инструкция 25 декабря 2026 По состоянию на 25 декабря 2026

Шаблон политики обработки ПДн для интернет-магазина 2026

Политика обработки персональных данных — обязательный документ для любого интернет-магазина: его отсутствие образует состав по ч. 3 ст. 13.11 КоАП (штраф до 60 000 ₽), а несоответствие содержания требованиям ст. 18.1 ФЗ-152 — основание для предписания РКН.

С 01.09.2025 вступили в силу поправки по ФЗ-156 от 24.06.2025: согласие на обработку ПДн теперь оформляется отдельным документом и не может быть встроено в оферту, политику или иное соглашение. Это меняет структуру документов ОРД для e-commerce.

Если вы юрист интернет-магазина и сейчас готовите или обновляете пакет ОРД — в этой инструкции шаги составления политики, обязательные разделы по ст. 18.1, требования к назначению ответственного и актуальный шаблон под 2026 год. → Подготовить ОРД под ключ

Интернет-магазин обрабатывает персональные данные покупателей, курьеров, сотрудников и подрядчиков — минимум четыре категории субъектов с разными правовыми основаниями. Роскомнадзор при плановых и внеплановых проверках проверяет политику конфиденциальности в первую очередь: она раскрывает цели, основания, состав обрабатываемых данных и меры защиты. Отсутствие документа или устаревшее содержание превращает любую проверку в повод для протокола. Ниже — пошаговая инструкция по составлению политики с учётом редакции 2026 года.

Шаг 1. Определите статус оператора и зафиксируйте основания обработки

Интернет-магазин является оператором персональных данных в смысле ст. 3 ФЗ-152 с момента, когда начинает собирать данные посетителей сайта — регистрационные формы, корзина, оформление заказа. Это не зависит от того, подавали ли вы уведомление в РКН: обязанность встать на учёт возникает до начала обработки по ст. 22 ФЗ-152.

До написания политики зафиксируйте перечень правовых оснований по ст. 6 ФЗ-152 применительно к каждой категории субъектов. Для покупателей основным основанием будет исполнение договора (п. 5 ч. 1 ст. 6) — оформление и доставка заказа. Для обработки данных в маркетинговых целях (рассылки, программа лояльности) требуется отдельное согласие по ст. 9 ФЗ-152. Смешивать эти основания в одном блоке политики нельзя.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Форма уведомления утверждена Приказом РКН №180 от 28.10.2022. Обработка без уведомления — ч. 10 ст. 13.11 КоАП, штраф для юрлица 100 000–300 000 ₽.»

Шаг 2. Составьте перечень обрабатываемых данных и целей

Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна содержать исчерпывающий перечень целей обработки, категорий субъектов и состава обрабатываемых данных. Для интернет-магазина типовой перечень включает три блока.

Блок 1 — покупатели: ФИО, адрес доставки, номер телефона, адрес электронной почты, история заказов. Цель — исполнение договора купли-продажи и доставки, ст. 6 ч. 1 п. 5 ФЗ-152. Основание — договор с субъектом.

Блок 2 — маркетинг: адрес электронной почты, номер телефона, история покупок (при наличии программы лояльности). Цель — направление рекламных и информационных рассылок. Основание — согласие субъекта по ст. 9 ФЗ-152 (с 01.09.2025 — отдельный документ по ФЗ-156).

Блок 3 — сотрудники и подрядчики: кадровые ПДн по ст. 86–88 ТК РФ. Если магазин работает на маркетплейсе — добавьте данные курьеров и партнёров. Основания — трудовой договор, гражданско-правовой договор.

«Ст. 5 ФЗ-152 закрепляет принцип несовместимости целей: недопустимо объединять базы данных, цели обработки которых несовместимы между собой. Маркетинговая база и база заказов — отдельные цели, отдельные основания.»

Нужен пакет ОРД для интернет-магазина под ключ?

