Работа с персональными данными в России: что должен знать владелец маркетплейса или интернет-магазина в 2025 году

Автор: Гаянэ

Дата: 29.08.2025

 

Поделиться:

В 2025 году в России регулирование обработки персональных данных стало заметно жестче, а число инцидентов — тревожно высоким. Владельцам маркетплейсов и онлайн-магазинов приходится балансировать между коммерческими целями, требованиями законодательства и растущими угрозами со стороны киберпреступников.

Актуальные факты и статистика

  • В 2024 году в России утекло 1,58 млрд записей персональных данных — на 31,7 % больше, чем годом ранее. По этому показателю страна занимает 5-е место в мире (tech.az). 
  • По данным Роскомнадзора, в первые четыре месяца 2025-го было зафиксировано 30 утечек ПДн, из них 19 инцидентов в январе–феврале затронули более 24 млн записей. По итогам разбирательств наложены штрафы на сумму 240 000 ₽ и выдано одно предупреждение (acsour.com) 
  • С конца 2024-го действует закон с «револьверными» штрафами до 1–3 % от годовой выручки, а также диапазон штрафов от 20 до 500 млн рублей (Tadviser).
  • 55 % уголовных дел по утечкам возбудили против сотрудников компаний телеком-сектора — чаще всего виноваты внутренние лица (Tadviser). 
  • В январе 2025 года был зафиксирован крупный инцидент безопасности в группе LANIT, ключевого IT-поставщика для банков и банкоматов: атаке подверглись системы LANIT и LAN ATMservice. Центр реагирования по инцидентам (НКЦКИ) был вынужден рекомендовать экстренные меры (Reddit). 

Эта статистика и реальные случаи — четкий сигнал: ПДн остаются приоритетной и уязвимой зоной, требующей особого внимания.

Законодательные требования и изменения в РФ по персональным данным в 2025 году

Федеральный закон № 152-ФЗ «О персональных данных» остаётся ключевым нормативным актом, определяющим правила сбора, хранения и обработки информации о гражданах. Он обязывает операторов — от крупных корпораций до индивидуальных предпринимателей — принимать технические и организационные меры для обеспечения безопасности данных. Подробнее о документе можно прочитать в тексте закона (pravo.gov.ru).

С 30 мая 2025 года вступил в силу обновленный Закон № 152-ФЗ с серьезными ужесточениями. Теперь для обработки ПДн необходимо подать уведомление о намерении и быть внесенным в реестр операторов персональных данных Роскомнадзора. Это требование распространяется на всех, включая владельцев небольших интернет-магазинов и маркетплейсов. 

Каждое действие с персональными данными — будь то оформление заказа, рассылка, аналитика или использование в рекламных целях — должно иметь законное основание: отдельное согласие пользователя, условия договора или иное предусмотренное законом разрешение. На практике это означает использование прозрачных формулировок и отдельных чек-боксов вместо «сквозных галочек» в многостраничных формах.

Одновременно увеличены штрафы: для организаций — до 1 млн ₽, для ИП — от 30 тыс до 70 тыс ₽, а за утечку данных суммы могут достигать от 5 до 15 млн ₽ в зависимости от объёма пострадавшей информации.

С 1 июля 2025 года вступили в силу правила, ужесточающие локализацию данных: хранение персональных данных граждан РФ за рубежом запрещено, за исключением случаев, прямо предусмотренных законодательством. Это означает, что использование зарубежных сервисов с хранением данных вне России, например Google Analytics, теперь допустимо только при наличии специального разрешения. Хранение информации о российских пользователях должно происходить на серверах, расположенных в России, а любая трансграничная передача, например для аналитики или рекламы, требует уведомления Роскомнадзора до начала обработки.

С 1 сентября 2025 года вводятся новые стандарты согласия на обработку персональных данных — оно должно быть оформлено отдельным документом, а не как пункт в договоре. Кроме того, поребуется разработать и поддерживать в актуальном состоянии политику конфиденциальности, внутренний регламент действий при утечках, журнал обращений субъектов ПДн и назначить ответственного за защиту данных.

