Чек-лист РКН: подготовили интернет-магазин 47 РМ к проверке за 5 дней

К нам в ITfresh обратился клиент — интернет-магазин строительной электрики 47 РМ из района Перово. В понедельник утром в почте у генерального лежало уведомление о плановой проверке Роскомнадзора через 6 рабочих дней. Магазин обрабатывает данные 84 000 клиентов в год, рассылает SMS-уведомления о статусе заказа, использует CRM Bitrix24 и собственный e-commerce на 1С-Битрикс 24. До нас сайт жил 5 лет без cookie-баннера, без политики обработки ПД, без уведомления в реестр операторов ПД. За 5 дней мы привели всю инфраструктуру в порядок, отрепетировали с генеральным ответы инспектору, и проверка прошла с актом «соответствует с устранимыми замечаниями». Этот материал — пошаговый разбор того, что мы делали.

Зачем интернет-магазину готовиться к проверке РКН отдельно

За последние два года РКН резко усилил контроль за обработчиками персональных данных. После реформы КоАП конца 2024 года штрафы выросли в 5-10 раз. Сейчас за обработку ПД без согласия юрлицу грозит от 300 000 до 700 000 рублей за один эпизод, за утечку базы из 1000-10000 субъектов — до 5 млн рублей, при повторе — кратное увеличение.

Интернет-магазин — это типичный оператор персональных данных. У вас есть ФИО, телефон, email, адрес доставки клиента — это персональные данные по 152-ФЗ. У вас есть автоматизированная обработка через CRM и e-commerce — это требует уведомления в реестр операторов ПД. У вас есть cookies на сайте — это тоже подпадает под закон.

Главная фраза, которую я говорю клиенту: проверка РКН — это не «найдут ли что-то», а «насколько большой будет штраф». Нулевых актов не бывает, но разница между актом на 50 тысяч и актом на 5 миллионов — это 5 дней работы технического подрядчика.

Категории риска и периодичность проверок

В 2026 году РКН использует риск-ориентированный подход. Категории риска: высокий (проверка раз в 2 года), значительный (раз в 3 года), средний (раз в 4 года), умеренный (раз в 5 лет), низкий (без плановых проверок). Интернет-магазин с базой 50+ тыс. клиентов попадает в категорию «значительный риск» — то есть проверка раз в 3 года.

Кроме плановых, есть внеплановые — по жалобам клиентов, по поручению прокуратуры, по СМИ. Жалоба клиента, которому продолжают слать SMS-рекламу после отзыва согласия, — частая причина внеплановой проверки.

Этап 1. Аудит текущего состояния — что есть и чего нет

Понедельник, 9:30. Я приехал в офис заказчика на Перовской и за 4 часа провёл инвентаризацию. По 152-ФЗ нужно проверить три блока: наличие документов, состояние сайта и техническая защита данных.

Блок 1: документы организации

• Уведомление в реестре операторов ПД — отсутствует. Пятилетняя работа без регистрации.
• Приказ о назначении ответственного за организацию обработки ПД — отсутствует.
• Положение об обработке персональных данных — отсутствует.
• Реестр обрабатываемых категорий ПД и информационных систем — отсутствует.
• Инструкции для сотрудников по работе с ПД — отсутствует.
• Уведомления о трансграничной передаче (если есть) — не применимо, передачи нет.

Блок 2: сайт

• Политика обработки персональных данных — отсутствует.
• Cookie-баннер с возможностью отказа — отсутствует.
• Согласие на обработку ПД при оформлении заказа — есть формальная галочка «согласен с условиями», но она предзаполненная. Это не считается согласием по 152-ФЗ.
• Согласие на рекламную рассылку — слито с согласием на оформление заказа. Нарушение — должно быть отдельно.
• Контакты ответственного за ПД на сайте — отсутствуют.
• Форма для запроса/отзыва согласия — отсутствует.

Блок 3: технические меры

• HTTPS — есть, сертификат Let's Encrypt.
• Хранение БД на сервере в России (FoxData в Москве) — соответствует.
• Шифрование БД at-rest — отсутствует, чистый MySQL.
• Журналирование доступа к ПД — частично, есть только лог веб-сервера.
• Разграничение прав доступа в админке — общая учётка «admin» у всех 8 менеджеров.
• Регулярные бэкапы — есть, ежедневно на отдельный сервер.
• Антивирус на рабочих станциях — есть Kaspersky Endpoint Security.

Картина — стандартная для МСБ, который никогда не сталкивался с проверками. Большинство пунктов отсутствует, не потому что нарушают сознательно, а потому что не знали. К пятнице мы должны закрыть 13 пунктов из 14.

