ФЗ-152 закон «О персональных данных» : пошаговая инструкция

Собираете email и телефоны клиентов? Храните адреса доставки? Поздравляем — вы оператор персональных данных и обязаны соблюдать ФЗ-152. Разбираемся, что это значит на практике и как не получить штраф до 75 000 рублей.

Почему это касается каждого интернет-магазина

Распространённое заблуждение: «У меня маленький магазин, ФЗ-152 — это для больших компаний»

Реальность: Закон распространяется на ВСЕ интернет-магазины — от небольшого магазина свечек на Tilda до крупного маркетплейса. Если вы собираете хотя бы имя и телефон клиента — вы обязаны соблюдать требования закона.

Что грозит за несоблюдение:

• Для ИП: штраф до 75 000 ₽
• Для юридических лиц: штраф до 500 000 ₽
• Для должностных лиц: штраф до 50 000 ₽
• Блокировка сайта Роскомнадзором
• Иски от клиентов на возмещение ущерба

Свежая статистика 2024-2025: Роскомнадзор активно проверяет интернет-магазины. Основные причины штрафов:

• Отсутствие политики конфиденциальности (43% случаев)
• Нет согласия на обработку персональных данных (38%)
• Утечка данных из-за незащищённого сайта (12%)

Что такое ФЗ-152 простыми словами

Федеральный закон №152-ФЗ «О персональных данных» регулирует сбор, хранение, использование и защиту информации о людях.

Ключевые понятия:

Персональные данные (ПДн) — любая информация, по которой можно идентифицировать человека:

• ФИО
• Телефон
• Email
• Адрес доставки
• Дата рождения
• IP-адрес
• Фото/видео
• Паспортные данные

Оператор ПДн — тот, кто собирает и обрабатывает эти данные. В нашем случае — владелец интернет-магазина (ИП или ООО).

Субъект ПДн — человек, чьи данные обрабатываются. Ваш клиент.

Обработка ПДн — любые действия с данными:

• Сбор (форма заказа)
• Запись (сохранение в базе)
• Систематизация (CRM-система)
• Хранение (на сервере)
• Изменение (обновление адреса)
• Использование (отправка SMS о заказе)
• Передача (курьерской службе)
• Удаление (по запросу клиента)

Какие данные собирает типичный интернет-магазин

Проверьте, что вы собираете на своём сайте:

Обязательный минимум для оформления заказа:

• ✅ ФИО или имя клиента
• ✅ Номер телефона
• ✅ Email
• ✅ Адрес доставки

Дополнительно могут собираться:

• История заказов и просмотров
• Данные банковских карт (если принимаете оплату)
• Паспортные данные (для некоторых товаров)
• Дата рождения (для скидок в день рождения)
• Пол, возраст (для персонализации)
• История переписки в чате поддержки
• Cookies и данные аналитики (IP, браузер, геолокация)

Скрытый сбор данных:

• Системы аналитики (Яндекс.Метрика, Google Analytics)
• Пиксели ретаргетинга (VK, MyTarget)
• Онлайн-чаты (Jivosite, Carrot quest)
• CRM-системы
• Email-рассылки

Важно: Даже если данные собирает сторонний сервис (например, форма от Tilda), ответственность несёте ВЫ как владелец сайта.

Пошаговая инструкция по соблюдению ФЗ-152

Шаг 1: Определите, какие данные вы собираете

Что делать:

1. Составьте список всех форм на сайте:
   • Форма заказа
   • Регистрация личного кабинета
   • Подписка на рассылку
   • Обратная связь
   • Отзывы
2. Перечислите сторонние сервисы:
   • Аналитика
   • CRM
   • Email-сервисы
   • Платёжные системы
   • Службы доставки
3. Создайте таблицу:

Данные	Где собираем	Зачем	Куда передаём
ФИО	Форма заказа	Оформление заказа	Склад, курьер
Телефон	Форма заказа	Связь с клиентом	Курьерская служба
Email	Подписка	Рассылка	Sendsay
Адрес	Доставка	Доставка товара	СДЭК, Почта России

Результат: Вы понимаете полную картину обработки данных.

Шаг 2: Создайте политику конфиденциальности

Политика конфиденциальности — публичный документ на сайте, где вы объясняете клиентам, как работаете с их данными.

