В 2025 году в России регулирование обработки персональных данных стало заметно жестче, а число инцидентов — тревожно высоким. Владельцам маркетплейсов и онлайн-магазинов приходится балансировать между коммерческими целями, требованиями законодательства и растущими угрозами со стороны киберпреступников.
Актуальные факты и статистика
- В 2024 году в России утекло 1,58 млрд записей персональных данных — на 31,7 % больше, чем годом ранее. По этому показателю страна занимает 5-е место в мире.
- По данным Роскомнадзора, в первые четыре месяца 2025-го было зафиксировано 30 утечек ПДн, из них 19 инцидентов в январе–феврале затронули более 24 млн записей. По итогам разбирательств наложены штрафы на сумму 240 000 ₽ и выдано одно предупреждение (acsour.com)
- С конца 2024-го действует закон с «револьверными» штрафами до 1–3 % от годовой выручки, а также диапазон штрафов от 20 до 500 млн рублей (Tadviser).
- 55 % уголовных дел по утечкам возбудили против сотрудников компаний телеком-сектора — чаще всего виноваты внутренние лица (Tadviser).
- В январе 2025 года был зафиксирован крупный инцидент безопасности в группе LANIT, ключевого IT-поставщика для банков и банкоматов: атаке подверглись системы LANIT и LAN ATMservice. Центр реагирования по инцидентам (НКЦКИ) был вынужден рекомендовать экстренные меры (Reddit).
Эта статистика и реальные случаи — четкий сигнал: ПДн остаются приоритетной и уязвимой зоной, требующей особого внимания.
Законодательные требования и изменения в РФ по персональным данным в 2025 году
Федеральный закон № 152-ФЗ «О персональных данных» остаётся ключевым нормативным актом, определяющим правила сбора, хранения и обработки информации о гражданах. Он обязывает операторов — от крупных корпораций до индивидуальных предпринимателей — принимать технические и организационные меры для обеспечения безопасности данных. Подробнее о документе можно прочитать в тексте закона (pravo.gov.ru).
С 30 мая 2025 года вступил в силу обновленный Закон № 152-ФЗ с серьезными ужесточением. Теперь для обработки ПДн необходимо подать уведомление о намерении и быть внесенным в реестр операторов персональных данных Роскомнадзора. Это требование распространяется на всех, включая владельцев небольших интернет-магазинов и маркетплейсов.
Каждое действие с персональными данными — будь то оформление заказа, рассылка, аналитика или использование в рекламных целях — должно иметь законное основание: отдельное согласие пользователя, условия договора или иное предусмотренное законом разрешение. На практике это означает использование прозрачных формулировок и отдельных чек-боксов вместо «сквозных галочек» в многостраничных формах.
Одновременно увеличены штрафы: для организаций — до 1 млн ₽, для ИП — от 30 тыс до 70 тыс ₽, а за утечку данных суммы могут достигать от 5 до 15 млн ₽ в зависимости от объёма пострадавшей информации.
С 1 июля 2025 года вступили в силу правила, ужесточающие локализацию данных: хранение персональных данных граждан РФ за рубежом запрещено, за исключением случаев, прямо предусмотренных законодательством. Это означает, что использование зарубежных сервисов с хранением данных вне России, например Google Analytics, теперь допустимо только при наличии специального разрешения. Хранение информации о российских пользователях должно происходить на серверах, расположенных в России, а любая трансграничная передача, например для аналитики или рекламы, требует уведомления Роскомнадзора до начала обработки.
С 1 сентября 2025 года вводятся новые стандарты согласия на обработку персональных данных — оно должно быть оформлено отдельным документом, а не как пункт в договоре. Кроме того, потребуется разработать и поддерживать в актуальном состоянии политику конфиденциальности, внутренний регламент действий при утечках, журнал обращений субъектов ПДн и назначить ответственного за защиту данных.
Уточнена классификация персональных данных. Биометрические данные (отпечатки пальцев, голос и т.д.) требуют особого письменного согласия. Специальные данные (сведения о здоровье, национальности) допускается обрабатывать только при явном согласии и в обезличенном виде; общие данные (ФИО, адрес электронной почты) теперь обрабатываются с учётом новых ограничений. Санкции за нарушения могут составлять до 3% годовой выручки компании.
Права пользователей в сфере персональных данных предполагают возможность запросить экспорт, корректировку, удаление или обезличивание информации. Компании, работающие в eСommerce, могут автоматизировать эти процессы через личные кабинеты (возможность запроса удаления данных для пользователей).
Отдельно стоит рассматривать управление файлами cookie и рекламными технологиями. Согласия на использование аналитических и маркетинговых cookie должны запрашиваться отдельно, а баннер с выбором настроек обязан появляться до установки трекеров, что соответствует принципам прозрачности и добровольности согласия.