Этап 2. Регистрация в реестре операторов ПД

Это первое, с чего я начал. Уведомление подаётся через личный кабинет на портале pd.rkn.gov.ru. Для подачи нужна электронная подпись юрлица. У клиента ЭП была от ФНС, она же подходит для портала РКН.

В уведомлении нужно описать:

• Цели обработки ПД (выполнение заказа, доставка, рассылка уведомлений, маркетинг с согласия);
• Категории субъектов ПД (клиенты, контрагенты, сотрудники);
• Категории обрабатываемых ПД (ФИО, телефон, email, адрес, история заказов);
• Перечень действий с ПД (сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление);
• Способы обработки (автоматизированный — через CRM Bitrix24, неавтоматизированный — частично в Excel-выгрузках);
• Срок хранения (до отзыва согласия или 5 лет с момента последнего заказа);
• Сведения о трансграничной передаче (нет);
• Сведения об обеспечении безопасности (организационные и технические меры по приказу ФСТЭК №21).

Для каждой ИС (информационной системы), обрабатывающей ПД — отдельная карточка. У клиента две ИС: «Сайт интернет-магазина» (на 1С-Битрикс 24) и «CRM» (Bitrix24 облако). Подал уведомление во вторник в 11:00, в среду в 14:30 пришло подтверждение о включении в реестр.

Этап 3. Подготовка пакета документов

В среду я с юристом заказчика готовил документы. По 152-ФЗ оператор должен иметь:

3.1. Приказ о назначении ответственного за ПД

ПРИКАЗ № 042 от «____» _________ 2026 г.
О назначении ответственного за организацию обработки персональных данных

В соответствии с пунктом 1 статьи 22.1 Федерального закона
от 27.07.2006 № 152-ФЗ «О персональных данных»

ПРИКАЗЫВАЮ:
1. Назначить ответственным за организацию обработки персональных данных
   Иванова И.И., руководителя отдела IT.
2. На ответственного возложить обязанности:
   - осуществлять внутренний контроль за соблюдением законодательства о ПД;
   - доводить до работников положения законодательства о ПД и локальных актов;
   - организовать приём и обработку обращений субъектов ПД.
3. Контроль исполнения настоящего приказа оставляю за собой.

Генеральный директор          ___________ /Петров П.П./

3.2. Политика обработки персональных данных

Это публичный документ, размещённый на сайте. Не путать с «положением об обработке ПД» — внутренним документом компании. Структура политики:

1. Общие положения (определения, нормативная база);
2. Цели обработки ПД;
3. Категории субъектов и обрабатываемых ПД;
4. Перечень действий и способы обработки;
5. Сроки хранения;
6. Условия передачи третьим лицам (службы доставки, платёжные системы, SMS-агрегаторы);
7. Права субъектов ПД (на доступ, изменение, удаление, отзыв согласия);
8. Меры по защите ПД;
9. Контакты оператора и ответственного за ПД.

Политику разместил по URL https://example-shop.ru/personal-data-policy/ и поставил ссылку в подвал каждой страницы сайта. Это требование РКН — политика должна быть доступна с любой страницы.

3.3. Положение об обработке ПД (внутреннее)

Документ для внутреннего использования. Регламентирует, как именно сотрудники работают с персональными данными: кто имеет доступ, как хранятся документы, что делать при инциденте утечки, как реагировать на запросы клиентов и инспекторов РКН. 14 страниц, утверждено приказом генерального.

3.4. Реестр обрабатываемых ПД

# Шапка таблицы реестра
| ИС | Категория ПД | Цель | Срок хранения | Правовое основание |
|------|--------------|------|---------------|--------------------|
| Сайт | ФИО, тел, email, адрес | Выполнение заказа | 3 года после заказа | договор оферты |
| Сайт | Cookie | Аналитика | 12 месяцев | согласие через cookie-баннер |
| CRM | История заказов, контакты | Маркетинг | до отзыва согласия | согласие при заказе |
| 1С  | ФИО, паспорт, ИНН | Бухучёт сотрудников | 75 лет | ТК + НК |
| Email-рассылка | Email, имя | Маркетинг | до отзыва | отдельное согласие |

Этап 4. Технические доработки сайта

В четверг я с разработчиком клиента (на стороне субподрядной студии) делал технические правки.

4.1. Cookie-баннер

Cookie-баннер должен:

• Появляться при первом входе на сайт;
• Иметь две равноправные кнопки — «Принять» и «Отклонить» (нельзя делать «Отклонить» в виде серого мелкого текста);
• Иметь ссылку на политику об обработке cookie;
• Сохранять выбор пользователя на 12 месяцев;
• Не отправлять никаких аналитических cookies до получения согласия.

