Чек-лист РКН: подготовили интернет-магазин 47 РМ к проверке за 5 дней

Звонок в понедельник утром — генеральный директор интернет-магазина строительной электрики 47 РМ из Перово открыл почту и увидел уведомление: плановая проверка Роскомнадзора через 6 рабочих дней. Магазин обрабатывает данные 84 000 клиентов в год, рассылает SMS о статусе заказов, работает на CRM Bitrix24 и собственном e-commerce на 1С-Битрикс 24. Пять лет без cookie-баннера, без политики обработки ПД, без уведомления в реестр операторов. За пять дней мы привели всё в порядок, отрепетировали ответы инспектору, и проверка завершилась актом «соответствует с устранимыми замечаниями». Разбираем по шагам, что именно мы делали и почему именно так.

Зачем интернет-магазину готовиться к проверке РКН отдельно

РКН резко усилил давление на операторов персональных данных — и цифры это подтверждают. После реформы КоАП конца 2024 года штрафы выросли в 5–10 раз: за обработку ПД без согласия юрлицу грозит от 300 000 до 700 000 рублей за один эпизод, за утечку базы из 1000–10000 субъектов — до 5 млн рублей, при повторе — кратный рост суммы.

Что такое интернет-магазин с точки зрения 152-ФЗ? Типичный оператор персональных данных. ФИО, телефон, email, адрес доставки клиента — всё это ПД. Автоматизированная обработка через CRM и e-commerce требует уведомления в реестр операторов. Cookies на сайте тоже подпадают под закон. Три разных основания — и каждое проверяется отдельно.

Есть фраза, которую я говорю каждому клиенту перед разговором о проверке: это не вопрос «найдут ли что-то» — нулевых актов не бывает. Вопрос в том, будет ли штраф 50 тысяч или 5 миллионов. Разница — 5 дней работы технического подрядчика.

Категории риска и периодичность проверок

РКН с 2026 года работает по риск-ориентированному подходу. Пять категорий: высокий риск — проверка раз в 2 года, значительный — раз в 3 года, средний — раз в 4 года, умеренный — раз в 5 лет, низкий — без плановых проверок вообще. Интернет-магазин с базой от 50 тыс. клиентов автоматически попадает в «значительный риск».

Плановые — это полбеды. Внеплановые проверки прилетают по жалобам клиентов, по поручению прокуратуры, после публикаций в СМИ. Жалоба от покупателя, которому продолжают слать SMS-рекламу после отзыва согласия, — одна из самых частых причин внеплановой проверки в нашей практике.

Этап 1. Аудит текущего состояния — что есть и чего нет

Понедельник, 9:30, офис заказчика на Перовской. За 4 часа мы провели полную инвентаризацию по трём блокам: документы организации, состояние сайта, техническая защита данных.

Блок 1: документы организации

• Уведомление в реестре операторов ПД — отсутствует. Пятилетняя работа без регистрации.
• Приказ о назначении ответственного за организацию обработки ПД — отсутствует.
• Положение об обработке персональных данных — отсутствует.
• Реестр обрабатываемых категорий ПД и информационных систем — отсутствует.
• Инструкции для сотрудников по работе с ПД — отсутствует.
• Уведомления о трансграничной передаче (если есть) — не применимо, передачи нет.

Блок 2: сайт

• Политика обработки персональных данных — отсутствует.
• Cookie-баннер с возможностью отказа — отсутствует.
• Согласие на обработку ПД при оформлении заказа — формальная галочка «согласен с условиями» есть, но она предзаполнена. По 152-ФЗ это не считается согласием.
• Согласие на рекламную рассылку — слито с согласием на оформление заказа. Нарушение: по закону они должны быть раздельными.
• Контакты ответственного за ПД на сайте — отсутствуют.
• Форма для запроса/отзыва согласия — отсутствует.

Блок 3: технические меры

• HTTPS — есть, сертификат Let's Encrypt.
• Хранение БД на сервере в России (FoxData в Москве) — соответствует.
• Шифрование БД at-rest — отсутствует, чистый MySQL.
• Журналирование доступа к ПД — частично, есть только лог веб-сервера.
• Разграничение прав доступа в админке — одна общая учётка «admin» на всех 8 менеджеров.
• Регулярные бэкапы — есть, ежедневно на отдельный сервер.
• Антивирус на рабочих станциях — есть Kaspersky Endpoint Security.

Типичная картина для МСБ без опыта проверок. Почти ничего нет — не потому что нарушают намеренно, а просто не знали, что это нужно. К пятнице нам предстояло закрыть 13 пунктов из 14.

