О чем материал:
В 2026 году требования по персональным данным касаются всех, а не только крупных корпораций, банков и IT-гигантов. Что мы видим? Проверки стали технологичнее, штрафы выше, Роскомнадзор активно работает с ИП, интернет-магазинами, локальными сервисами и небольшими компаниями.
Парадокс в том, что многие предприниматели даже не подозревают, что нарушают закон. Форма обратной связи на сайте, база клиентов в Excel, чат с заявками, CRM, рассылка или анкета сотрудника — все это уже работа с персональными данными. И иногда одного обращения, жалобы клиента или проверки сайта достаточно, чтобы бизнес получил то самое «письмо счастья» с требованием объясниться, предоставить документы и устранить нарушения.
В такой реальности к знанию норм 152-ФЗ нужно прибавить умение выстраивать систему защиты персональных данных как непрерывный процесс. Этому и посвящен курс «Обучение защите персональных данных». Он дает практическую оптику: как проводить аудит по 152-ФЗ, работать с биометрическими данными, вести трансграничную передачу данных и локализовывать базы в России. В результате вы получаете готовую систему защиты бизнеса, а также базу для сертификации Data Protection Officer, которая напрямую влияет на вашу ценность на рынке.
Почему аргумент «мы маленькие» в 2026 году уже не работает
Потому что закон о персональных данных N 152-ФЗ не делит компании на «слишком маленьких для проверки» и «достаточно крупных для штрафа». Если у бизнеса есть хотя бы один сотрудник, клиентская база или форма на сайте, он уже обрабатывает персональные данные и становится оператором по российскому законодательству. Достаточно имени, телефона, адреса эл.почты или резюме кандидата.
Для государства малый бизнес — огромный массив цифровых операторов данных. А автоматизированные проверки позволяют находить нарушения намного быстрее, чем раньше.
Наиболее частые ошибки ИП и небольших компаний:
- не публикуют политику обработки персональных данных;
- не получают корректные согласия;
- используют зарубежные сервисы без анализа рисков;
- не локализуют базы данных;
- не знают, какие данные вообще собирают.
Кто считается оператором персональных данных
По российскому законодательству оператор персональных данных — это лицо или организация, которые собирают, хранят, используют, передают или иным образом обрабатывают данные физических лиц.
Под действие 152-ФЗ попадает почти любой современный бизнес. Закон касается:
- Компаний с сотрудниками в штате — при найме, расчете зарплаты и ведении кадровых документов используются персональные данные работников.
- Интернет магазинов и сайтов с формой заказа — имя, телефон, адрес доставки и имейл клиента уже считаются персональными данными.
- Клиник, салонов красоты, фитнес клубов — такие организации ведут клиентские базы и часто работают с чувствительной информацией.
- Ресторанов и сервисов с программами лояльности — накопительные карты, бонусные системы и приложения собирают данные посетителей.
- B2B компаний — контакты менеджеров, данные представителей контрагентов и CRM тоже подпадают под регулирование.
Список можно продолжать. Если бизнес знает имя, телефон, почту или другие сведения хотя бы об одном человеке — он уже работает с персональными данными и обязан соблюдать требования закона.
Что обязательно даже для ИП с сайтом, формой заявки и CRM
Проблема в том, что нарушения часто возникают не из злого умысла, а из бытового подхода: форма заявки подключена «как получилось», база клиентов хранится без ограничений доступа, а политика обработки данных скачана с чужого сайта и не имеет отношения к реальным процессам бизнеса. Эти ситуации — примеры частых причин претензий со стороны Роскомнадзора.
Уведомление в Роскомнадзор и реестр операторов
Во многих случаях предприниматель обязан уведомить Роскомнадзор о начале обработки персональных данных и попасть в реестр операторов. Обязанность возникает, если данные обрабатываются автоматически, передаются третьим лицам, используются в онлайн-сервисах или собираются в рамках регулярной деятельности бизнеса. Типичный пример — интернет-магазин, который принимает заказы через сайт и передает данные курьерской службе.
Под уведомление часто подпадают онлайн-школы, сервисные компании, маркетинговые агентства, клиники, рестораны с программами лояльности и практически любой бизнес с клиентской базой.
Игнорирование этой обязанности — одна из самых распространенных ошибок малого бизнеса. Предприниматели уверены, что про них никто не узнает, пока не получат запрос или жалобу.
Политика обработки, согласия, назначение ответственного
Регулятор смотрит, соответствует ли документа реальной работе бизнеса.
Если компания собирает телефоны для рассылок, использует CRM, подключает аналитику или передает заявки подрядчикам, это должно быть отражено в документах. Копирование чужой политики с сайта юридической фирмы обычно заканчивается тем, что документ красиво выглядит, но никак не связан с фактическими процессами.
Важно также правильно оформлять согласия пользователей, особенно если данные используются для рекламы, аналитики или передаются партнерам. Дополнительно бизнесу стоит определить ответственного за обработку данных, даже если это сам предприниматель.
Доступы, подрядчики, хранение и удаление данных
Одна из главных проблем малого бизнеса — отсутствие контроля за тем, кто и как работает с персональными данными внутри компании. Базы клиентов часто пересылаются через мессенджеры, доступы не ограничиваются, старые сотрудники сохраняют возможность входа в CRM даже после увольнения.
