Персональные данные в ретейле: как не попасть под новые штрафы в 2025 году

Игорь Бахарев

Новые изменения в Кодекс об административных правонарушениях ужесточают ответственность за нарушения при работе с персональными данными. Управляющий партнер 1ОПД Марина Александровская рассказывает, как не попасть под новые штрафы в 2025 году.

С 30 мая 2025 года в России вступили в силу изменения в Кодекс об административных правонарушениях. Теперь даже техническая ошибка в форме сбора ПД, неправильно оформленный чекбокс или передача ПД третьим лицам без требуемого оформления могут стоить ритейлеру 300 тысяч рублей штрафа (см. обновленную ст. 13.11 КоАП РФ).

Это не теория, как может показаться. Роскомнадзор уже анонсировал переход к автоматизированному мониторингу сайтов и онлайн-сервисов, включая интернет-магазины, приложения лояльности и платформы для сбора отзывов. Ошибки, которые раньше можно было «поправить по предписанию», теперь фиксируются. В условиях высокой конкуренции и стремительной цифровизации для ритейла это означает одно: правильная работа с персональными данными — не опция, а требование выживания для онлайн-ретейлеров.

Что считается персональными данными в ритейле?

Персональные данные (ПД) определены в п.1 ст. 3 Закона №152-ФЗ как любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Формы сбора, размещенные на маркетплейсах, показывают, что в ретейле чаще всего собираются следующие персональные данные:

  • имя и телефон клиента;

  • e-mail и адрес доставки;

  • история заказов и корзины;

  • платежные данные (включая токены оплаты);

  • поведенческая аналитика (запросы, предпочтения, просмотры);

  • геолокация (если используется мобильное приложение);

  • данные программ лояльности.

По данным «Лаборатории Касперского» за 2022 год, ретейл вошел в лидеры по утекшей информации (14%). В публичный доступ попали данные клиентов и работников, включая e-mail, телефоны и финансовую информацию.

Согласно итогам ежегодного исследования AppSec Solutions безопасности мобильных приложений, около 70% приложений онлайн-торговли хранят данные от сторонних сервисов в открытом виде: пароли, PIN-коды, персональную информацию и технические данные для push-уведомлений, инструменты геолокации и другие API.

Важно понимать, что всё вышеперечисленное — это персональные данные, даже если они не содержат ФИО. Например, идентификатор в CRM или поведенческий ID могут квалифицироваться как персональные данные, если по ним можно восстановить связь с конкретным пользователем.

Лучшие практики для ретейла: от политики до автоматизации

Чтобы не нарваться на штрафы, компании должны внедрять следующие меры: 

1. Политика конфиденциальности и согласия

Каждая форма сбора ПД должна сопровождаться корректно оформленным согласием на обработку данных и политикой конфиденциальности. Причем согласие должно быть добровольным, конкретным, информированным и сознательным — иначе оно недействительно. Одно согласие на разные цели сбора недопустимо.

2. Внутренние регламенты и инструкции

На практике штрафы получают не те, у кого «плохой сайт», а те, кто не может документально подтвердить, что у них налажены процессы работы с персональными данными. 

Здесь нужно внедрить:

  • Политику обработки ПД;

  • Назначение ответственного за организацию обработки таких данных;

  • Инструкции для сотрудников по работе с ПД;

  • Журналы учета обращений субъектов и инцидентов. 

3. Автоматизация комплаенса

Многие ретейлеры до сих пор ведут реестры вручную, теряя время и рискуя ошибками или, что еще хуже, утечками. Здесь лучше задействовать платформы, которые автоматизируют сбор согласий, ведут учет обработчиков, отслеживают доступ и хранят документы в защищенной среде.

5 типичных ошибок ретейлеров, которые ведут к штрафам

1. Не уведомляют РКН об обработке персональных данных. По опыту анализа сайтов, компании размещают формы сбора ПД на сайте и осуществляют их дальнейшую обработку без подачи уведомления о начале обработке в РКН. Даже при наличии одного сотрудника закон обязывает бизнес уведомить о статусе оператора РКН.

2. В формах сбора не размещают текст согласия. Если пользователь предоставил персональные данные без предварительного согласия, обработка таких данных — уже нарушение.

3. Шаблон согласия никак не меняют. В онлайн-магазинах обычно используется стандартный текст, взятый из интернета. Без указания целей, оснований, сроков и третьих лиц такой шаблон не спасает от штрафа, а наоборот, приводит к ним.

4. Обрабатывают данные без фиксации факта предоставления согласия. Многие популярные SaaS-продукты не ведут учет согласий. Если клиент пожалуется, доказать факт обработки будет невозможно.