Этап 2. Регистрация в реестре операторов ПД

С этого мы начали. Уведомление подаётся через личный кабинет на портале pd.rkn.gov.ru — нужна электронная подпись юрлица. У клиента ЭП была от ФНС, она же подходит для портала РКН.

Что описывается в уведомлении:

• Цели обработки ПД (выполнение заказа, доставка, рассылка уведомлений, маркетинг с согласия);
• Категории субъектов ПД (клиенты, контрагенты, сотрудники);
• Категории обрабатываемых ПД (ФИО, телефон, email, адрес, история заказов);
• Перечень действий с ПД (сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление);
• Способы обработки (автоматизированный — через CRM Bitrix24, неавтоматизированный — частично в Excel-выгрузках);
• Срок хранения (до отзыва согласия или 5 лет с момента последнего заказа);
• Сведения о трансграничной передаче (нет);
• Сведения об обеспечении безопасности (организационные и технические меры по приказу ФСТЭК №21).

На каждую ИС, которая обрабатывает ПД, заводится отдельная карточка. У клиента их две: «Сайт интернет-магазина» (1С-Битрикс 24) и «CRM» (Bitrix24 облако). Уведомление подал во вторник в 11:00 — в среду в 14:30 пришло подтверждение о включении в реестр.

Этап 3. Подготовка пакета документов

В среду совместно с юристом заказчика готовили документацию. По 152-ФЗ оператор должен иметь:

3.1. Приказ о назначении ответственного за ПД

ПРИКАЗ № 042 от «____» _________ 2026 г.
О назначении ответственного за организацию обработки персональных данных

В соответствии с пунктом 1 статьи 22.1 Федерального закона
от 27.07.2006 № 152-ФЗ «О персональных данных»

ПРИКАЗЫВАЮ:
1. Назначить ответственным за организацию обработки персональных данных
   Иванова И.И., руководителя отдела IT.
2. На ответственного возложить обязанности:
   - осуществлять внутренний контроль за соблюдением законодательства о ПД;
   - доводить до работников положения законодательства о ПД и локальных актов;
   - организовать приём и обработку обращений субъектов ПД.
3. Контроль исполнения настоящего приказа оставляю за собой.

Генеральный директор          ___________ /Петров П.П./

3.2. Политика обработки персональных данных

Это публичный документ, который живёт на сайте. Не путать с «положением об обработке ПД» — это разные вещи: положение остаётся внутри компании. Структура политики:

1. Общие положения (определения, нормативная база);
2. Цели обработки ПД;
3. Категории субъектов и обрабатываемых ПД;
4. Перечень действий и способы обработки;
5. Сроки хранения;
6. Условия передачи третьим лицам (службы доставки, платёжные системы, SMS-агрегаторы);
7. Права субъектов ПД (на доступ, изменение, удаление, отзыв согласия);
8. Меры по защите ПД;
9. Контакты оператора и ответственного за ПД.

Политику разместили по URL https://example-shop.ru/personal-data-policy/ и поставили ссылку в подвал каждой страницы сайта. Требование РКН чёткое: политика должна быть доступна с любой страницы, без исключений.

3.3. Положение об обработке ПД (внутреннее)

Внутренний регламент — для сотрудников, не для публики. Кто имеет доступ к данным, как хранятся документы, что делать при утечке, как отвечать на запросы клиентов и вопросы инспектора. 14 страниц, утверждено приказом генерального.

3.4. Реестр обрабатываемых ПД

# Шапка таблицы реестра
| ИС | Категория ПД | Цель | Срок хранения | Правовое основание |
|------|--------------|------|---------------|--------------------|
| Сайт | ФИО, тел, email, адрес | Выполнение заказа | 3 года после заказа | договор оферты |
| Сайт | Cookie | Аналитика | 12 месяцев | согласие через cookie-баннер |
| CRM | История заказов, контакты | Маркетинг | до отзыва согласия | согласие при заказе |
| 1С  | ФИО, паспорт, ИНН | Бухучёт сотрудников | 75 лет | ТК + НК |
| Email-рассылка | Email, имя | Маркетинг | до отзыва | отдельное согласие |

Этап 4. Технические доработки сайта

Четверг — технические правки совместно с разработчиком клиента из субподрядной студии.

4.1. Cookie-баннер

Что должен уметь cookie-баннер по требованиям РКН:

• Появляться при первом входе на сайт;
• Иметь две равноправные кнопки — «Принять» и «Отклонить» (нельзя делать «Отклонить» в виде серого мелкого текста);
• Иметь ссылку на политику об обработке cookie;
• Сохранять выбор пользователя на 12 месяцев;
• Не отправлять никаких аналитических cookies до получения согласия.

