Начнем с того, что упоминаемой
@Kaaboeld лицензии на хранение и обработку ПДн у нас в стране нет ( и даже никаких близких понятий нет).
Дальше вам действительно стоит ознакомиться с
ФЗ-152.
У вас в интернет-магазине скорей всего обрабатывается примерно такой набор:
1. ФИО
2. Адрес доставки
3. Контактный номер телефона
4. E-mail
5. ...
Пошли дальше по 152-ФЗ:
ваш случай для обработки персональных данных описан в п.1 5) Статьи 6
обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
По поводу согласия написано в статье 9:
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Таким образом вы можете сделать как вам будет удобнее или внести в договор-оферту на сайте раздел про согласие субъекта или сделать отдельную галочку при регистрации.
Если вы не осуществляете никакой доставки, то вам можно упростить жизнь, описав что вы обрабатываете обезличенные данные (по которым невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных).
1. Логин (вместо ФИО)
2. e-mail
Вообще выполнение требований 152-ФЗ, это не только согласие, а ещё выполнение ряда технических и организационных мер описанных в первую очередь в самом 152-ФЗ, Постановлении правительства №1119, Приказе ФСТЭК №21.
Понимаю, что для обычного интернет-магазина все эти меры являются только дополнительными проблемами, и советую вам как минимум выполнить требование п.2 статьи 18.1 и опубликовать на сайте Политику в отношении обработки персональных данных. Образцы вы можете посмотреть в интернете.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.