Персональные данные в e-commerce: от оформления заказа до возврата — кто, где и за что отвечает

Полный разбор точек возникновения ПДн в онлайн-торговле, цепочки ответственности и практики защиты в свете законодательства 2024–2025 годов

Почему это важно прямо сейчас

Покупка кроссовок на маркетплейсе за пять минут выглядит простой операцией для покупателя. С точки зрения оборота персональных данных это цепочка из десятков транзакций: ФИО и адрес попадают в базу маркетплейса, затем в систему склада, затем к курьерской службе, затем к оператору ПВЗ, затем через ОФД — в ФНС. Параллельно данные могут оседать в CRM-системе продавца-селлера, в его маркетинговой платформе, в сервисе аналитики и в программе лояльности.

По данным Data Insight, в 2024 году российский рынок e-commerce составил 11,2 трлн рублей и 6,8 млрд заказов [1]. С учётом среднего чека в 1650 рублей это означает приблизительно столько же «прикосновений» к персональным данным покупателей. При этом согласно данным Роскомнадзора, только за первую половину 2024 года в интернет утекло около 1 млрд строк персональных данных, а онлайн-ритейл занял первое место по числу инцидентов [4].

Законодатель отреагировал. Федеральный закон № 420-ФЗ от 30.11.2024 кардинально изменил статью 13.11 КоАП — размер штрафов впервые поставлен в зависимость от масштаба утечки. Параллельно появилась уголовная ответственность: статья 272.1 УК РФ, введённая тем же пакетом [3]. С 1 сентября 2025 года вступил в силу обновлённый порядок получения согласий, а с 1 июля 2025 года — новые нормы локализации данных [8].

Эта статья — системный разбор всего жизненного цикла персональных данных в e-commerce: от момента, когда покупатель вводит имя в форму регистрации, до момента, когда курьер сверяет его паспорт при возврате. Для каждой точки мы разберём, какие данные возникают, кто является их оператором, какие риски существуют и как их минимизировать.

Материал будет полезен: руководителям и собственникам интернет-магазинов, сотрудникам ИБ и юридических подразделений, специалистам по операционному комплаенсу, DPO (ответственным за обработку ПДн), а также всем, кто работает в цепочке доставки e-commerce.

Раздел 1. Правовая рамка: кто такой «оператор» в логике 152-ФЗ и почему в e-commerce их всегда несколько

1.1. Оператор ПДн: определение и автоматическое возникновение

Согласно ст. 3 Федерального закона № 152-ФЗ «О персональных данных», оператором является юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПДн, а также определяет цели и состав обрабатываемых данных [9]. Ключевое слово — «определяет цели». Именно это отличает оператора от обработчика, действующего по его поручению.

На практике в любом заказе через интернет-магазин или маркетплейс одновременно возникает несколько операторов:

1. Маркетплейс или интернет-магазин — собирает данные при регистрации и оформлении заказа, определяет цели обработки.
2. Продавец-селлер на маркетплейсе — как только получает доступ к данным заказа (ФИО, телефон, адрес клиента), также становится оператором [2].
3. Курьерская служба — обрабатывает адрес и контакт получателя для организации доставки.
4. Оператор ПВЗ — при выдаче заказа сверяет данные и может фиксировать информацию о получателе.
5. Оператор фискальных данных (ОФД) — получает электронный чек с контактом покупателя и передаёт его в ФНС.

Обязанности возникают автоматически. Как только компания начинает работать с ПДн, на неё возлагается весь комплекс требований 152-ФЗ: уведомление Роскомнадзора, получение согласий, обеспечение безопасности, назначение ответственного, разработка политики и ЛНА [10]. Роскомнадзор прямо указывает, что к операторам ПДн, в числе прочих, относятся интернет-магазины, курьерские службы и маркетинговые агентства [7].

1.2. Оператор и обработчик: разграничение ответственности

Закон проводит чёткую грань между оператором и лицом, которое обрабатывает данные по его поручению. Если интернет-магазин нанимает агентство для email-рассылок и передаёт ему базу клиентов, магазин остаётся оператором, агентство — обработчиком. Основная ответственность перед субъектом ПДн остаётся на операторе [10].

