Опубликовано: 10.08.2025
Бизнесу часто приходится работать с информацией о людях. Например, хранить личные данные сотрудников или собирать контакты покупателей для бонусной программы.
При этом компания или предприниматель отвечают за собранные данные. Если нарушить правила их обработки или допустить утечку личных сведений, можно получить серьезные штрафы от Роскомнадзора.
В статье разберемся, что значит обработка персональных данных и как правильно собирать и использовать информацию о клиентах.
Что такое персональные данные и кого называют операторами
По определению из закона 152-ФЗ персональные данные (ПДн) — это любая информация, которая прямо или косвенно относится к человеку. Это может быть фамилия, номер паспорта или контакты для связи.
Сведения становятся персональными данными только тогда, когда их можно отнести к конкретному человеку. Например, если данные написаны в связке друг с другом: телефон рядом с именем, а отзыв под фотографией.
Пример
| Не персональные данные | Персональные данные |
| Продуктовый магазин проводит розыгрыш среди покупателей и просит участников отметить в купоне только номер телефона. | Продуктовый магазин просит покупателей внести в купон фамилию, имя и номер телефона для участия в розыгрыше. |
| Интернет-магазин предлагает оставить на сайте email, чтобы направить на почту актуальный каталог. | Интернет-магазин предлагает заполнить форму на сайте и указать ФИО, email и номер телефона посетителя. |
| Предприниматель фотографирует сотрудников на праздничном мероприятии. | Предприниматель прикладывает фото нового сотрудника в личное дело. |
Персональные данные людей собирают и используют в разных целях, в том числе и в бизнесе. Компании и ИП, которые обрабатывают личные сведения сотрудников или клиентов, называют операторами персональных данных. То есть вы становитесь оператором, когда:
- просите покупателей заполнить анкету обратной связи;
- публикуете отзывы клиентов на сайте;
- вносите контакты клиентов в CRM-систему;
- передаете сведения о клиентах между отделами. Допустим, из отдела продаж в бухгалтерию, чтобы сформировать счет на оплату;
- храните персональные данные в архивных досье.
Виды персональных данных
В законе «О персональных данных» выделяют четыре вида личной информации: общие, специальные, биометрические и иные сведения. Расскажем о каждом из них:
✅ Общие — это базовые сведения о человеке, к которым относят:
- фамилию, имя и отчество;
- дату и место рождения человека, его пол;
- гражданство;
- почтовый адрес, email, номер телефона;
- номера документов, удостоверяющих личность;
- семейное положение;
- доходы и имущество в собственности.
Компании часто собирают общие данные о клиентах. Информация нужна, чтобы связаться с покупателями, доставить им товар или персонализировать предложение.
✅ Специальные — информация, которая характеризует личность человека. В эту категорию входят:
- состояние здоровья;
- национальность;
- политические взгляды;
- религиозные убеждения;
- судимости.
Такие данные бизнес редко, но использует. Например, сведения о состоянии здоровья и хронических заболеваниях могут храниться в электронной карте частного медицинского центра или стоматологии.
✅ Биометрические — физиологические особенности человека, которые помогают установить его личность. Среди биометрических данных выделяют:
- отпечатки пальцев;
- рисунок радужной оболочки глаза;
- группу крови;
- изображение лица на фото и видео;
- запись голоса.
Биометрические данные чаще применяет крупный бизнес в своих разработках.
✅ Иные — это дополнительная, второстепенная информация о человеке. Все те данные, которые не вошли в другие группы. Пример таких данных в бизнесе — зарплатные ведомости или график отпусков отдела.
Как правильно работать с персональными данными
Использовать личную информацию о клиентах для целей бизнеса можно. Но для этого вначале правильно организуйте работу с данными.
Шаг 1: Разработайте документы по персональным данным
Чтобы не нарушить закон, перед работой с персональными данными нужно создать ряд документов. К ним, в частности, относятся:
- обязательство о неразглашении для сотрудников;
- приказы о назначении ответственных;
- инструкции для сотрудников.
Главным документом считается политика обработки персональных данных. Ее обязательно нужно разместить в открытом доступе, например, на сайте компании.
В политике обработки персональных данных опишите:
- для чего вы собираете сведения. Например, для продвижения товаров, проведения исследований или по решению суда;
- какими способами обрабатываете данные — в автоматизированных системах или вручную;
- как защищаете личную информацию — где храните, какими средствами защиты информации (СЗИ) пользуетесь;
- способы связи с вами — как можно обсудить нарушения и спорные моменты.
Сэкономить время поможет конструктор документов — сервис от ВТБ для составления юридически грамотных документов для бизнеса. В нем есть больше 1500 шаблонов, которые постоянно обновляются.
Шаг 2: Зарегистрируйтесь в реестре операторов
На сайте Роскомнадзора (РКН) ведется реестр операторов. В нем регистрируются все организации и предприниматели, которые обрабатывают личные данные.
Роскомнадзор следит за тем, как операторы работают с информацией. Например, проверяет, есть ли в открытом доступе политика обработки данных. Или уведомляет ли оператор, что использует файлы cookie на сайте. Они тоже относятся к персональным данным.
Для регистрации в реестре отправьте в ведомство форму. В ней отметьте, какие данные вам нужны и зачем.
Шаг 3: Подготовьте письменное согласие на обработку персональных данных
Для сбора персональных данных вам понадобится письменное согласие — документ, в котором клиент подтверждает передачу личных сведений своей подписью.
В согласии отразите:
- какие данные о человеке вам нужны;
- для какой цели их используете;
- сколько будете хранить информацию;
- как можно запретить вам использовать данные.
Согласие нужно взять у клиента до или во время сбора сведений о нем. Например, текст согласия можно включить в опросную анкету.