// cookie-banner.js — простая реализация на vanilla JS
(function() {
    if (localStorage.getItem('cookie_consent') !== null) {
        applyCookieChoice(localStorage.getItem('cookie_consent'));
        return;
    }

    var banner = document.createElement('div');
    banner.id = 'cookie-banner';
    banner.innerHTML = `
      

        Мы используем cookies для аналитики и улучшения сайта.
        Подробнее в политике обработки персональных данных.
      
      

        Принять
        Отклонить
      
`;
    document.body.appendChild(banner);

    document.querySelector('.cb-accept').addEventListener('click', function() {
        localStorage.setItem('cookie_consent', 'accepted');
        localStorage.setItem('cookie_consent_date', new Date().toISOString());
        banner.remove();
        loadAnalytics();  // Только после согласия
    });

    document.querySelector('.cb-decline').addEventListener('click', function() {
        localStorage.setItem('cookie_consent', 'declined');
        localStorage.setItem('cookie_consent_date', new Date().toISOString());
        banner.remove();
        // Никакой аналитики не загружаем
    });

    function loadAnalytics() {
        // Загружаем Яндекс Метрику только после согласия
        var s = document.createElement('script');
        s.src = 'https://mc.yandex.ru/metrika/tag.js';
        s.async = true;
        document.head.appendChild(s);
    }
})();

Готовые SaaS вроде Cookiebot или OneTrust мы намеренно не использовали. Причина простая: они стоят 5–15 тыс. рублей в месяц и гонят данные российских пользователей в зарубежные облака, что само по себе создаёт проблему с локализацией. Собственная реализация — 50 строк кода, никаких зависимостей, полный контроль.

4.2. Согласие на обработку ПД при оформлении заказа

На странице оформления заказа добавили чекбокс не предзаполненный:

  
  
    Я даю согласие ООО «Магазин» (ИНН 7700123456, адрес: г.Москва, ул.Перовская)
    на обработку моих персональных данных (ФИО, телефон, email, адрес доставки)
    с целью оформления и исполнения заказа в соответствии с
    политикой обработки персональных данных.
    Срок действия согласия — до его отзыва. Отзыв — через
    форму на сайте или по email pd@example-shop.ru.
  



  
  
    Я даю согласие на получение рекламной информации (SMS, email)
    о новых товарах и акциях. Согласие можно отозвать в любой момент.
  

Два отдельных согласия — это не перестраховка, а требование закона. Объединить «согласен с обработкой ПД и хочу получать рекламу» в одну галочку — прямое нарушение 152-ФЗ. Клиент вправе оформить заказ без рекламной галочки.

4.3. Логирование согласий

Каждое согласие пишется в БД с полным набором: дата-время, IP-адрес, user-agent, версия политики на момент согласия, хэш текста согласия. Зачем всё это? Потому что инспектор спросит — а вы сможете показать, что клиент сам нажал галочку, а не вы поставили её за него.

CREATE TABLE pd_consent_log (
    id BIGINT PRIMARY KEY AUTO_INCREMENT,
    user_id INT NULL,
    email VARCHAR(255) NULL,
    consent_type ENUM('pd_processing', 'marketing', 'cookie') NOT NULL,
    consent_state ENUM('granted', 'revoked') NOT NULL,
    granted_at DATETIME NOT NULL,
    ip_address VARCHAR(45) NOT NULL,
    user_agent TEXT NOT NULL,
    policy_version VARCHAR(50) NOT NULL,
    consent_text_hash CHAR(64) NOT NULL,
    INDEX idx_user (user_id),
    INDEX idx_email (email),
    INDEX idx_granted_at (granted_at)
) ENGINE=InnoDB CHARACTER SET utf8mb4;

4.4. Форма отзыва согласия

На странице /personal-data-revoke/ сделали простую форму: email, причина отзыва, капча. После отправки клиент получает подтверждение на почту, оператор обрабатывает запрос за 10 рабочих дней — закон даёт 30, но мы взяли запас. По итогу обработки ПД клиента блокируются для маркетинга, при этом для бухгалтерских целей данные хранятся ещё 75 лет.

Этап 5. Технические меры по приказу ФСТЭК №21

Помимо документов и сайта, инспектор смотрит на технические меры защиты. Они описаны в приказе ФСТЭК №21 — нужно не просто иметь, а уметь показать:

5.1. Шифрование БД

Подняли MySQL 8.0 с InnoDB Cluster encryption. Ключи хранятся в keyring-файле на отдельном диске — доступ только у root и сервиса MySQL.

