🔥 Вы уверены, что не нарушаете закон о персональных данных?
90% малого бизнеса и самозанятых даже не догадываются, что уже работают с персональными данными клиентов — и делают это неправильно. В результате:
❌ Штрафы от Роскомнадзора (даже для самозанятых).
❌ Блокировки сайта или сервиса (если у вас онлайн-бизнес).
❌ Потеря доверия клиентов (если их данные утекут).
💡 Простой пример: вы записали имя и телефон клиента в заметки или в таблицу? Поздравляем — это уже обработка ПД! А значит, закон требует, чтобы вы это делали по правилам.
Почему это важно именно сейчас?
С 1 сентября 2022 года отменили многие исключения, и теперь почти все предприниматели должны уведомлять Роскомнадзор о работе с ПД. Раньше было проще: если вы просто вели клиентскую базу — могли не регистрироваться. Теперь это нарушение, за которое реально штрафуют.
Быстрый тест: нарушаете ли вы закон о ПД?
Отвечайте «да» или «нет» на 5 вопросов:
1️⃣ Вы записываете телефоны или e-mail клиентов в телефон, CRM или таблицу?
2️⃣ Вы принимаете заявки через сайт, соцсети или мессенджеры?
3️⃣ Вы отправляете клиентам рассылки (e-mail, СМС, WhatsApp)?
4️⃣ Вы работаете с данными сотрудников, партнёров или подрядчиков?
5️⃣ У вас нет официального документа (политики конфиденциальности), где прописано, как вы работаете с ПД?
💥 Если хотя бы на 1 вопрос ответили «да» — поздравляем, вы оператор персональных данных! А значит, вам нужно срочно разобраться, что делать, чтобы избежать штрафов и работать законно.
В этой статье — только практические шаги:
✅ Как понять, нужно ли вам уведомлять Роскомнадзор.
✅ Какие документы нужны для работы с ПД.
✅ Как избежать штрафов и проблем.
5 мифов о персональных данных, которые могут вас подставить 🚨
Многие малые предприниматели и самозанятые уверены, что закон о персональных данных их не касается. В итоге — штрафы, блокировки и проверка Роскомнадзора.
Разбираем 5 самых опасных мифов, которые ведут к проблемам.
❌ Миф 1: «Я самозанятый, закон на меня не распространяется»
🔎 Реальность: Закон о персональных данных не зависит от вашего статуса. Даже если вы не ИП, не ООО, а просто самозанятый, но ведёте клиентскую базу — вы уже оператор ПД .
✅ Пример: Вы частный репетитор или бьюти-мастер, сохраняете номера клиентов в телефоне. Всё, вы оператор ПД. А значит, обязаны соблюдать закон.
❌ Миф 2: «Я просто записываю контакты клиентов в телефон – это не обработка ПД»
🔎 Реальность: Записали имя и телефон клиента в заметки, CRM или Google-таблицу? Это уже обработка ПД.
💡 Простая логика: Если данные можно связать с конкретным человеком — это персональные данные.
✅ Пример: Даже если вы ведёте клиентский список просто «для себя» — закон всё равно действует.
❌ Миф 3: «Роскомнадзор проверяет только крупные компании»
🔎 Реальность: Штрафы получают самозанятые, ИП и даже блогеры.
⚡ Реальный случай:
В 2023 году Роскомнадзор оштрафовал самозанятого психолога, потому что он собирал контактные данные клиентов без уведомления.
✅ Вывод: Проверки проходят выборочно, но жалоба от клиента может привести к разбирательству.
❌ Миф 4: «Можно просто написать «я согласен» – и этого достаточно»
🔎 Реальность: Устное согласие или обычное «ОК» в переписке не имеет юридической силы.
✅ Как правильно?
- Клиент должен дать явное информированное согласие.
- Нужно либо бумажное согласие, либо специальный чекбокс на сайте (где есть ссылка на политику ПД).
- В ряде случаев даже письменного согласия мало – например, для биометрических данных.
❌ Миф 5: «Меня никто не проверяет – значит, можно забить»
🔎 Реальность: Многие узнают о проблеме, только когда получают штраф.
