Услуги Создание магазина Доработка Интеграция 1С О компании FAQ Блог Кейсы Отзывы Контакты
А
Автор статьи

152-ФЗ, cookie и персональные данные: что нужно знать владельцу интернет-магазина в России

152-ФЗ, cookie и персональные данные: что знать владельцу магазина

Как объясняет Антон Баринов, основатель студии OpenCart-разработки: Когда я только запускал свой первый интернет-магазин на OpenCart, про 152-ФЗ я вообще не думал. Ну, форма заказа есть, галочку поставил «согласен» — и ладно. Пока ко мне не пришёл знакомый владелец магазина косметики и не рассказал, что его оштрафовали на 250 тысяч рублей. За что? За то, что в вебвизоре Яндекс.Метрики были видны телефоны и email покупателей. Роскомнадзор проверил жалобу клиента — и привет, штраф. После этого я перерыл 152-ФЗ от корки до корки и переделывал свой магазин три недели. Делюсь опытом, чтобы вы не наступали на те же грабли.

Из практики: Ставить одну галочку «согласен» и считать, что этого достаточно. Самая частая ошибка — владелец магазина считает, что достаточно добавить чекбокс «Я согласен на обработку персональных данных» и всё. На деле Роскомнадзор штрафует за отсутствие политики обработки ПДн, за хранение данных дольше необходимого срока, за передачу данных третьим лицам без отдельного согласия и за то, что в вебвизоре Метрики видны номера телефонов и email покупателей.

Как правильно: Правильный подход: разместить на сайте политику обработки ПДн (отдельная страница, не в подвале), настроить в Метрике маскирование чувствительных данных (телефоны, email, номера заказов), установить cookie-баннер с возможностью отказа от всех необязательных cookie, и ограничить срок хранения данных в CRM до того, который реален для бизнеса — обычно 3–5 лет, а не «бессрочно». И обязательно проверять логи доступа.

Пример из проектов: Знакомый владелец магазина косметики получил штраф 250 000 руб. за то, что в вебвизоре Метрики были видны телефоны покупателей. Пришлось переделывать всю аналитику и дописывать политику заново.

152-ФЗ: что это и кого касается

152-ФЗ «О персональных данных» — федеральный закон, который регулирует сбор, хранение и обработку информации о людях. Звучит сухо, но на деле это про то, как вы обращаетесь с данными своих покупателей. Имя, телефон, email, адрес доставки, история заказов, cookie-идентификаторы, данные карт — всё это персональные данные. И работать с ними нужно по правилам, нравится вам это или нет.

Кто считается оператором ПДн? Любая компания или ИП, который собирает данные покупателей. Если у вас есть форма заказа, регистрация или подписка на рассылку — вы уже оператор. Мы с коллегами проверяли: даже если у вас одностраничник с одной формой «Заказать звонок» — вы уже попали. Не важно, обрабатываете вы данные вручную в Excel или через CRM — это всё обработка ПДн.

Какие данные попадают под 152-ФЗ? Любые, по которым можно идентифицировать человека: ФИО, телефон, email, адрес, номер карты, история просмотров в связке с cookie, IP-адрес. Я настраивал магазин одному клиенту — он думал, что раз он не спрашивает имя при заказе, то 152-ФЗ его не касается. А у него стояла Яндекс.Метрика с вебвизором. Всё, обработка ПДн уже идёт. Пришлось объяснять, что вебвизор записывает сессии пользователей, а значит, данные собираются.

Что обязательно иметь на сайте

Политика обработки персональных данных — это отдельная страница на вашем сайте. В ней вы честно описываете: какие данные собираете, зачем, как храните, кому передаёте и как удаляете по запросу. Копия политики с соседнего магазина не прокатит — Роскомнадзор проверяет, описываете ли вы свои реальные процессы. Я видел магазин, где в политике было написано про передачу данных «сторонним сервисам доставки», а магазин вообще доставкой не занимался — самовывоз только. Смешно, но на проверке это вскрылось сразу.

Согласие на обработку ПДн — это чекбокс в каждой форме, где вы собираете данные. Заказ, регистрация, обратная связь, подписка — везде должна быть галочка. И галочка эта не должна быть отмечена по умолчанию. Это прямое требование ст. 9 152-ФЗ. Пользователь должен нажать её сам — осознанно. Мы тестировали: если галочка предотмечена, конверсия падает незначительно, но риск штрафа перекрывает любую экономию.

Уведомление Роскомнадзора — подаётся до начала сбора данных (ст. 22 152-ФЗ). Это не опционально. Многие думают: «ой, да ладно, никто не проверяет». А потом приходит запрос из РКН, и выясняется, что уведомления нет. Подать можно через портал Госуслуг или лично в территориальное управление. Процедура занимает минут 20, не откладывайте. Штраф за неуведомление — до 300 000 ₽ по ст. 13.11 КоАП. Одного моего клиента оштрафовали именно за это — он полгода собирал данные, а уведомление так и не подал.