5. Используют зарубежные сервисы без уведомления о трансграничной передаче данных. Shopify, WhatsApp, Stripe — всё это может вызывать правовые риски, если не соблюдены требования ст. 12 Закона № 152-ФЗ. 

Технологии в помощь: как выбрать решения для работы с персональными данными

Что искать:

  • Поддержка хранения согласий в зафиксированном виде (с датой, IP, текстом политики);

  • Встроенный журнал учета действий с персональными данными;

  • Возможность разграничения прав доступа внутри команды;

  • Интеграция с CRM и формами обратной связи;

  • Поддержка автоматической выгрузки по запросу субъекта персональных данных.

Вместо вывода: соблюдение закона — не формальность, а конкурентное преимущество

В 2025 году игнорирование требований 152-ФЗ больше не будет "мелким упущением". Это станет фактором прямого финансового риска и имиджевых потерь. Роскомнадзор усилил проверки, штрафы увеличились, а клиенты стали осведомленнее. Люди охотнее оставляют данные тем, кому доверяют, поэтому к такой “щепетильной” информации надо относиться внимательно. 

Проведите аудит — и действуйте на опережение. Лучше уже сегодня автоматизировать процессы, привести документы в порядок и снизить все риски до минимума.
Материал по теме

Роскомнадзор готовит массовую проверку интернет-магазинов

Материал по теме

Роскомнадзор заинтересовался покупателями китайских интернет-магазинов

Материал по теме

Российские покупатели боятся интернет-магазинов

Подписаться на новости

Актуальное сейчас

Ozon выводит премиальный fashion на отдельную платформу

Ozon вроде бы меняет директора маркетплейса и готовится к запуску Ozon Select - отдельного приложения для премиального сегмента, включающего fashion-категории и товары высокого ценового уровня. По данным пр...

Яндекс Роботикс и Яндекс Лавка запустили первый роботизированный даркстор

Яндекс Роботикс автоматизировал сборку заказов в московском дарксторе Яндекс Лавки. В специально оборудованной «робозоне» задействованы автономные мобильные роботы (AMR). За их координацию отвечает система ...

Ozon впервые вышел в прибыль и улучшил прогноз на 2025 год

Во втором квартале 2025 года Ozon Holdings впервые за 28 лет работы показал чистую прибыль – 359 млн рублей против убытка в 28 млрд рублей годом ранее. Скорректированная EBITDA достигла рекордных 39,2 млрд ...

Доставка продуктов меняет потребительские привычки поколения Z

Поколение Z активно отказывается от традиционных магазинов в пользу онлайн-доставки продуктов. Согласно исследованию сервиса "Пакет" (Х5), каждый третий зумер в России (18-27 лет) хотел бы полностью переста...

Авито: доставка увеличивает вовлеченность покупателей на 40%

Объявления с возможностью доставки получают на 37% больше просмотров и на 40% больше звонков и сообщений, свидетельствуют результаты исследования компании Avito.  Плюсы от доставки очевидны обеим сто...

Китайские продавцы удваивают присутствие на российских маркетплейсах

Аналитики T-Data зафиксировали двукратный рост числа китайских продавцов на российских маркетплейсах с июня 2024 по июнь 2025 года. Исследование охватило основные площадки - Wildberries и Ozon. В дек...

Согласие на обработку персональных данных

×

Физическое лицо, оставляя заявку на веб-сайте e-pepper.ru через форму подписки на e-mail рассылку, действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее — Согласие) Обществу с ограниченной ответственностью «МАКС ТЕХНОЛОДЖИ» (ООО «МАКС ТЕХНОЛОДЖИ») (ИНН 7701370771), которому принадлежит веб-сайт e-pepper.ru и которое зарегистрировано по адресу 115114, Москва, 1-й Павелецкий проезд, 1/42к2, помещение 1а/2п, офис 4, на обработку своих персональных данных со следующими условиями:

  1. Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
  2. Согласие дается на обработку следующих моих персональных данных: персональные данные, не относящиеся к специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; сведения о месте работы; номер мобильного телефона.
  3. Цель обработки персональных данных: обсуждение возможного проекта.
  4. В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
  5. Персональные данные обрабатываются в течение 30 дней с момента отказа в дальнейшем обсуждении проекта или с момента принятия решения о заключении договора на проект в соответствии с ч. 4 ст. 21 152-ФЗ, смотря что произойдет раньше.
  6. Согласие может быть отозвано вами или вашим представителем путем направления ООО «МАКС ТЕХНОЛОДЖИ» письменного заявления, по адресу 115114, Москва, 1-й Павелецкий проезд, 1/42к2, помещение 1а/2п, офис 4.
  7. В случае отзыва вами или вашим представителем Согласия ООО «МАКС ТЕХНОЛОДЖИ» вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 г.
  8. Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п. 6 и п. 7 Согласия.