Обязательные разделы:

1. Какие данные собираем
   • Исчерпывающий список из Шага 1
2. Для чего собираем
   • Обработка заказов
   • Связь с клиентом
   • Улучшение сервиса
   • Рекламные рассылки (если есть)
3. Как собираем
   • Через формы на сайте
   • Автоматически (cookies, аналитика)
   • От партнёров (если применимо)
4. Кому передаём
   • Курьерские службы
   • Платёжные системы
   • Email-сервисы
   • Рекламные площадки
5. Как храним и защищаем
   • SSL-сертификат
   • Шифрование данных
   • Ограничение доступа сотрудников
   • Срок хранения
6. Права субъекта данных
   • Право на доступ к своим данным
   • Право на изменение
   • Право на удаление
   • Как реализовать эти права
7. Cookies и аналитика
   • Какие cookies используем
   • Системы аналитики
   • Как отключить
8. Контакты для обращений
   • Email
   • Телефон
   • Реквизиты компании

Где разместить:

• Отдельная страница на сайте (обычно /privacy или /confidentiality)
• Ссылка в футере сайта
• Ссылка рядом с формами сбора данных

Лайфхак: Не копируйте политику с чужих сайтов. Опишите именно ваши процессы. Штраф могут дать за несоответствие документа реальной практике.

Шаг 3: Получите согласие на обработку персональных данных

Согласие — это явное разрешение клиента на обработку его данных. Без согласия обрабатывать данные НЕЛЬЗЯ (кроме случаев, предусмотренных законом).

Как правильно получить согласие:

Вариант 1: Чекбокс при оформлении заказа (рекомендуется)

☐ Я согласен с условиями [Политики конфиденциальности] 

  и даю согласие на обработку персональных данных

Важно:

• Чекбокс должен быть СНЯТ по умолчанию (клиент ставит галочку сам)
• Фраза «Политика конфиденциальности» — активная ссылка
• Без галочки кнопка «Оформить заказ» неактивна

Вариант 2: Отдельная форма согласия

Для критичных данных (паспорт, медицинские данные) используйте отдельный документ, который клиент подписывает.

Что должно быть в согласии:

1. Конкретные данные, которые будут обрабатываться
2. Цели обработки
3. Срок действия согласия
4. Возможность отозвать согласие

Пример формулировки:

«Я, _____________ (ФИО), даю согласие ИП Иванов Иван Иванович (ИНН 123456789012) на обработку моих персональных данных (ФИО, телефон, email, адрес доставки) в целях обработки и доставки заказа №_____. Согласие действует до момента его отзыва. Я могу отозвать согласие, направив письмо на email@shop.ru»

Как хранить подтверждение согласия:

• Логи с IP-адресом и временем согласия
• Скриншоты формы на момент заказа
• Email-подтверждения
• Скан подписанного документа

Хранить минимум 3 года после прекращения обработки.

Шаг 4: Уведомите Роскомнадзор (если требуется)

Когда нужно уведомлять Роскомнадзор:

❌ НЕ нужно уведомлять, если:

• Обрабатываете данные только с согласия клиента
• Данные нужны для однократной сделки (разовый заказ)
• Не ведёте базу данных клиентов

✅ Нужно уведомлять, если:

• Обрабатываете данные БЕЗ согласия (на основании договора/закона)
• Ведёте базу клиентов для регулярных коммуникаций
• Есть автоматизированная обработка (CRM-системы)

Для большинства интернет-магазинов с согласием клиентов уведомление НЕ требуется.

Если все же нужно:

1. Заполните форму на сайте Роскомнадзора (rkn.gov.ru)
2. Подпишите электронной подписью (ЭЦП)
3. Отправьте в течение 10 дней с начала обработки данных
4. Срок: БЕСПЛАТНО

Штраф за неподачу уведомления: 30 000 — 50 000 ₽ для должностных лиц.

Шаг 5: Обеспечьте защиту персональных данных

Минимальные меры защиты для интернет-магазина:

1. SSL-сертификат (HTTPS)

Что это: Шифрование передачи данных между браузером клиента и сервером.

Как проверить: В адресной строке должен быть замок 🔒 и https://

Как получить:

• Бесплатно: Let’s Encrypt (автоматически в большинстве хостингов)
• Платно: от 1000 ₽/год у хостинг-провайдера

Обязательно для: Всех форм, где вводятся данные

2. Надёжный хостинг

Требования:

• Серверы в России (для данных граждан РФ)
• Регулярные резервные копии
• Защита от DDoS-атак
• Техподдержка 24/7

Надёжные провайдеры: Timeweb, Beget, RuWeb, Selectel

Стоимость: от 200 ₽/месяц

3. Ограничение доступа к данным

Кто должен иметь доступ:

• Только сотрудники, которым это необходимо для работы
• У каждого — личный логин и пароль
• Разные уровни доступа (админ, менеджер, курьер)

Как организовать:

• В админке сайта: настройте роли пользователей
• В CRM: выдавайте доступ по необходимости
• К базе данных: минимум людей

