Статьи

Как малому бизнесу и самозанятым не попасть на штраф за персональные данные?

🔥 Вы уверены, что не нарушаете закон о персональных данных?
90% малого бизнеса и самозанятых даже не догадываются, что уже работают с персональными данными клиентов — и делают это неправильно. В результате:
Штрафы от Роскомнадзора (даже для самозанятых).
Блокировки сайта или сервиса (если у вас онлайн-бизнес).
Потеря доверия клиентов (если их данные утекут).
💡 Простой пример: вы записали имя и телефон клиента в заметки или в таблицу? Поздравляем — это уже обработка ПД! А значит, закон требует, чтобы вы это делали по правилам.

Почему это важно именно сейчас?

С 1 сентября 2022 года отменили многие исключения, и теперь почти все предприниматели должны уведомлять Роскомнадзор о работе с ПД. Раньше было проще: если вы просто вели клиентскую базу — могли не регистрироваться. Теперь это нарушение, за которое реально штрафуют.

Быстрый тест: нарушаете ли вы закон о ПД?

Отвечайте «да» или «нет» на 5 вопросов:
1️⃣ Вы записываете телефоны или e-mail клиентов в телефон, CRM или таблицу?
2️⃣ Вы принимаете заявки через сайт, соцсети или мессенджеры?
3️⃣ Вы отправляете клиентам рассылки (e-mail, СМС, WhatsApp)?
4️⃣ Вы работаете с данными сотрудников, партнёров или подрядчиков?
5️⃣ У вас нет официального документа (политики конфиденциальности), где прописано, как вы работаете с ПД?
💥 Если хотя бы на 1 вопрос ответили «да» — поздравляем, вы оператор персональных данных! А значит, вам нужно срочно разобраться, что делать, чтобы избежать штрафов и работать законно.
В этой статье — только практические шаги:
✅ Как понять, нужно ли вам уведомлять Роскомнадзор.
✅ Какие документы нужны для работы с ПД.
✅ Как избежать штрафов и проблем.

5 мифов о персональных данных, которые могут вас подставить 🚨

Многие малые предприниматели и самозанятые уверены, что закон о персональных данных их не касается. В итоге — штрафы, блокировки и проверка Роскомнадзора.
Разбираем 5 самых опасных мифов, которые ведут к проблемам.

❌ Миф 1: «Я самозанятый, закон на меня не распространяется»

🔎 Реальность: Закон о персональных данных не зависит от вашего статуса. Даже если вы не ИП, не ООО, а просто самозанятый, но ведёте клиентскую базу — вы уже оператор ПД .
Пример: Вы частный репетитор или бьюти-мастер, сохраняете номера клиентов в телефоне. Всё, вы оператор ПД. А значит, обязаны соблюдать закон.

❌ Миф 2: «Я просто записываю контакты клиентов в телефон – это не обработка ПД»

🔎 Реальность: Записали имя и телефон клиента в заметки, CRM или Google-таблицу? Это уже обработка ПД.
💡 Простая логика: Если данные можно связать с конкретным человеком — это персональные данные.
Пример: Даже если вы ведёте клиентский список просто «для себя» — закон всё равно действует.

❌ Миф 3: «Роскомнадзор проверяет только крупные компании»

🔎 Реальность: Штрафы получают самозанятые, ИП и даже блогеры.
Реальный случай:
В 2023 году Роскомнадзор оштрафовал самозанятого психолога, потому что он собирал контактные данные клиентов без уведомления.
Вывод: Проверки проходят выборочно, но жалоба от клиента может привести к разбирательству.

❌ Миф 4: «Можно просто написать «я согласен» – и этого достаточно»

🔎 Реальность: Устное согласие или обычное «ОК» в переписке не имеет юридической силы.
Как правильно?
  • Клиент должен дать явное информированное согласие.
  • Нужно либо бумажное согласие, либо специальный чекбокс на сайте (где есть ссылка на политику ПД).
  • В ряде случаев даже письменного согласия мало – например, для биометрических данных.