⚡ Что реально угрожает бизнесу?
🔴 Проверка Роскомнадзора (по жалобе или случайному выбору).
🔴 Жалоба от клиента → административное разбирательство.
🔴 Утечка данных → проблемы с доверием и возможные иски.
✅ Простой вывод: Надеяться на «авось» — плохая стратегия. Лучше разобраться один раз и больше не переживать.
📌 Итог: как не попасть впросак?
Запомните: персональные данные – это не только большие компании, но и малый бизнес, ИП и самозанятые.
🔹 Вы ведёте клиентскую базу? → Значит, уже оператор ПД.
🔹 Записываете контакты клиентов? → Значит, работаете с ПД.
🔹 Хотите избежать штрафов? → Разберитесь в правилах и оформите всё правильно.
Что считается обработкой персональных данных? 🤔
Если вы думаете, что обработка персональных данных — это что-то сложное и касается только больших компаний, держитесь крепче.
💡 Простая реальность:
Любое взаимодействие с клиентскими данными — уже обработка!
📌 Что такое персональные данные?
Это любая информация, которая позволяет определить человека.
✅ Примеры:
- ФИО
- Телефон, e-mail, адрес
- Паспортные данные
- Дата рождения
- История покупок
- Записи разговоров, фото, видео
- IP-адрес, cookies (да-да, это тоже персональные данные!)
Если вы хоть раз записали имя и телефон клиента — это уже обработка ПД.
📌 Какие действия считаются обработкой?
💡 Всё, что вы делаете с персональными данными, попадает под закон.
🔹 Сохраняете контакты клиентов? Обработка.
🔹 Записываете в таблицу или CRM? Обработка.
🔹 Отправляете e-mail или WhatsApp-рассылки? Обработка.
🔹 Передаёте данные курьеру, партнёру, подрядчику? Обработка.
🔹 Фотографируете клиента или записываете его голос? Обработка.
🔴 Главное правило: Если вы собираете, храните, передаёте или используете персональные данные – вы ОПЕРАТОР ПД и должны соблюдать закон.
📌 А что НЕ считается обработкой?
Есть редкие исключения, когда закон не действует:
❌ Если данные обрабатываются для личных целей (например, записали номер друга в телефон).
❌ Если речь идёт не о физических лицах, а о компаниях (например, данные ООО).
❌ Если данные обезличены (например, статистика без привязки к конкретным людям).
👉 Но как только информация касается конкретного человека – это уже ПД, и правила вступают в силу.
📌 Мини-чек-лист: занимаетесь ли вы обработкой ПД?
Ответьте «да» или «нет» на 3 вопроса:
1️⃣ У вас есть клиентская база (в телефоне, Excel, CRM, блокноте)?
2️⃣ Вы собираете контакты через сайт, соцсети или мессенджеры?
3️⃣ Вы передаёте данные клиентов третьим лицам (например, курьерам, подрядчикам)?
💥 Если хотя бы на один вопрос ответили «да» – поздравляем, вы оператор ПД!
А значит, вам нужно уведомить Роскомнадзор.
Кому нужно уведомлять Роскомнадзор? 📩
💡 Раньше уведомлять Роскомнадзор должны были только крупные компании. Но с 1 сентября 2022 года почти все малые предприниматели и самозанятые попали под это требование.
📌 Кому Точно Нужно Подавать Уведомление?
✅ Если вы работаете с клиентскими данными
- Ведёте базу клиентов (телефон, e-mail, соцсети, CRM).
- Собираете заявки через сайт или мессенджеры.
- Делаете рассылки, обзваниваете клиентов.
✅ Если у вас есть сотрудники или подрядчики
- Храните их ФИО, телефоны, паспортные данные.
- Обрабатываете резюме или анкеты.
- Передаёте данные бухгалтеру, в налоговую, курьерам.
✅ Если ваш бизнес связан с онлайн-сервисами
- У вас есть сайт с формами заявок.
- Используете системы аналитики (Google Analytics, Метрика).