Обязательно:

• Запрет на передачу паролей
• Увольняется сотрудник → сразу отзываете доступ

4. Антивирус и обновления

Регулярно:

• Обновляйте CMS (WordPress, Bitrix и т.д.)
• Обновляйте плагины
• Проверяйте сайт на вирусы

Инструменты:

• Антивирус на хостинге
• Плагины безопасности (WordFence для WordPress)
• Мониторинг целостности файлов

5. Безопасные пароли

Требования к паролям:

• Минимум 8 символов
• Буквы (большие и маленькие) + цифры + спецсимволы
• Уникальный для каждого сервиса
• Двухфакторная аутентификация (2FA) где возможно

Используйте менеджеры паролей: 1Password, Bitwarden, Keepass

6. Резервное копирование

Обязательно:

• Автоматические бэкапы базы данных
• Частота: минимум раз в неделю, лучше ежедневно
• Хранение: на отдельном сервере/облаке
• Проверка: периодически восстанавливайте из бэкапа для проверки

Где хранить: Яндекс.Диск, Google Drive, отдельный сервер

Шаг 6: Заключите соглашения с третьими лицами

Если вы передаёте данные клиентов кому-то ещё — нужен договор об обработке персональных данных.

Кому передаём данные:

• Курьерские службы (СДЭК, Boxberry, Почта России)
  • Данные: ФИО, телефон, адрес
  • Нужен: Договор на оказание услуг доставки с пунктом об ПДн
• Платёжные системы (ЮKassa, Tinkoff, Сбербанк)
  • Обычно уже включено в договор на эквайринг
  • Проверьте наличие раздела про ПДн
• Email-сервисы (Unisender, Sendsay, MailChimp)
  • Данные: Email, имя
  • Нужен: Соглашение об обработке данных (обычно есть в личном кабинете)
• CRM-системы (Битрикс24, amoCRM, RetailCRM)
  • Облачные решения уже имеют стандартное соглашение
  • Проверьте условия использования
• Аналитика (Яндекс.Метрика, Google Analytics)
  • Согласие прописывается в политике конфиденциальности
  • Cookie-баннер для получения согласия

Что должно быть в соглашении:

1. Какие данные передаются
2. Для каких целей
3. Обязанность партнёра обеспечить защиту
4. Запрет на передачу третьим лицам без согласия
5. Срок хранения и порядок удаления

Как получить:

• Крупные компании имеют типовые соглашения
• Запросите у партнёра документ
• Если партнёр не предоставляет — это плохой знак

Шаг 7: Организуйте процесс работы с запросами клиентов

По закону клиент имеет право:

1. Узнать, какие его данные вы обрабатываете

Запрос: «Хочу знать, какие мои данные у вас хранятся»

Ответ в течение: 30 дней (бесплатно первый раз)

Что отправить:

• Список данных
• Цели обработки
• Сроки хранения
• Источник получения

2. Исправить неточные данные

Запрос: «У меня изменился телефон, обновите в базе»

Срок: 7 рабочих дней

Действие: Обновить в базе, подтвердить клиенту

3. Удалить свои данные

Запрос: «Удалите все мои данные»

Срок: 30 дней

Важно:

• Можно НЕ удалять данные, если они нужны для выполнения договора
• Можно НЕ удалять данные, если есть законодательное требование (например, бухгалтерские документы хранятся 5 лет)
• В остальных случаях — удаляете

4. Отозвать согласие на обработку

Запрос: «Отзываю согласие на обработку персональных данных»

Срок: 30 дней

Действие:

• Прекратить обработку
• Удалить данные (если нет оснований для хранения)
• Подтвердить выполнение

Как организовать:

1. Укажите в политике конфиденциальности email для запросов (например, privacy@shop.ru)
2. Создайте шаблоны ответов
3. Заведите реестр запросов (Excel-таблица или CRM)
4. Назначьте ответственного сотрудника

Штраф за игнорирование запроса: до 45 000 ₽

Шаг 8: Назначьте ответственного за ПДн

Обязательно для юридических лиц.
Опционально для ИП (можете быть ответственным сами).

Кто может быть ответственным:

• Директор/учредитель
• Штатный сотрудник (менеджер, администратор)
• Вы сами (если ИП)

Что нужно:

1. Издать приказ о назначении ответственного
2. Прописать обязанности (контроль соблюдения ФЗ-152, работа с запросами)
3. Обучить сотрудника (онлайн-курсы, вебинары)

Примерный текст приказа:

«ПРИКАЗ №__ от ..2025 О назначении ответственного за обработку персональных данных

Назначить Иванову А.С. ответственной за организацию обработки персональных данных в ООО «Интернет-магазин».