❌ Миф 5: «Меня никто не проверяет – значит, можно забить»

🔎 Реальность: Многие узнают о проблеме, только когда получают штраф.
Что реально угрожает бизнесу?
🔴 Проверка Роскомнадзора (по жалобе или случайному выбору).
🔴 Жалоба от клиента → административное разбирательство.
🔴 Утечка данных → проблемы с доверием и возможные иски.
Простой вывод: Надеяться на «авось» — плохая стратегия. Лучше разобраться один раз и больше не переживать.

📌 Итог: как не попасть впросак?

Запомните: персональные данные – это не только большие компании, но и малый бизнес, ИП и самозанятые.
🔹 Вы ведёте клиентскую базу? → Значит, уже оператор ПД.
🔹 Записываете контакты клиентов? → Значит, работаете с ПД.
🔹 Хотите избежать штрафов? → Разберитесь в правилах и оформите всё правильно.

Что считается обработкой персональных данных? 🤔

Если вы думаете, что обработка персональных данных — это что-то сложное и касается только больших компаний, держитесь крепче.
💡 Простая реальность:
Любое взаимодействие с клиентскими данными — уже обработка!

📌 Что такое персональные данные?

Это любая информация, которая позволяет определить человека.
✅ Примеры:
  • ФИО
  • Телефон, e-mail, адрес
  • Паспортные данные
  • Дата рождения
  • История покупок
  • Записи разговоров, фото, видео
  • IP-адрес, cookies (да-да, это тоже персональные данные!)
Если вы хоть раз записали имя и телефон клиента — это уже обработка ПД.

📌 Какие действия считаются обработкой?

💡 Всё, что вы делаете с персональными данными, попадает под закон.
🔹 Сохраняете контакты клиентов? Обработка.
🔹 Записываете в таблицу или CRM? Обработка.
🔹 Отправляете e-mail или WhatsApp-рассылки? Обработка.
🔹 Передаёте данные курьеру, партнёру, подрядчику? Обработка.
🔹 Фотографируете клиента или записываете его голос? Обработка.
🔴 Главное правило: Если вы собираете, храните, передаёте или используете персональные данные – вы ОПЕРАТОР ПД и должны соблюдать закон.

📌 А что НЕ считается обработкой?

Есть редкие исключения, когда закон не действует:
❌ Если данные обрабатываются для личных целей (например, записали номер друга в телефон).
❌ Если речь идёт не о физических лицах, а о компаниях (например, данные ООО).
❌ Если данные обезличены (например, статистика без привязки к конкретным людям).
👉 Но как только информация касается конкретного человека – это уже ПД, и правила вступают в силу.

📌 Мини-чек-лист: занимаетесь ли вы обработкой ПД?

Ответьте «да» или «нет» на 3 вопроса:
1️⃣ У вас есть клиентская база (в телефоне, Excel, CRM, блокноте)?
2️⃣ Вы собираете контакты через сайт, соцсети или мессенджеры?
3️⃣ Вы передаёте данные клиентов третьим лицам (например, курьерам, подрядчикам)?
💥 Если хотя бы на один вопрос ответили «да» – поздравляем, вы оператор ПД!
А значит, вам нужно уведомить Роскомнадзор.

Кому нужно уведомлять Роскомнадзор? 📩

💡 Раньше уведомлять Роскомнадзор должны были только крупные компании. Но с 1 сентября 2022 года почти все малые предприниматели и самозанятые попали под это требование.

📌 Кому Точно Нужно Подавать Уведомление?

Если вы работаете с клиентскими данными
  • Ведёте базу клиентов (телефон, e-mail, соцсети, CRM).
  • Собираете заявки через сайт или мессенджеры.
  • Делаете рассылки, обзваниваете клиентов.
Если у вас есть сотрудники или подрядчики
  • Храните их ФИО, телефоны, паспортные данные.
  • Обрабатываете резюме или анкеты.
  • Передаёте данные бухгалтеру, в налоговую, курьерам.
Если ваш бизнес связан с онлайн-сервисами
  • У вас есть сайт с формами заявок.
  • Используете системы аналитики (Google Analytics, Метрика).
  • Применяете ретаргетинг и рекламу по базам клиентов.
🔴 Если у вас есть хотя бы один пункт из списка – уведомление подавать обязательно!