- Применяете ретаргетинг и рекламу по базам клиентов.
🔴 Если у вас есть хотя бы один пункт из списка – уведомление подавать обязательно!
📌 Когда Можно Не Уведомлять Роскомнадзор?
🔹 Если вы ведёте базу клиентов только на бумаге.
📌 Пример: Ведёте список клиентов в блокноте, не загружая его в телефон или компьютер.
🔹 Если вы работаете с ПД только для личных нужд.
📌 Пример: Записали номер друга – это не обработка ПД.
🔹 Если данные уже публичные.
📌 Пример: Вы берёте контакты компаний из открытых источников.
🔴 Но даже если уведомление не нужно, вы всё равно должны соблюдать закон о защите ПД!
📌 Что будет, если не подать уведомление?
⚡ Штрафы для предпринимателей:
- От 3 000 до 75 000 ₽ за отсутствие уведомления.
- До 500 000 ₽ за утечку данных клиентов.
- Блокировка сайта, если на нём собираются данные без политики конфиденциальности.
⚡ Реальные случаи штрафов:
- Онлайн-школа получила 100 000 ₽ штрафа за отсутствие уведомления.
- Курьерская служба – 500 000 ₽ за утечку адресов клиентов.
- Бьюти-мастер – 30 000 ₽ штрафа за хранение номеров клиентов в телефоне без защиты.
📌 Вывод: Роскомнадзор редко проверяет бизнес «просто так», но любая жалоба от клиента – и проверка неизбежна.
📌 Как подать уведомление в Роскомнадзор?
💡Сделать это можно тремя способами:
1️⃣ Через сайт Роскомнадзора: pd.rkn.gov.ru (нужна электронная подпись).
2️⃣ По почте – заполнить бланк и отправить в Роскомнадзор.
⏳ Сроки: Подавать уведомление нужно до начала работы с ПД! Если уже работаете – лучше подать как можно скорее.
Инструкцию как заполнять это уведомление я размещу на своём телеграм канале.
Как работать с персональными данными, чтобы избежать проблем? ✅
💡 Вы уже поняли, что персональные данные – это не шутки. Но как их правильно обрабатывать, чтобы не нарушать закон?
Сейчас разберём 3 главных правила, которые помогут вам защитить себя от штрафов и проверок.
📌 Правило №1: Получите согласие клиента на обработку данных 📝
❌ Нельзя просто взять и записать данные клиента без его ведома.
✅ Нужно получить его согласие.
Как это сделать правильно?
1️⃣ Если принимаете заявки через сайт → Добавьте чекбокс «Я согласен с обработкой ПД» + ссылку на политику конфиденциальности.
2️⃣ Если общаетесь через мессенджеры → Напишите: «Для работы мне нужно записать ваши данные. Вы не против?»
3️⃣ Если заполняете данные вручную → Клиент должен подписать согласие.
📌 ВАЖНО! Если вы работаете с особыми категориями ПД (например, с медицинскими данными), нужно получать письменное согласие.
📌 Правило №2: Политика конфиденциальности – ваш щит от штрафов 🛡️
💡 Этот документ ОБЯЗАТЕЛЕН для всех операторов ПД!
🔴 Если у вас есть сайт – без политики конфиденциальности он может быть заблокирован.
✅ Что должно быть в политике конфиденциальности?
- Какие данные вы собираете (ФИО, телефон, e-mail и т.д.).
- Для чего вы их используете.
- Как вы их защищаете.
- Как клиент может отозвать своё согласие.
📌 Где разместить?
- Если у вас сайт → Добавьте ссылку в подвал страницы.
- Если вы самозанятый → Можно оформить PDF-файл и отправлять клиенту по запросу.
❓ Нет сайта? Всё равно нужна политика! Просто храните документ у себя и при необходимости показывайте клиентам.
📌 Правило №3: Защитите данные клиентов от утечек 🔒
💡 Если данные ваших клиентов утекут – штрафы могут достигать 500 000 ₽!
🔴 Как защитить информацию?
✅ Не храните клиентские базы в открытом доступе.