Обязанности:

• Контроль соблюдения требований ФЗ-152
• Обработка запросов субъектов ПДн
• Организация защиты данных

Генеральный директор _________ Петров П.П.»

Необходимые документы: чек-лист

Соберите пакет документов:

Внешние (публичные, на сайте):

• Политика конфиденциальности — отдельная страница
• Согласие на обработку ПДн — чекбокс в формах
• Политика использования cookies — можно объединить с политикой конфиденциальности

Внутренние (для компании):

• Приказ о назначении ответственного за ПДн
• Положение об обработке персональных данных — внутренний документ с описанием процессов
• Перечень обрабатываемых ПДн — таблица из Шага 1
• Соглашения с третьими лицами — договоры с курьерами, платёжными системами и т.д.
• Журнал учёта запросов субъектов — таблица для фиксации обращений
• Инструкция для сотрудников — как работать с ПДн, к кому обращаться

Технические:

• SSL-сертификат — проверить наличие
• Резервные копии — настроить автоматические
• Логи доступа — сохранять, кто и когда работал с данными

Где хранить: В защищённой папке на сервере + бумажные версии в офисе (для проверяющих).

Частые ошибки и как их избежать

❌ Ошибка 1: «Галочка согласия стоит по умолчанию»

Что не так: Чекбокс «Я согласен с политикой конфиденциальности» активен изначально.

Почему плохо: Согласие должно быть сознательным и добровольным. Предустановленная галочка = принуждение.

Правильно: Чекбокс снят, клиент сам ставит галочку.

❌ Ошибка 2: «Политика конфиденциальности скопирована с другого сайта»

Что не так: Типовой документ, не отражающий реальные процессы.

Почему плохо:

• Упоминаете сервисы, которых у вас нет
• Не упоминаете те, что используете
• Несоответствие = штраф

Правильно: Адаптируйте под свой бизнес, опишите именно свои процессы.

❌ Ошибка 3: «Данные передаём курьерам без соглашения»

Что не так: Просто отправляете заказы со всеми данными клиента.

Почему плохо: Нарушение закона — передача данных третьим лицам без договора.

Правильно: Заключите договор с курьерской службой с разделом об обработке ПДн.

❌ Ошибка 4: «Храним данные вечно»

Что не так: Заказ выполнен 5 лет назад, но данные клиента всё ещё в базе.

Почему плохо:

• Нарушение принципа минимизации хранения
• Риск утечки
• Клиент может потребовать удаления

Правильно: Установите срок хранения (например, 3 года с последнего заказа) и удаляйте неактуальные данные.

❌ Ошибка 5: «Нет SSL-сертификата»

Что не так: Сайт работает по HTTP, а не HTTPS.

Почему плохо:

• Данные передаются в открытом виде
• Легко перехватить
• Google понижает в поиске
• Клиенты видят «Соединение не защищено»

Правильно: Установите SSL (часто бесплатно от хостинга).

❌ Ошибка 6: «Игнорируем запросы клиентов на удаление данных»

Что не так: Клиент просит удалить данные, вы не отвечаете или отказываете без оснований.

Почему плохо: Прямое нарушение ФЗ-152, штраф + иск от клиента.

Правильно: Ответить в течение 30 дней, удалить данные или обосновать отказ.

❌ Ошибка 7: «Рассылаем рекламу без согласия»

Что не так: Клиент оформил заказ, вы добавили его в рассылку акций.

Почему плохо:

• Обработка данных в целях, на которые не давалось согласие
• Нарушение ФЗ-38 «О рекламе»

Правильно:

• Отдельный чекбокс «Согласен получать рекламные рассылки»
• Возможность отписаться в каждом письме

❌ Ошибка 8: «Данные на зарубежных серверах»

Что не так: Используете зарубежный хостинг или облачные сервисы (например, американские).

Почему плохо: ФЗ-152 требует хранить данные граждан РФ на территории России.

