Штрафной сайт: как интернет-магазин может получить вопросы из-за cookie и формы заказа

Красивый сайт не всегда означает безопасный сайт.

Интернет-магазин может выглядеть современно, быстро работать, продавать хорошие вещи и собирать вокруг себя лояльную аудиторию. Но при этом юридические риски могут лежать буквально на поверхности: в cookie, в форме заказа, в политике конфиденциальности, в реквизитах или в оферте.

Мы в Noremo делаем сайты и смотрим на них не только как дизайнеры или покупатели. Иногда полезно посмотреть на сайт глазами проверяющих. Так появилась рубрика «Штрафной сайт»: берём публичный сайт, разбираем типовые риски и показываем, что стоит проверить владельцу любого интернет-магазина.

Для первого выпуска мы взяли сайт ÖMANKÖ — заметного проекта на стыке медиа, моды, одежды и креатива. На своей странице «О нас» команда пишет, что ÖMANKÖ — это творческое объединение из Москвы, которое совмещает медиа о моде и культуре, бренд одежды и креативное бюро, а магазин Ö STORE работает с 2018 года. Источник

Сразу уточним: это не юридическое заключение и не претензия к бренду. Мы говорим о признаках риска. Такие же вещи встречаются у интернет-магазинов, клиник, онлайн-школ, салонов, студий и обычных лендингов с формой заявки.

---

Cookie и аналитика: сайт ещё не спросил, а Метрика уже работает?

Один из самых частых рисков — cookie и аналитика.

Выглядит это обычно незаметно. Пользователь просто заходит на сайт, а в браузере уже появляются следы аналитики. Например, в localStorage могут лежать YM-метки — это связано с Яндекс.Метрикой.

Сама Метрика не проблема. Ей пользуются тысячи нормальных сайтов. Вопрос в другом: когда именно она начинает работать и понял ли пользователь, какие данные собираются.

Если коротко, сайт не должен вести себя так, будто человек уже со всем согласился, хотя ему ещё ничего не показали.

По закону согласие на обработку персональных данных должно быть конкретным, информированным, сознательным, предметным и однозначным. С 2025 года в статье 9 закона о персональных данных также закреплено, что согласие должно оформляться отдельно от других документов и подтверждений пользователя. Источник

Поэтому отсутствие cookie-баннера при работающей аналитике — это не «мелочь для разработчика». Это повод проверить, как сайт получает согласие и получает ли его вообще.

---

Форма заказа: данные ввели на сайте, а галочка появилась только на платёжке

Второй важный момент — checkout.

На странице оформления заказа пользователь вводит телефон, email, ФИО, город, регион, адрес и квартиру или офис. Это уже не «обычные поля». Это персональные данные конкретного человека.

Дальше человек нажимает кнопку оплаты и попадает на страницу платёжного сервиса. Там может быть своя галочка согласия. Но она относится к платёжке: карте, оплате, платёжной операции, антифроду и другим процессам на стороне провайдера.

А данные для заказа пользователь сначала оставил интернет-магазину.

И вот здесь возникает главный вопрос: где согласие именно на обработку данных самим магазином?

Галочка на платёжке не закрывает автоматически всё, что произошло до неё. Если магазин получил ФИО, телефон, email и адрес, он должен понимать, на каком основании обрабатывает эти данные и как сможет это доказать. Закон прямо возлагает на оператора обязанность доказать получение согласия или наличие другого законного основания. Источник

Проще говоря: галочка на платёжке — не универсальный зонтик для всего сайта.

---

Политика конфиденциальности: документ должен совпадать с реальностью

Политика обработки персональных данных часто лежит в футере и воспринимается как формальность. Но это не декоративная страница.

Если сайт собирает персональные данные через интернет, оператор обязан опубликовать документ о своей политике в отношении обработки персональных данных и обеспечить доступ к нему на страницах, где эти данные собираются. Источник

Главная проблема не всегда в том, что политики нет. Иногда она есть, но живёт отдельно от реального сайта.

На сайте могут быть формы заказа, доставка, CRM, рассылки, Метрика, платёжный сервис, интеграции. А политика написана так, будто пользователь просто отправляет одно сообщение через форму обратной связи.

Для бизнеса это слабое место. Документ должен описывать реальную обработку данных, а не просто создавать ощущение, что «что-то юридическое в футере есть».

---

Реквизиты и информация о продавце

Если сайт продаёт товары, покупатель должен понимать, у кого он покупает.