Уточнена классификация персональных данных. Биометрические данные (отпечатки пальцев, голос и т.д.) требуют особого письменного согласия. Специальные данные (сведения о здоровье, национальности) допускается обрабатывать только при явном согласии и в обезличенном виде; общие данные (ФИО, адрес электронной почты) теперь обрабатываются с учётом новых ограничений. Санкции за нарушения могут составлять до 3% годовой выручки компании.

Права пользователей в сфере персональных данных предполагают возможность запросить экспорт, корректировку, удаление или обезличивание информации. Компании, работающие в eСommerce, могут автоматизировать эти процессы через личные кабинеты (возможность запроса удаления данных для пользователей).

Отдельно стоит рассматривать управление файлами cookie и рекламными технологиями. Согласия на использование аналитических и маркетинговых cookie должны запрашиваться отдельно, а баннер с выбором настроек обязан появляться до установки трекеров, что соответствует принципам прозрачности и добровольности согласия.

Безопасность данных требует комплексного подхода: от использования систем предотвращения утечек (DLP) и шифрования до многоуровневого контроля доступа, ведения журналов действий и проведения регулярных внутренних проверок в соответствии с Постановлением № 1119.

В экосистеме электронной коммерции маркетплейс обычно выступает оператором персональных данных, а продавцы/партнёры — их обработчиками. Эти роли должны быть чётко закреплены в договорах, включая обязательство ограничивать доступ к информации по принципу «минимально необходимого объёма».

Обработка персональных данных должна соответствовать принципам сохранности, минимизации объёма данных, прозрачности процессов и ограничения сроков хранения. О случаях утечки оператор обязан уведомлять Роскомнадзор в течение 24 часов после выявления инцидента.

Ключевые обязательные действия для владельцев маркетплейсов и интернет-магазинов:

  • Зарегистрироваться в реестре операторов персональных данных.
  • Внедрить политику обработки ПДн и внутренние регламенты по безопасности.
  • Получать уполномоченное согласие пользователей для каждого вида данных.
  • Хранить данные пользователей на российских серверах.
  • Организовать процесс реагирования на утечки и запросы субъектов данных.
  • Контролировать использование биометрических и обезличенных данных в соответствии с новыми требованиями.

Как CS-Cart помогает соблюсти требования законодательства

Платформа CS-Cart является полностью российским продуктом и адаптирована для работы в правовом поле России, поддерживая выполнение ключевых требований российского законодательства.

Разделение ролей

В CS-Cart система прав доступа построена так, чтобы минимизировать круг лиц, имеющих доступ к персональным данным. Администраторы, продавцы и покупатели работают в отдельных средах с разными уровнями прав. Для маркетплейсов это особенно важно: продавцы видят только заказы своих покупателей, что исключает доступ к информации конкурентов. Такой подход реализует принцип «минимально необходимого доступа» и облегчает аудит при проверках Роскомнадзора.

Документирование и получение согласий

CS-Cart с версии 4.6.2 включает модуль подтверждения обработки персональных данных по требованиям Федерального закона № 152-ФЗ. Он добавляет на формы регистрации, оформления заказа и подписки на рассылку чек-боксы с поясняющим текстом и ссылкой на политику конфиденциальности, что позволяет собирать согласия в корректной юридической форме. Это помогает не только выполнять требования закона, но и подготовить магазин к уведомлению Роскомнадзора о начале обработки данных. Для работы с клиентами из ЕС доступен встроенный GDPR-модуль (версии 4.7.4 и выше), который сохраняет историю согласий и автоматизирует обработку запросов на удаление или экспорт данных.