-- В my.cnf
[mysqld]
early-plugin-load=keyring_file.so
keyring_file_data=/var/lib/mysql-keyring/keyring
innodb_redo_log_encrypt=ON
innodb_undo_log_encrypt=ON
binlog_encryption=ON
default_table_encryption=ON

-- Зашифровать существующие таблицы
ALTER TABLE shop.users ENCRYPTION='Y';
ALTER TABLE shop.orders ENCRYPTION='Y';
ALTER TABLE shop.pd_consent_log ENCRYPTION='Y';

5.2. Разграничение прав в админке

До нас все 8 менеджеров заходили под одной учёткой admin/admin123. Что сделали:

• Индивидуальные учётки на каждого менеджера;
• Роли: «менеджер заказа» (видит только свои заказы), «руководитель отдела» (видит весь отдел), «администратор» (только IT-инженер ITfresh);
• Двухфакторную аутентификацию для входа в админку через TOTP (Google Authenticator);
• Журналирование всех действий с ПД клиентов: кто открыл, что изменил, когда выгрузил.

5.3. Аудит-логи

Включили детальное логирование на уровне приложения и веб-сервера. Просмотр карточки клиента, изменение, удаление, экспорт — каждое действие с ПД фиксируется с user_id, IP, timestamp.

# Nginx access log с IP и user-id
log_format pd_access '$remote_addr - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent '
                    '"$http_referer" "$http_user_agent" '
                    'uid=$cookie_BITRIX_SM_USER_ID';

access_log /var/log/nginx/pd_access.log pd_access;

# Хранение логов 3 года (требование 152-ФЗ)
# logrotate config
/var/log/nginx/pd_access.log {
    daily
    rotate 1095
    compress
    delaycompress
    missingok
    notifempty
}

5.4. Регулярные тесты на проникновение

Раз в год проводим внешний пентест сайта — по итогам составляется отчёт с уязвимостями и сроками их устранения. Этот документ инспектор РКН обычно запрашивает в первый же час проверки.

Этап 6. Репетиция ответов инспектору

Пятница утром. Двухчасовая репетиция с генеральным и юристом. Инспектор РКН задаёт примерно один и тот же набор вопросов — мы его знаем наизусть:

1. «Покажите уведомление в реестр операторов ПД» — открываем выписку из реестра РКН.
2. «Кто у вас ответственный за обработку ПД?» — называем ФИО и должность, показываем приказ.
3. «Покажите политику обработки ПД на сайте» — открываем URL в браузере.
4. «Где у вас хранятся персональные данные?» — называем сервер хостинга в Москве, показываем договор с указанием расположения дата-центра.
5. «Как пользователь даёт согласие на обработку?» — оформляем тестовый заказ, показываем чекбоксы.
6. «Какие меры по защите ПД?» — рассказываем про шифрование, разграничение прав, журналирование.
7. «Как вы реагируете на запрос пользователя об удалении его данных?» — показываем форму отзыва и журнал обработанных запросов.
8. «Когда был последний инцидент по утечке ПД?» — отвечаем «не было», если не было; если был — показываем уведомление в РКН в течение 24 часов.
9. «Кто из ваших сотрудников имеет доступ к ПД?» — показываем матрицу доступа из положения об обработке ПД.

На самой проверке я присутствовал как IT-консультант — это разрешено по согласованию с инспектором. Четыре часа, и акт готов: «соответствует с замечаниями». Три мелких пункта — детализировать описание мер по приказу ФСТЭК №21, добавить отдельное согласие для cookie третьих лиц, уточнить формулировку в одном пункте политики. Срок устранения — 30 дней. Штрафов нет, предписаний нет.

Контр-нарратив. Что я считаю плохой идеей

«Скачайте шаблон политики из интернета». Шаблоны в сети — либо устаревшие, либо настолько общие, что теряют смысл. Политика должна точно описывать вашу структуру обработки ПД: какие именно данные, какие именно цели, какие именно ИС, какие именно третьи лица. Шаблон не пройдёт глубокую проверку.

«Поставьте Cookiebot — там автоматический cookie-баннер». Cookiebot — европейский сервис, серверы в ЕС. Это трансграничная передача согласий российских граждан в недружественную юрисдикцию по 152-ФЗ. Своя реализация на 50 строк кода лучше любого внешнего SaaS.

«Спрячьте политику глубоко в подвал». Политика должна быть доступна с любой страницы, шрифтом не меньше основного контента. Инспектор РКН проверяет это в первую очередь — скрытая политика уже само по себе нарушение.

