Персональные данные в ритейле: как не попасть под новые штрафы в 2025 году

С 30 мая 2025 года вступили в силу поправки в КоАП РФ, которые резко усилили ответственность за нарушения при работе с персональными данными. По «общему» составу (ч. 1 ст. 13.11) штраф для организаций теперь — от 150 000 до 300 000 ₽ (повторно — до 500 000 ₽). Отдельно ввели спецсоставы и оборотные санкции за незаконную передачу больших массивов данных и биометрии — в тяжёлых случаях штрафы измеряются миллионами и достигают 1–3% выручки. Скидка 50% за быструю оплату теперь к статье 13.11 не применяется.

Отдельная ответственность — за «формальные» проколы. Нет уведомления в Роскомнадзор о начале обработки (когда оно требуется) — для юрлиц 100 000–300 000 ₽ (ч. 10 ст. 13.11). Не сообщили об утечке в срок — для юрлиц 1–3 млн ₽ (ч. 11 ст. 13.11). На уведомления и реестр операторов распространяются положения ст. 22 Закона № 152-ФЗ.

Проверки: как теперь «ловят» ошибки

Роскомнадзор перешёл к автоматизированному мониторингу сайтов и онлайн-сервисов: алгоритмы проверяют наличие политики, корректность форм согласия, cookie-баннеры и др. Это дополняет внеплановый надзор и даёт ведомству быстрый «триггер» на предписания и протоколы.

Что считается персональными данными в ритейле — на практике

Закон трактует ПД широко: любая информация о прямо или косвенно определяемом человеке. В рознице к ПД обычно относятся: контактные данные и адреса доставки, история заказов, платёжные токены, идентификаторы в CRM/приложении, поведенческие ID, геолокация, данные программ лояльности. Даже без ФИО, если по совокупности атрибутов можно выделить пользователя — это ПД.

Важно помнить про уведомление РКН до начала обработки (если вы не подпадаете под исключения), а также про порядок уведомления об утечке: первичное сообщение — в течение 24 часов, затем — отчёт о расследовании в течение 72 часов.

Где чаще всего «сыпется» комплаенс в e-com

— Формы сбора без валидного согласия: один чекбокс «на всё», расплывчатые цели, нет ссылки на актуальную политику.
— Отсутствие уведомления РКН о начале обработки, хотя компания давно собирает заявки/резюме/лиды.
— Не ведётся учёт согласий (нет фиксации даты, текста и версии политики, IP/клиентского ID).
— Трансграничная передача через зарубежные сервисы без должного оформления.
— «Косметические» политики приватности: текст не отражает реальные процессы, роли и состав обработчиков.

Что настроить в документах и процессах

Политика и согласия

Разведите цели: маркетинг ≠ доставка ≠ аналитика. На каждую цель — собственное основание/согласие. Покажите пользователю, кто оператор, какие категории ПД, зачем, кому и на какой срок передаются, как отозвать согласие и подать обращение.

Внутренние регламенты

Утвердите политику обработки ПД, назначьте ответственного, заведите журналы учёта обращений субъектов и инцидентов, пропишите процедуру реагирования на утечки (24/72 часа), порядок DPIA/оценки рисков для новых фич.

Автоматизация комплаенса

Подберите решения, которые: фиксируют согласия (дата/время, IP/ID, версия политики), логи доступа к данным, разграничение ролей, интеграции с CRM/формами, быстрые выгрузки по запросу субъекта, и хранят всё в защищённом контуре.

Технический минимум на сайте и в приложении

— Валидные чекбоксы по целям, отказ от «предустановленных» согласий.
— Видимый и лаконичный cookie-баннер с настройками.
— Данные форм — по принципу минимизации (ничего лишнего).
— Версионирование политики и публичный архив изменений.
— Трассировка согласий: связывайте событие согласия с заказом/профилем/устройством.
— Инвентаризация SDK/пикселей: для внешних сервисов фиксируйте основания и сценарии передачи.

Про «мелочи», которые теперь стоят дорого

— Неверный/скрытый текст политики или согласия.
— Единый чекбокс «и на маркетинг, и на доставку».
— «Технические» утечки (логи, дампы БД в открытых облаках).
— Хранение чувствительных токенов/ключей в открытом виде в мобильных приложениях.
— Работа через зарубежные SaaS без оформления трансграничной передачи и статусов обработчиков.

Короткий чек-лист на ближайший месяц

1. Проверьте, подано ли уведомление в РКН и актуальны ли сведения реестра (оператор, цели, перечень обработчиков).

2. Перепройдите формы: раздельные согласия, ссылки на актуальную политику, cookie-настройки.

3. Включите логи учёта согласий и доступов — чтобы было что показать проверке.

4. Обновите договоры с обработчиками/партнёрами: предмет, состав ПД, меры защиты, инциденты/24–72 часа.

5. Протестируйте сценарий утечки: кто и как уведомляет, как собираете факты, кто подписывает письма в РКН.

Кому пригодятся «цифры» под рукой

— Штраф за отсутствие уведомления в РКН о начале обработки (ч. 10 ст. 13.11): юрлица 100 000–300 000 ₽.
— Штраф за неуведомление РКН об утечке (ч. 11 ст. 13.11): юрлица 1–3 млн ₽.
— «Общий» состав (ч. 1 ст. 13.11): юрлица 150 000–300 000 ₽; повторно — до 500 000 ₽.
— За незаконную передачу больших массивов ПД и биометрии — вплоть до 10–15 млн ₽ и до 1–3% выручки (при повторности — оборотные). Скидки 50% за быструю оплату по ст. 13.11 нет.