Как DST Marketplace помогает соблюсти требования законодательства владельцам маркетплейсов

В 2025 году в России регулирование обработки персональных данных стало заметно жестче, а число инцидентов — тревожно высоким. Владельцам маркетплейсов и онлайн-магазинов приходится балансировать между коммерческими целями, требованиями законодательства и растущими угрозами со стороны киберпреступников.

Актуальные факты и статистика

- В 2024 году в России утекло 1,58 млрд записей персональных данных — на 31,7 % больше, чем годом ранее. По этому показателю страна занимает 5-е место в мире.

- По данным Роскомнадзора, в первые четыре месяца 2025-го было зафиксировано 30 утечек ПДн, из них 19 инцидентов в январе–феврале затронули более 24 млн записей. По итогам разбирательств наложены штрафы на сумму 240 000 ₽ и выдано одно предупреждение (acsour.com)

- С конца 2024-го действует закон с «револьверными» штрафами до 1–3 % от годовой выручки, а также диапазон штрафов от 20 до 500 млн рублей (Tadviser).

- 55 % уголовных дел по утечкам возбудили против сотрудников компаний телеком-сектора — чаще всего виноваты внутренние лица (Tadviser).

- В январе 2025 года был зафиксирован крупный инцидент безопасности в группе LANIT, ключевого IT-поставщика для банков и банкоматов: атаке подверглись системы LANIT и LAN ATMservice. Центр реагирования по инцидентам (НКЦКИ) был вынужден рекомендовать экстренные меры (Reddit).

Эта статистика и реальные случаи — четкий сигнал: ПДн остаются приоритетной и уязвимой зоной, требующей особого внимания.

Законодательные требования и изменения в РФ по персональным данным в 2025 году

Федеральный закон № 152-ФЗ «О персональных данных» остаётся ключевым нормативным актом, определяющим правила сбора, хранения и обработки информации о гражданах. Он обязывает операторов — от крупных корпораций до индивидуальных предпринимателей — принимать технические и организационные меры для обеспечения безопасности данных. Подробнее о документе можно прочитать в тексте закона (pravo.gov.ru).

С 30 мая 2025 года вступил в силу обновленный Закон № 152-ФЗ с серьезными ужесточением. Теперь для обработки ПДн необходимо подать уведомление о намерении и быть внесенным в реестр операторов персональных данных Роскомнадзора. Это требование распространяется на всех, включая владельцев небольших интернет-магазинов и маркетплейсов.

Каждое действие с персональными данными — будь то оформление заказа, рассылка, аналитика или использование в рекламных целях — должно иметь законное основание: отдельное согласие пользователя, условия договора или иное предусмотренное законом разрешение. На практике это означает использование прозрачных формулировок и отдельных чек-боксов вместо «сквозных галочек» в многостраничных формах.

Одновременно увеличены штрафы: для организаций — до 1 млн ₽, для ИП — от 30 тыс до 70 тыс ₽, а за утечку данных суммы могут достигать от 5 до 15 млн ₽ в зависимости от объёма пострадавшей информации.

С 1 июля 2025 года вступили в силу правила, ужесточающие локализацию данных: хранение персональных данных граждан РФ за рубежом запрещено, за исключением случаев, прямо предусмотренных законодательством. Это означает, что использование зарубежных сервисов с хранением данных вне России, например Google Analytics, теперь допустимо только при наличии специального разрешения. Хранение информации о российских пользователях должно происходить на серверах, расположенных в России, а любая трансграничная передача, например для аналитики или рекламы, требует уведомления Роскомнадзора до начала обработки.

С 1 сентября 2025 года вводятся новые стандарты согласия на обработку персональных данных — оно должно быть оформлено отдельным документом, а не как пункт в договоре. Кроме того, потребуется разработать и поддерживать в актуальном состоянии политику конфиденциальности, внутренний регламент действий при утечках, журнал обращений субъектов ПДн и назначить ответственного за защиту данных.

Уточнена классификация персональных данных. Биометрические данные (отпечатки пальцев, голос и т.д.) требуют особого письменного согласия.

Права пользователей в сфере персональных данных предполагают возможность запросить экспорт, корректировку, удаление или обезличивание информации. Компании, работающие в eСommerce, могут автоматизировать эти процессы через личные кабинеты (возможность запроса удаления данных для пользователей).

Отдельно стоит рассматривать управление файлами cookie и рекламными технологиями. Согласия на использование аналитических и маркетинговых cookie должны запрашиваться отдельно, а баннер с выбором настроек обязан появляться до установки трекеров, что соответствует принципам прозрачности и добровольности согласия.

