ГрамотаИБ ГрамотаИБ

Персональные данные для интернет-магазина: что нужно оператору

22.06.2026

Как интернет-магазину законно работать с персональными данными покупателей: какие данные собираются и на каких основаниях, нужно ли согласие на оформление заказа, cookies и аналитика, уведомление Роскомнадзора, поручение обработки CRM и службам доставки, трансграничная передача и типичные ошибки, которые ведут к штрафу.

Интернет-магазин — это оператор персональных данных, даже если в нём работают два человека. Покупатели оставляют имя, телефон, адрес доставки, email, историю заказов — всё это ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн).. Ниже разберём, что нужно сделать магазину, чтобы работать по закону и не попасть на штраф.

Какие данные собирает магазин и на каком основании

Для исполнения заказа (доставка, оплата) согласие субъекта чаще всего не требуется — основанием служит исполнение договора, стороной которого является покупатель (пункт 5 части 1 статьи 6 152-ФЗ). Отдельное согласие нужно на то, что выходит за рамки заказа: рекламные рассылки, профилирование, передача данных партнёрам в маркетинговых целях. Смешивать эти основания нельзя — рассылка без отдельного согласия это нарушение.

Cookies и аналитика

Яндекс.Метрика, счётчики и пиксели собирают данные о посетителях. Нужны информирование через политику обработки ПДн на сайте и, по хорошей практике, получение согласия на аналитические cookies. Политика обработки ПДн должна быть доступна с любой страницы, где собираются данные (формы, корзина, регистрация).

Уведомление Роскомнадзора

С 2022 года уведомить РКНРоскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; надзор за обработкой ПДн. об обработке ПДн обязан практически любой оператор, включая интернет-магазины. Подать уведомление нужно до начала обработки — подробнее в статье нужно ли ИП регистрироваться оператором.

Поручение обработки: CRM, доставка, платежи, облако

Магазин почти всегда передаёт данные подрядчикам: CRM, служба доставки, платёжный агрегатор, облачный хостинг, сервис рассылок. Каждый такой подрядчик — обработчик, и с ним нужно оформить поручение на обработку с условиями о конфиденциальности и безопасности (часть 3 статьи 6 152-ФЗ). Без поручения передача данных неправомерна.

Трансграничная передача

Если хостинг, аналитика или сервис рассылок находятся за рубежом — это трансграничная передача (статья 12 152-ФЗ): требуется предварительное уведомление РКН. Плюс действует требование локализации: запись и хранение ПДн граждан РФ должны вестись в базах на территории России (часть 5 статьи 18 152-ФЗ).

Удаление данных

По достижении цели (заказ исполнен, срок хранения истёк) и по требованию покупателя данные нужно удалить или обезличить в установленные сроки. Должна быть техническая возможность найти и удалить данные конкретного субъекта, в том числе из резервных копий.

Типичные ошибки

  • нет политики обработки ПДн на сайте или она недоступна со страниц сбора данных;
  • не подано уведомление в Роскомнадзор;
  • рассылки без отдельного согласия на маркетинг;
  • передача данных в CRM/доставку без договора-поручения;
  • зарубежный хостинг или аналитика без уведомления о трансграничной передаче и без локализации.

Главное

Минимальный набор для магазина: политика и формы согласий на сайте, уведомление РКН, поручения с подрядчиками, локализация базы в РФ, порядок удаления данных. ГрамотаИБ помогает собрать этот пакет под профиль оператора и проверить готовность к проверке — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Обезличивание персональных данных: что это, зачем и как сделать

Что такое обезличивание персональных данных по 152-ФЗ и чем оно отличается от удаления и псевдонимизации, зачем оно нужно бизнесу (аналитика и тестирование без согласия, снижение ущерба при утечке, исполнение требования об удалении), какие методы обезличивания признаёт Роскомнадзор и в чём риск обратной идентификации.

Биометрия в фитнес-клубе: вход по лицу или отпечатку — что требует закон

Что обязан сделать фитнес-клуб, если пускает клиентов по отпечатку пальца или распознаванию лица. Пошагово: почему это биометрические персональные данные, зачем отдельное письменное согласие, как биометрия поднимает уровень защищённости до УЗ-3 по ПП-1119, требования 572-ФЗ и ЕБС, документы и меры. И почему многим клубам проще обойтись картой или браслетом.

Персональные данные в салоне красоты и барбершопе: пошаговый алгоритм

Минимальный, но полный алгоритм для салона красоты, барбершопа или студии: как небольшому бизнесу с онлайн-записью и CRM законно работать с персональными данными клиентов. По шагам — от 152-ФЗ и оснований обработки до расчёта уровня защищённости по ПП-1119 (обычно УЗ-4), уведомления Роскомнадзора, документов, мер по приказу ФСТЭК №21 и поручений сервисам записи.

Персональные данные в стоматологии: пошаговый алгоритм для частной клиники

Полный алгоритм действий частной стоматологической клиники по защите персональных данных пациентов: от признания себя оператором (152-ФЗ) и определения уровня защищённости по ПП-1119 (спецкатегория «здоровье» даёт УЗ-3) до уведомления Роскомнадзора, комплекта документов, мер по приказу ФСТЭК №21, поручений обработчикам и врачебной тайны. Характерный пример для малого бизнеса в медицине.