С весны 2025 года правила обращения с персональными данными ужесточились настолько, что задеть могут любого, кто продаёт онлайн и собирает контакты покупателей. Роскомнадзор перестал напоминать о необходимости подать уведомление и сразу выписывает штрафы, а их размеры выросли в разы.
Для интернет-магазинов, где база клиентов — ключевой актив, цена ошибки стала особенно ощутимой. Понимать, какая теперь ответственность за распространение персональных данных, обязан каждый владелец площадки.
Почему тема персональных данных стала критичной для торговли
Главное нововведение в том, что почти все организации, ИП и самозанятые теперь обязаны зарегистрироваться как операторы персональных данных в Роскомнадзоре. Раньше ведомство напоминало о подаче уведомления — теперь оно сразу применяет санкции. За само отсутствие регистрации организации и ИП платят от 100 000 до 300 000 рублей, должностные лица — от 30 000 до 50 000, физические лица — от 5 000 до 10 000 рублей.
Куда серьёзнее штрафы за утечку. При первом нарушении с базой от 1 000 до 10 000 субъектов санкция составляет 3–5 млн рублей, от 10 000 до 100 000 — уже 5–10 млн, а свыше 100 000 субъектов — 10–15 млн рублей. Повторная утечка считается от оборота: 1–3% годовой выручки, но не менее 20 млн и не более 500 млн рублей.
Отдельно наказывается недоуведомление РКН об утечке — 1–3 млн для ИП и организаций. А с 1 июля 2025 года запрещена первичная обработка данных на иностранных серверах, включая привычный Google Analytics.
Где собираются персональные данные и как меняется модель торговли
Объём собираемых данных напрямую зависит от того, как организованы продажи. И здесь полезно понимать, чем интернет-магазин отличается от маркетплейса по работе с клиентской базой:
-
На маркетплейсе площадка сама взаимодействует с покупателем и привлекает поток.
-
Комиссия маркетплейса может доходить до четверти цены товара.
-
Собственный сайт даёт продавцу полный контроль и собственную базу клиентов.
-
Своя площадка требует эквайринга, онлайн-кассы и самостоятельного продвижения.
-
Маркетплейс не требует эквайринга и онлайн-кассы, но привязывает к своим алгоритмам.
Разница принципиальна: на маркетплейсе значительная часть персональных данных проходит через платформу, и она же несёт связанную с этим нагрузку. На собственном сайте магазин получает прямой доступ к базе клиентов — но вместе с ним и полную ответственность оператора данных перед Роскомнадзором.
Как привести обработку данных в порядок: пошаговый алгоритм
Привести дела в соответствие можно по понятной последовательности. Сначала определите, обрабатываете ли вы персональные данные вообще — для онлайн-торговли ответ почти всегда «да», ведь имя, телефон и адрес доставки уже подпадают под закон.
Затем подайте уведомление и зарегистрируйтесь оператором в РКН, не дожидаясь проверки. Третий шаг — перенести первичную обработку данных на российские серверы, поскольку с 1 июля 2025 года иностранные площадки для этого под запретом.
Дальше стоит честно оценить модель продаж, и понимание того, чем интернет-магазин отличается от маркетплейса, помогает распределить зоны ответственности. Если магазин держит собственный сайт, он сам отвечает за защиту базы и обязан выстроить регламент хранения, разграничить доступ сотрудников и подготовиться к реагированию на инциденты — ведь недоуведомление об утечке отдельно карается суммой 1–3 млн рублей. Завершает алгоритм аудит подрядчиков: курьерские службы и операторы фулфилмента тоже получают данные клиентов, и договоры с ними должны закреплять режим их обработки.
Что это значит для бюджета и операционки
Соблюдение новых требований — это прежде всего расходы на инфраструктуру и регламенты, но они несопоставимы с риском санкций. Один пропущенный шаг регистрации стоит до 300 000 рублей, а серьёзная утечка у крупного продавца уходит за 10 млн. Перенос аналитики и хранилищ на отечественные сервисы тоже требует вложений, зато снимает риск претензий из-за иностранных серверов.
Профильные издания, например, shoppers.media, отслеживают практику применения новых норм и разбирают конкретные кейсы санкций — это помогает продавцам сверять свои действия с тем, как требования трактуются на деле. Подобные обзоры особенно полезны, когда правила меняются быстрее, чем успевают обновляться внутренние регламенты компании.
Главные выводы для онлайн-продавца
Ужесточение ответственности за персональные данные перестало быть формальностью: штрафы выросли до миллионов, а контроль стал автоматическим. Любой, кто собирает контакты покупателей, теперь оператор данных со всеми вытекающими обязанностями — от регистрации в РКН до хранения базы на российских серверах.
Выбор между собственным сайтом и маркетплейсом во многом определяет, какую часть этой нагрузки продавец берёт на себя. Своя площадка даёт контроль над базой, но и полную ответственность; маркетплейс часть забот снимает, снижая тем самым нагрузку.
Детальный разбор новых штрафов с суммами и сроками опубликован по адресу https://shoppers.media/articles/23013_novye-strafy-za-obrabotku-personalnyx-dannyx-s-30-maia-2025-g. Материал поможет оценить риски под вашу модель торговли. Это разумный первый шаг к наведению порядка.
