Перейти к содержанию
инструкция 21 июня 2026 По состоянию на 21 июня 2026

Политика интернет-магазина 2026: обязательные разделы

Политика конфиденциальности интернет-магазина — обязательный документ по ч. 2 ст. 18.1 ФЗ-152. С 2025–2026 года требования к её содержанию стали жёстче: cookies признаны ПДн, GA4 — трансграничной передачей, согласие на рассылки с 01.09.2025 оформляется отдельным документом.
Отсутствие политики — штраф по ч. 3 ст. 13.11 КоАП до 60 000 ₽. Отсутствие баннера cookies — штраф по ч. 6 ст. 13.11 до 100 000 ₽. Неуведомление о трансграничной передаче через GA4 — ч. 11 ст. 13.11, до 3 000 000 ₽.
Если вы маркетолог и ваш интернет-магазин работает с подписками, аналитикой и программами лояльности — проверьте каждый шаг этой инструкции.

Требования к политике конфиденциальности интернет-магазина в 2026 году охватывают несколько уровней: базовое соответствие ст. 18.1 ФЗ-152, отдельный режим для cookies и счётчиков, ограничения по трансграничной передаче через зарубежные аналитические сервисы, а также новые требования к согласиям на рассылки по ФЗ-156 от 24.06.2025. Инструкция ниже — последовательный разбор обязательных разделов с конкретными формулировками и нормами.

Шаг 1. Определите, кто является оператором: магазин или маркетплейс?

Прежде чем формировать разделы политики, нужно зафиксировать правовую роль вашей организации. Это влияет на объём обязательных раскрытий.

По ст. 3 ФЗ-152 оператор — это лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных. Если покупатель оформляет заказ напрямую в вашем интернет-магазине — вы оператор по всем данным, которые собираете в момент покупки, регистрации и рассылки.

На маркетплейсе ситуация двойственная. Площадка (Wildberries, Ozon, Яндекс Маркет) собирает данные покупателя и является самостоятельным оператором. Продавец-селлер, как правило, получает ограниченный набор данных (адрес, телефон для доставки). Если селлер обрабатывает эти данные для собственных целей — CRM, email-рассылки, ретаргетинг — он обязан иметь собственную политику и уведомить РКН по ст. 22 ФЗ-152.

«Ст. 6 ФЗ-152 допускает поручение обработки ПДн третьему лицу — но оператор несёт ответственность за действия обработчика перед субъектом. Договор поручения обработки с маркетплейсом — обязателен, если вы используете данные покупателей платформы для своих целей.»

Вывод по шагу 1: зафиксируйте в политике роль (самостоятельный оператор / совместный оператор с маркетплейсом / оператор с обработчиком). Это определяет, чьи данные вы раскрываете и перед кем несёте ответственность.

Шаг 2. Включите обязательные разделы по ч. 2 ст. 18.1 ФЗ-152

Политика конфиденциальности должна быть опубликована в открытом доступе — как правило, на отдельной странице сайта. Её содержание определено ч. 2 ст. 18.1 ФЗ-152.

Обязательные разделы политики интернет-магазина 2026:

  • Наименование и реквизиты оператора — полное юридическое наименование, ИНН, адрес, контактные данные ответственного за обработку ПДн (ст. 22.1 ФЗ-152).
  • Цели обработки — для каждой цели указать отдельно: оформление заказа, доставка, программа лояльности, email-рассылки, таргетированная реклама, аналитика сайта. Смешение целей нарушает принцип ст. 5 ФЗ-152.
  • Правовые основания обработки — договор (п. 5 ч. 1 ст. 6), согласие (п. 1 ч. 1 ст. 6), законный интерес. Для каждой категории данных — своё основание.
  • Категории субъектов и перечень ПДн — покупатели (ФИО, телефон, email, адрес доставки), пользователи личного кабинета, подписчики рассылок.
  • Порядок и сроки хранения — по каждой цели. Данные заказа — в течение срока договора плюс срок исковой давности. Данные рассылки — до отзыва согласия.
  • Права субъектов — доступ, уточнение, блокирование, уничтожение (ст. 14–21 ФЗ-152). Контакты для обращения и срок ответа — 10 рабочих дней по ст. 20 ФЗ-152.
  • Передача данных третьим лицам — службы доставки, платёжные системы, сервисы аналитики. Для каждого получателя — правовое основание и наличие договора поручения.

Вашей политике конфиденциальности больше года?

С 2025 года требования обновились трижды: ФЗ-156 о согласиях (01.09.2025), ужесточение локализации (01.07.2025), новая редакция ст. 13.11 КоАП (30.05.2025). Политика, написанная до этих дат, не соответствует актуальным нормам. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и подготовят актуальный комплект документов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Добавьте раздел о cookies как персональных данных

Cookies — идентификаторы устройства и сессии — Роскомнадзор квалифицирует как персональные данные, если позволяют прямо или косвенно идентифицировать пользователя. Позиция регулятора действует с 2023 года и находит подтверждение в практике проверок 2025–2026 годов.