❌ Google-таблицы и Excel без пароля – это риск.
✅ Защитите телефон паролем, если в нём контакты клиентов.
❌ Потерянный телефон без блокировки – это утечка данных.
✅ Используйте двухфакторную аутентификацию для e-mail и CRM.
❌ Если вас взломают – утечка данных будет на вашей ответственности.
📌 Дополнительно:
- Раз в полгода удаляйте ненужные данные.
- Не передавайте клиентские контакты третьим лицам без их согласия.
- Не отправляйте персональные данные в открытых чатах или незащищённых почтах.
📌 Мини-чек-лист: всё ли у вас в порядке?
✅ Есть ли у вас согласие клиентов на обработку их данных?
✅ Разместили ли вы политику конфиденциальности?
✅ Надёжно ли вы защищаете клиентские данные?
👉 Если хотя бы один пункт под вопросом – исправьте это сейчас, пока не пришла проверка.
Реальные штрафы и ошибки, за которые бизнес страдает ⚠️
💡 «Да кому вообще есть дело до моей базы клиентов?» – думают многие предприниматели, пока не получают штраф от Роскомнадзора.
А теперь разберём реальные случаи, когда бизнес попался на нарушениях, и как этого избежать.
❌ Кейс 1: Самозанятый психолог – штраф 30 000 ₽ за хранение клиентских контактов
🔎 Что случилось?
Самозанятый психолог собирал данные клиентов (ФИО, номера телефонов, e-mail), но не уведомил Роскомнадзор и не получил согласие клиентов.
🚨 Как его вычислили?
Один из клиентов пожаловался, что его данные передали третьим лицам без разрешения. В итоге – проверка и штраф.
✅ Как избежать?
- Оформить согласие на обработку ПД.
- Подать уведомление в Роскомнадзор.
- Не передавать клиентские данные без их явного разрешения.
❌ Кейс 2: Онлайн-магазин – 75 000 ₽ штрафа за рассылку без согласия
🔎 Что случилось?
Маленький интернет-магазин делал рассылку по клиентской базе. Они решили, что раз клиенты покупали у них товары, можно просто добавить их e-mail в рассылку.
❌ Ошибка:
Рассылка без явного согласия клиента нарушает закон. Один из клиентов пожаловался – пришла проверка и штраф.
✅ Как избежать?
- Чётко получать согласие клиентов на рассылки (чекбокс на сайте).
- Добавить возможность отписки.
- Разместить политику конфиденциальности.
❌ Кейс 3: Салон красоты – 100 000 ₽ штрафа за утечку данных клиентов
🔎 Что случилось?
Администратор записывала номера клиентов в обычную Google-таблицу без пароля.
Однажды её взломали – и база клиентов с телефонами и адресами утекла в интернет.
🚨 Результат: Роскомнадзор оштрафовал компанию за необеспечение безопасности ПД.
✅ Как избежать?
- Не храните клиентскую базу в открытом доступе.
- Используйте защищённые сервисы и пароли.
- Настройте двухфакторную аутентификацию.
📌 Вывод: как не попасть на штраф?
🔹 Получайте согласие клиентов (не просто «ОК» в чате, а юридически правильное).
🔹 Уведомите Роскомнадзор, если вы оператор ПД.
🔹 Защитите данные клиентов (пароли, закрытые таблицы, надёжные CRM).
Минимальный набор действий, чтобы спать спокойно 😴
💡 Если у вас нет времени разбираться во всех юридических нюансах, сделайте хотя бы это – и вы закроете 90% рисков.
✅ Простая формула защиты: «3 документа + 3 правила безопасности»
📌 3 документа, которые вам нужны 📝
1️⃣ Согласие на обработку персональных данных
🔹 Нужен, если вы записываете контактные данные клиентов.
🔹 Форма согласия: чекбокс на сайте / подписанный бланк / явное согласие в переписке.
2️⃣ Политика конфиденциальности
🔹 ОБЯЗАТЕЛЬНА, если у вас есть сайт, формы заявок, рассылки.
