Как e-commerce и ритейлу работать с персональными данными после изменений в законодательстве
время публикации: 10:00 28 мая 2025 года
@Freepic
Разбираемся, что изменилось и как подготовиться, если вы продаёте онлайн или офлайн.
Рассказывает Владислав Яриков, руководитель коммерческой горизонтали Data и Marketing PIM Solutions.
Сейчас оператором персональных данных можно признать буквально каждого, кто работает с клиентскими данными. В том числе и интернет-магазины, если они:
● Принимают заказы на сайте, в мессенджерах, через соцсети или маркетплейсы
● Собирают e-mail или телефон, даже просто ради рассылки промокода
● Используют Google Analytics или другие рекламные/аналитические скрипты
● Показывают рекламу с ретаргетингом
● Хранят данные клиентов в CRM, Excel или личных переписках
● Проводят акции, конкурсы, дают купоны за регистрацию
● Работают с партнёрами, передающими лиды
Даже если это просто локальный шоурум в соцсетях или владелец магазина-лендинга, он уже подпадает под закон и обязан:
1. Зарегистрироваться как оператор в Роскомнадзоре
2. Подготовить и опубликовать политику обработки ПДн
3. Обеспечить защиту данных в зависимости от уровня угроз
4. Не допускать несанкционированной передачи данных третьим лицам
5. Следить за тем, что делают подрядчики с переданными им ПДн
Штрафы вырастут в разы:
● До 15 млн рублей за утечку
● До 300 тыс. рублей за работу без регистрации в реестре операторов персональных данных
● Уголовная ответственность — если данные использовались в мошенничестве или были переданы за границу
Блокировка сайта:
Если вы используете незаконную передачу данных за рубеж (например, скрипты от Google и др.), Роскомнадзор может инициировать ограничение доступа к сайту.
Проверки:
В 2024 году уже начались выборочные проверки малого бизнеса. Приоритет — онлайн-продавцы и сервисы с регистрацией.
Вот список типичных ситуаций, в которых интернет-магазин нарушает закон, даже если он об этом не подозревает.
Читайте также: Итоги 1 квартала 2025 в e-commerce: как изменились средний чек, доля предоплаты, сроки доставки и выкуп
Чтобы избежать огромных штрафов на нарушение порядка работы с ПДн, нужно в первую очередь выполнить 6 пунктов.
1. Проведите аудит: какие персональные данные вы собираете и где они хранятся?
2. Проверьте подрядчиков: особенно веб-студии, таргетологов, CRM-интеграторов, тех, кто имеет доступ к базе.
3. Зарегистрируйтесь в Роскомнадзоре как оператор ПДн.
4. Опубликуйте на сайте политику обработки данных. Лучше — с чек-боксами согласия.
5. Обезопасьте хранение: CRM с шифрованием, контроль доступа, регулярные бэкапы.
6. Уберите лишние скрипты, которые отправляют данные за границу: особенно Google.
Важно: даже если база у вас на Google Таблицах или переписках в Telegram, это тоже обработка.
С 1 сентября 2025 года вступает в силу новый блок закона — об обучении ИИ на обезличенных персональных данных. Интернет-магазины, особенно крупные, будут обязаны:
● Обезличивать данные клиентов (например, для аналитики и сегментации)
● Передавать их в госсистему (правила в процессе уточнения)
● Поддерживать прозрачность обработки — кто, как и зачем использует данные
Это касается, например, истории заказов, поведения на сайте, соцдем-профилей — без ФИО и телефонов, но с чёткой привязкой к цифровому поведению.
Если у вас меньше 100 заказов в месяц:
– Зарегистрируйтесь как оператор, разместите политику, обезопасьте базу.
Если вы в сегменте DTC или работаете с постоянными клиентами:
– Убедитесь, что каждый подписчик дал согласие, используйте отечественные сервисы.
Если у вас интернет-магазин на Shopify, Tilda, RetailCRM, 1С-Битрикс:
– Проверьте, где хранятся данные, и подписывайте договоры с обработчиками.
Если используете сквозную аналитику, e-mail маркетинг, пиксели:
– Настройте сбор данных по новым правилам, добавьте согласия, исключите трансграничные риски.
Законодательство меняется, и теперь даже маркетинг без формального согласия — риск. Если раньше можно было «не заморачиваться», то теперь персональные данные стали такой же критической зоной, как финансы или охрана труда.
Простой принцип: если у вас есть клиент — вы уже под прицелом. Но если работать легально и соблюдать правила, то проблем можно будет избежать.
С 30 мая 2025 года вступают в силу важные поправки к закону №152-ФЗ «О персональных данных». Для розницы и e-commerce это не просто формальное ужесточение: теперь даже за баннер с ретаргетингом или сбор e-mail через pop-up можно получить штраф до 15 млн рублей. И это только начало.
Разбираемся, что изменилось и как подготовиться, если вы продаёте онлайн или офлайн.
Рассказывает Владислав Яриков, руководитель коммерческой горизонтали Data и Marketing PIM Solutions.