При этом передача данных обработчику требует двух условий:

1. Наличие правового основания: согласие субъекта либо договор, стороной которого является субъект (например, договор о доставке).
2. Заключение договора поручения обработки ПДн с обработчиком, в котором тот обязуется соблюдать требования 152-ФЗ [7].

Политика Wildberries прямо описывает эту цепочку: маркетплейс передаёт ПДн покупателей юридическим лицам, оказывающим услуги по обеспечению безопасности и доставке товаров, а также продавцам, если это необходимо для получения заказа [11].

1.3. Новации законодательства 2024–2025 годов

За два года законодательная нагрузка на e-commerce существенно выросла. Перечислим ключевые изменения в хронологическом порядке:

1. Федеральный закон № 421-ФЗ от 30.11.2024 — введена статья 272.1 УК РФ, устанавливающая уголовную ответственность за незаконные операции с ПДн: базовый состав предусматривает до 4 лет лишения свободы, при организованной группе или особо крупных размерах — до 10 лет [3].
2. Федеральный закон № 420-ФЗ от 30.11.2024 — кардинально изменена статья 13.11 КоАП: штрафы дифференцированы по объёму утечки, введены оборотные штрафы за повторные нарушения [3].
3. С 1 июля 2025 года вступила в силу обновлённая норма о локализации ПДн (ч. 5 ст. 18 152-ФЗ): первоначальный сбор ПДн граждан РФ должен осуществляться с использованием баз данных, находящихся на территории России [8].
4. С 1 сентября 2025 года — новый порядок оформления согласий: согласие должно быть оформлено в виде отдельного документа, его нельзя «вшивать» в оферту или пользовательское соглашение [8].
5. С 1 сентября 2025 года — новый принцип минимизации данных: продавец не вправе ограничивать доступ покупателя к информации о товарах и услугах из-за его отказа предоставить ПДн [2].

Раздел 2. Точка первая — регистрация и оформление заказа

2.1. Какие данные собираются и зачем

Регистрация на сайте или в приложении интернет-магазина — первая и, пожалуй, самая «богатая» точка сбора ПДн. Типичный набор включает: ФИО, номер телефона, адрес электронной почты, адрес доставки (иногда несколько), дату рождения (для программ лояльности), историю просмотров и покупок, а технически — IP-адрес, cookies, идентификаторы устройства.

Интернет-магазины нередко собирают избыточные данные — например, обязательное поле «дата рождения» при оформлении заказа на бытовую технику, хотя оно никак не связано с целью доставки. Это прямое нарушение принципа минимизации из ст. 5 152-ФЗ: «обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки» [9].

2.2. Согласие на обработку: новые требования с сентября 2025 года

До 1 сентября 2025 года многие интернет-магазины использовали так называемые «спрятанные» согласия — галочку в общем пользовательском соглашении или в форме оформления заказа. С 1 сентября это незаконно: согласие должно быть оформлено в виде отдельного документа [8].

Структура корректного согласия включает:

1. Данные оператора — полное наименование юрлица или ИП.
2. Цели обработки — например, «доставка товара», «участие в программе лояльности», «направление рекламной рассылки» — каждая цель отдельно.
3. Перечень данных — ФИО, адрес, email, телефон.
4. Действия с ПДн — сбор, хранение, передача, обработка, удаление.
5. Срок хранения и порядок отзыва согласия [10].

Важный нюанс для e-commerce: с сентября 2025 года продавец не вправе отказать покупателю в доступе к информации о товаре или в оформлении заказа только потому, что тот отказывается предоставить ПДн, необходимые исключительно для маркетинга. Данные, нужные для исполнения договора доставки, — другое дело [2].

2.3. Специфика маркетплейсов и множественность операторов

Многие предприниматели ошибочно полагают, что если они торгуют через Wildberries или Ozon, ответственность за ПДн лежит только на платформе. Это не так. Как только продавец получает доступ к данным заказа — с именем, телефоном и адресом клиента — он становится самостоятельным оператором персональных данных по 152-ФЗ [2].

Если продавец ведёт клиентов за пределами маркетплейса (приглашает в Telegram-чат, сохраняет контакты в собственную CRM для повторных продаж), согласие на такую дополнительную обработку обязательно. Также продавец обязан заключить договор поручения обработки ПДн с любыми сторонними сервисами, которым он передаёт клиентские данные [2].