Безопасность данных требует комплексного подхода: от использования систем предотвращения утечек (DLP) и шифрования до многоуровневого контроля доступа, ведения журналов действий и проведения регулярных внутренних проверок в соответствии с Постановлением № 1119.

В экосистеме электронной коммерции маркетплейс обычно выступает оператором персональных данных, а продавцы/партнёры — их обработчиками. Эти роли должны быть чётко закреплены в договорах, включая обязательство ограничивать доступ к информации по принципу «минимально необходимого объёма».

Обработка персональных данных должна соответствовать принципам сохранности, минимизации объёма данных, прозрачности процессов и ограничения сроков хранения. О случаях утечки оператор обязан уведомлять Роскомнадзор в течение 24 часов после выявления инцидента.

Ключевые обязательные действия для владельцев маркетплейсов и интернет-магазинов:

- Зарегистрироваться в реестре операторов персональных данных.

- Внедрить политику обработки ПДн и внутренние регламенты по безопасности.

- Получать уполномоченное согласие пользователей для каждого вида данных.

- Хранить данные пользователей на российских серверах.

- Организовать процесс реагирования на утечки и запросы субъектов данных.

- Контролировать использование биометрических и обезличенных данных в соответствии с новыми требованиями.

Как DST Marketplace помогает соблюсти требования законодательства

Соответствие правовому полю

Правовая адаптация платформы DST Marketplace является ключевым преимуществом для российских пользователей. Будучи полностью отечественным решением, система разработана с учетом актуальных требований законодательства и регулярно обновляется в соответствии с изменениями нормативной базы.

Система разграничения доступа

Иерархия прав в DST Marketplace построена по принципу многоуровневой защиты. Административная панель, продавец и покупатель функционируют в изолированных средах с четко определенными уровнями доступа. Особенно важным является механизм разграничения для маркетплейсов: продавцы получают доступ только к информации по собственным заказам, что исключает возможность получения конкурентных данных.

Документальное сопровождение

Модуль согласий интегрирован в платформу для соблюдения требований ФЗ-152. Система автоматически формирует юридически корректные формы с чек-боксами для получения согласия на обработку персональных данных. Предусмотрена возможность хранения истории согласий и автоматизированной обработки запросов пользователей.

Локализация данных

Территориальное размещение инфраструктуры обеспечивается партнерством с российскими хостинг-провайдерами. Использование дата-центров на территории РФ соответствует требованиям законодательства о локализации данных. Платформа поддерживает возможность сегментации данных между продавцами на уровне серверной инфраструктуры.

Фискализация операций

Интеграция с ККТ позволяет автоматизировать процесс формирования фискальных документов в соответствии с требованиями закона №54-ФЗ. Система обеспечивает надежное хранение информации о платежных операциях и заказах, что критически важно при проведении проверок контролирующими органами.

Защита информации

Комплексная безопасность платформы включает:

- Защищенные протоколы передачи данных (SSL)

- Шифрование конфиденциальной информации

- Соответствие стандартам PCI DSS для обработки платежных данных

- Регулярный аудит безопасности кода

- Хэширование паролей пользователей

Управление пользовательскими данными

Права субъектов реализуются через функционал личного кабинета. Платформа позволяет выполнять операции по запросу пользователей:

- Экспорт персональных данных

- Удаление информации

- Обезличивание данных

Рекламные технологии

Управление cookie осуществляется с соблюдением принципов прозрачности. Система позволяет настраивать отдельные согласия для аналитических и маркетинговых cookie-файлов, что соответствует требованиям законодательства о защите данных.

Практические рекомендации

Внедрение решений требует комплексного подхода:

- Активация модуля подтверждения обработки персональных данных

- Подготовка необходимой документации

- Обеспечение локализации данных

- Своевременное уведомление регуляторов

- Документирование процессов обработки данных

Заключение

В современных условиях ужесточения требований к обработке персональных данных DST Marketplace представляет собой комплексное решение, обеспечивающее соответствие законодательству. Платформа предоставляет инструменты для:

- Организации безопасной обработки данных

- Соблюдения требований к хранению информации

- Формирования необходимой документации

- Реагирования на запросы регуляторов

Использование DST Marketplace позволяет владельцам интернет-магазинов и маркетплейсов эффективно выстраивать бизнес-процессы в рамках правового поля, минимизируя риски нарушений и обеспечивая защиту данных пользователей.