Почему теперь почти каждый интернет-магазин — оператор ПДн
Сейчас оператором персональных данных можно признать буквально каждого, кто работает с клиентскими данными. В том числе и интернет-магазины, если они:
● Принимают заказы на сайте, в мессенджерах, через соцсети или маркетплейсы
● Собирают e-mail или телефон, даже просто ради рассылки промокода
● Используют Google Analytics или другие рекламные/аналитические скрипты
● Показывают рекламу с ретаргетингом
● Хранят данные клиентов в CRM, Excel или личных переписках
● Проводят акции, конкурсы, дают купоны за регистрацию
● Работают с партнёрами, передающими лиды
Даже если это просто локальный шоурум в соцсетях или владелец магазина-лендинга, он уже подпадает под закон и обязан:
1. Зарегистрироваться как оператор в Роскомнадзоре
2. Подготовить и опубликовать политику обработки ПДн
3. Обеспечить защиту данных в зависимости от уровня угроз
4. Не допускать несанкционированной передачи данных третьим лицам
5. Следить за тем, что делают подрядчики с переданными им ПДн
Что будет, если ничего не делать?
Штрафы вырастут в разы:
● До 15 млн рублей за утечку
● До 300 тыс. рублей за работу без регистрации в реестре операторов персональных данных
● Уголовная ответственность — если данные использовались в мошенничестве или были переданы за границу
Блокировка сайта:
Если вы используете незаконную передачу данных за рубеж (например, скрипты от Google и др.), Роскомнадзор может инициировать ограничение доступа к сайту.
Проверки:
В 2024 году уже начались выборочные проверки малого бизнеса. Приоритет — онлайн-продавцы и сервисы с регистрацией.
Как интернет-магазинам соблюдать закон
Вот список типичных ситуаций, в которых интернет-магазин нарушает закон, даже если он об этом не подозревает.
|
Что вы делаете?
|
Это уже обработка ПДн?
|
| Собираете e-mail или телефон | Да |
| Делаете рассылки или обзвоны | Да |
| Сохраняете данные клиентов в AmoCRM, Bitrix, Notion, Excel | Да |
| Настраиваете ретаргетинг через пиксели | Да |
| Используете Google Analytics, ChatGPT, Notion, Tilda, Shopify | Да (может быть трансграничная передача) |
Читайте также: Итоги 1 квартала 2025 в e-commerce: как изменились средний чек, доля предоплаты, сроки доставки и выкуп
6 шагов для e-commerce и ритейла
Чтобы избежать огромных штрафов на нарушение порядка работы с ПДн, нужно в первую очередь выполнить 6 пунктов.
1. Проведите аудит: какие персональные данные вы собираете и где они хранятся?
2. Проверьте подрядчиков: особенно веб-студии, таргетологов, CRM-интеграторов, тех, кто имеет доступ к базе.
3. Зарегистрируйтесь в Роскомнадзоре как оператор ПДн.
4. Опубликуйте на сайте политику обработки данных. Лучше — с чек-боксами согласия.
5. Обезопасьте хранение: CRM с шифрованием, контроль доступа, регулярные бэкапы.
6. Уберите лишние скрипты, которые отправляют данные за границу: особенно Google.
Важно: даже если база у вас на Google Таблицах или переписках в Telegram, это тоже обработка.
Что дальше: ИИ и обязательная передача обезличенных данных
С 1 сентября 2025 года вступает в силу новый блок закона — об обучении ИИ на обезличенных персональных данных. Интернет-магазины, особенно крупные, будут обязаны:
● Обезличивать данные клиентов (например, для аналитики и сегментации)
● Передавать их в госсистему (правила в процессе уточнения)
● Поддерживать прозрачность обработки — кто, как и зачем использует данные
Это касается, например, истории заказов, поведения на сайте, соцдем-профилей — без ФИО и телефонов, но с чёткой привязкой к цифровому поведению.
Что делать уже сейчас?
Если у вас меньше 100 заказов в месяц:
– Зарегистрируйтесь как оператор, разместите политику, обезопасьте базу.
Если вы в сегменте DTC или работаете с постоянными клиентами:
– Убедитесь, что каждый подписчик дал согласие, используйте отечественные сервисы.
Если у вас интернет-магазин на Shopify, Tilda, RetailCRM, 1С-Битрикс:
– Проверьте, где хранятся данные, и подписывайте договоры с обработчиками.
Если используете сквозную аналитику, e-mail маркетинг, пиксели:
– Настройте сбор данных по новым правилам, добавьте согласия, исключите трансграничные риски.
Новый закон — это как касса
Законодательство меняется, и теперь даже маркетинг без формального согласия — риск. Если раньше можно было «не заморачиваться», то теперь персональные данные стали такой же критической зоной, как финансы или охрана труда.
Простой принцип: если у вас есть клиент — вы уже под прицелом. Но если работать легально и соблюдать правила, то проблем можно будет избежать.
Владислав Яриков,
руководитель коммерческой горизонтали Data и Marketing PIM Solutions.
Для NEW RETAIL
0
Читайте также
Последние новости
Самое популярное
-
9 технологий в клининге: при чем здесь блокчейн, VR и DeFi, и как они изменят ри...
-
Роман Аврамов, «Пятёрочка»: об эволюции СТМ в «Пятёрочке» – от бюджетных аналого...
-
Внедрение платформы «Аврора Центр» как пример успешного импортозамещения ушедших...
-
Доступный ЗОЖ-рацион: как в сети «Пятёрочка» развивают линейку «Вкус и Польза»
-
Инфраструктура доставки у интернет-магазинов косметики: какие параметры в топе у...