Раздел 3. Точка вторая — электронный чек и фискальные данные

3.1. Чек как источник ПДн: правовая природа

Электронный чек — самостоятельный источник персональных данных, который часто упускают из виду при аудите. В соответствии с Федеральным законом № 54-ФЗ «О применении контрольно-кассовой техники», при каждом расчёте продавец обязан сформировать кассовый чек и в режиме реального времени передать его реквизиты в ФНС через оператора фискальных данных (ОФД) [5].

Для интернет-продаж с сентября 2025 года введены обязательные новые теги: тег 1125 (признак онлайн-расчёта), тег 1187 (URL магазина) и тег 1008 (контакт покупателя — email или номер телефона) [12]. Без этих данных чек признаётся недействительным.

Таким образом, при каждой онлайн-продаже телефон или email покупателя:

1. Фиксируется в онлайн-кассе.
2. Передаётся ОФД.
3. Через ОФД попадает в ФНС.

3.2. Кто является оператором ПДн в цепочке «касса — ОФД — ФНС»

ОФД является обработчиком персональных данных, действующим по поручению продавца-оператора. При этом ФНС в данном случае выступает получателем фискальных данных в рамках выполнения государственной функции, что регулируется специальным налоговым законодательством, а не 152-ФЗ.

Ключевой риск здесь — использование данных, полученных при выдаче чека, для маркетинговых рассылок без отдельного согласия. Если клиент оставил email для получения электронного чека, это не означает, что он дал согласие на рекламные рассылки [10]. Использование таких данных в маркетинговых целях — типичное нарушение, которое при проверке квалифицируется по ч. 1 ст. 13.11 КоАП с штрафом от 50 до 100 тысяч рублей [9].

3.3. Практические риски при работе с контактами из чеков

На практике встречается несколько типичных нарушений:

1. Передача базы email-адресов, собранных через ОФД, в сторонний сервис рассылок без договора поручения обработки и без наличия согласия на рекламную рассылку.
2. Хранение контактов из чеков дольше, чем предусмотрено политикой обработки ПДн (после исполнения договора данные должны быть уничтожены).
3. Использование номеров телефонов из чеков для скоринга или профилирования без правовых оснований.

Раздел 4. Точка третья — курьерская доставка

4.1. Состав персональных данных в курьерской доставке

При передаче заказа в курьерскую службу интернет-магазин передаёт минимальный, но критически важный набор ПДн: ФИО получателя, адрес доставки (включая квартиру и этаж), номер телефона, иногда — дату рождения для верификации. Дополнительно курьер при вручении нередко записывает данные в накладную.

Это один из наиболее уязвимых участков цепочки с точки зрения ИБ: курьер — физическое лицо, которое в момент доставки держит в руках список адресов и телефонов десятков или сотен получателей. Системы контроля доступа к этим данным у курьерских служб существенно различаются.

4.2. Правовое оформление: договор поручения обработки ПДн

Передача ПДн курьерской службе законна в двух случаях: если субъект ПДн является стороной договора, для исполнения которого требуется передача (пп. 5 ч. 1 ст. 6 152-ФЗ), либо если заключён договор поручения обработки ПДн (ч. 3 ст. 6 152-ФЗ) [9]. Большинство крупных курьерских служб имеют типовую форму такого договора.

СДЭК, как один из крупнейших игроков рынка, в своей публичной оферте обязывает контрагентов соблюдать требования законодательства о ПДн. Тем не менее ответственность перед субъектом ПДн за действия курьерской службы несёт интернет-магазин как оператор, поручивший обработку [11].

4.3. Курьер как физическое лицо: специфические риски

Практика показывает ряд специфических рисков:

1. Курьер видит полный адрес доставки, включая время отсутствия жильцов (например, доставка в рабочее время — значит, хозяин дома в это время бывает).
2. В момент получения наложенного платежа курьер обрабатывает платёжные данные и может фотографировать документы для верификации.
3. При курьерской доставке алкоголя или рецептурных препаратов могут требоваться паспортные данные — и это уже специальная категория обработки.
4. При использовании агрегаторов курьерских услуг (сторонних исполнителей) цепочка обработки удлиняется ещё на одно звено, требующее отдельного договора поручения.