В статье 6 Федерального закона 152-ФЗ перечислены случаи, когда обрабатывать данные можно без согласия. Например, если вы исполняете решение суда или работаете журналистом.
Шаг 4: Соберите персональные данные
Соберите сведения о клиентах удобным способом: предложите оставить отзывы или заполнить анкеты, внесите данные в систему, разместите формы обратной связи на сайте. Не запрашивайте у клиента больше данных, чем вам нужно для бизнеса.
Пример
Компания хочет узнать мнение о новом продукте и просит пройти опрос посетителей сайта. В такой опрос нельзя включить вопросы о национальности или политических взглядах клиентов — эта информация не относится к клиентскому опыту.
Шаг 5: Защитите персональные данные
Пока вы храните сведения о клиентах или сотрудниках, то обязаны защищать эти данные. Для разных видов персональных данных нужна разная степень защиты.
По Постановлению Правительства № 1119, выделяют четыре уровня защищенности данных (УЗ). Самым низким считается 4-й. Он действует для общих данных и информации о работниках организации. Самый высокий уровень — 1-й. Его устанавливают для защиты больших объемов специальных и биометрических данных.
В таблице собрали конкретные действия для защиты данных на каждом уровне.
| Действия | 1-й УЗ | 2-й УЗ | 3-й УЗ | 4-й УЗ |
| Закройте на ключ помещение с серверами или храните носители в сейфе | ✅ | ✅ | ✅ | ✅ |
| Ограничьте круг сотрудников с доступом к ПДн | ✅ | ✅ | ✅ | ✅ |
| Используйте сертифицированные средства защиты информации (СЗИ) — антивирусы, блокировку подозрительного трафика, резервное копирование данных | ✅ | ✅ | ✅ | ✅ |
| Назначьте сотрудника, ответственного за безопасность ПД | ✅ | ✅ | ✅ | |
| Ограничьте доступ работников к электронному журналу — документу, в котором фиксируют запросы информации сотрудниками | ✅ | ✅ | ||
| Регистрируйте в электронном журнале, кому даете и у кого забираете доступ к данным | ✅ | |||
| Создайте подразделение, которое будет отвечать за безопасность ПДн | ✅ |
Шаг 6: Удалите персональные данные вовремя
Бесконечно хранить персональные данные нельзя. Когда вы закончите работу со сведениями, их нужно удалить. А если клиент отзовет согласие на обработку персональных данных, вы должны удалить информацию о нем в течение 30 дней.
Обязанность оператора — проконтролировать, чтобы данные удалили все подразделения организации: удалили файлы, уничтожили сведения на бумаге. Например, если данные о клиенте из отдела продаж передавали в юридический отдел для подготовки договоров, сведения должны удалить оба подразделения.
Если базы данных слишком большие или их использовали сотрудники нескольких отделов одновременно, воспользуйтесь автоматизированными сервисами. Так, в некоторых CRM-системах встроены функции автоматического удаления данных клиентов после сделки.
Ответственность за нарушения
Если оператор нарушит правила работы с персональными данными, нужно будет заплатить штраф. Все виды штрафов указаны в статье 13.11 КоАП РФ. Приведем некоторые из них.
Штрафы для руководителей компании
| Нарушение | Первичное | Повторное |
| Использовали сведения без согласия клиента | 100–300 тыс. рублей | 300–500 тыс. рублей |
| Не разместили политику обработки в открытом доступе | 6–12 тыс. рублей | |
| Использовали сведения для других целей | 50–100 тыс. рублей | 100–200 тыс. рублей |
| Не удалили данные по запросу клиента | 8–20 тыс. рублей | 30–50 тыс. рублей |
| Допустили утечку данных | 8–20 тыс. рублей | |
| Незаконно передали ПДн другой компании или ИП | 200–1500 тыс. рублей |
Для юридических лиц и индивидуальных предпринимателей суммы штрафов больше.
Штрафы для организаций и ИП
| Нарушение | Первичное | Повторное |
| Использовали сведения без согласия клиента | 300–700 тыс. рублей | • для организации: 1–1,5 млн рублей • для ИП: 500–1000 тыс. рублей |
| Не разместили политику обработки в открытом доступе | • для организации: 30–60 тыс. рублей • для ИП: 10–20 тыс. рублей | |
| Использовали сведения для других целей | 150–300 тыс. рублей | 300–500 тыс. рублей |
| Не удалили данные по запросу клиента | • для организации: 50–90 тыс. рублей • для ИП: 20–40 тыс. рублей | • для организации: 300–500 тыс. рублей • для ИП: 50–100 тыс. рублей |
| Допустили утечку данных | • для организации: 50–100 тыс. рублей • для ИП: 20–40 тыс. рублей | |
| Незаконно передали ПДн другой компании или ИП | 3–20 млн рублей |
Самые серьезные санкции последуют за умышленную передачу сведений о клиентах. Но штраф можно получить, даже если не запросить согласие у клиента или не разместить политику обработки данных в открытом доступе.
Коротко
- Персональные данные — это любые сведения о конкретном человеке. Есть несколько разновидностей персональных данных: общие, специальные, биометрические и иные данные.
- Обработка персональных данных — это любые действия с ними. Например, информацию можно собирать, хранить в архивах, использовать для анализа, публиковать на сайте и удалять. Компания или ИП, которые работают с личными данными, становятся операторами.
- Операторы персональных данных обязаны создать политику обработки данных, зарегистрироваться в реестре Роскомнадзора, а также защищать собранные базы данных.
- Если нарушить правила работы с данными, можно заплатить крупный штраф. Например, максимальная сумма наказания для компании за незаконное распространение баз данных — 20 млн рублей.