходят за рамки исполнения договора) - форму подписки на рассылку (отдельный чекбокс!) - форму отзыва (если публикуется имя/фото)
- [ ] Убрать предустановленные галочки согласия
- [ ] Проверить, что кнопка «Оформить заказ» не заменяет чекбокс согласия
Шаг 5: Уведомление РКН (30 минут)
- [ ] Зайти на pd.rkn.gov.ru
- [ ] Заполнить форму уведомления (потребуется ЭЦП или учётная запись Госуслуг)
- [ ] Сохранить номер уведомления — потребуется при проверках
- [ ] Проверить себя в реестре операторов через 5–7 рабочих дней
Шаг 6: Организационные меры (1–2 дня, можно параллельно)
- [ ] Назначить ответственного за персональные данные (приказ)
- [ ] Настроить порядок ответа на запросы субъектов:
- Запрос на получение своих данных → ответ в течение 30 дней (ст. 20 ч. 3) - Запрос на удаление/исправление → ответ в течение 7 рабочих дней (ст. 21 ч. 1)
- [ ] Настроить порядок уведомления РКН при инциденте:
- Первичное уведомление → 24 часа (на сайте pd.rkn.gov.ru/incidents/) - Отчёт о расследовании → 72 часа
- [ ] Установить сроки хранения данных по категориям:
- Данные заказа — 5 лет (требования бухучёта) - Паспортные данные при возврате — 3 года (срок исковой давности) - Рассылочная база — пока действует согласие или до отписки
Типичные ошибки e-commerce в 2026 году
Ошибка 1: «Согласие на рассылку уже в оферте»
Оферта — договор об оказании услуг / продаже товара. Согласие на маркетинговые коммуникации — это отдельное действие субъекта. Суды и РКН разграничивают их чётко. Если галочка «Согласен с офертой» у вас закрывает и рассылки — это нарушение, за которое уже штрафовали в 2025 году.
Ошибка 2: «СДЭК сам отвечает за свои базы»
СДЭК хранит данные ваших покупателей по вашему поручению. Если у них утечка — РКН сначала придёт к вам как к оператору, а не к СДЭК как к обработчику. Договор поручения не снимает с вас ответственность полностью, но разграничивает её и даёт аргументы в суде.
Ошибка 3: «Мы на Shopify / inSales — они хранят всё сами»
Shopify — это американский сервис, данные хранятся на серверах в США. Для российских покупателей это нарушение требований локализации (ст. 18.1 152-ФЗ). Штраф — до 18 млн ₽. Если используете зарубежные платформы, нужно либо настроить зеркалирование в российском ЦОД, либо перейти на российский аналог.
Ошибка 4: «Facebook Pixel стоит у всех, ничего страшного»
В 2025–2026 годах именно Facebook Pixel стал самым частым поводом для предписаний в e-commerce. Передача данных в Meta — это трансграничная передача, которая требует: а) документального основания, б) уведомления покупателя до начала трекинга. Пиксель должен загружаться только после принятия cookie. Автоматическая загрузка в коде сайта при первом визите — нарушение.
Ошибка 5: «Покупатель сам выложил свой отзыв с фото — я не обрабатываю»
Если вы публикуете отзывы на своём сайте — вы распространяете персональные данные субъекта. Нужно согласие по ст. 10.1 152-ФЗ. Это отдельный документ, который нельзя смешивать с общим согласием на обработку ПДн. На практике достаточно чекбокса при отправке отзыва: «Разрешаю публикацию отзыва вместе с моим именем и фотографией».
Ошибка 6: «Политика была, когда открывали магазин — хватит»
Если с момента написания политики вы подключили AmoCRM, добавили Facebook Pixel, начали использовать СДЭК или запустили программу лояльности — политика устарела в тот же день. По закону, политика должна отражать реальное положение дел на текущий момент. Устаревшая политика = нарушение.
Сравнение вариантов приведения магазина в порядок
| Вариант | Стоимость | Срок | Ключевой риск |
|---|---|---|---|
| Шаблон из интернета | 0 ₽ | 1 день | Не отражает вашу специфику; при проверке — штраф |
| Доработать вручную | 0 ₽ + время | 3–7 дней | Пропустите нюансы e-commerce; неполный перечень подрядчиков |
| Фриланс-юрист | 20 000 – 80 000 ₽ | 7–21 день | Нет технического понимания пикселей и CRM; долго |
| Юридическая фирма | 80 000 – 300 000 ₽ | 2–4 недели | Дорого; шаблоны с брендингом фирмы |
| ПараДок | 4 990 – 20 990 ₽ | до 1 часа | Автоматически анализирует ваш сайт, подрядчиков и формирует пакет под e-commerce |
ПараДок умеет распознавать Facebook Pixel, ВКонтакте Pixel, Яндекс.Метрику, CRM-системы и курьерские трекеры прямо по коду сайта — и включает все найденные сервисы в документы автоматически. Не нужно вручную составлять список подрядчиков.