Раздел 5. Точка четвёртая — пункты выдачи заказов (ПВЗ)

5.1. Как устроена обработка ПДн в ПВЗ

Пункты выдачи заказов открывают как сами маркетплейсы (Wildberries, Ozon, Яндекс Маркет), так и сторонние логисты (СДЭК, Boxberry, PickPoint) [13]. В момент выдачи заказа происходит минимум одна операция с ПДн: сотрудник ПВЗ сверяет личность получателя и находит его заказ в системе.

Системы идентификации различаются: одни ПВЗ используют код из SMS, другие — сканирование паспорта или данные из приложения. При этом в базе ПВЗ фиксируется факт выдачи с привязкой к идентификатору получателя.

5.2. Кто является оператором: ПВЗ как самостоятельный участник цепочки

Оператор ПВЗ, обрабатывающий ПДн покупателей при выдаче заказов, является самостоятельным оператором ПДн или обработчиком, действующим по поручению маркетплейса/интернет-магазина. Политика Wildberries прямо предусматривает, что маркетплейс передаёт ПДн продавцам и логистическим партнёрам в объёме, необходимом для исполнения договора с покупателем [11].

Для владельца ПВЗ, работающего по франшизе маркетплейса, это означает следующее:

1. Необходимо уведомить Роскомнадзор о начале обработки ПДн как оператор (или обработчик).
2. Разработать внутренние документы, регулирующие порядок работы с данными покупателей.
3. Обеспечить защиту данных от несанкционированного доступа, в том числе со стороны собственных сотрудников.
4. Заключить договор поручения обработки ПДн с маркетплейсом [7].

5.3. Постаматы и автоматизированные ПВЗ

Отдельного внимания заслуживают постаматы — автоматизированные ПВЗ, которые работают без персонала. При получении заказа в постамате покупатель вводит код или прикладывает карту/смартфон. Система фиксирует факт выдачи с временной меткой. Данные о получении хранятся в облачной системе оператора постаматов.

Здесь возникает специфический вопрос: если постамат размещён на территории третьего лица (например, в супермаркете), это третье лицо теоретически может получать доступ к данным о визитах покупателей через системы видеонаблюдения, увязанные с данными о посещениях. Этот вопрос пока редко попадает в публичное пространство, но с расширением видеоаналитики становится всё более актуальным.

Раздел 6. Точка пятая — возврат товара

6.1. Правовая коллизия: паспорт при возврате

Процедура возврата товара — одна из самых юридически неоднозначных точек с точки зрения персональных данных. Существует реальная коллизия между несколькими нормами закона.

С одной стороны, Закон РФ № 2300-1 «О защите прав потребителей» не содержит прямого требования к покупателю предъявлять паспорт при возврате товара [14].

С другой стороны, при выдаче наличных кассир обязан идентифицировать получателя по документу, удостоверяющему личность — согласно Указанию Банка России № 3210-У о порядке ведения кассовых операций [6].

Верховный суд поставил точку в конкретной ситуации: сбор паспортных данных при возврате за наличные законен, так как необходим для идентификации получателя и не является избыточным [6]. Однако при безналичном возврате ситуация принципиально иная.

6.2. Возврат на карту: паспортные данные избыточны

При возврате безналичным путём (на банковскую карту) предоставление паспорта не предусмотрено законодательством. Если продавец настаивает на его предъявлении, а покупатель добровольно предоставляет данные, возникает риск для самого продавца: такая обработка может быть признана избыточной, что влечёт ответственность по ст. 13.11 КоАП [15].

Рекомендуемая практика:

1. При наличном возврате — запрашивать документ для идентификации, но не копировать и не вводить данные в системы без необходимости.
2. При безналичном возврате — достаточно верификации через номер заказа или карту.
3. В любом случае — не хранить скан-копии паспортов без явной необходимости и правового основания.

6.3. Возврат через ПВЗ и курьера

При возврате через ПВЗ или с помощью курьера цепочка обработки ПДн повторяется в обратном направлении: данные покупателя снова фигурируют в системах курьерской службы и маркетплейса. Важно, что данные о возврате, включая причину, могут использоваться для профилирования покупателей (например, для ограничения возможности будущих покупок). Это допустимо, если предусмотрено договором и политикой конфиденциальности, с которой покупатель был ознакомлен.

