28.05.2025
С 30 мая 2025 года вступают в силу важные поправки к закону №152-ФЗ «О персональных данных». Для розницы и e-commerce это не просто формальное ужесточение: теперь даже за баннер с ретаргетингом или сбор e-mail через pop-up можно получить штраф до 15 млн рублей. И это только начало.
Разбираемся, что изменилось и как подготовиться, если вы продаёте онлайн или офлайн.
Рассказывает Владислав Яриков, руководитель коммерческой горизонтали Data и Marketing PIM Solutions.
Почему теперь почти каждый интернет-магазин — оператор ПДн
Сейчас оператором персональных данных можно признать буквально каждого, кто работает с клиентскими данными. В том числе и интернет-магазины, если они:
- Принимают заказы на сайте, в мессенджерах, через соцсети или маркетплейсы
- Собирают e-mail или телефон, даже просто ради рассылки промокода
- Используют Google Analytics или другие рекламные/аналитические скрипты
- Показывают рекламу с ретаргетингом
- Хранят данные клиентов в CRM, Excel или личных переписках
- Проводят акции, конкурсы, дают купоны за регистрацию
- Работают с партнёрами, передающими лиды
Даже если это просто локальный шоурум в соцсетях или владелец магазина-лендинга, он уже подпадает под закон и обязан:
- Зарегистрироваться как оператор в Роскомнадзоре
- Подготовить и опубликовать политику обработки ПДн
- Обеспечить защиту данных в зависимости от уровня угроз
- Не допускать несанкционированной передачи данных третьим лицам
- Следить за тем, что делают подрядчики с переданными им ПДн
Что будет, если ничего не делать?
Штрафы вырастут в разы:
- До 15 млн рублей за утечку
- До 300 тыс. рублей за работу без регистрации в реестре операторов персональных данных
- Уголовная ответственность — если данные использовались в мошенничестве или были переданы за границу
Блокировка сайта:
Если вы используете незаконную передачу данных за рубеж (например, скрипты от Google и др.), Роскомнадзор может инициировать ограничение доступа к сайту.
Проверки:
В 2024 году уже начались выборочные проверки малого бизнеса. Приоритет — онлайн-продавцы и сервисы с регистрацией.
Как интернет-магазинам соблюдать закон
Вот список типичных ситуаций, в которых интернет-магазин нарушает закон, даже если он об этом не подозревает.
| Что вы делаете? | Это уже обработка ПДн? |
| Собираете e-mail или телефон | Да |
| Делаете рассылки или обзвоны | Да |
| Сохраняете данные клиентов в AmoCRM, Bitrix, Notion, Excel | Да |
| Настраиваете ретаргетинг через пиксели | Да |
| Используете Google Analytics, ChatGPT, Notion, Tilda, Shopify | Да (может быть трансграничная передача) |
6 шагов для e-commerce и ритейла
Чтобы избежать огромных штрафов на нарушение порядка работы с ПДн, нужно в первую очередь выполнить 6 пунктов.
- Проведите аудит: какие персональные данные вы собираете и где они хранятся?
- Проверьте подрядчиков: особенно веб-студии, таргетологов, CRM-интеграторов, тех, кто имеет доступ к базе.
- Зарегистрируйтесь в Роскомнадзоре как оператор ПДн.
- Опубликуйте на сайте политику обработки данных. Лучше — с чек-боксами согласия.
- Обезопасьте хранение: CRM с шифрованием, контроль доступа, регулярные бэкапы.
- Уберите лишние скрипты, которые отправляют данные за границу: особенно Google.
Важно: даже если база у вас на Google Таблицах или переписках в Telegram, это тоже обработка.
Что дальше: ИИ и обязательная передача обезличенных данных
С 1 сентября 2025 года вступает в силу новый блок закона — об обучении ИИ на обезличенных персональных данных. Интернет-магазины, особенно крупные, будут обязаны:
- Обезличивать данные клиентов (например, для аналитики и сегментации)
- Передавать их в госсистему (правила в процессе уточнения)
- Поддерживать прозрачность обработки — кто, как и зачем использует данные
Это касается, например, истории заказов, поведения на сайте, соцдем-профилей — без ФИО и телефонов, но с чёткой привязкой к цифровому поведению.
Что делать уже сейчас?
Если у вас меньше 100 заказов в месяц:
— Зарегистрируйтесь как оператор, разместите политику, обезопасьте базу.
Если вы в сегменте DTC или работаете с постоянными клиентами:
— Убедитесь, что каждый подписчик дал согласие, используйте отечественные сервисы.
Если у вас интернет-магазин на Shopify, Tilda, RetailCRM, 1С-Битрикс:
— Проверьте, где хранятся данные, и подписывайте договоры с обработчиками.
Если используете сквозную аналитику, e-mail маркетинг, пиксели:
— Настройте сбор данных по новым правилам, добавьте согласия, исключите трансграничные риски.
Новый закон — это как касса
Законодательство меняется, и теперь даже маркетинг без формального согласия — риск. Если раньше можно было «не заморачиваться», то теперь персональные данные стали такой же критической зоной, как финансы или охрана труда.
Простой принцип: если у вас есть клиент — вы уже под прицелом. Но если работать легально и соблюдать правила, то проблем можно будет избежать.
Владислав Яриков,
руководитель коммерческой горизонтали Data и Marketing PIM Solutions.
Для NEW RETAIL
Присоединяйтесь к нам в Telegram и получите гайд в подарок!
