Персональные данные в ретейле: как не попасть под новые штрафы в 2025 году

Новые изменения в Кодекс об административных правонарушениях ужесточают ответственность за нарушения при работе с персональными данными. Управляющий партнер 1ОПД Марина Александровская рассказывает, как не попасть под новые штрафы в 2025 году.

С 30 мая 2025 года в России вступили в силу изменения в Кодекс об административных правонарушениях. Теперь даже техническая ошибка в форме сбора ПД, неправильно оформленный чекбокс или передача ПД третьим лицам без требуемого оформления могут стоить ритейлеру 300 тысяч рублей штрафа (см. обновленную ст. 13.11 КоАП РФ).

Это не теория, как может показаться. Роскомнадзор уже анонсировал переход к автоматизированному мониторингу сайтов и онлайн-сервисов, включая интернет-магазины, приложения лояльности и платформы для сбора отзывов. Ошибки, которые раньше можно было «поправить по предписанию», теперь фиксируются. В условиях высокой конкуренции и стремительной цифровизации для ритейла это означает одно: правильная работа с персональными данными — не опция, а требование выживания для онлайн-ретейлеров.

Что считается персональными данными в ритейле?

Персональные данные (ПД) определены в п.1 ст. 3 Закона №152-ФЗ как любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Формы сбора, размещенные на маркетплейсах, показывают, что в ретейле чаще всего собираются следующие персональные данные:

• имя и телефон клиента;

• e-mail и адрес доставки;

• история заказов и корзины;

• платежные данные (включая токены оплаты);

• поведенческая аналитика (запросы, предпочтения, просмотры);

• геолокация (если используется мобильное приложение);

• данные программ лояльности.

По данным «Лаборатории Касперского» за 2022 год, ретейл вошел в лидеры по утекшей информации (14%). В публичный доступ попали данные клиентов и работников, включая e-mail, телефоны и финансовую информацию.

Согласно итогам ежегодного исследования AppSec Solutions безопасности мобильных приложений, около 70% приложений онлайн-торговли хранят данные от сторонних сервисов в открытом виде: пароли, PIN-коды, персональную информацию и технические данные для push-уведомлений, инструменты геолокации и другие API.

Важно понимать, что всё вышеперечисленное — это персональные данные, даже если они не содержат ФИО. Например, идентификатор в CRM или поведенческий ID могут квалифицироваться как персональные данные, если по ним можно восстановить связь с конкретным пользователем.

Лучшие практики для ретейла: от политики до автоматизации

Чтобы не нарваться на штрафы, компании должны внедрять следующие меры: 

1. Политика конфиденциальности и согласия

Каждая форма сбора ПД должна сопровождаться корректно оформленным согласием на обработку данных и политикой конфиденциальности. Причем согласие должно быть добровольным, конкретным, информированным и сознательным — иначе оно недействительно. Одно согласие на разные цели сбора недопустимо.

2. Внутренние регламенты и инструкции

На практике штрафы получают не те, у кого «плохой сайт», а те, кто не может документально подтвердить, что у них налажены процессы работы с персональными данными. 

Здесь нужно внедрить:

• Политику обработки ПД;

• Назначение ответственного за организацию обработки таких данных;

• Инструкции для сотрудников по работе с ПД;

• Журналы учета обращений субъектов и инцидентов. 

3. Автоматизация комплаенса

Многие ретейлеры до сих пор ведут реестры вручную, теряя время и рискуя ошибками или, что еще хуже, утечками. Здесь лучше задействовать платформы, которые автоматизируют сбор согласий, ведут учет обработчиков, отслеживают доступ и хранят документы в защищенной среде.

5 типичных ошибок ретейлеров, которые ведут к штрафам

1. Не уведомляют РКН об обработке персональных данных. По опыту анализа сайтов, компании размещают формы сбора ПД на сайте и осуществляют их дальнейшую обработку без подачи уведомления о начале обработке в РКН. Даже при наличии одного сотрудника закон обязывает бизнес уведомить о статусе оператора РКН.

2. В формах сбора не размещают текст согласия. Если пользователь предоставил персональные данные без предварительного согласия, обработка таких данных — уже нарушение.

3. Шаблон согласия никак не меняют. В онлайн-магазинах обычно используется стандартный текст, взятый из интернета. Без указания целей, оснований, сроков и третьих лиц такой шаблон не спасает от штрафа, а наоборот, приводит к ним.

4. Обрабатывают данные без фиксации факта предоставления согласия. Многие популярные SaaS-продукты не ведут учет согласий. Если клиент пожалуется, доказать факт обработки будет невозможно.

Технологии в помощь: как выбрать решения для работы с персональными данными

• Поддержка хранения согласий в зафиксированном виде (с датой, IP, текстом политики);

• Встроенный журнал учета действий с персональными данными;

• Возможность разграничения прав доступа внутри команды;

• Интеграция с CRM и формами обратной связи;

• Поддержка автоматической выгрузки по запросу субъекта персональных данных.

Вместо вывода: соблюдение закона — не формальность, а конкурентное преимущество

В 2025 году игнорирование требований 152-ФЗ больше не будет "мелким упущением". Это станет фактором прямого финансового риска и имиджевых потерь. Роскомнадзор усилил проверки, штрафы увеличились, а клиенты стали осведомленнее. Люди охотнее оставляют данные тем, кому доверяют, поэтому к такой “щепетильной” информации надо относиться внимательно.