Стоимость подготовки

• Аудит текущего состояния (4 часа инженера, 2 часа юриста) — 18 000 рублей.
• Подготовка пакета документов (политика, положение, приказ, реестр) — 45 000 рублей.
• Регистрация в реестре операторов ПД — 8 000 рублей (наша работа, госпошлина 0).
• Технические доработки сайта (cookie-баннер, согласия, форма отзыва, БД-шифрование) — 75 000 рублей.
• Усиление технической защиты (разграничение прав в админке, 2FA, аудит-логи) — 38 000 рублей.
• Репетиция и сопровождение проверки — 15 000 рублей.
• Итого: 199 000 рублей за 5 рабочих дней.
• Абонемент ITfresh на ежегодное обновление документов и поддержку — 12 000 рублей в месяц.

Цифра для сравнения: минимальный штраф за работу без уведомления в реестре операторов ПД — 30 000 рублей для юрлица, за обработку без согласия — 300 000 рублей. Стоимость подготовки окупается даже одним избежанным мелким штрафом.

FAQ: что чаще всего спрашивают клиенты

Какие штрафы за несоответствие 152-ФЗ в 2026 году?

Реформа КоАП конца 2024 года подняла планку в разы. За обработку ПД без согласия юрлицо получает от 300 000 до 700 000 рублей уже за первое нарушение. Утечка базы из 1000–10000 субъектов — до 5 млн рублей, более 100 000 субъектов — до 15 млн. Повторные нарушения — кратный рост суммы. Интернет-магазин с базой 50–100 тысяч клиентов рискует: одна утечка — и это 10+ млн рублей плюс репутационный удар, после которого клиенты уходят.

Как часто РКН проверяет интернет-магазины?

Плановые — по реестру РКН, обычно раз в 3–5 лет в зависимости от категории риска. Внеплановые — по жалобам, по поручению прокуратуры, после публикаций в СМИ. По нашим наблюдениям, в 2025–2026 годах активность РКН по интернет-магазинам выросла в 2–3 раза. Особый фокус — компании с SMS-рассылками, с данными несовершеннолетних, с большими объёмами заказов через маркетплейсы.

Что должно быть на сайте интернет-магазина по 152-ФЗ?

Минимум 7 элементов: 1) согласие на обработку ПД при оформлении заказа — отдельная галочка, не предзаполненная; 2) политика обработки ПД доступна с любой страницы по ссылке; 3) cookie-баннер с возможностью отказа; 4) информация об операторе ПД с ИНН и адресом; 5) контакт ответственного за ПД; 6) форма для запроса или отзыва согласия; 7) согласие на рекламную рассылку — отдельно от согласия на обработку ПД для заказа. Каждый элемент должен соответствовать требованиям закона: согласие должно быть «свободным, конкретным, информированным и сознательным».

Нужно ли регистрироваться в реестре операторов ПД?

Да, обязательно. Любой интернет-магазин обрабатывает персональные данные клиентов и должен подать уведомление в РКН до начала обработки — не после, не через год, а до. Уведомление подаётся через личный кабинет на rkn.gov.ru или portal.eaiis.eaeunion.ru. Регистрация бесплатная, занимает 1–2 рабочих дня. Освобождены только узкие категории операторов — интернет-магазина среди исключений нет. Штраф за работу без уведомления — от 30 000 до 50 000 рублей для юрлица.

Что нужно успеть за 5 дней до проверки РКН?

5 рабочих дней — реальный срок для компании малого и среднего размера. День первый: переписать политику обработки ПД под текущую структуру данных и каналы. День второй: добавить cookie-баннер и согласия на сайт. День третий: оформить реестр обработки ПД и инструкции для сотрудников. День четвёртый: подготовить технические доказательства — логи доступа, шифрование БД, разграничение прав. День пятый: отрепетировать ответы на вопросы инспектора. Результат — оценка «соответствует с замечаниями», а замечания устраняются в течение месяца.

Итог

Интернет-магазин строительной электрики 47 РМ прошёл путь от «вообще ничего нет» до «соответствует с устранимыми замечаниями» за 5 рабочих дней. Проверка РКН — без штрафов и предписаний. Вложенные 199 000 рублей окупились в тот момент, когда инспектор подписал акт вместо штрафа на 300 000 рублей за отсутствующее уведомление. Главный вывод прост: 152-ФЗ можно привести в порядок быстро — если рядом IT-подрядчик, который умеет работать в жёсткий дедлайн.