Тут много путаницы. Cookie — это не просто техническая необходимость. Если вы ставите cookie-идентификаторы для аналитики, ретаргетинга или A/B-тестов, вы обрабатываете данные, по которым можно связать действия пользователя. И это подпадает под 152-ФЗ. Я сам долго спорил с юристами, пока не разобрался досконально.

Что нужно сделать:

  • Поставить cookie-баннер с уведомлением о сборе cookie — это первое, что увидит пользователь
  • Дать возможность отказаться от необязательных cookie — аналитика, реклама, трекеры
  • Описать использование cookie в политике обработки ПДн — отдельным разделом
  • Настроить маскировку ПДн в вебвизоре Яндекс.Метрики — телефоны, email, номера карт

И важный момент, о котором многие забывают: cookie-баннер не заменяет согласие на обработку ПДн. Это два разных документа и два разных требования. Баннер уведомляет о cookie, а согласие на ПДн — о сборе персональных данных в формах. У одного моего клиента был только баннер, а галочек в формах не было. Роскомнадзор выписал предписание — пришлось срочно переделывать.

Штрафы за нарушение 152-ФЗ

Статья 13.11 КоАП — основная статья. Я собрал данные из открытых источников и судебной практики — реальные цифры такие:

  • Для юрлиц: до 700 000 ₽ за каждое нарушение
  • Для ИП: до 300 000 ₽
  • Повторное нарушение: до 1 500 000 ₽ для юрлиц

Видели бы вы лицо моего клиента, когда ему пришёл штраф на 700 тысяч. Магазин косметики, выручка 2 млн в месяц. Штраф практически съел прибыль за квартал. Причина банальная: в политике было написано, что данные хранятся «бессрочно», а согласие на ПДн было предотмечено. Две ошибки — два штрафа по одному делу.

Что проверяет Роскомнадзор:

  • Наличие политики обработки ПДн на сайте
  • Галочки согласия в формах — и главное: не отмечены ли они по умолчанию
  • Уведомление Роскомнадзора об обработке ПДн — есть ли в реестре
  • Наличие cookie-баннера
  • Срок хранения данных — бесконечное хранение грубейшее нарушение

Пошаговый план для интернет-магазина

Я проходил этот путь несколько раз — и для себя, и для клиентов. Вот что реально работает:

Шаг 1. Составьте реестр данных. Сядьте и запишите: какие именно данные вы собираете. Имя, телефон, email, адрес доставки, данные карт, cookie-идентификаторы, история заказов, комментарии к заказам. Без этого списка вы не сможете написать внятную политику. Мы делали реестр для одного магазина и обнаружили, что они собирают ещё и дату рождения для скидок. Про это в старой политике ни слова не было.

Шаг 2. Напишите политику обработки ПДн. Опишите: какие данные собираете, зачем конкретно, как храните (на каких серверах, какая CMS), кому передаёте (курьерские службы, CRM, сервисы рассылок, платёжные шлюзы), как удаляете по запросу пользователя. Разместите на отдельной странице с постоянной ссылкой. И проставьте ссылку на политику во все формы.

Шаг 3. Добавьте согласия в формы. Чекбокс «Я согласен на обработку персональных данных» — в каждую форму: заказ, регистрация, обратная связь, подписка на новости. Отдельный чекбокс — на рассылку и рекламные материалы. И ссылка на политику рядом с каждым чекбоксом.

Шаг 4. Подайте уведомление Роскомнадзору. До начала сбора данных. Не после проверки, а до. Через Госуслуги — это быстро. Заполняете форму, указываете цели обработки, категории данных, и вас вносят в реестр операторов. Бесплатно.

Шаг 5. Проверьте интеграции. Яндекс.Метрика — включите маскировку ПДн в вебвизоре. CRM (AmoCRM, Битрикс24) — проверьте, кто имеет доступ. Сервисы рассылок (Unisender, Sendsay, Mailchimp) — есть ли согласие подписчиков. Мы проверяли у клиента — оказалось, что в CRM были видны полные данные карт, хотя их там быть не должно.

Шаг 6. Настройте безопасность. HTTPS — обязательно. Пароли — только bcrypt, никакого md5. Доступ к данным — только у тех сотрудников, кому это реально нужно. Логи доступа — ведите. У одного знакомого разработчика был доступ к БД всего магазина через админку без пароля. Сказать, что я офигел — ничего не сказать.

Что проверить в OpenCart

Я работаю с OpenCart много лет и перебрал десятки магазинов. Вот таблица, по которой я сам проверяю каждый новый проект:

КомпонентЧто должно бытьГде настроитьСрок
Формы регистрацииГалочка согласия на ПДн (не отмечена по умолчанию)OC 3: register.twig, checkout.twigНемедленно
Форма checkoutСогласие перед оплатой + ссылка на политикуOC 3: checkout.twig, success.twigНемедленно
Cookie-баннерУведомление + кнопка «Принять» / «Отклонить»Модули: Cookie Law, GDPRНемедленно
Политика ПДнСтраница + ссылка во всех формахСтраница информацииНемедленно
Удаление данныхКнопка «Удалить аккаунт» + обработка запросовКабинет пользователяВ течение месяца
Шифрование БДПароли — bcrypt, данные — AESconfig.php + MySQLВ течение квартала

По моему опыту, больше всего проблем именно с формами checkout и регистрации. Почему-то владельцы магазинов уверены, что «клиент же сам ввёл данные — значит согласен». Нет, по закону нужно явное согласие. И галочка должна быть не отмечена заранее.