📌 Когда Можно Не Уведомлять Роскомнадзор?

🔹 Если вы ведёте базу клиентов только на бумаге.
📌 Пример: Ведёте список клиентов в блокноте, не загружая его в телефон или компьютер.
🔹 Если вы работаете с ПД только для личных нужд.
📌 Пример: Записали номер друга – это не обработка ПД.
🔹 Если данные уже публичные.
📌 Пример: Вы берёте контакты компаний из открытых источников.
🔴 Но даже если уведомление не нужно, вы всё равно должны соблюдать закон о защите ПД!

📌 Что будет, если не подать уведомление?

Штрафы для предпринимателей:
  • От 3 000 до 75 000 ₽ за отсутствие уведомления.
  • До 500 000 ₽ за утечку данных клиентов.
  • Блокировка сайта, если на нём собираются данные без политики конфиденциальности.
Реальные случаи штрафов:
  • Онлайн-школа получила 100 000 ₽ штрафа за отсутствие уведомления.
  • Курьерская служба – 500 000 ₽ за утечку адресов клиентов.
  • Бьюти-мастер – 30 000 ₽ штрафа за хранение номеров клиентов в телефоне без защиты.
📌 Вывод: Роскомнадзор редко проверяет бизнес «просто так», но любая жалоба от клиента – и проверка неизбежна.

📌 Как подать уведомление в Роскомнадзор?

💡Сделать это можно тремя способами:
1️⃣ Через сайт Роскомнадзора: pd.rkn.gov.ru (нужна электронная подпись).
2️⃣ По почте – заполнить бланк и отправить в Роскомнадзор.
⏳ Сроки: Подавать уведомление нужно до начала работы с ПД! Если уже работаете – лучше подать как можно скорее.
Инструкцию как заполнять это уведомление я размещу на своём телеграм канале.

Как работать с персональными данными, чтобы избежать проблем? ✅

💡 Вы уже поняли, что персональные данные – это не шутки. Но как их правильно обрабатывать, чтобы не нарушать закон?
Сейчас разберём 3 главных правила, которые помогут вам защитить себя от штрафов и проверок.

📌 Правило №1: Получите согласие клиента на обработку данных 📝

Нельзя просто взять и записать данные клиента без его ведома.
Нужно получить его согласие.
Как это сделать правильно?
1️⃣ Если принимаете заявки через сайт → Добавьте чекбокс «Я согласен с обработкой ПД» + ссылку на политику конфиденциальности.
2️⃣ Если общаетесь через мессенджеры → Напишите: «Для работы мне нужно записать ваши данные. Вы не против?»
3️⃣ Если заполняете данные вручную → Клиент должен подписать согласие.
📌 ВАЖНО! Если вы работаете с особыми категориями ПД (например, с медицинскими данными), нужно получать письменное согласие.

📌 Правило №2: Политика конфиденциальности – ваш щит от штрафов 🛡️

💡 Этот документ ОБЯЗАТЕЛЕН для всех операторов ПД!
🔴 Если у вас есть сайт – без политики конфиденциальности он может быть заблокирован.
Что должно быть в политике конфиденциальности?
  • Какие данные вы собираете (ФИО, телефон, e-mail и т.д.).
  • Для чего вы их используете.
  • Как вы их защищаете.
  • Как клиент может отозвать своё согласие.
📌 Где разместить?
  • Если у вас сайт → Добавьте ссылку в подвал страницы.
  • Если вы самозанятый → Можно оформить PDF-файл и отправлять клиенту по запросу.
Нет сайта? Всё равно нужна политика! Просто храните документ у себя и при необходимости показывайте клиентам.

