Небольшой FAQ насчет защиты вашего кармана. НЕ претендует на исключительность и будет обновляться время от времени (админ, дай права постоянного редактирования на топик плз).

Обратите внимание. Ответственность за обработку персональных данных, далее ПД, увеличивается из года в год. Если раньше можно было обойтись смешными 300 рублями штрафа физику, то сейчас штрафы по нарушениям в сфере обработки и хранения ПД выходят на миллионный уровень, и применяется не только административный кодекс, но и уголовная ответственность. Вводятся повторные деяния, трансграничная передача, локализация обработки и тд и тп.

Есть и некоторые поблажки, к примеру, для ИП сейчас есть мораторий на проверки до какого то там лохматого года, но этот мораторий не распространяется на проверки на основе жалоб потребителей и жестокие нарушения, типа незаконного сбора ПД. Имейте это ввиду.

Для соответствия интернет магазина требованиям ФЗ-152 и РКН потребуется разместить несколько документов и совершить несколько действий. 

Настоятельно рекомендуется не копипастить тексты, т.к. они имеют авторов, в основном, юристов, а защита авторских у нас в стране поставлена на поток - минимальные суммы по судебным решениям от 0,5 млн. рублей и выше (хорошо если договоритесь по соглашению сторон на 100-150 тыс. р.).

Раз в пять лет нужно удалять ПД с составлением протокола. Удаление в течении 30 дней.

Срок пять лет - это срок хранения первички по договорам купли продажи.

В этом FAQ не рассматривается процедура внутренней организации хранения, обработки и удаления ПД в юрлицах и ИП с точки зрения делопроизводства, т.е. приказы, ответственные, протоколы, требования к месту хранения ПД и тд и тп.

Начало действий

1) Вы должны зарегистрироваться в РКН как оператор ПД. Для этого на их сайте заполняется уведомление и такое же уведомление отправляется Почтой РФ заказным письмом. РКН имеет право запросить у вас данные для входа на ваш сайт для проверки условий обработки и хранения ПД.  РКН имеет право отключить ваш сайт вообще - никакой хостинг не будет за вас заступаться.

2) Вам нужно отключить любые зарубежные сервисы, вроде Google аналитики, reCAPTCHA, регистрации через Google и т.п, так как это относится к трансграничной передаче персональных данных и нарушению требования локализации. В некоторые страны ПД запрещено передавать по умолчанию, а в некоторые можно передавать, но требуется уведомлять РКН и он может вам запретить это делать - смотрите сайт РКН. Можно передавать и в запрещенные страны, но только имея на руках разрешения от РКН. Срок рассмотрения запроса - 10 раб. дней. Размеры штрафов за нарушение данных требований см. на сайте РКН, они каждый год меняются. Нюанс в трансграничной передаче - не все данные считаются ПД, идите на сайт РКН и читайте их нормативные данные.

Для пользователей гуглокапчи есть отечественный сервис от Яндекс облака - Yandex SmartCaptcha, но там, к примеру, не быстрая регистрация, и только часть трафика бесплатная, в остальном там платные услуги. Сейчас Я.О. дает 4000 рублей грантом на счет, при условии привязки бизнес-карты. Для физиков ищите информацию самостоятельно в разделе тарифы. 

Кстати говоря, сама по себе кастомная капча не такой уж и сложный инструмент. И если капча действительно кастомная, т.е. не распространенная, неизвестная широкому кругу ботов и сервисов по подбору капчи индусами, то вы можете таким образом вполне себя защитить и потратиться только на разработку. 

3) В подвале сайта либо в любом другом доступном месте на первой странице должны быть размещены тексты юридических соглашений и реквизиты вашего юрлица или ИП. Это также касается мобильной версии сайта.

Индивидуальные предприниматели имеют регистрацию ИП по адресу проживания/пребывания. На апрель 2025 года ИП не обязано размещать на сайте адрес регистрации/пребывания, а только реквизиты типа Название ИП, ИНН и ОГРНИП.

По доставке товара вы должны указать способ доставки товара либо возможность самовывоза, либо то и другое вместе. 

4) Страницы регистрации и корзины НЕ должны иметь включенный чек-бокс со ссылкой на пользовательское соглашение, оферту, политику конфиденциальности.   Некоторые разработчики зачем то размещают уже включенный чек-бокс на соглашения - этого делать нельзя.

5) На сайте должен быть размещен баннер акцепта куки (согласие на обработку куки) с рабочей ссылкой на документ, в котором описано применение кукисов, к примеру, Политику конфиденциальности.

Примерный список и разделы необходимых документов на сайте.

Оферта интернет-магазина

По сути дела это документ, который описывает процесс купли-продажи (п2 статьи 437 ГК РФ). Без принятия этого документа покупатель не имеет права заключить (акцептировать) с продавцом договор купли-продажи. Оферта имеет примерно следующие разделы:

•  Общие положения, термины
•  Предмет договора
•  Акцепт и оформление заказа
•  Стоимость и оплата
•  Раздел по доставке
•  Возврат, обмен, гарантия
•  Срок действия, порядок урегулирования и ответственность
•  ПД и другая конфиденциальная информация
•  Реквизиты продавца

Политика конфиденциальности

Это документ, который описывает политику обработки ПД клиента в вашей организации в соответствии с ФЗ-152

•  Термины
•  Права покупателя
•  Сроки и способы обработки
•  Аналитика сайта и реклама
•  Подписка на рассылку
•  Обработка куки
•  Передача ПД третьим лицам
•  Раздел по несовершеннолетним пользователям - такие данные требуют отдельного разрешения РКН
•  Безопасность данных

Пользовательское соглашение

По сути дела публичная оферта, которая регулирует дистанционную продажу товаров с использованием вашего сайта

•  Предмет соглашения
•  Регистрация на сайте
•  Правила пользования сайтом
•  Права и обязанности сторон
•  Авторское право
•  Ответственность
•  Споры
•  Реквизиты продавца

Согласие на информационно-рекламную рассылку

Представляет из себя документ, который явно разрешает оператору ПД обработку персональных данных для новостных, рекламных, информационных и прочих сообщений, которые отправляются по емейлу с сайта интернет-магазина (за исключением служебных писем вроде подтверждения емейла и заказа).

Если не планируется массовая рассылка новостей - можно просто выпилить эту фичу из ЛК (для 3.0.3.8 есть плагин) или отключить ее в теме, если есть такая  возможность. 

Если планируется использование рассылок через сторонний сервис - потребуется внесение соответствующих изменений в документы по ПД.