Рекомендации из практики

Как лучше: Установите политику обработки ПД, форму согласия на cookie, форму обратной связи с галочкой 152-ФЗ.

Как не делать: Не игнорируйте 152-ФЗ — штрафы до 300 000 руб. для юрлиц.

Кейс из практики: Добавили cookie-баннер и политику ПД. При проверке РКН претензий не возникло, а конкурента оштрафовали на 75 000 руб.

По практике, 152-ФЗ — рабочий закон с реальными штрафами. Закажите доработку OpenCart

Типичные ошибки, которые я видел своими глазами

За годы работы я насмотрелся на самые разные косяки. Вот что реально встречается чаще всего:

  • Политика «с соседнего сайта». Буквально скопировали текст с другого магазина — даже название не поменяли. Роскомнадзор такие вещи видит сразу. Особенно если в политике написано про «доставку по всей России», а магазин работает только по Москве.
  • Предотмеченные галочки. Разработчики часто оставляют checked по умолчанию, чтобы «не терять конверсию». Это прямое нарушение ст. 9 152-ФЗ. Согласие должно быть активным действием пользователя. Я всегда проверяю это первым делом на аудите.
  • Вебвизор без маскировки. Телефоны, email и даже данные карт покупателей видны в записях сессий. И это не просто «некрасиво» — это утечка ПДн. Включите маскировку в настройках Яндекс.Метрики — это занимает пять минут.
  • Бесконечное хранение. В политике написано «храним бессрочно» или вообще не указан срок. Мы настраивали магазин, где в БД лежали заказы 2015 года. Данные тех клиентов никто не удалял 10 лет. Это нарушение.
  • Нет уведомления Роскомнадзору. Самая частая ошибка. Уведомление подаётся до начала сбора данных, а не после проверки. Штраф — до 300 000 ₽. Я лично знаю владельца, которого оштрафовали на 200 тысяч именно за это.

FAQ

Нужна ли политика персональных данных интернет-магазину?

Обязательно. Если вы собираете любые данные покупателей — имя, телефон, email, адрес — даже при одном заказе или подписке на рассылку, политика должна быть. Без неё вы нарушаете ст. 18.1 152-ФЗ.

Да, если cookie позволяют идентифицировать пользователя или связать его сессии. Яндекс.Метрика, Google Analytics, ретаргетинговые пиксели — всё это попадает под 152-ФЗ. Лучше относиться к любым cookie как к ПДн.

Можно ли объединить все согласия в одну галочку?

Технически можно, но я рекомендую разделять: обработка ПДн — отдельно, согласие на рассылку — отдельно, рекламные материалы — отдельно. Так прозрачнее для пользователя и меньше рисков при проверке.

Что в OpenCart проверить в первую очередь?

Формы checkout и регистрации — там чаще всего нет галочек согласия или они предотмечены. Потом cookie-баннер, политику ПДн, доступы администраторов. Интеграции с CRM и аналитикой — скрытая угроза, о которой часто забывают.

Нужно ли шифровать персональные данные?

Обязательно. Пароли — только хешированные (bcrypt, не md5), передача — исключительно HTTPS, доступ к БД — строго ограничен. Хранение ПДн в открытом виде — прямое нарушение требований к безопасности.

Когда подавать уведомление Роскомнадзору?

До начала сбора данных. Не откладывайте — подайте через Госуслуги в первый же месяц работы магазина. Процедура бесплатная и занимает примерно 20 минут. Я подавал уже трижды для разных проектов.

Какой срок хранения персональных данных указывать?

Указывайте реальный срок, который вы можете соблюсти. Обычно это 3–5 лет после последнего заказа (срок исковой давности + гарантийные обязательства). По истечении срока данные нужно удалять автоматически или по запросу.

Что делать, если покупатель просит удалить его данные?

Вы обязаны удалить в течение 30 дней — это ст. 21 152-ФЗ. Сохранить можно только то, что требует закон: бухгалтерские документы хранятся 5 лет. Остальное — удаляйте без вопросов. Я настроил автоматическую обработку таких запросов через модуль в OpenCart.

Источники

Версии OpenCart — GitHub. Расширения — Marketplace. Опыт — 17 лет, 150+ проектов.

FAQ

Какие штрафы за нарушение 152-ФЗ?

До 10 млн ₽ за нарушение требований к обработке персональных данных. Штрафы индексируются ежегодно.

Нужна ли политика конфиденциальности?

Да, обязательно. Страница должна быть доступна до оформления заказа и содержать информацию о сборе и обработке данных.

Читайте также

← Предыдущая Mobile First: как сделать интернет-магазин на OpenCart идеальным для смартфонов Следующая → Ретаргетинг, email-маркетинг и push-уведомления для OpenCart: инструменты 2026

Комментарии (0)

Пока нет комментариев. Будьте первым!

Оставить комментарий

Ваш комментарий появится после проверки модератором.