// cookie-banner.js — простая реализация на vanilla JS
(function() {
    if (localStorage.getItem('cookie_consent') !== null) {
        applyCookieChoice(localStorage.getItem('cookie_consent'));
        return;
    }

    var banner = document.createElement('div');
    banner.id = 'cookie-banner';
    banner.innerHTML = `
      

        Мы используем cookies для аналитики и улучшения сайта.
        Подробнее в политике обработки персональных данных.
      
      

        Принять
        Отклонить
      
`;
    document.body.appendChild(banner);

    document.querySelector('.cb-accept').addEventListener('click', function() {
        localStorage.setItem('cookie_consent', 'accepted');
        localStorage.setItem('cookie_consent_date', new Date().toISOString());
        banner.remove();
        loadAnalytics();  // Только после согласия
    });

    document.querySelector('.cb-decline').addEventListener('click', function() {
        localStorage.setItem('cookie_consent', 'declined');
        localStorage.setItem('cookie_consent_date', new Date().toISOString());
        banner.remove();
        // Никакой аналитики не загружаем
    });

    function loadAnalytics() {
        // Загружаем Яндекс Метрику только после согласия
        var s = document.createElement('script');
        s.src = 'https://mc.yandex.ru/metrika/tag.js';
        s.async = true;
        document.head.appendChild(s);
    }
})();

Я специально не стал использовать готовые SaaS типа Cookiebot или OneTrust — они стоят 5-15 тыс. рублей в месяц и шлют данные клиентов в зарубежные облака, что само по себе создаёт вопросы по локализации. Своя реализация — 50 строк кода и полный контроль.

4.2. Согласие на обработку ПД при оформлении заказа

На странице оформления заказа добавили чекбокс не предзаполненный:

  
  
    Я даю согласие ООО «Магазин» (ИНН 7700123456, адрес: г.Москва, ул.Перовская)
    на обработку моих персональных данных (ФИО, телефон, email, адрес доставки)
    с целью оформления и исполнения заказа в соответствии с
    политикой обработки персональных данных.
    Срок действия согласия — до его отзыва. Отзыв — через
    форму на сайте или по email pd@example-shop.ru.
  



  
  
    Я даю согласие на получение рекламной информации (SMS, email)
    о новых товарах и акциях. Согласие можно отозвать в любой момент.
  

Два отдельных согласия — критично. Если объединить «согласен с обработкой ПД и хочу получать рекламу» в одну галочку, это нарушение по 152-ФЗ. Заказ можно оформить без рекламной галочки — это право клиента.

4.3. Логирование согласий

Каждое согласие сохраняется в БД с детальной информацией: дата-время, IP-адрес, user-agent, версия политики на момент согласия, конкретный текст согласия. Это нужно, чтобы потом доказать инспектору, что клиент действительно согласился, а не вы поставили галочку за него.

CREATE TABLE pd_consent_log (
    id BIGINT PRIMARY KEY AUTO_INCREMENT,
    user_id INT NULL,
    email VARCHAR(255) NULL,
    consent_type ENUM('pd_processing', 'marketing', 'cookie') NOT NULL,
    consent_state ENUM('granted', 'revoked') NOT NULL,
    granted_at DATETIME NOT NULL,
    ip_address VARCHAR(45) NOT NULL,
    user_agent TEXT NOT NULL,
    policy_version VARCHAR(50) NOT NULL,
    consent_text_hash CHAR(64) NOT NULL,
    INDEX idx_user (user_id),
    INDEX idx_email (email),
    INDEX idx_granted_at (granted_at)
) ENGINE=InnoDB CHARACTER SET utf8mb4;

4.4. Форма отзыва согласия

На странице /personal-data-revoke/ создали простую форму: email + причина отзыва + капча. После отправки клиент получает на email подтверждение, оператор обрабатывает запрос за 10 рабочих дней (срок по 152-ФЗ — 30 дней, но мы поставили 10 для запаса). После обработки — ПД клиента блокируются для маркетинга, остаются только для целей бухгалтерского учёта (75 лет хранения).

Этап 5. Технические меры по приказу ФСТЭК №21

Помимо документов и сайта, инспектор смотрит на технические меры защиты ПД. Они описаны в приказе ФСТЭК №21, нужно показать, что:

5.1. Шифрование БД

Подняли MySQL 8.0 с InnoDB Cluster encryption. Ключи шифрования хранятся в keyring файле на отдельном диске, доступ к которому только у root и сервиса MySQL.