🔹 Должна быть доступна клиенту (например, ссылка в подвале сайта).
🔹 Можно сделать PDF-документ и отправлять клиенту при запросе.
3️⃣ Уведомление в Роскомнадзор
🔹 Подайте через сайт pd.rkn.gov.ru
🔹 Нужно, если вы ведёте клиентскую базу (телефон, CRM, Google-таблица).
🔹 Разовый процесс: подаёте один раз, потом просто обновляете при изменениях.
📌 3 правила безопасности для ваших данных 🔒
1️⃣ Не храните клиентскую базу в открытом доступе
❌ Плохо: Обычная таблица Google без пароля.
✅ Хорошо: CRM-система, Excel-файл с паролем, защищённое облачное хранилище.
2️⃣ Защитите доступ к данным
✅ Двухфакторная аутентификация в e-mail, CRM, аккаунтах.
✅ Надёжные пароли (не «123456» и не «qwerty»).
3️⃣ Удаляйте ненужные данные
✅ Раз в 6 месяцев очищайте базу от старых данных.
✅ Не храните больше информации, чем нужно.
🔎 На чём основаны все требования? Нормативная база
💡 Все правила обработки персональных данных регулируются российским законодательством. Давайте разберём, какие законы и статьи к вам применимы.
1️⃣ Основной закон: 152-ФЗ «О персональных данных»
📌 Главный закон, регулирующий обработку персональных данных – Федеральный закон № 152-ФЗ «О персональных данных» (принят 27 июля 2006 года).
🔹 Статья 3 – что считается персональными данными
«Персональные данные – любая информация, относящаяся к прямо или косвенно определяемому физическому лицу.»
👉 Вывод: Если у вас есть клиентская база с именами, телефонами, e-mail – это уже ПД, и на вас распространяются требования закона.
🔹 Статья 6 – условия обработки ПД
«Обработка персональных данных допускается только с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством.»
👉 Вывод: Без согласия клиента на обработку его данных работать нельзя.
🔹 Статья 18.1 – обязанность оператора иметь политику конфиденциальности
«Оператор обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.»
👉 Вывод: Если у вас есть сайт – политика конфиденциальности обязательна.
🔹 Статья 22 – обязанность уведомлять Роскомнадзор
«Оператор обязан до начала обработки персональных данных направить в уполномоченный орган уведомление.»
👉 Вывод: Если вы ведёте клиентскую базу – нужно подать уведомление в Роскомнадзор.
2️⃣ Административная ответственность: КоАП РФ
📌 Если вы нарушаете закон о персональных данных, то вас могут оштрафовать по Кодексу об административных правонарушениях РФ (КоАП РФ).
🔹 Статья 13.11 КоАП РФ – штрафы за нарушение закона о ПД
«Нарушение установленных требований к сбору, хранению, обработке или передаче персональных данных влечёт наложение административного штрафа.»
🔴 Размер штрафов:
- Для самозанятых и ИП – от 3 000 до 75 000 ₽.
- Для компаний – от 30 000 до 500 000 ₽.
- За утечку данных – до 500 000 ₽.
👉 Вывод: Даже если у вас маленький бизнес – штрафы могут быть ощутимыми.
3️⃣ Гражданская ответственность: ГК РФ
📌 Нарушение закона о ПД может привести не только к штрафам, но и к искам от клиентов по Гражданскому кодексу РФ.
🔹 Статья 152.2 ГК РФ – защита персональных данных
«Обработка персональных данных допускается только в случаях, предусмотренных федеральным законом или с согласия субъекта.»
🔹 Статья 151 ГК РФ – компенсация морального вреда
«Если гражданину причинён моральный вред, суд может взыскать денежную компенсацию.»
👉 Вывод: Если клиент решит, что его данные использовали неправомерно, он может подать на вас в суд и потребовать компенсацию.
4️⃣ Требования Роскомнадзора
📌 Роскомнадзор – главный орган, который следит за соблюдением закона о ПД.
🔹 Обязанности операторов ПД (разъяснения Роскомнадзора)
✅ Оператор должен уведомить Роскомнадзор о начале обработки данных.