Раздел 7. Точка шестая — программы лояльности и CRM

7.1. Программа лояльности как «легальный способ» сбора данных

Программы лояльности — один из наиболее активных инструментов сбора ПДн в ритейле. Участвуя в программе, клиент передаёт компании своё имя, дату рождения, номер телефона, почту и другую информацию в обмен на бонусы и скидки [16]. Это полностью законно при соблюдении требований 152-ФЗ: наличие отдельного согласия, указание конкретных целей, возможность отзыва.

Однако типичной ошибкой является использование данных из программы лояльности в целях, выходящих за рамки согласия. Например, если клиент оставил номер телефона для начисления бонусов, но не давал согласия на рекламные рассылки, а магазин начал их отправлять — это нарушение. Штраф за первое нарушение: от 50 до 100 тысяч рублей, за повторное — от 300 до 500 тысяч [9].

7.2. CRM-система: концентратор ПДн и зона повышенного риска

CRM-система интернет-магазина — это точка концентрации персональных данных из всех остальных источников: формы заказа, истории покупок, записей об обращениях в поддержку, данных программы лояльности. Именно CRM чаще всего становится объектом атак при утечках.

По данным InfoWatch, лидером по числу утечек персональных данных в 2024 году стал онлайн-ритейл — 30,8% зарегистрированных инцидентов [4]. Аналитики F6 зафиксировали, что в 2025 году ритейл занял первое место среди всех отраслей по объёму опубликованных баз данных [17].

Характерный пример: в июле 2024 года в открытом доступе были выложены данные покупателей сети «Винлаб» — по данным телеграм-канала «Утечки информации», дамп содержал 8,2 млн уникальных номеров телефонов и 1,6 млн уникальных адресов электронной почты [18].

7.3. Интеграции с внешними сервисами: каждая интеграция — новый риск

По оценкам «Яков и Партнёры», для полноценной работы в e-commerce требуется интеграция более чем с 10 различными системами: CMS, системами аналитики, эквайринга, фулфилмента, CRM, онлайн-кассы, OMS, ERP, PIM, WMS, маркетинговых платформ и программ лояльности [19]. Каждая такая интеграция — потенциальная точка передачи ПДн третьим лицам, требующая проверки наличия договора поручения и соответствия требованиям локализации.

При использовании иностранных аналитических и маркетинговых платформ возникает вопрос трансграничной передачи данных. С 1 июля 2025 года действует обновлённая норма о локализации: первоначальный сбор ПДн граждан РФ должен производиться с использованием российских баз данных [8].

Раздел 8. Штрафы и ответственность: ориентир для оценки рисков

8.1. Административная ответственность: новая шкала с мая 2025 года

Федеральный закон № 420-ФЗ кардинально изменил шкалу штрафов по ст. 13.11 КоАП. Приведём основные:

1. Обработка ПДн без согласия субъекта или с нарушением условий согласия — от 50 тыс. до 100 тыс. рублей для юрлиц, повторно — от 300 тыс. до 500 тыс. рублей.
2. Неуведомление Роскомнадзора о начале обработки ПДн — от 100 тыс. до 300 тыс. рублей.
3. Неуведомление об утечке в течение 24 часов — до 3 млн рублей.
4. Утечка от 10 тыс. до 100 тыс. записей — от 3 до 5 млн рублей для юрлиц.
5. Утечка более 100 тыс. записей — от 10 до 15 млн рублей для юрлиц.
6. Повторное нарушение с утечкой — оборотный штраф от 1% до 3% от годовой выручки [3].

8.2. Уголовная ответственность: новая статья 272.1 УК РФ

С декабря 2024 года действует статья 272.1 УК РФ. Базовый состав — незаконное использование, передача, сбор или хранение ПДн, полученных путём неправомерного доступа к информационным системам. Наказание: до 300 тысяч рублей штрафа или до 4 лет лишения свободы. При отягчающих обстоятельствах (организованная группа, использование служебного положения, тяжкие последствия) — до 10 лет [3].

Для e-commerce это означает, что топ-менеджмент и ответственные сотрудники несут личную уголовную ответственность в случае утечки, возникшей вследствие умышленных или грубо небрежных действий.