Если вы сейчас готовите политику с нуля или обновляете её после 01.09.2025, каждый раздел требует проверки на соответствие актуальной редакции ФЗ-152. Ошибка в основаниях или отсутствие раздела по ст. 18.1 — повод для протокола при любой проверке РКН. Юристы DATUM соберут пакет ОРД для интернет-магазина: политику, согласия по ФЗ-156, приказ об ответственном, журналы и регламент реагирования.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Включите обязательные разделы по ст. 18.1 ФЗ-152

Часть 2 ст. 18.1 ФЗ-152 устанавливает минимальный состав политики обработки ПДн. Отсутствие любого из разделов фиксируется при проверке РКН как нарушение. Для интернет-магазина обязательны следующие разделы.

Обязательные разделы политики обработки ПДн

Общие положения: наименование и реквизиты оператора, ФИО и контакты ответственного по ст. 22.1 ФЗ-152.
Цели и основания обработки: отдельно для каждой категории субъектов со ссылкой на ст. 6 или ст. 9 ФЗ-152.
Состав обрабатываемых ПДн и категории субъектов: исчерпывающий перечень полей для каждой цели.
Порядок и условия обработки: автоматизированная/неавтоматизированная, хранение, передача третьим лицам (платёжные системы, службы доставки, маркетплейсы).
Права субъектов и порядок их реализации: срок ответа на запрос — 10 рабочих дней по ст. 20 ФЗ-152, способ подачи обращения, контакты.
Меры защиты: ссылка на уровень защищённости ИСПДн по ПП РФ №1119 и перечень организационных мер по ст. 19 ФЗ-152.
Трансграничная передача: если магазин использует зарубежные сервисы (облака, CRM, аналитику) — раздел по ст. 12 ФЗ-152 обязателен.

Отдельно проверьте раздел о cookies. По позиции РКН, cookies, позволяющие идентифицировать пользователя, относятся к персональным данным. Если сайт использует счётчики, пиксели или GA4 — в политике нужен раздел об этом с указанием оснований и возможности отказа.

Шаг 4. Согласия после 01.09.2025: что изменилось по ФЗ-156?

С 01.09.2025 ч. 1 ст. 9 ФЗ-152 действует в редакции ФЗ-156 от 24.06.2025. Согласие на обработку ПДн теперь должно быть оформлено отдельным документом — его нельзя встраивать в текст оферты, договора, политики конфиденциальности или иного соглашения. Для интернет-магазина это означает следующее.

Флажок «Согласен с условиями» рядом с кнопкой «Оформить заказ» — недостаточен, если за ним стоит только согласие с офертой. Для обработки ПДн в маркетинговых целях (рассылки, напоминания о брошенной корзине, программы лояльности) нужен отдельный чекбокс или форма с обязательными реквизитами по ст. 9 ФЗ-152: ФИО и контакты субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок действия согласия и способ его отзыва.

Согласия, полученные до 01.09.2025 в составе иных документов, переоформлять не требуется — обратной силы ФЗ-156 не имеет. Но новые согласия с указанной даты — только отдельным документом. Нарушение образует состав по ч. 2 ст. 13.11 КоАП — штраф для юрлица от 300 000 до 700 000 ₽.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие субъекта на обработку его ПДн оформляется отдельным документом, не совмещается с иными соглашениями. Обязательные реквизиты: ФИО, контакты субъекта и оператора, цель, состав данных, перечень действий, срок, способ отзыва.»

Шаг 5. Назначьте ответственного по ст. 22.1 ФЗ-152

Оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн, по ст. 22.1 ФЗ-152. Этот сотрудник или внешний специалист (DPO-аутсорсинг) указывается в политике с контактными данными — именно к нему субъект вправе обратиться с запросом, жалобой или требованием об уничтожении данных.

Политика должна содержать ФИО, должность и контакты ответственного. Если функцию выполняет юрист или DPO на аутсорсинге — в документе указывается наименование организации и контактный email. Назначение оформляется приказом руководителя; отсутствие приказа при наличии политики — разрыв в ОРД, который фиксирует инспектор при проверке.