-- В my.cnf
[mysqld]
early-plugin-load=keyring_file.so
keyring_file_data=/var/lib/mysql-keyring/keyring
innodb_redo_log_encrypt=ON
innodb_undo_log_encrypt=ON
binlog_encryption=ON
default_table_encryption=ON

-- Зашифровать существующие таблицы
ALTER TABLE shop.users ENCRYPTION='Y';
ALTER TABLE shop.orders ENCRYPTION='Y';
ALTER TABLE shop.pd_consent_log ENCRYPTION='Y';

5.2. Разграничение прав в админке

До нас все 8 менеджеров заходили под учёткой admin/admin123. Сделали:

• Индивидуальные учётки на каждого менеджера;
• Роли: «менеджер заказа» (видит только свои заказы), «руководитель отдела» (видит весь отдел), «администратор» (только IT-инженер ITfresh);
• Двухфакторную аутентификацию для входа в админку через TOTP (Google Authenticator);
• Журналирование всех действий с ПД клиентов: кто открыл, что изменил, когда выгрузил.

5.3. Аудит-логи

Включили детальное логирование на уровне приложения и веб-сервера. Все действия с записями ПД (просмотр карточки клиента, изменение, удаление, экспорт) фиксируются с user_id, IP, timestamp.

# Nginx access log с IP и user-id
log_format pd_access '$remote_addr - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent '
                    '"$http_referer" "$http_user_agent" '
                    'uid=$cookie_BITRIX_SM_USER_ID';

access_log /var/log/nginx/pd_access.log pd_access;

# Хранение логов 3 года (требование 152-ФЗ)
# logrotate config
/var/log/nginx/pd_access.log {
    daily
    rotate 1095
    compress
    delaycompress
    missingok
    notifempty
}

5.4. Регулярные тесты на проникновение

Раз в год проводим внешний пентест сайта. По итогам составляется отчёт с найденными уязвимостями и сроками устранения. Это документ, который инспектор РКН обычно спрашивает в первый час проверки.

Этап 6. Репетиция ответов инспектору

В пятницу утром мы с генеральным и юристом провели двухчасовую репетицию. По нашему опыту, инспектор РКН задаёт примерно одинаковый набор вопросов:

1. «Покажите уведомление в реестр операторов ПД» — открываем выписку из реестра РКН.
2. «Кто у вас ответственный за обработку ПД?» — называем ФИО и должность, показываем приказ.
3. «Покажите политику обработки ПД на сайте» — открываем URL в браузере.
4. «Где у вас хранятся персональные данные?» — называем сервер хостинга в Москве, показываем договор с указанием расположения дата-центра.
5. «Как пользователь даёт согласие на обработку?» — оформляем тестовый заказ, показываем чекбоксы.
6. «Какие меры по защите ПД?» — рассказываем про шифрование, разграничение прав, журналирование.
7. «Как вы реагируете на запрос пользователя об удалении его данных?» — показываем форму отзыва и журнал обработанных запросов.
8. «Когда был последний инцидент по утечке ПД?» — отвечаем «не было», если не было; если был — показываем уведомление в РКН в течение 24 часов.
9. «Кто из ваших сотрудников имеет доступ к ПД?» — показываем матрицу доступа из положения об обработке ПД.

Я лично сидел в кабинете во время проверки в качестве IT-консультанта (это разрешено по согласованию с инспектором). Проверка прошла за 4 часа. Акт — «соответствует с замечаниями»: указали 3 мелких пункта (более подробное описание мер по приказу ФСТЭК №21, отдельное согласие для cookie третьих лиц, обновление формулировки в одном пункте политики). Срок устранения — 30 дней. Штрафов и предписаний нет.

Контр-нарратив. Что я считаю плохой идеей

«Скачайте шаблон политики из интернета». Шаблоны в интернете обычно либо устаревшие, либо общие до бессмысленности. Политика должна точно описывать вашу структуру обработки ПД — какие именно данные, какие именно цели, какие именно ИС, какие именно третьи лица. Шаблон не пройдёт глубокую проверку.

«Поставьте Cookiebot — там автоматический cookie-баннер». Cookiebot — европейский сервис, серверы в ЕС. По 152-ФЗ это трансграничная передача согласий российских граждан в недружественную юрисдикцию. Лучше своя реализация на 50 строк кода, чем зависимость от внешнего SaaS.

«Спрячьте политику глубоко в подвал». Политика должна быть доступна с любой страницы, в подвале, шрифтом не меньше основного контента. Инспектор РКН проверяет это в первую очередь — если политика спрятана, это уже нарушение.