Для интернет-магазина это означает три обязательных элемента:

  • Раздел о cookies в политике — перечислить типы (технические, аналитические, маркетинговые), цели, срок хранения, возможность отключения.
  • Баннер согласия на cookies при первом посещении сайта. Баннер должен фиксировать согласие до начала передачи данных аналитическим сервисам. Скрытое согласие («продолжая использование сайта, вы соглашаетесь») — не соответствует позиции РКН.
  • Инструмент отзыва согласия — настройки cookies доступны пользователю в любой момент без снижения функциональности сайта.
«Ч. 6 ст. 13.11 КоАП (ред. с 30.05.2025): несоблюдение условий хранения носителей ПДн при неавтоматизированной обработке, повлёкшее неправомерный доступ, — штраф для юрлица до 100 000 ₽. Отсутствие баннера cookies квалифицируется по смежным составам ст. 13.11 в зависимости от конкретных обстоятельств.»

Баннер cookies — не «красивый элемент дизайна», а документальное подтверждение правомерного основания обработки. При проверке РКН запрашивает скриншот баннера и дату его внедрения.

Как работает GA4 с точки зрения трансграничной передачи ПДн?

Google Analytics 4 передаёт данные пользователей на серверы Google за пределами России. По ст. 12 ФЗ-152 до такой передачи оператор обязан уведомить Роскомнадзор, если страна-получатель не включена в перечень стран с адекватной защитой персональных данных.

США не входят в этот перечень. Использование GA4 без уведомления РКН — нарушение требований о трансграничной передаче. С 30.05.2025 ответственность усилена: неуведомление об отдельных видах трансграничной передачи охватывается составами ст. 13.11 КоАП с штрафами до 3 000 000 ₽ (ч. 11).

Что включить в политику интернет-магазина по GA4:

  • Указать GA4 как получателя данных с адресом обработки за рубежом.
  • Зафиксировать правовое основание — согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152) или иное применимое основание.
  • Описать, какие данные передаются: идентификаторы устройства, IP (обезличенный), поведенческие события.
  • Указать ссылку на Политику конфиденциальности Google и инструмент отказа (opt-out).

Альтернатива: Яндекс Метрика хранит данные на серверах в России — трансграничная передача отсутствует. Для магазинов, ориентированных на российский рынок, это снижает регуляторный риск.

Если вы маркетолог и используете GA4, Meta Pixel или другие зарубежные счётчики — уведомление о трансграничной передаче, скорее всего, не подано. Это ч. 11 ст. 13.11 КоАП: штраф до 3 000 000 ₽. Юристы DATUM оценят ситуацию и подготовят уведомление в РКН.

Оценить риски по 152-ФЗ

Шаг 5. Оформите согласие на email-рассылки по требованиям ФЗ-156

С 01.09.2025 согласие на обработку персональных данных не может быть включено в текст договора, оферты или общих условий. По ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 согласие оформляется отдельным документом с обязательными реквизитами.

Для email-рассылок интернет-магазина это означает: галочка «Согласен на получение рассылок» в форме оформления заказа должна быть самостоятельным согласием, а не частью условий договора купли-продажи.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

  • ФИО субъекта и его контактные данные (email).
  • Наименование и адрес оператора.
  • Цель обработки — «направление информационных рассылок о товарах и акциях».
  • Перечень персональных данных — «адрес электронной почты».
  • Перечень действий с ПДн — «сбор, хранение, использование для формирования и отправки рассылок».
  • Срок действия согласия или указание на бессрочность.
  • Способ отзыва согласия — ссылка «отписаться» в каждом письме или форма на сайте.
«Ч. 2 ст. 13.11 КоАП (ред. с 30.05.2025): обработка ПДн без письменного согласия, когда оно требуется, или с нарушением требований к составу согласия — штраф для юрлица 300 000 – 700 000 ₽. Повторное нарушение (ч. 2.1) — 1 000 000 – 1 500 000 ₽.»

Согласия, полученные до 01.09.2025 в составе договора, переоформлять принудительно не требуется — закон не имеет обратной силы. Но все новые согласия с этой даты должны соответствовать требованиям ФЗ-156.

Шаг 6. Включите раздел о программах лояльности и профилировании

Программы лояльности — бонусные карты, кешбэк, персонализированные предложения — предполагают расширенную обработку данных: история покупок, поведенческие паттерны, сегментация. Это требует отдельного раздела в политике.

Что указать в политике по программе лояльности:

  • Цель обработки — «формирование персонализированных предложений, начисление бонусов, анализ покупательской активности».
  • Перечень дополнительных данных — история заказов, предпочтения, статус в программе.
  • Передача данных партнёрам программы лояльности — наименования партнёров, правовое основание, наличие договора поручения.
  • Автоматизированное принятие решений — если используется скоринг или сегментация на основе ПДн, это подпадает под ст. 16 ФЗ-152. Субъект вправе потребовать проверки такого решения.

Если программа лояльности реализована через внешнюю платформу (например, GetMeBack, Mindbox), оператор обязан заключить договор поручения обработки по п. 3 ст. 6 ФЗ-152 и отразить это в политике.