Если вы юрист и сейчас проверяете комплаенс интернет-магазина — у вас 10 рабочих дней на ответ по запросу субъекта (ст. 20 ФЗ-152). Отсутствие ответственного по ст. 22.1 и актуальной политики означает, что этот срок некому соблюдать. Юристы DATUM проведут аудит ОРД и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Шаг 6. Разместите политику и уведомите РКН

Политика конфиденциальности должна быть опубликована в открытом доступе на сайте интернет-магазина. По позиции РКН, документ должен быть доступен с каждой страницы сайта — как правило, ссылка размещается в подвале. Непубликация образует состав по ч. 3 ст. 13.11 КоАП (штраф до 60 000 ₽).

Параллельно с публикацией политики оператор обязан встать на учёт в реестре РКН или актуализировать уведомление, если данные устарели. Форма подачи — через портал pd.rkn.gov.ru с УКЭП или через ЕСИА. Приказ РКН №180 от 28.10.2022 устанавливает состав уведомления: после его подачи РКН включает оператора в реестр в течение 30 дней.

«Ст. 18.1 ч. 2 ФЗ-152 — оператор обязан опубликовать документ, определяющий его политику в отношении обработки ПДн, и обеспечить неограниченный доступ к нему. Непубликация или несоответствие содержания обязательным требованиям — ч. 3 ст. 13.11 КоАП.»

Как это применяется на практике

Кейс 1. Юрист ретейлера (Приволжский ФО, начало 2026) при подготовке к плановой проверке РКН обнаружил, что политика конфиденциальности не обновлялась с 2021 года: отсутствовал раздел о трансграничной передаче (сайт использовал GA4), ответственный по ст. 22.1 не был указан, согласие на рассылку было встроено в оферту. Подготовка обновлённого пакета ОРД заняла три недели; по итогам проверки инспектор РКН выдал предписание об устранении двух технических замечаний вместо возбуждения административного дела — документальная база не дала оснований для протокола.

Кейс 2. Интернет-магазин бытовой техники (Центральный ФО, осень 2025) получил жалобу от субъекта в РКН: покупатель не мог отписаться от рассылки, так как в политике не был указан способ отзыва согласия. При проверке инспектор установил, что согласие на маркетинг и согласие на обработку в рамках договора были объединены в одном чекбоксе в нарушение ст. 9 ФЗ-152 в редакции с 01.09.2025. Компании был вынесен протокол по ч. 2 ст. 13.11 КоАП. Размер штрафа — в диапазоне от 300 000 до 700 000 ₽ с учётом смягчающих обстоятельств.

Типовые ситуации при составлении политики

Ситуация 1 — Маркетплейс как посредник

Если интернет-магазин продаёт через маркетплейс (Wildberries, Ozon), данные покупателей к нему не поступают напрямую. Однако собственный сайт, собственные CRM и программы лояльности требуют полноценного ОРД. Проверьте договор с маркетплейсом: если он передаёт вам данные покупателей, вы становитесь оператором и обязаны отразить это в политике как отдельную цель с основанием.

Ситуация 2 — Сторонние сервисы и трансграничная передача

Использование GA4, Meta Pixel, Sendinblue, Salesforce или аналогичных зарубежных платформ означает трансграничную передачу ПДн по ст. 12 ФЗ-152. Если страна расположения сервиса не входит в перечень стран с адекватной защитой (утверждается Приказом РКН), до начала передачи необходимо уведомить РКН. Отсутствие уведомления при передаче данных в страну без адекватной защиты — отдельное нарушение, которое выявляется при анализе кода сайта.

Ситуация 3 — Подрядчики и поручение обработки

Служба доставки, колл-центр, IT-подрядчик — каждый из них получает ПДн покупателей. По ст. 6 ч. 3 ФЗ-152 поручение обработки оформляется отдельным договором или соглашением с перечнем разрешённых действий. Если подрядчик допускает утечку, ответственность перед РКН несёт оператор. Это подтверждается сложившейся практикой арбитражных судов: суды признают оператора ответственным за действия лиц, которым он поручил обработку.

Услуги DATUM по теме

Комплект ОРД под ключ — полный пакет из 38 документов для интернет-магазина
Аудит соответствия 152-ФЗ — проверка по чек-листу с планом устранения нарушений
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн — интернет-магазина?