Правильно:

• Хостинг в России
• Если используете зарубежный сервис — проверьте, есть ли у него серверы в РФ
• Например, Google и AWS имеют датацентры в России

Штрафы и ответственность в 2025 году

Административная ответственность (КоАП):

Обработка без согласия (ст. 13.11 КоАП):

• Граждане: предупреждение или 1 000–3 000 ₽
• Должностные лица: 5 000–10 000 ₽
• ИП: 10 000–20 000 ₽
• Юрлица: 30 000–50 000 ₽

Нарушение требований к защите (ст. 13.11 ч. 2):

• Должностные лица: 10 000–20 000 ₽
• ИП: 10 000–20 000 ₽
• Юрлица: 50 000–100 000 ₽

Непредоставление информации субъекту (ст. 13.11 ч. 5):

• Должностные лица: 10 000–20 000 ₽
• Юрлица: 30 000–50 000 ₽

Повторное нарушение (ст. 13.11 ч. 6):

• Должностные лица: 20 000–40 000 ₽ или дисквалификация
• ИП: 20 000–50 000 ₽
• Юрлица: 100 000–300 000 ₽

Неуведомление Роскомнадзора (ст. 19.7):

• Должностные лица: 30 000–50 000 ₽

Утечка данных (ст. 13.11 ч. 3):

• Должностные лица: 30 000–50 000 ₽
• Юрлица: 100 000–500 000 ₽

Уголовная ответственность (при серьёзных нарушениях):

Неправомерный доступ к данным (ст. 272 УК РФ):

• Штраф до 500 000 ₽
• Исправительные работы
• Лишение свободы до 5 лет

Распространение ПДн (ст. 137 УК РФ):

• Штраф до 200 000 ₽
• Принудительные работы
• Арест до 4 месяцев

Гражданско-правовая ответственность:

Клиент может подать иск на возмещение:

• Морального вреда (обычно 5 000–50 000 ₽)
• Материального ущерба (если докажет)
• Упущенной выгоды

Практические советы

💡 Совет 1: Начните с аудита

Прежде чем внедрять ФЗ-152, проведите самопроверку:

Чек-лист для аудита:

• Есть ли политика конфиденциальности?
• Получаете ли согласие клиентов?
• Есть ли SSL-сертификат?
• Где физически хранятся данные (сервер в России)?
• Какие сторонние сервисы используете?
• Есть ли договоры с партнёрами об обработке ПДн?
• Кто из сотрудников имеет доступ к базе?
• Есть ли резервные копии?

Запишите всё честно. Это ваша отправная точка.

💡 Совет 2: Используйте готовые решения

Генераторы политики конфиденциальности:

• d152.ru

💡 Совет 3: Автоматизируйте где возможно

Примеры автоматизации:

1. Автоматическое удаление старых данных
   • Скрипт, который удаляет клиентов без заказов 3+ года
   • Запуск раз в квартал
2. Логирование доступа к данным
   • CRM автоматически записывает, кто открывал карточку клиента
   • Помогает при расследовании утечек
3. Email-уведомления при запросах
   • Клиент пишет на privacy@shop.ru
   • Автоматическое создание задачи ответственному

💡 Совет 4: Обучите команду

Минимальная программа для сотрудников:

• Что такое персональные данные
• Что нельзя делать (пересылать базы, записывать данные на флешку, обсуждать клиентов в соцсетях)
• Что делать при получении запроса от клиента
• Что делать при подозрении на утечку

Формат: 1-часовая встреча раз в год + памятка на рабочем месте

Проверка: Подписание ознакомления с политикой обработки ПДн

💡 Совет 5: Регулярно обновляйте документы

Когда обновлять политику конфиденциальности:

• Добавили новый сервис (новая CRM, аналитика)
• Изменились условия доставки/оплаты
• Вышли изменения в законодательстве
• Минимум раз в год — ревизия актуальности

Как уведомить клиентов:

• Обновите дату изменения в документе
• Если изменения существенные — отправьте email подписчикам
• В политике пропишите: «Изменения вступают в силу с момента публикации»

💡 Совет 6: Не паникуйте, но и не игнорируйте

Здоровый подход:

🟢 Хорошо:

• Поэтапное внедрение (сначала самое важное)
• Реалистичная оценка рисков (малый магазин ≠ Сбербанк)
• Баланс между безопасностью и удобством

🔴 Плохо:

• Паника и дорогостоящие избыточные решения
• Полное игнорирование закона
• Отношение «А, меня не поймают»

Философия: ФЗ-152 — это не наказание, а защита интересов ваших клиентов. Относитесь серьёзно, но без фанатизма.

💡 Совет 7: Консультируйтесь с юристами в сложных случаях

Когда нужен юрист:

• Специфичная ниша (медицина, финансы)
• Пришла проверка от Роскомнадзора
• Получили претензию/иск от клиента
• Обрабатываете специальные категории данных (здоровье, биометрия)
• Большая база клиентов (100 000+)

Стоимость услуг:

• Консультация: 3 000–10 000 ₽
• Подготовка пакета документов: 20 000–50 000 ₽
• Сопровождение проверки: от 50 000 ₽

Альтернатива: Онлайн-сервисы для малого бизнеса (Правовед.ру, Тинькофф Бизнес Старт) — от 2 000 ₽ за готовый комплект.