FAQ
Q: Нужно ли согласие при каждой покупке или достаточно одного? Согласие на обработку ПДн для исполнения договора купли-продажи — не нужно отдельного документа (ст. 6 ч. 5 152-ФЗ). Но если вы хотите потом отправить рекламную рассылку — нужно отдельное согласие, которое лучше брать при первой регистрации.
Q: Как долго хранить данные покупателей? Данные заказов — не менее 5 лет (требования бухгалтерского учёта). Персональные данные для рассылок — пока действует согласие. Паспортные данные при возвратах — 3 года (срок исковой давности по ГК РФ). После истечения срока — уничтожение с составлением акта.
Q: Что делать, если покупатель потребовал удалить его данные? Согласно ст. 21 ч. 1 152-ФЗ, вы обязаны уничтожить данные в течение 7 рабочих дней с момента получения запроса. Исключение: если обработка продолжается по другому основанию (например, данные нужны для налоговой отчётности). В этом случае — объясните причину в письменном ответе.
Q: Обязателен ли реестр операций с ПДн для небольшого магазина? Формально — да, для большинства операторов (ст. 18.1 152-ФЗ). На практике РКН в первую очередь требует его при проверке. Если у вас нет реестра, при проверке — предписание и срок на устранение. Второй раз — штраф.
Q: Можно ли использовать Google Analytics 4 в 2026 году? Можно, но с соблюдением условий: cookie-баннер с кнопкой отказа; в политике — раздел о трансграничной передаче в Google (США). GA4 по умолчанию анонимизирует IP — укажите это в политике как меру защиты.
Q: Мы используем AmoCRM — какой договор нужен? У AmoCRM есть стандартное «Соглашение об обработке персональных данных» — запросите его в поддержке или найдите в разделе «Документы» в личном кабинете. Это и есть договор поручения. Если вы на тарифе с кастомными доработками — нужна отдельная редакция.
Q: Какой штраф грозит за рассылку без согласия? По ст. 13.11 ч. 2 КоАП — от 100 000 до 300 000 ₽ за каждый случай. Дополнительно: по ст. 14.3 КоАП (закон «О рекламе») — до 500 000 ₽. Жалобу может подать любой получатель письма. В 2025–2026 годах таких жалоб стало на порядок больше — конкуренты активно используют этот инструмент.
Q: Наш магазин работает на Tilda — что нужно сделать? Tilda по умолчанию подставляет собственную шаблонную политику конфиденциальности. Эта политика не отражает ваш бизнес, ваших подрядчиков и ваши трекеры. РКН в 2025–2026 годах помечает тильдовские шаблонные политики как несоответствующие при автоматическом сканировании. Замените на персональную политику, подключив свой URL в настройках Tilda.
Итоги: полный чеклист e-commerce соответствия 152-ФЗ
Документы:
- [ ] Политика конфиденциальности опубликована, ссылка в подвале, отражает реальных подрядчиков
- [ ] Cookie-политика с перечнем всех трекеров и пикселей
- [ ] Пользовательское соглашение / публичная оферта
- [ ] Реестр операций с персональными данными
- [ ] Приказ об ответственном за ПДн
- [ ] Договоры поручения с курьерскими службами, CRM, email-платформами
- [ ] Согласие на распространение ПДн (если есть отзывы с именами / фото)
Технические меры:
- [ ] Cookie-баннер с кнопками «Принять» и «Отклонить»
- [ ] FB Pixel / VK Pixel / GA4 загружаются только после принятия cookie
- [ ] Чекбоксы согласия на всех формах сбора данных
- [ ] Отдельный чекбокс для согласия на рассылки
- [ ] Предустановленные галочки убраны
Организационные меры:
- [ ] Уведомление подано в РКН, номер сохранён
- [ ] Настроен порядок ответа на запросы субъектов (30 дней / 7 рабочих дней)
- [ ] Настроен порядок уведомления РКН при инциденте (24ч / 72ч)
- [ ] Сроки хранения данных определены и задокументированы
Стоимость ошибки — от 100 000 до 500 000 000 ₽. Стоимость порядка — несколько тысяч рублей и один рабочий день.
Получите полный пакет документов для вашего интернет-магазина за 1 час. Запустите бесплатный аудит сайта →
Статья актуальна на апрель 2026 года. Нормативные акты: ФЗ № 152-ФЗ от 27.07.2006 «О персональных данных»; ФЗ № 420-ФЗ от 30.11.2024 (оборотные штрафы); ФЗ № 266-ФЗ от 14.07.2022 (инциденты, локализация); КоАП ст. 13.11, ст. 14.3; Постановление Правительства № 1119 от 01.11.2012 (уровни защищённости ИСПДн).