Локализация и трансграничная передача

Для выполнения требований о хранении данных в России (ФЗ-242) рекомендуется использовать российские хостинги. Рекомендованный партнёр CS-Cart — Scalehost размещает инфраструктуру в дата-центрах в РФ, что соответствует нормам локализации. При этом возможна изоляция данных продавцов на уровне сервера, что особенно важно для маркетплейсов.

Поддержка онлайн-касс

CS-Cart интегрируется с онлайн-кассами и фискальными регистраторами, что обеспечивает выполнение требований закона № 54-ФЗ о применении контрольно-кассовой техники. Для интернет-магазинов и маркетплейсов это критически важно, так как фискальные данные о заказах и оплате являются частью персональных данных клиентов. Журналирование фискальных операций и связанной информации позволяет быстро предоставить необходимые отчёты Роскомнадзору или налоговым органам.

Реагирование на инциденты

Хотя CS-Cart не автоматизирует подачу уведомлений в Роскомнадзор, платформа позволяет быстро ограничить доступ к скомпрометированным данным, изменить права пользователей и выгрузить необходимые журналы действий. Это помогает ускорить подготовку отчётов и выполнение сроков уведомления в случае инцидента.

Права субъектов

Через функциональность личного кабинета и модулей CS-Cart можно реализовать экспорт, удаление или обезличивание данных по запросу пользователя.

Безопасность

CS-Cart поддерживает безопасные каналы передачи данных (SSL), шифрование при хранении, Blowfish-шифрование платёжной информации в рамках стандартов PCI DSS, а также защищённые методы разработки и хэширование паролей. Код платформы проходит регулярный аудит, что снижает риск уязвимостей.

Управление cookie и рекламой

В CS-Cart можно настроить баннеры и отдельные согласия для аналитических и маркетинговых cookie. Это помогает соответствовать принципам прозрачности и добровольности согласия.

Рекомендации для бизнеса на платформе CS-Cart

  1. Активируйте модуль «Подтверждение обработки персональных данных (152-ФЗ)» — он обеспечит наличие элемента согласия и вывод политики конфиденциальности.
  2. Подготовьте документы: политика конфиденциальности, регламенты, назначение ответственного, договоры и т.д.
  3. Убедитесь, что данные хранятся на территории РФ, и замените зарубежные сервисы на российские аналоги.
  4. Уведомите Роскомнадзор до начала обработки и обновляйте данные в реестре своевременно.
  5. Позаботьтесь о безопасном хранении и переработке данных, соблюдая требования по обезличиванию и передачам в ГИС.
  6. Готовьтесь к аудитам и возможным запросам от государственных органов — документируйте соответствие законодательству.

Заключение

В 2025 году правила обработки персональных данных в России существенно ужесточились. CS-Cart предоставляет множество инструментов для соблюдения этих требований: от модуля согласия (152-ФЗ) до поддержки онлайн-касс. Используя CS-Cart, владельцы интернет-магазинов могут легче адаптироваться к новым реалиям законодательства и обезопасить свой бизнес.

“Правила работы с персональными данными в России становятся строже, а последствия ошибок — дороже. Для владельцев маркетплейсов это значит одно: безопасность и соответствие закону должны быть встроены в бизнес-процессы. В CS-Cart мы сделали так, чтобы операторы могли выполнять требования 152-ФЗ, сохранять конфиденциальность данных клиентов и минимизировать риск утечек и штрафов,” — Андрей Мягков, технический директор CS-Cart.

Каталог продуктов и сервисов CS-Cart

Гаянэ
Гаянэ
Контент-маркетолог CS-Cart

Гаянэ Тамразян — писатель и контент-маркетолог, специализирующийся на электронной коммерции. Она создает информативные и актуальные статьи, которые помогают читателям разобраться в сложностях цифровой торговли. Ее стиль написания отличается ясностью и доступностью, что делает материал понятным как для профессионалов, так и для широкой аудитории. Гаянэ стремится делиться знаниями, вдохновляя бизнес и потребителей на успешное взаимодействие в быстро меняющемся мире онлайн-торговли.

 

Рекомендуем к прочтению