📌 Правило №3: Защитите данные клиентов от утечек 🔒

💡 Если данные ваших клиентов утекут – штрафы могут достигать 500 000 ₽!
🔴 Как защитить информацию?
Не храните клиентские базы в открытом доступе.
❌ Google-таблицы и Excel без пароля – это риск.
Защитите телефон паролем, если в нём контакты клиентов.
❌ Потерянный телефон без блокировки – это утечка данных.
Используйте двухфакторную аутентификацию для e-mail и CRM.
❌ Если вас взломают – утечка данных будет на вашей ответственности.
📌 Дополнительно:
  • Раз в полгода удаляйте ненужные данные.
  • Не передавайте клиентские контакты третьим лицам без их согласия.
  • Не отправляйте персональные данные в открытых чатах или незащищённых почтах.

📌 Мини-чек-лист: всё ли у вас в порядке?

✅ Есть ли у вас согласие клиентов на обработку их данных?
✅ Разместили ли вы политику конфиденциальности?
✅ Надёжно ли вы защищаете клиентские данные?
👉 Если хотя бы один пункт под вопросом – исправьте это сейчас, пока не пришла проверка.

Реальные штрафы и ошибки, за которые бизнес страдает ⚠️

💡 «Да кому вообще есть дело до моей базы клиентов?» – думают многие предприниматели, пока не получают штраф от Роскомнадзора.
А теперь разберём реальные случаи, когда бизнес попался на нарушениях, и как этого избежать.

❌ Кейс 1: Самозанятый психолог – штраф 30 000 ₽ за хранение клиентских контактов

🔎 Что случилось?
Самозанятый психолог собирал данные клиентов (ФИО, номера телефонов, e-mail), но не уведомил Роскомнадзор и не получил согласие клиентов.
🚨 Как его вычислили?
Один из клиентов пожаловался, что его данные передали третьим лицам без разрешения. В итоге – проверка и штраф.
Как избежать?
  • Оформить согласие на обработку ПД.
  • Подать уведомление в Роскомнадзор.
  • Не передавать клиентские данные без их явного разрешения.

❌ Кейс 2: Онлайн-магазин – 75 000 ₽ штрафа за рассылку без согласия

🔎 Что случилось?
Маленький интернет-магазин делал рассылку по клиентской базе. Они решили, что раз клиенты покупали у них товары, можно просто добавить их e-mail в рассылку.
Ошибка:
Рассылка без явного согласия клиента нарушает закон. Один из клиентов пожаловался – пришла проверка и штраф.
Как избежать?
  • Чётко получать согласие клиентов на рассылки (чекбокс на сайте).
  • Добавить возможность отписки.
  • Разместить политику конфиденциальности.

❌ Кейс 3: Салон красоты – 100 000 ₽ штрафа за утечку данных клиентов

🔎 Что случилось?
Администратор записывала номера клиентов в обычную Google-таблицу без пароля.
Однажды её взломали – и база клиентов с телефонами и адресами утекла в интернет.
🚨 Результат: Роскомнадзор оштрафовал компанию за необеспечение безопасности ПД.
Как избежать?
  • Не храните клиентскую базу в открытом доступе.
  • Используйте защищённые сервисы и пароли.
  • Настройте двухфакторную аутентификацию.

📌 Вывод: как не попасть на штраф?

🔹 Получайте согласие клиентов (не просто «ОК» в чате, а юридически правильное).
🔹 Уведомите Роскомнадзор, если вы оператор ПД.
🔹 Защитите данные клиентов (пароли, закрытые таблицы, надёжные CRM).

Минимальный набор действий, чтобы спать спокойно 😴

💡 Если у вас нет времени разбираться во всех юридических нюансах, сделайте хотя бы это – и вы закроете 90% рисков.
Простая формула защиты: «3 документа + 3 правила безопасности»

📌 3 документа, которые вам нужны 📝

1️⃣ Согласие на обработку персональных данных
🔹 Нужен, если вы записываете контактные данные клиентов.
🔹 Форма согласия: чекбокс на сайте / подписанный бланк / явное согласие в переписке.
2️⃣ Политика конфиденциальности
🔹 ОБЯЗАТЕЛЬНА, если у вас есть сайт, формы заявок, рассылки.
🔹 Должна быть доступна клиенту (например, ссылка в подвале сайта).
🔹 Можно сделать PDF-документ и отправлять клиенту при запросе.
3️⃣ Уведомление в Роскомнадзор
🔹 Подайте через сайт pd.rkn.gov.ru
🔹 Нужно, если вы ведёте клиентскую базу (телефон, CRM, Google-таблица).
🔹 Разовый процесс: подаёте один раз, потом просто обновляете при изменениях.