8.3. Масштаб проблемы: Россия в мировом контексте

По данным Positive Technologies, Россия возглавила рейтинг стран по количеству объявлений о продаже баз данных компаний в даркнете — на российские объявления пришлось около 10% от общего количества за первое полугодие 2024 года [29]. Роскомнадзор зафиксировал утечку более 600 млн записей о россиянах за 2024 год [25]. По данным F6, в 2025 году публичный объём строк с персональными данными вырос с 457 млн до 767 млн — в полтора раза [17].

Раздел 9. Практический чек-лист для e-commerce оператора

Для интернет-магазина, маркетплейса или их технологических партнёров:

1. Провести аудит: составить реестр всех систем и процессов, где возникают ПДн — от формы регистрации до CRM и программ лояльности.
2. Уведомить Роскомнадзор до начала обработки ПДн (или проверить актуальность существующего уведомления).
3. Разработать политику обработки ПДн и разместить её на сайте в открытом доступе.
4. Обеспечить отдельные согласия на каждую цель обработки: доставка, маркетинг, профилирование — отдельно.
5. Проверить каждого подрядчика, имеющего доступ к ПДн: есть ли договор поручения обработки, зарегистрированы ли они в РКН.
6. Настроить процессы уведомления об утечках: 24 часа в Роскомнадзор, 72 часа — отчёт о расследовании.
7. Ограничить доступ сотрудников к ПДн принципом «минимально необходимого»: курьер не должен видеть историю покупок, оператор ПВЗ — данные кредитной карты.
8. Проверить сроки хранения ПДн: установить и соблюдать, удалять данные после истечения срока.
9. Проверить локализацию: первоначальный сбор ПДн граждан РФ должен происходить на российских серверах.
10. Назначить ответственного за организацию обработки ПДн и зафиксировать это приказом.

Раздел 10. Типичные ошибки и как их избежать

Перечень наиболее распространённых нарушений, выявляемых при проверках:

1. «Спрятанное» согласие в пользовательском соглашении или оферте — после 1 сентября 2025 года это нарушение. Решение: оформить отдельное согласие для каждой цели обработки.
2. Использование данных из чека для маркетинговых рассылок — нарушение принципа соответствия целям. Решение: email для чека и email для рассылок должны собираться через разные формы с разными согласиями.
3. Передача базы клиентов таргетологу или CRM-интегратору без договора поручения — это незаконная передача третьим лицам. Решение: заключить договор поручения обработки ПДн до начала работы.
4. Хранение персональных данных без ограничения срока — нарушение принципа ограничения хранения. Решение: прописать в политике конкретные сроки и настроить автоматическое удаление.
5. Сбор скан-копий паспортов при возврате товара при безналичном расчёте — потенциально избыточная обработка. Решение: ограничиться идентификацией по номеру заказа или карте.
6. Использование иностранных аналитических сервисов (пиксели социальных сетей, рекламные системы) без правового оформления трансграничной передачи. Решение: провести анализ передаваемых данных и оформить по требованиям 152-ФЗ.
7. Отсутствие у продавца-селлера на маркетплейсе собственной политики обработки ПДн. Решение: политика маркетплейса не освобождает продавца от собственных обязанностей оператора.

Раздел 11. Будущее: тренды, которые изменят ландшафт ПДн в e-commerce

11.1. ИИ и обезличенные данные

С 1 сентября 2025 года вступила в силу новая норма об обучении ИИ-моделей на обезличенных персональных данных [2]. Это открывает для e-commerce новые легальные возможности для развития рекомендательных систем и персонализации без прямого использования ПДн, но накладывает требования к качеству обезличивания.

11.2. Передача обезличенных ПДн в государственные системы

С 1 сентября 2025 года у операторов появилась новая обязанность: по запросу Минцифры передавать обезличенные ПДн во ФГИС «Единая информационная платформа национальной системы управления данными» [2]. Для крупных игроков e-commerce это означает необходимость иметь техническую возможность корректного обезличивания данных.

11.3. Автоматизированные проверки РКН

По данным источников в отрасли, в 2025 году Роскомнадзор выявил около 84% нарушений в ходе автоматического мониторинга — роботизированные проверки работают в режиме 24/7 [10]. Это означает, что «быть незаметными» для регулятора становится всё сложнее: нарушения на сайте обнаруживаются без необходимости выездной проверки.