Стоимость подготовки

• Аудит текущего состояния (4 часа инженера, 2 часа юриста) — 18 000 рублей.
• Подготовка пакета документов (политика, положение, приказ, реестр) — 45 000 рублей.
• Регистрация в реестре операторов ПД — 8 000 рублей (наша работа, госпошлина 0).
• Технические доработки сайта (cookie-баннер, согласия, форма отзыва, БД-шифрование) — 75 000 рублей.
• Усиление технической защиты (разграничение прав в админке, 2FA, аудит-логи) — 38 000 рублей.
• Репетиция и сопровождение проверки — 15 000 рублей.
• Итого: 199 000 рублей за 5 рабочих дней.
• Абонемент ITfresh на ежегодное обновление документов и поддержку — 12 000 рублей в месяц.

Для сравнения: минимальный штраф за работу без уведомления в реестре операторов ПД для юрлица — 30 000 рублей. Минимальный штраф за обработку без согласия — 300 000 рублей. Стоимость подготовки — это страховка, которая окупается даже одним избежанным мелким штрафом.

FAQ: что чаще всего спрашивают клиенты

Какие штрафы за несоответствие 152-ФЗ в 2026 году?

После реформы конца 2024 года штрафы для юрлиц по статье 13.11 КоАП существенно выросли. За обработку ПД без согласия — от 300 000 до 700 000 рублей за первое нарушение. За утечку базы из 1000-10000 субъектов — до 5 млн рублей, более 100 000 субъектов — до 15 млн. За повторные нарушения штрафы кратно увеличиваются. Для интернет-магазина с базой 50-100 тысяч клиентов одна утечка может стоить 10+ млн рублей плюс репутационный удар.

Как часто РКН проверяет интернет-магазины?

Плановые проверки — по реестру РКН, обычно раз в 3-5 лет в зависимости от категории риска. Внеплановые — по жалобам пользователей, после публикаций в СМИ или по поручению прокуратуры. По нашему опыту, в 2025-2026 годах активность РКН по проверкам интернет-магазинов выросла в 2-3 раза. Особое внимание — компаниям, которые рассылают рекламу по SMS, обрабатывают данные несовершеннолетних, или работают с большими массивами заказов через маркетплейсы.

Что должно быть на сайте интернет-магазина по 152-ФЗ?

Минимум 7 элементов: 1) согласие на обработку ПД при оформлении заказа (отдельная галочка, не предзаполненная); 2) политика обработки ПД доступная по ссылке с любой страницы; 3) cookie-баннер с возможностью отказа; 4) информация об операторе ПД с ИНН и адресом; 5) контакт ответственного за ПД; 6) форма для запроса/отзыва согласия пользователем; 7) согласие на рекламную рассылку отдельно от согласия на обработку ПД для заказа. Каждый из этих элементов должен соответствовать конкретным требованиям закона — например, согласие должно быть «свободным, конкретным, информированным и сознательным».

Нужно ли регистрироваться в реестре операторов ПД?

Да, любой интернет-магазин обрабатывает персональные данные клиентов и обязан подать уведомление в РКН до начала обработки. Уведомление подаётся через portal.eaiis.eaeunion.ru или через личный кабинет на rkn.gov.ru. Регистрация бесплатная, занимает 1-2 рабочих дня после подачи. Освобождены от уведомления только узкие категории (например, обработка для собственных сотрудников, для пропускного режима — но интернет-магазина среди исключений нет). За работу без уведомления штраф 30 000 — 50 000 рублей для юрлица.

Что нужно успеть за 5 дней до проверки РКН?

За 5 рабочих дней реально подготовить компанию средне-малого размера к плановой проверке: переписать политику обработки ПД под текущую структуру данных и каналы (1 день), добавить cookie-баннер и согласия на сайт (1 день), оформить реестр обработки ПД и инструкции для сотрудников (1 день), подготовить технические доказательства защищённости (логи доступа, шифрование БД, разграничение прав) — 1 день, отрепетировать ответы на типичные вопросы инспектора (1 день). Этого достаточно для оценки «соответствует с замечаниями» — а замечания исправляются в течение месяца.

Итог

Интернет-магазин строительной электрики 47 РМ за 5 рабочих дней прошёл путь от «ничего нет» до «соответствует с устранимыми замечаниями». Проверка РКН прошла без штрафов и предписаний. Стоимость подготовки 199 000 рублей окупила себя ровно в момент, когда инспектор подписал акт без штрафа на 300 000 рублей за работу без уведомления. Главный урок проекта — компонент 152-ФЗ можно подтянуть быстро, если у вас есть IT-подрядчик, который умеет работать в дедлайны.