📌 3 правила безопасности для ваших данных 🔒

1️⃣ Не храните клиентскую базу в открытом доступе
Плохо: Обычная таблица Google без пароля.
Хорошо: CRM-система, Excel-файл с паролем, защищённое облачное хранилище.
2️⃣ Защитите доступ к данным
✅ Двухфакторная аутентификация в e-mail, CRM, аккаунтах.
✅ Надёжные пароли (не «123456» и не «qwerty»).
3️⃣ Удаляйте ненужные данные
✅ Раз в 6 месяцев очищайте базу от старых данных.
✅ Не храните больше информации, чем нужно.

🔎 На чём основаны все требования? Нормативная база

💡 Все правила обработки персональных данных регулируются российским законодательством. Давайте разберём, какие законы и статьи к вам применимы.

1️⃣ Основной закон: 152-ФЗ «О персональных данных»

📌 Главный закон, регулирующий обработку персональных данныхФедеральный закон № 152-ФЗ «О персональных данных» (принят 27 июля 2006 года).
🔹 Статья 3 – что считается персональными данными
«Персональные данные – любая информация, относящаяся к прямо или косвенно определяемому физическому лицу.»
👉 Вывод: Если у вас есть клиентская база с именами, телефонами, e-mail – это уже ПД, и на вас распространяются требования закона.
🔹 Статья 6 – условия обработки ПД
«Обработка персональных данных допускается только с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством.»
👉 Вывод: Без согласия клиента на обработку его данных работать нельзя.
🔹 Статья 18.1 – обязанность оператора иметь политику конфиденциальности
«Оператор обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.»
👉 Вывод: Если у вас есть сайт – политика конфиденциальности обязательна.
🔹 Статья 22 – обязанность уведомлять Роскомнадзор
«Оператор обязан до начала обработки персональных данных направить в уполномоченный орган уведомление.»
👉 Вывод: Если вы ведёте клиентскую базу – нужно подать уведомление в Роскомнадзор.

2️⃣ Административная ответственность: КоАП РФ

📌 Если вы нарушаете закон о персональных данных, то вас могут оштрафовать по Кодексу об административных правонарушениях РФ (КоАП РФ).
🔹 Статья 13.11 КоАП РФ – штрафы за нарушение закона о ПД
«Нарушение установленных требований к сбору, хранению, обработке или передаче персональных данных влечёт наложение административного штрафа.»
🔴 Размер штрафов:
  • Для самозанятых и ИП – от 3 000 до 75 000 ₽.
  • Для компаний – от 30 000 до 500 000 ₽.
  • За утечку данных – до 500 000 ₽.
👉 Вывод: Даже если у вас маленький бизнес – штрафы могут быть ощутимыми.

3️⃣ Гражданская ответственность: ГК РФ

📌 Нарушение закона о ПД может привести не только к штрафам, но и к искам от клиентов по Гражданскому кодексу РФ.
🔹 Статья 152.2 ГК РФ – защита персональных данных
«Обработка персональных данных допускается только в случаях, предусмотренных федеральным законом или с согласия субъекта.»
🔹 Статья 151 ГК РФ – компенсация морального вреда
«Если гражданину причинён моральный вред, суд может взыскать денежную компенсацию.»
👉 Вывод: Если клиент решит, что его данные использовали неправомерно, он может подать на вас в суд и потребовать компенсацию.