Типовые ситуации: что идёт не так

Ситуация 1. Баннер cookies есть, но согласие фиктивное. Интернет-магазин (Центральный ФО, начало 2026) установил баннер с единственной кнопкой «Принять все» без возможности отказа от аналитических cookies. При проверке РКН зафиксировал отсутствие реального инструмента управления согласием. Составлен протокол по ст. 13.11 КоАП. Компания получила штраф в несколько десятков тысяч рублей и предписание переработать механизм согласия в течение 30 дней. После переработки — повторная проверка.

Ситуация 2. Политика есть, но GA4 не упомянут. Онлайн-ритейлер (Северо-Западный ФО, осень 2025) имел актуальную политику конфиденциальности, но не включил в неё раздел о передаче данных через Google Analytics 4 на серверы за пределами России. Жалоба пользователя в РКН инициировала внеплановую проверку. Нарушение квалифицировано по составу, связанному с трансграничной передачей. Юристы компании оспорили квалификацию в арбитраже — суд снизил размер ответственности с учётом первичности нарушения по ст. 4.1.1 КоАП.

Что подготовить перед публикацией политики

  • Реестр всех сервисов, которым передаются данные пользователей: аналитика, платёжные системы, службы доставки, CRM, email-платформы.
  • Перечень правовых оснований для каждой цели обработки (договор, согласие, законный интерес).
  • Отдельные формы согласий на рассылки по требованиям ФЗ-156 (вступили в силу 01.09.2025).
  • Баннер cookies с реальным инструментом управления предпочтениями (не только «Принять все»).
  • Уведомление РКН по ст. 22 ФЗ-152 — актуальное, отражающее реальный перечень обрабатываемых данных и целей.

Услуги DATUM по теме

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookies позволяют идентифицировать пользователя прямо или косвенно. Аналитические и маркетинговые cookies, привязанные к идентификатору устройства или аккаунту, подпадают под определение ПДн по ст. 3 ФЗ-152. Технические cookies, необходимые исключительно для функционирования сайта и не идентифицирующие пользователя, как правило, в эту категорию не попадают. Для аналитических и маркетинговых — требуется согласие и отражение в политике.

2. Можно ли использовать GA4 после ограничений?

Использование GA4 не запрещено, но требует выполнения двух условий. Первое — уведомление РКН о трансграничной передаче ПДн в США по ст. 12 ФЗ-152 до начала передачи. Второе — отражение GA4 как получателя данных в политике конфиденциальности с описанием категорий передаваемых данных и инструментом opt-out. Без этих шагов использование GA4 создаёт риск штрафа по ч. 11 ст. 13.11 КоАП до 3 000 000 ₽.

3. Кто оператор — маркетплейс или продавец?

Маркетплейс — самостоятельный оператор по данным покупателей, которые он собирает непосредственно. Продавец-селлер становится оператором в момент, когда начинает использовать полученные данные для собственных целей: CRM, рассылки, ретаргетинг. В этом случае селлер обязан иметь собственную политику конфиденциальности, уведомить РКН по ст. 22 ФЗ-152 и заключить с маркетплейсом договор, разграничивающий ответственность операторов по ст. 6 ФЗ-152.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера или его фиктивная реализация квалифицируется РКН как обработка ПДн без согласия субъекта или с нарушением требований к согласию. В зависимости от обстоятельств применяется ч. 2 ст. 13.11 КоАП: штраф для юрлица 300 000 – 700 000 ₽ при первичном нарушении. При повторном — ч. 2.1, до 1 500 000 ₽. Если нарушение выявлено в ходе плановой или внеплановой проверки, возможно также предписание об устранении.

5. Как оформить отзыв подписки?

Отзыв согласия на рассылку должен быть таким же простым, как его получение, — это требование ч. 2 ст. 9 ФЗ-152. Обязательный минимум: ссылка «отписаться» в каждом письме рассылки, ведущая на страницу подтверждения отписки или форму. После получения запроса об отзыве оператор обязан прекратить обработку ПДн для цели рассылки. Хранение адреса email в базе после отписки без иного правового основания — нарушение ст. 21 ФЗ-152.

Итог

Политика конфиденциальности интернет-магазина в 2026 году — документ, который охватывает не только стандартные данные покупателей, но и cookies, трансграничную передачу через аналитические сервисы, программы лояльности и требования к отдельным согласиям на рассылки по ФЗ-156. Неполная политика или её отсутствие создаёт риски по нескольким составам ст. 13.11 КоАП одновременно — от 60 000 ₽ до 3 000 000 ₽ за разные нарушения.

Юристы DATUM специализируются на ПДн в цифровых продуктах и e-commerce: политики конфиденциальности, согласия на рассылки, уведомления о трансграничной передаче, сопровождение проверок РКН для интернет-магазинов и маркетплейс-продавцов.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах, трансграничные сервисы аналитики (GA4), программы лояльности, политики конфиденциальности для маркетплейсов.

21 июня 2026 года