✅ Оператор должен иметь политику конфиденциальности и публиковать её.
✅ Оператор должен обеспечить защиту данных клиентов от утечек.
🔴 Как Роскомнадзор выявляет нарушения?
- По жалобам клиентов.
- Через проверки сайтов и бизнеса.
- По результатам утечек данных.
📖 Основные понятия и определения
🔹 1. Персональные данные (ПД)
📌 Статья 3 152-ФЗ:
«Персональные данные – любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).»
✅ Простыми словами: Если по данным можно определить конкретного человека – это ПД.
🔹 Примеры персональных данных:
- ФИО
- Телефон, e-mail, адрес
- Паспортные данные
- Дата рождения
- Фото, видео, аудиозаписи
- IP-адрес, cookies
- История покупок и транзакций
❌ Что НЕ является ПД?
- Информация о юридических лицах (например, данные ООО).
- Анонимные или обезличенные данные (если их нельзя привязать к человеку).
🔹 2. Обработка персональных данных
📌 Статья 3 152-ФЗ:
«Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, распространение, обезличивание, блокирование, удаление, уничтожение.»
✅ Простыми словами: Любое взаимодействие с ПД – это их обработка.
🔹 Примеры обработки:
- Запись контакта клиента в телефон
- Ведение базы клиентов в Excel или CRM
- Передача данных курьерам, бухгалтеру, рекламным сервисам
- Отправка e-mail или SMS клиентам
🔴 ВАЖНО! Если вы хоть как-то взаимодействуете с ПД – вы оператор персональных данных.
🔹 3. Оператор персональных данных
📌 Статья 3 152-ФЗ:
«Оператор – лицо, самостоятельно или совместно с другими организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки.»
✅ Простыми словами: Любой, кто собирает, хранит или использует ПД, – оператор ПД.
🔹 Кто является оператором ПД?
- Компании (ООО, ИП)
- Самозанятые, если ведут клиентскую базу
- Онлайн-магазины, курьерские службы, сервисы доставки
- Фрилансеры, коучи, репетиторы, мастера услуг
🔴 ВАЖНО! Если вы оператор ПД, то обязаны соблюдать требования закона: уведомить Роскомнадзор, получать согласие клиентов, защищать их данные.
🔹 4. Согласие субъекта персональных данных
📌 Статья 9 152-ФЗ:
«Обработка персональных данных допускается только с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством.»
✅ Простыми словами: Нельзя просто так записывать или использовать клиентские данные – нужно получить их согласие.
🔹 Как получить согласие на обработку ПД?
- Подписанный документ
- Чекбокс на сайте
- Явное согласие в переписке
🔴 ВАЖНО! Просто написать «ОК» в WhatsApp – недостаточно.
🔹 5. Политика конфиденциальности
📌 Статья 18.1 152-ФЗ:
«Оператор обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.»
✅ Простыми словами: Если у вас есть сайт – политика конфиденциальности обязательна.
🔹 Что должно быть в политике?
- Какие данные вы собираете
- Для чего их используете
- Как их защищаете
- Как клиент может отозвать своё согласие
🔴 ВАЖНО! Если у вас нет сайта, но вы работаете с клиентами – политика ПД всё равно должна быть (хотя бы в PDF).
🔹 6. Уведомление об обработке персональных данных
📌 Статья 22 152-ФЗ:
«Оператор обязан до начала обработки персональных данных направить в уполномоченный орган уведомление.»
✅ Простыми словами: Если вы ведёте клиентскую базу – уведомите Роскомнадзор.
🔹 Кому точно нужно уведомлять?
- Всем, кто хранит данные клиентов в CRM, Excel, телефоне
- Всем, кто использует e-mail и SMS-рассылки
- Всем, кто передаёт данные подрядчикам
🔴 ВАЖНО! Подавать уведомление можно через сайт Роскомнадзора (pd.rkn.gov.ru).
Мы можем помочь с составлением документов по обработке персональных данных https://t.me/m/vcm-Ss1uNjEy