Не менее важен вопрос взаимодействия с подрядчиками. Если данные клиентов получает маркетинговое агентство, колл-центр, сервис рассылок или облачная CRM, бизнес обязан понимать, кому именно передаются данные и на каких условиях.
Отдельное внимание стоит уделить срокам хранения информации. Закон не предполагает хранение всего и навсегда на всякий случай. Если цель обработки достигнута, данные должны быть удалены или обезличены.
Какие штрафы и риски действительно опасны
Риск для малого бизнеса — это не только размер штрафа, но и эффект цепной реакции. Один инцидент с персональными данными может привести к проверке, жалобам клиентов, потере репутации и блокировке отдельных процессов.
Неуведомление РКН
Если оператор персональных данных не уведомил Роскомнадзор в случаях, когда это требуется, ему грозит административная ответственность. Размер штрафа зависит от характера нарушения и обстоятельств дела — до 500 000 рублей. Но проблема обычно выходит за рамки одной суммы.
Далее это будет означать дополнительные последствия: рост внимания со стороны проверяющих органов, претензии клиентов, потерю доверия и вероятность более глубоких проверок всей системы обработки данных.
Кроме того, отсутствие уведомления часто становится первым сигналом для регулятора о том, что компания в целом не контролирует процессы обработки информации.
Утечки и несообщение об инциденте
Согласно статье 13.11 КоАП РФ
| Нарушение | Физлица | Должностные лица | Юрлица | Норма |
| Утечка от 10 до 100 тыс. субъектов или от 100 тыс. до 1 млн идентификаторов | 200–300 тыс. руб. | 300–500 тыс. руб. | 5–10 млн руб. | ч. 13 ст. 13.11 КоАП |
| Утечка более 100 тыс. субъектов или свыше 1 млн идентификаторов | 300–400 тыс. руб. | 400–700 тыс. руб. | 10–15 млн руб. | ч. 14 ст. 13.11 КоАП |
| Утечка специальных категорий персональных данных | 400–500 тыс. руб. | 700 тыс.–1 млн руб. | 10–15 млн руб. | ч. 16 ст. 13.11 КоАП |
| Утечка биометрических данных | 500–700 тыс. руб. | 1–1,5 млн руб. | 15–20 млн руб. | ч. 17 ст. 13.11 КоАП |
Минимальный комплект документов и мер за 7 шагов
| Шаг | Что нужно сделать | Зачем это нужно |
| 1 | Определить, какие данные собирает бизнес | Чтобы понимать объем обязанностей и рисков |
| 2 | Подать уведомление в Роскомнадзор | Для законной обработки данных |
| 3 | Подготовить политику обработки персональных данных | Чтобы выполнить требования закона и снизить риски претензий |
| 4 | Настроить формы согласий на сайте | Для легального сбора данных пользователей |
| 5 | Ограничить доступы сотрудников | Чтобы снизить риск утечек |
| 6 | Проверить подрядчиков и сервисы | Чтобы понимать, кому передаются данные |
| 7 | Настроить порядок хранения и удаления данных | Чтобы не хранить информацию бессрочно и без оснований |
Что спросить у веб-студии, CRM, колл-трекинга и облачного хранилища
Работа с подрядчиками в сфере цифровых сервисов почти всегда означает передачу персональных данных третьим лицам. Ключевой ошибкой будет подписание договора по шаблону, без понимания, где именно будут храниться данные клиентов, кто имеет к ним доступ и как они защищены. Веб-студия, CRM или сервис аналитики становятся полноценными участниками цепочки обработки данных, а значит, бизнес отвечает не только за себя, но и за то, как они работают с информацией.
Перед подключением любого сервиса важно определиться, где физически хранятся данные, есть ли трансграничная передача, как организован доступ сотрудников провайдера и какие меры безопасности применяются.
Отдельно уточняйте, кто несет ответственность в случае утечки, как быстро можно удалить данные по запросу клиента и предусмотрена ли техническая возможность выгрузки или удаления информации без зависаний в системе.
Типичные ошибки малого бизнеса
Бизнес чаще всего ломается на базовой гигиене работы с данными. Типичная картина выглядит так: сайт собирает заявки без нормального согласия, CRM используется как склад контактов без правил доступа, сотрудники пересылают базы в мессенджерах, а подрядчики подключаются без проверки условий хранения и обработки информации.
Отдельная проблема — иллюзия безопасности из-за масштаба бизнеса, хотя для регулятора разницы между ИП и крупной компанией в контексте 152-ФЗ почти нет.
Компания любого масштаба должна системно подойти к модели работы с персональными данными, где каждый процесс зафиксирован и управляем.И чтобы не собирать эту систему методом проб и ошибок, есть курс «Обучение защите персональных данных». Он дает практический разбор 152-ФЗ через реальные бизнес-сценарии, учит проводить аудит процессов, работать с биометрией, трансграничной передачей и локализацией данных. В результате вы имеете готовую модель защиты бизнеса и понимание, как пройти проверку без хаотичных исправлений и штрафных сюрпризов.