Минимальный пакет включает: политику обработки ПДн по ст. 18.1 ФЗ-152 (опубликованную на сайте), уведомление в реестре РКН по ст. 22, приказ о назначении ответственного по ст. 22.1, согласия субъектов в соответствии со ст. 9 в редакции ФЗ-156 (для маркетинговых целей — отдельный документ с 01.09.2025), регламент реагирования на запросы субъектов и на инциденты (24/72 часа по ч. 3.1 ст. 21 ФЗ-152), а также договоры с подрядчиками-обработчиками по ст. 6 ч. 3 ФЗ-152. Полный пакет ОРД для e-commerce — как правило, от 20 до 38 документов в зависимости от числа категорий субъектов и сервисов.

2. Как составить политику обработки ПДн для интернет-магазина?

Последовательность: (1) зафиксировать все категории субъектов и данные, которые фактически обрабатываются; (2) определить правовое основание для каждой цели по ст. 6 или ст. 9 ФЗ-152; (3) включить обязательные разделы по ч. 2 ст. 18.1 — цели, состав данных, меры защиты, права субъектов, контакты ответственного; (4) добавить раздел о трансграничной передаче, если используются зарубежные сервисы; (5) опубликовать документ на сайте в открытом доступе. Шаблоны из открытых источников требуют обязательной адаптации — типовой текст не учитывает специфику конкретного магазина и рискует не пройти проверку РКН.

3. Кого назначить ответственным за обработку ПДн по ст. 22.1?

Ответственным назначается штатный сотрудник (юрист, IT-директор, офис-менеджер) или привлекается внешний специалист на аутсорсинге. Закон не устанавливает требований к должности, но квалификация должна позволять выполнять функции по ч. 4 ст. 22.1 ФЗ-152: организация внутреннего контроля, ответы на запросы субъектов, взаимодействие с РКН. Для небольшого интернет-магазина DPO-аутсорсинг от 30 000 ₽ в месяц экономически эффективнее содержания штатного специалиста.

4. Можно ли использовать шаблон политики из интернета?

Шаблон из открытого источника допустим как отправная точка, но не как финальный документ. Большинство доступных шаблонов не обновлены под ФЗ-156 (редакция с 01.09.2025), не учитывают специфику конкретного магазина (категории субъектов, перечень подрядчиков, зарубежные сервисы), не содержат разделы о трансграничной передаче и cookies. РКН при проверке сверяет документ с реальной практикой обработки: если политика описывает абстрактного оператора, а не ваш магазин — это основание для предписания.

5. Какие согласия нужны интернет-магазину после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн не может быть совмещено с офертой, договором или политикой. Для маркетинговых рассылок, программ лояльности и профилирования покупателей нужен отдельный документ — чекбокс с чётко сформулированным текстом согласия или отдельная форма. Согласие должно содержать: ФИО и контакты субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок и способ отзыва (ст. 9 ФЗ-152). Нарушение — ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽ для юрлица.

6. Что проверяет РКН при плановой проверке интернет-магазина?

Инспектор запрашивает: наличие и содержание политики обработки ПДн по ст. 18.1 ФЗ-152; актуальность записи в реестре операторов (ст. 22); приказ о назначении ответственного (ст. 22.1); образцы согласий субъектов (ст. 9); договоры с подрядчиками-обработчиками; журналы учёта запросов субъектов. Если магазин использует зарубежные сервисы — запрашивает уведомление о трансграничной передаче по ст. 12 ФЗ-152. Отсутствие любого из документов — основание для протокола по соответствующей части ст. 13.11 КоАП.

Итог

Политика обработки ПДн для интернет-магазина в 2026 году — это не формальность, а документ, который РКН проверяет в первую очередь. После ФЗ-156 от 24.06.2025 к ней добавляется требование об отдельных согласиях с 01.09.2025; после расширения ст. 13.11 КоАП по ФЗ-420 каждый пропущенный раздел несёт конкретную санкцию. Составление политики — последовательная работа: от инвентаризации данных до публикации и уведомления РКН.

Юристы DATUM специализируются на ОРД для e-commerce и цифровых продуктов. Мы готовим документы с учётом реальной структуры обработки конкретного магазина, а не на основе типового шаблона.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.

25 декабря 2026 года