← На главную

Juris AI · 152-ФЗ · интернет-магазины

152-ФЗ для интернет-магазина: какие документы нужны, когда уведомлять Роскомнадзор и как избежать штрафов

Если интернет-магазин принимает заказы через сайт, использует формы обратной связи, оформляет доставку товаров или ведет email-рассылки, он обрабатывает персональные данные клиентов.

Интернет-магазин собирает персональные данные: что это означает для бизнеса

К персональным данным относятся не только фамилия, имя и телефон покупателя. Закон рассматривает гораздо более широкий перечень сведений. Поэтому требования Федерального закона № 152-ФЗ «О персональных данных» распространяются практически на любой интернет-магазин.

На практике многие предприниматели уверены, что требования закона касаются только крупных компаний. Однако даже небольшой интернет-магазин, который принимает заявки через сайт, уже является оператором персональных данных.

В этой статье разберем, какие обязанности возникают у владельца интернет-магазина, какие документы необходимо подготовить и в каких случаях нужно уведомлять Роскомнадзор.

Какие персональные данные обычно собирает интернет-магазин

Большинство интернет-магазинов обрабатывают следующие сведения:

Даже если покупатель оставляет только номер телефона для обратного звонка, это уже считается обработкой персональных данных.

Чем больше сервисов подключено к сайту, тем шире становится объем обрабатываемой информации. Например, данные клиентов могут автоматически передаваться в CRM-систему, сервис email-рассылок, систему аналитики или службу доставки.

Что чаще всего отсутствует на сайте интернет-магазина

При проверке интернет-магазинов обычно выявляются одни и те же нарушения. На сайте отсутствуют:

В результате документы существуют только формально либо отсутствуют полностью.

Важно: Роскомнадзор обращает внимание не только на наличие документов, но и на их соответствие фактической работе сайта. Если компания заявляет одну цель обработки данных, а фактически использует информацию для рекламы и рассылок, это может стать основанием для претензий.

Компания Juris AI окажет услуги по аудиту принадлежащего вам сайта на предмет соблюдения требований Закона № 152 и Роскомнадзора. По результатам аудита мы предоставим список мероприятий, которые нужно провести для того, чтобы не нарушить закон. При необходимости предложим скорректировать или разработать документы по защите ПДн.

Какие документы нужны интернет-магазину для соблюдения 152-ФЗ

Перечень документов зависит от структуры сайта и бизнес-процессов компании. Однако в большинстве случаев требуется подготовить следующий комплект.

Политика обработки персональных данных

Это основной документ, который публикуется на сайте в открытом доступе. В нем указываются:

Согласие на обработку персональных данных

Пользователь должен иметь возможность выразить согласие до отправки формы. Обычно рядом с кнопкой отправки размещается чекбокс с текстом согласия и ссылкой на политику обработки персональных данных.

Согласие на получение рекламных рассылок

Если интернет-магазин направляет рекламные предложения по электронной почте, через SMS или мессенджеры, необходимо получить отдельное согласие на рассылку. Объединять его с согласием на обработку персональных данных не рекомендуется.

Тексты для форм сайта

Каждая форма должна содержать юридически корректную информацию о том, какие данные собираются и для каких целей.

Внутренние документы компании

Для сотрудников и подрядчиков обычно разрабатываются:

Нужно ли уведомлять Роскомнадзор

Во многих случаях уведомление Роскомнадзора является обязательным. Особенно если интернет-магазин использует:

На практике многие компании ошибочно считают, что регистрация в Роскомнадзоре нужна только крупным организациям. Однако обязанность определяется не размером бизнеса, а фактом обработки персональных данных и особенностями такой обработки.

Перед подачей уведомления необходимо провести аудит сайта и бизнес-процессов, чтобы корректно указать все способы обработки данных.

Почему нельзя использовать шаблонные документы

В интернете можно найти десятки бесплатных шаблонов политик и согласий. Однако большинство из них не учитывают особенности конкретного бизнеса.

Обычно шаблоны не содержат информации о:

Во время проверки контролирующий орган оценивает не наличие документов как таковых, а их соответствие реальным процессам компании.

Компания Juris AI разработает полный комплект документов по защите ПДн для вашего сайта. Мы используем индивидуальный подход к клиентам. Документы будут отвечать требованиям Закона № 152 и Роскомнадзора.

Cookie, аналитика и веб-метрики: о чем часто забывают владельцы интернет-магазинов

Многие предприниматели считают, что cookie-файлы не относятся к персональным данным. Однако современная практика показывает, что информация о поведении пользователя на сайте может рассматриваться как персональные данные при возможности идентификации пользователя.