Безопасность данных требует комплексного подхода: от использования систем предотвращения утечек (DLP) и шифрования до многоуровневого контроля доступа, ведения журналов действий и проведения регулярных внутренних проверок в соответствии с Постановлением № 1119.
В экосистеме электронной коммерции маркетплейс обычно выступает оператором персональных данных, а продавцы/партнёры — их обработчиками. Эти роли должны быть чётко закреплены в договорах, включая обязательство ограничивать доступ к информации по принципу «минимально необходимого объёма».
Обработка персональных данных должна соответствовать принципам сохранности, минимизации объёма данных, прозрачности процессов и ограничения сроков хранения. О случаях утечки оператор обязан уведомлять Роскомнадзор в течение 24 часов после выявления инцидента.
Ключевые обязательные действия для владельцев маркетплейсов и интернет-магазинов:
- Зарегистрироваться в реестре операторов персональных данных.
- Внедрить политику обработки ПДн и внутренние регламенты по безопасности.
- Получать уполномоченное согласие пользователей для каждого вида данных.
- Хранить данные пользователей на российских серверах.
- Организовать процесс реагирования на утечки и запросы субъектов данных.
- Контролировать использование биометрических и обезличенных данных в соответствии с новыми требованиями.
Как DST Marketplace помогает соблюсти требования законодательства
Соответствие правовому полю
Правовая адаптация платформы DST Marketplace является ключевым преимуществом для российских пользователей. Будучи полностью отечественным решением, система разработана с учетом актуальных требований законодательства и регулярно обновляется в соответствии с изменениями нормативной базы.
Система разграничения доступа
Иерархия прав в DST Marketplace построена по принципу многоуровневой защиты. Административная панель, продавец и покупатель функционируют в изолированных средах с четко определенными уровнями доступа. Особенно важным является механизм разграничения для маркетплейсов: продавцы получают доступ только к информации по собственным заказам, что исключает возможность получения конкурентных данных.
Документальное сопровождение
Модуль согласий интегрирован в платформу для соблюдения требований ФЗ-152. Система автоматически формирует юридически корректные формы с чек-боксами для получения согласия на обработку персональных данных. Предусмотрена возможность хранения истории согласий и автоматизированной обработки запросов пользователей.
Локализация данных
Территориальное размещение инфраструктуры обеспечивается партнерством с российскими хостинг-провайдерами. Использование дата-центров на территории РФ соответствует требованиям законодательства о локализации данных. Платформа поддерживает возможность сегментации данных между продавцами на уровне серверной инфраструктуры.
Фискализация операций
Интеграция с ККТ позволяет автоматизировать процесс формирования фискальных документов в соответствии с требованиями закона №54-ФЗ. Система обеспечивает надежное хранение информации о платежных операциях и заказах, что критически важно при проведении проверок контролирующими органами.
Защита информации
Комплексная безопасность платформы включает:
- Защищенные протоколы передачи данных (SSL)
- Шифрование конфиденциальной информации
- Соответствие стандартам PCI DSS для обработки платежных данных
- Регулярный аудит безопасности кода
- Хэширование паролей пользователей
Управление пользовательскими данными
Права субъектов реализуются через функционал личного кабинета. Платформа позволяет выполнять операции по запросу пользователей:
- Экспорт персональных данных
- Удаление информации
- Обезличивание данных
Рекламные технологии
Управление cookie осуществляется с соблюдением принципов прозрачности. Система позволяет настраивать отдельные согласия для аналитических и маркетинговых cookie-файлов, что соответствует требованиям законодательства о защите данных.
Практические рекомендации
Внедрение решений требует комплексного подхода:
- Активация модуля подтверждения обработки персональных данных
- Подготовка необходимой документации
- Обеспечение локализации данных
- Своевременное уведомление регуляторов
- Документирование процессов обработки данных
Заключение
В современных условиях ужесточения требований к обработке персональных данных DST Marketplace представляет собой комплексное решение, обеспечивающее соответствие законодательству. Платформа предоставляет инструменты для:
- Организации безопасной обработки данных
- Соблюдения требований к хранению информации
- Формирования необходимой документации
- Реагирования на запросы регуляторов
Использование DST Marketplace позволяет владельцам интернет-магазинов и маркетплейсов эффективно выстраивать бизнес-процессы в рамках правового поля, минимизируя риски нарушений и обеспечивая защиту данных пользователей.
#DST #DSTGlobal #ДСТ #ДСТГлобал #DSTplatform #ДСТПлатформ #DSTmarketplace #DSTМаркетплейс #маркетплейс #законодательство #защитаданных #Биометрическиеданные #Хэширование #Защита #информация