11.4. Биометрия в ПВЗ и системах верификации

Ряд крупных игроков тестирует биометрическую верификацию при выдаче заказов. Биометрические ПДн — специальная категория с повышенными требованиями к обработке. Их сбор без явного, отдельного письменного согласия является грубым нарушением, а за их утечку установлен штраф от 15 до 20 млн рублей [3].

Заключение: от точечных мер к системному контролю

Персональные данные в e-commerce — это не одна точка риска, а сложная сеть из десятков процессов, каждый из которых может стать источником нарушения или утечки. Регистрация, оформление заказа, формирование чека, передача курьеру, выдача в ПВЗ, оформление возврата, программа лояльности, CRM-аналитика — в каждой из этих точек возникают персональные данные, и в каждой точке есть свой оператор или обработчик с набором обязательств.

Законодательство 2024–2025 годов сделало цену ошибки принципиально другой: до 15 млн рублей за утечку, уголовная ответственность до 10 лет, оборотные штрафы за повторные нарушения. При этом проверки стали автоматическими и непрерывными.

Что делать прямо сейчас:

1. Провести полный аудит всех точек обработки ПДн — не только очевидных (сайт, CRM), но и вторичных (чеки, ПВЗ, возвраты).
2. Пересмотреть документы: политика конфиденциальности, формы согласий, договоры с подрядчиками — все требуют обновления под нормы 2025 года.
3. Выстроить реестр операторов-обработчиков: каждый подрядчик с доступом к ПДн должен быть оформлен договором поручения.
4. Внедрить технические меры: ограничение доступа, шифрование, журналирование операций с ПДн.
5. Построить непрерывный мониторинг: единовременный аудит устаревает через несколько месяцев — появляются новые поля в БД, новые интеграции, новые сотрудники.

О решении «Пятый фактор»

Именно последний пункт — непрерывный мониторинг — является наиболее сложным для большинства компаний. Ручные аудиты, которые занимают недели, устаревают практически сразу: в любом динамичном e-commerce ежедневно появляются новые поля в базах данных, новые интеграции с маркетинговыми платформами, новые внешние подрядчики.

Решить эту проблему призвана on-prem платформа «Пятый фактор» — система автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: БД, хранилищах, почте, AD/LDAP, CRM, 1С, API. Ключевая особенность — принцип privacy-by-design: система работает с метаданными, структурой и агрегатами, не передавая и не сохраняя «сырые» значения ПДн. Это означает, что сама платформа не становится дополнительным источником риска.

Для e-commerce это особенно актуально: «Пятый фактор» строит живую «карту ПДн» — где и какие данные хранятся, кто является владельцем, что изменилось. Если в ходе очередного релиза разработчики добавили новое поле с номерами телефонов в базу заказов, или подключили новую CRM с доступом к клиентским данным, — система обнаружит это автоматически, до того как это станет инцидентом.

Подробнее: https://5factor.ru

Источники

[1] Data Insight — «Интернет-торговля в России 2025». — https://datainsight.ru/DI_eCommerce_2025

[2] Oborot.ru — «Как онлайн-продавцам работать с персональными данными в 2025 году». — https://oborot.ru/articles/personalnye-dannye-83-i249818.html

[3] Белинфоналог — «Уголовная ответственность за утечки: что должны знать руководители». — https://belinfonalog.ru/company/news/aktualnoe/ugolovnaya-otvetstvennost-za-utechki-chto-dolzhny-znat-rukovoditeli/

[4] InfoWatch — «Количество слитых персональных данных в 2024 году выросло на треть». — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret

[5] ЮKassa — «Требования к кассовому чеку в 2025 году: что должно быть в чеке». — https://yookassa.ru/recipes/start-biznesa/trebovaniya-k-kassovomu-cheku-v-2023-godu/

[6] Юстихаб — «Нужен ли паспорт при возврате товара в магазин». — https://yustihab.ru/journal/pri-vozvrate-tovara-v-magazin-nuzhen-li-pasport

[7] Klerk.ru — «Как бизнесу работать с персональными данными клиентов — 2026». — https://www.klerk.ru/blogs/data-sec/680480/

[8] Robokassa — «Изменения 152-ФЗ с 1 сентября 2025: чек-лист подготовки и защита данных клиентов». — https://robokassa.com/blog/articles/izmeneniya-v-152-fz-s-1-sentyabrya/