Если интернет-магазин использует:

необходимо корректно описать такую обработку данных в документах и уведомить пользователей об использовании cookie.

Что грозит интернет-магазину за нарушение законодательства о персональных данных

Нарушение требований 152-ФЗ может привести к:

Кроме финансовых рисков, нарушения способны негативно повлиять на репутацию компании. Для интернет-магазина доверие покупателей напрямую влияет на объем продаж и повторные заказы.

Краткий чек-лист для владельца интернет-магазина

Проверьте, есть ли у вас:

Если хотя бы несколько пунктов отсутствуют, стоит провести аудит сайта и привести обработку персональных данных в соответствие с требованиями законодательства.

Выводы

Практически любой интернет-магазин является оператором персональных данных. Сбор телефонов, email-адресов, адресов доставки, использование CRM-систем, аналитики и рассылок автоматически влечет применение требований Федерального закона № 152-ФЗ.

Для соблюдения закона недостаточно разместить на сайте скачанный шаблон политики. Документы должны отражать реальные процессы обработки данных, используемые сервисы и бизнес-модель магазина.

Комплексная проверка сайта и подготовка документов позволяют снизить риски претензий со стороны Роскомнадзора и обеспечить законную работу интернет-магазина.

Часто задаваемые вопросы

Если покупатель просто положил товар в корзину, но не оформил заказ, это уже обработка персональных данных?

Не всегда. Если пользователь не вводил данные, например телефон или email, требования 152-ФЗ могут не применяться. Однако ситуация меняется, если интернет-магазин использует авторизацию через личный кабинет, собирает данные для брошенных корзин или применяет технологии отслеживания поведения пользователей.

Нужно ли получать согласие на обработку персональных данных для онлайн-чата на сайте?

Да, если посетитель оставляет в чате номер телефона, email или другие сведения, позволяющие его идентифицировать.

Нарушает ли закон передача данных покупателей в службу доставки?

Сама по себе передача не запрещена. Однако она должна быть предусмотрена документами интернет-магазина. Пользователь должен быть уведомлен о том, что его данные могут передаваться транспортным компаниям и другим партнерам для исполнения заказа.

Можно ли использовать номер телефона клиента для рекламы после выполнения заказа?

Только если покупатель дал отдельное согласие на получение рекламных сообщений. Согласие на обработку персональных данных и согласие на маркетинговую рассылку — это разные юридические основания.

Нужно ли размещать уведомление о cookie, если интернет-магазин использует только Яндекс Метрику?

Да. Даже если сайт не использует сложные маркетинговые инструменты, Яндекс Метрика работает через cookie-файлы. Пользователь должен быть проинформирован об этом.

Если CRM находится на серверах за пределами России, возникают ли дополнительные требования?

Да. В этом случае необходимо проверить соблюдение требований о трансграничной передаче персональных данных. Кроме того, персональные данные российских граждан должны первоначально собираться и храниться с использованием баз данных, расположенных на территории России.

Нужно ли удалять данные клиента после доставки заказа?

Не всегда. Закон допускает хранение персональных данных в течение сроков, необходимых для достижения целей обработки, исполнения договора и выполнения требований налогового и бухгалтерского законодательства.

Может ли Роскомнадзор проверить небольшой интернет-магазин с несколькими заказами в день?

Да. Размер бизнеса не имеет значения. Основанием для проверки может стать жалоба покупателя, утечка данных, обращение конкурента или автоматический мониторинг сайта.

Если сайт сделан на конструкторе Tilda, Bitrix или Shopify, требования 152-ФЗ не действуют?

Действуют в полном объеме. Используемая платформа не освобождает владельца сайта от обязанностей оператора персональных данных.

Что чаще всего становится причиной претензий Роскомнадзора к интернет-магазинам?

Проблемы обычно возникают из-за расхождения между документами и реальной работой сайта. Например, политика не содержит сведений о CRM или сервисе рассылок, хотя фактически данные покупателей передаются в эти системы.

Может ли конкурент пожаловаться на мой интернет-магазин из-за нарушений 152-ФЗ?

Да. Закон не ограничивает круг лиц, которые могут направить обращение в Роскомнадзор. На практике жалобы подают не только покупатели, но и конкуренты, бывшие сотрудники и подрядчики.

Что опаснее для интернет-магазина: отсутствие политики или неправильно оформленная политика?

Во многих случаях второй вариант рискованнее. Формально размещенная политика, которая не соответствует реальным процессам обработки данных, может создать иллюзию соблюдения закона и выявиться уже во время проверки.

Проверить документы интернет-магазина

Загрузите политику ПДн, согласие или текст сайта — Juris AI покажет типовые риски и проблемные места.

Открыть проверку