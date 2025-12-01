Игнорирование этих правил — прямой путь к штрафам, которые могут достигать миллионов рублей. Разберем по пунктам, что нужно сделать, чтобы работать легально и безопасно.
1. Статус оператора и уведомление для Роскомнадзора
Кто считается оператором? Любой, кто систематически собирает и использует данные клиентов (ФИО, телефоны, e-mail, адреса доставки). Неважно, являетесь ли вы ИП без сотрудников или самозанятым фотографом — вы подпадаете под действие закона 152-ФЗ.
Что делать? Подать уведомление в Роскомнадзор о начале обработки персональных данных. Это нужно сделать до того, как вы начали собирать данные. Исключением является обработка ПДн исключительно вручную, без использования средств автоматизации.
Штраф за нарушение (ч. 10 ст. 13.11 КоАП):
Для самозанятых (граждан): 5 000 – 10 000 руб.
Для ИП (приравниваются к юрлицам): 100 000 – 300 000 руб.
2. Документы, которые должны быть у каждого
Главный документ, который обязан опубликовать каждый оператор — Политика в отношении обработки персональных данных.
Для самозанятых Политики будет достаточно, а вот предпринимателям стоит позаботиться о дополнительных локальных актах, регламентирующих работу с ПДн. К таким в первую очередь относятся Положение о порядке уничтожения персональных данных, Правила рассмотрения обращений субъектов персональных данных, а также принятие актов, в которых определяется уровень защищенности, проводится оценка вреда. Важным шагом будет определение мест хранения материальных носителей. Обычно такое мероприятие оформляется приказом ИП.
Где разместить Политику? Если данные собираются через ваш сайт, Политика должна быть на нем опубликована в свободном доступе. В ней необходимо прописать, какие данные вы собираете, зачем, как храните и когда уничтожаете.
Штраф за отсутствие Политики (ч. 3 ст. 13.11 КоАП):
Для самозанятых: 1 500 – 3 000 руб.
Для ИП: 10 000 – 20 000 руб.
3. Самое рискованное: согласие на распространение данных
Ведомство подчеркивает, что для обработки персональных данных необходимо наличие правового основания. Наиболее частыми являются обработка в силу договора, в силу закона или в силу согласия субъекта ПДн. Особенно строги требования к так называемому «согласию на распространение».
В чем разница?
Согласие на обработку — нужно для оказания услуги и работы с клиентской базой: сбор, запись, хранение, использование, передача третьему лицу и даже удаление.
Согласие на распространение — требуется, если вы планируете публиковать эти данные в общем доступе (в соцсетях, на сайте).
Когда нужно? Когда вы собираете данные через сайт (заказ, подписка, обратный звонок), вы обязаны получить согласие. Оформите его активной галочкой «Согласен на обработку персональных данных» и ссылкой на текст согласия и Политику обработки.
Для публикации фото, отзывов или любых данных клиентов в открытых источниках требуется отдельное согласие на распространение по строгой форме ст. 10.1 152-ФЗ — обычной галочки здесь недостаточно.
Использование аналитики: если на сайте используются такие инструменты, как например Яндекс.Метрика, ИП обязан информировать об этом посетителей, например, через всплывающее окно, и получать их согласие на сбор cookie-файлов. Так как cookie-файлы также являются персональными данными.
Штраф за нарушение (ч. 2 ст. 13.11 КоАП):
Для ИП: 300 000 – 700 000 руб.
Повторное нарушение для ИП: 500 000 – 1 000 000 руб.
4. Главный финансовый риск: локализация данных
Роскомнадзор прямо заявил: использование популярных зарубежных облачных сервисов (Google Drive, Trello, Mailchimp) для хранения данных российских клиентов — прямое нарушение закона.
Что требует закон? Все базы данных с персональной информацией граждан РФ должны храниться на серверах внутри России. Использование зарубежных сервисов считается трансграничной передачей, которую нужно отдельно согласовывать с Роскомнадзором.
Штраф за нарушение локализации (ч. 8 ст. 13.11 КоАП):
Для ИП: 1 000 000 – 6 000 000 руб.
Повторное нарушение для ИП: 6 000 000 – 18 000 000 руб.
Это самое дорогое нарушение, которое может стать фатальным для малого бизнеса.
Итог: легализация — это финансовая безопасность
Роскомнадзор четко дал понять: ИП и самозанятые — под пристальным вниманием. Поводом для проверки может стать жалоба недовольного клиента.
Типичные нарушения: отсутствие Политики, нет согласия на обработку, данные «утекли» в зарубежное облако.
Результат: гигантские штрафы, которые несопоставимы с доходом малого предпринимателя.
Соблюдение закона о персональных данных для малого бизнеса — это не бюрократическая формальность, а вопрос финансовой безопасности и защиты от рисков, способных уничтожить ваше дело. Потратьте время на легализацию своих процессов сейчас, чтобы избежать многомиллионных штрафов завтра.