[9] ГАРАНТ — «Закон о персональных данных от 27.07.2006 N 152-ФЗ (последняя редакция)». — https://base.garant.ru/12148567/

[10] Klerk.ru — «152-ФЗ о персональных данных: требования закона для бизнеса в 2026 году». — https://www.klerk.ru/blogs/roskom24/674017/

[11] Wildberries — «Политика ООО «Вайлдберриз» в отношении организации обработки и обеспечения безопасности персональных данных». — https://digital.wildberries.ru/info/privacy_policy

[12] FD.ru — «Кассовые чеки с 2025 года: новые реквизиты и штрафы». — https://www.fd.ru/articles/163521-kak-podgotovit-kassy-k-novym-trebovaniyam-2025-goda

[13] Яндекс Маркет Партнёрам — «ПВЗ (пункты выдачи заказов): что это и как работают». — https://partner.market.yandex.ru/chtojournal/slovar/pvz/

[14] Роспотребнадзор — «При возврате товара вправе ли требовать продавец паспортные данные». — https://46.rospotrebnadzor.ru/content/pravomerno-li-trebovanie-personalnyh-dannyh-pri-vozvrate-denezhnyh-sredstv

[15] Про-Инфо — «Необходим ли паспорт для возврата денежных средств на банковскую карту?». — https://proinfosoft.ru/consultation/neobxodim-li-pasport-dlya-vozvrata-denezhnyix-sredstv-na-bankovskuyu-kartu

[16] RetailCRM — «Программа лояльности: бонусные программы и система лояльности». — https://www.retailcrm.ru/blog/programma-loyalnosti

[17] Коммерсантъ FM — «Рост утечек данных: как защитить себя в 2025 году». — https://www.kommersant.ru/doc/8293551

[18] Sostav.ru — «Чек-лист для защиты персональных данных: как избежать утечки и сохранить доверие клиентов». — https://www.sostav.ru/blogs/275161/58767

[19] «Яков и Партнёры» — «Развитие электронной коммерции в России». — https://yakovpartners.ru/publications/ecom/

[20] Linkodium — «Новые требования Роскомнадзора по закону 152-ФЗ (на 30 мая 2025 года)». — http://linkodium.com/news/novye-trebovaniya-roskomnadzora-po-zakonu-152-fz-na-30-maya-2025-goda/

[21] PIM Solutions — «Новые штрафы до 15 млн: как интернет-магазинам и ритейлу работать с персональными данными после изменений в 152-ФЗ». — https://pimsolutions.ru/pim-smi-publications-articles/ecom/kak-e-commerce-i-ritejlu-rabotat-s-personalnyimi-dannyimi-posle-izmenenij-v-zakonodatelstve.html

[22] Победа права — «Персональные данные при работе на маркетплейсе». — https://pobedaprava.ru/pd-marketplace/

[23] Selectel — «Что такое персональные данные: виды, примеры и как защищать». — https://selectel.ru/blog/personal-data/

[24] TAdviser — «Утечки данных в торговле России». — https://www.tadviser.ru/index.php/Статья:Утечки_данных_в_торговле_России

[25] УБРиР — «Оборотные штрафы за утечку персональных данных для организаций». — https://www.ubrr.ru/dlya-biznesa/podderzhka-biznesa/spravochnik-predprinimatelya/shtrafy-za-utechku-dannyh-klientov

[26] Comply.ru — «Локализация и трансграничная передача персональных данных. Что изменилось с 1 июля 2025 года?». — https://comply.ru/tpost/c43ezsout1-lokalizatsiya-i-transgranichnaya-peredac

[27] ТЛС-ГРУП — «При возврате товара вправе ли требовать продавец паспортные данные». — https://tls-cons.ru/liniya-konsultatsiy/lenta-konsultatsii/pri-vozvrate-tovara-vprave-li-trebovat-prodavets-pasportnye-dannye-ili-inoy-dokument-udostoveryayushchiy-lichnost/

[28] Kontур.Маркет — «Обработка персональных данных в 2025: риски и штрафы». — https://kontur.ru/market/spravka/31263-personalnye_dannye_klientov_v_sisteme_loyalnosti

[29] DocShell — «Оборотные штрафы за утечку персональных данных». — https://docshell.ru/blog/novosti/oborotnye-shtrafy-za-utechku-personalnyh-dannyh