Для офлайн-магазина эту роль частично выполняют вывеска, касса, адрес и продавец за стойкой. В интернете всё это заменяет сайт. Поэтому информация о продавце должна быть доступной и понятной.

Закон о защите прав потребителей требует доводить до покупателя информацию о продавце: фирменное наименование, адрес, режим работы, а для ИП — сведения о государственной регистрации и органе, который его зарегистрировал. Источник

Для интернет-магазина это база доверия. Покупатель должен видеть, кто принимает деньги, кто отвечает за заказ и куда обращаться, если что-то пошло не так.

Оферта и возврат: скучно, пока не начался спор

Оферта, условия доставки и возврата редко становятся любимым чтением покупателя. Обычно эти страницы открывают только тогда, когда возникла проблема.

Но именно поэтому они важны.

Если условия покупки описаны понятно, бизнесу проще объяснить, что именно было согласовано: как проходит оплата, когда отправляется заказ, как оформить возврат, что делать при споре.

Без нормальной оферты и правил возврата сайт фактически живёт на доверии. Иногда этого хватает. Но в спорной ситуации доверие быстро заканчивается, и начинаются вопросы к документам.

Сколько это может стоить

В нашем автоматическом разборе было найдено 2 признака потенциальных нарушений, а совокупный риск оценён до 300 000 рублей.

Это не значит, что штраф обязательно будет именно таким. Размер зависит от состава нарушения, статуса компании, обстоятельств и позиции проверяющих. Автоматическая проверка не заменяет юриста. Она показывает, где сайт стоит проверить внимательнее.

По статье 13.11 КоАП РФ за нарушения в сфере персональных данных предусмотрены разные штрафы. Например, за обработку персональных данных в случаях, не предусмотренных законом, для юридических лиц штраф может составлять от 150 000 до 300 000 рублей. За обработку без письменного согласия, если оно обязательно, — от 300 000 до 700 000 рублей. Источник

Есть и отдельная ответственность за невыполнение или несвоевременное выполнение обязанности уведомить уполномоченный орган о намерении обрабатывать персональные данные. Для юридических лиц штраф может составлять от 100 000 до 300 000 рублей. Источник

Главная мысль простая: юридические мелочи на сайте иногда стоят дороже, чем кажется.

---

Почему это касается не только больших брендов

На известном бренде проблему проще показать. У него есть трафик, магазин, корзина, оплата, формы, доставка, аналитика.

Но похожие риски мы регулярно видим у самых обычных сайтов: салонов, клиник, онлайн-школ, барбершопов, агентств, лендингов на конструкторах и небольших интернет-магазинов.

Если на сайте есть форма «оставить телефон», кнопка записи, онлайн-оплата, Метрика, пиксели рекламы или рассылка, сайт уже работает с данными людей.

А значит, проверять нужно не только дизайн, скорость и адаптив. Юридический слой тоже часть нормального сайта.

Быстрый чек-лист для владельца сайта

Проверьте хотя бы это:

• есть ли понятное уведомление о cookie и аналитике;
• не запускается ли аналитика до согласия пользователя;
• есть ли согласие на обработку персональных данных рядом с формами;
• понятно ли, кто оператор персональных данных;
• соответствует ли политика конфиденциальности реальной работе сайта;
• есть ли оферта, условия доставки и возврата;
• указаны ли реквизиты продавца;
• понятно ли покупателю, к кому обращаться по заказу;
• проверяли ли вы необходимость уведомления Роскомнадзора.

Если хотя бы по нескольким пунктам ответ «не знаю», сайт лучше проверить.

Что делает Noremo

Noremo — студия разработки сайтов. Мы делаем сайты для бизнеса и стараемся смотреть на них целиком: дизайн, структура, скорость, заявки, аналитика, документы и типовые юридические риски.

Мы не занимаемся охотой на нарушения и не зарабатываем на жалобах. Нам ближе другой подход: сделать сайт так, чтобы бизнес не думал о штрафах каждый раз, когда у него появляется новая форма заявки или онлайн-оплата.

Поэтому в проектах мы заранее учитываем вещи, которые часто забывают: корректные формы, cookie, аналитику, документы, checkout, страницы доставки и возврата, реквизиты и понятную структуру для покупателя.

Хотите понять, где у вашего сайта слабые места? Проверьте его на noremo.ru/check или отправьте ссылку нам. Мы выберем несколько сайтов для следующих разборов и покажем, где всё спокойно, а где лучше усилиться.

Без паники и без «у вас всё плохо». Просто нормальный разбор сайта перед тем, как он начнёт собирать заявки, продажи и данные пользователей.