4️⃣ Требования Роскомнадзора

📌 Роскомнадзор – главный орган, который следит за соблюдением закона о ПД.
🔹 Обязанности операторов ПД (разъяснения Роскомнадзора)
✅ Оператор должен уведомить Роскомнадзор о начале обработки данных.
✅ Оператор должен иметь политику конфиденциальности и публиковать её.
✅ Оператор должен обеспечить защиту данных клиентов от утечек.
🔴 Как Роскомнадзор выявляет нарушения?
  • По жалобам клиентов.
  • Через проверки сайтов и бизнеса.
  • По результатам утечек данных.

📖 Основные понятия и определения

🔹 1. Персональные данные (ПД)

📌 Статья 3 152-ФЗ:
«Персональные данные – любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).»
Простыми словами: Если по данным можно определить конкретного человека – это ПД.
🔹 Примеры персональных данных:
  • ФИО
  • Телефон, e-mail, адрес
  • Паспортные данные
  • Дата рождения
  • Фото, видео, аудиозаписи
  • IP-адрес, cookies
  • История покупок и транзакций
Что НЕ является ПД?
  • Информация о юридических лицах (например, данные ООО).
  • Анонимные или обезличенные данные (если их нельзя привязать к человеку).

🔹 2. Обработка персональных данных

📌 Статья 3 152-ФЗ:
«Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, распространение, обезличивание, блокирование, удаление, уничтожение.»
Простыми словами: Любое взаимодействие с ПД – это их обработка.
🔹 Примеры обработки:
  • Запись контакта клиента в телефон
  • Ведение базы клиентов в Excel или CRM
  • Передача данных курьерам, бухгалтеру, рекламным сервисам
  • Отправка e-mail или SMS клиентам
🔴 ВАЖНО! Если вы хоть как-то взаимодействуете с ПД – вы оператор персональных данных.

🔹 3. Оператор персональных данных

📌 Статья 3 152-ФЗ:
«Оператор – лицо, самостоятельно или совместно с другими организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки.»
Простыми словами: Любой, кто собирает, хранит или использует ПД, – оператор ПД.
🔹 Кто является оператором ПД?
  • Компании (ООО, ИП)
  • Самозанятые, если ведут клиентскую базу
  • Онлайн-магазины, курьерские службы, сервисы доставки
  • Фрилансеры, коучи, репетиторы, мастера услуг
🔴 ВАЖНО! Если вы оператор ПД, то обязаны соблюдать требования закона: уведомить Роскомнадзор, получать согласие клиентов, защищать их данные.

🔹 4. Согласие субъекта персональных данных

📌 Статья 9 152-ФЗ:
«Обработка персональных данных допускается только с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством.»
Простыми словами: Нельзя просто так записывать или использовать клиентские данные – нужно получить их согласие.
🔹 Как получить согласие на обработку ПД?
  • Подписанный документ
  • Чекбокс на сайте
  • Явное согласие в переписке
🔴 ВАЖНО! Просто написать «ОК» в WhatsApp – недостаточно.

🔹 5. Политика конфиденциальности

📌 Статья 18.1 152-ФЗ:
«Оператор обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.»
Простыми словами: Если у вас есть сайт – политика конфиденциальности обязательна.
🔹 Что должно быть в политике?
  • Какие данные вы собираете
  • Для чего их используете
  • Как их защищаете
  • Как клиент может отозвать своё согласие
🔴 ВАЖНО! Если у вас нет сайта, но вы работаете с клиентами – политика ПД всё равно должна быть (хотя бы в PDF).

🔹 6. Уведомление об обработке персональных данных

📌 Статья 22 152-ФЗ:
«Оператор обязан до начала обработки персональных данных направить в уполномоченный орган уведомление.»
Простыми словами: Если вы ведёте клиентскую базу – уведомите Роскомнадзор.
🔹 Кому точно нужно уведомлять?
  • Всем, кто хранит данные клиентов в CRM, Excel, телефоне
  • Всем, кто использует e-mail и SMS-рассылки
  • Всем, кто передаёт данные подрядчикам
🔴 ВАЖНО! Подавать уведомление можно через сайт Роскомнадзора (pd.rkn.gov.ru).
Мы можем помочь с составлением документов по обработке персональных данных https://t.me/m/vcm-Ss1uNjEy
Персональные данные
Made on
Tilda