Малый бизнес редко начинает с мысли, что он оператор персональных данных. Обычно все выглядит буднично: форма на сайте просит имя и телефон, менеджер сохраняет заявку в CRM, маркетолог выгружает email для рассылки, а подрядчик получает доступ к таблице клиентов, чтобы быстро настроить рекламу. Но именно в таких мелких действиях чаще всего и появляется нарушение закона о персональных данных: данные собрали, цель не объяснили, согласие не зафиксировали, доступы не ограничили, а при проверке уже трудно доказать, кто и зачем работал с базой.
Персональные данные — это не только паспорт. Имя, телефон, email, Telegram-ник, адрес доставки, IP-адрес в связке с формой, история заказов и комментарий клиента тоже могут относиться к человеку. Чем меньше бизнес считает эти сведения ценными, тем выше риск: база лежит в личной почте, заявки пересылаются в общий чат, а ссылка на таблицу открыта всем, у кого она есть.
Нарушение закона о персональных данных начинается с обычной формы
Форма обратной связи кажется технической мелочью, но с точки зрения 152-ФЗ это момент сбора данных. Человек еще не стал клиентом, договор не подписан, но бизнес уже получил контакт и начал его обрабатывать: записал, передал в CRM, отправил уведомление менеджеру, сохранил в почте или в сервисе рассылок.
Самая частая ошибка — поставить под формой фразу вроде Нажимая кнопку, вы соглашаетесь, но не дать нормальной ссылки на политику и согласие. Еще хуже, когда форма отправляется без отдельного действия пользователя: чекбокс уже отмечен, ссылка ведет на пустую страницу, а в политике написано только общими словами, что компания может использовать данные в любых целях.
Для формы заявки, обратного звонка, подписки или личного кабинета нужен понятный минимум:
- политика обработки персональных данных на сайте, доступная с тех страниц, где идет сбор;
- согласие на обработку данных под конкретную цель: заявка, консультация, регистрация, рассылка;
- отдельная логика для рекламной рассылки, если контакт потом используют для маркетинга;
- HTTPS, ограничение доступа к заявкам и понятный маршрут данных: сайт, CRM, почта, мессенджер, подрядчик;
- уведомление Роскомнадзора об обработке персональных данных, если бизнес подпадает под обязанность уведомления.
Здесь важна не красота документа, а совпадение текста с реальностью. Если политика обещает хранить данные только в CRM, но заявки параллельно уходят в личный Telegram менеджера, документ не закрывает риск.
Что обязательно должно быть у бизнеса, если он собирает имя, телефон или email
Минимальная настройка зависит от того, какие данные собираются и зачем. Но если у бизнеса есть сайт, форма заявки, рассылка и клиентская база, безопаснее мыслить не документами, а цепочкой обработки.
Сначала нужно понять цель. Например: ответить на заявку, оформить заказ, отправить полезную рассылку, вести клиентскую историю, выполнить договор. Под каждую цель лучше не собирать лишнее. Если человеку обещают обратный звонок, обычно достаточно имени и телефона; дата рождения, город, должность и источник дохода для этого не нужны.
Потом стоит проверить, где данные живут. У малого бизнеса это часто смесь из CRM, таблицы, почты, мессенджера и файлов на ноутбуке. В похожих операционных историях, например у владельцев пунктов выдачи, слабое место часто не в идее бизнеса, а в дисциплине процессов: в материале про проблемы владельцев ПВЗ Wildberries мы уже разбирали, как мелкие правила площадки превращаются в деньги и риски. С персональными данными работает тот же принцип: порядок нужен до конфликта, а не после жалобы.
| Ситуация | Где риск нарушения | Что проверить быстро |
|---|---|---|
| Форма заявки на сайте | Нет политики, согласия, понятной цели или чекбокс отмечен заранее | Открывается ли политика, нельзя ли отправить форму без согласия, понятно ли, кто оператор |
| Подписка на рассылку | Email собрали для заявки, а потом используют для рекламы без отдельного основания | Есть ли отдельное согласие на рассылку и простая отписка |
| CRM или Google Таблица | Доступы не ограничены, бывшие сотрудники могут открыть базу, нет истории действий | Кто имеет доступ сейчас, есть ли двухфакторная защита, удалены ли старые пользователи |
| Заявки из мессенджеров | Переписка и телефоны остаются в личных аккаунтах сотрудников | Используются ли рабочие аккаунты и есть ли правило удаления лишних данных |
| Подрядчик по рекламе или сайту | Доступ к базе дали без договора, срока, цели и запрета на копирование | Есть ли поручение на обработку, NDA, отдельный аккаунт и дата отключения доступа |
Ошибки сайта, рассылки и обратной связи: примеры нарушения закона о персональных данных
На сайте проблемы часто видны за пять минут. Откройте форму в режиме обычного посетителя и попробуйте отправить ее без галочки согласия. Если заявка уходит, это тревожный сигнал. Если политика открывается, но в ней нет реквизитов оператора, целей обработки, категорий данных, сроков хранения и порядка отзыва согласия, риск остается.
Еще один частый случай — смешение целей. Клиент оставил телефон, чтобы ему перезвонили по заказу, а через неделю получил рекламную рассылку. Бизнес объясняет это тем, что человек сам дал номер. Но согласие на обработку для заявки и согласие на рекламную коммуникацию — не одно и то же. Для email-рассылок и SMS особенно важно фиксировать, откуда пришел контакт, на что человек согласился и как он может отписаться.
С cookies и веб-аналитикой ситуация тоньше. Не каждый cookie автоматически превращает сайт в грубого нарушителя, но в реальной маркетинговой настройке cookie часто связаны с идентификаторами, рекламными кабинетами и профилированием. Поэтому баннер, политика и перечень подключенных сервисов должны отражать не абстрактный интернет, а конкретные инструменты сайта.
Чем опасно хранение клиентской базы в Excel, CRM, мессенджерах и личной почте
Excel и Google Таблицы сами по себе не запрещены. Проблема начинается, когда база становится бесхозной. Ссылка передана подрядчику, потом стажеру, потом бывшему менеджеру. В таблице нет ролей, нет журнала действий, нет срока удаления, зато есть телефоны, email, суммы заказов и комментарии вроде VIP клиент или жалуется часто.
CRM безопаснее только тогда, когда ее настроили. Если все сотрудники сидят под одним логином, пароль хранится в общем чате, а экспорт базы доступен каждому менеджеру, CRM превращается в красивую оболочку для той же неуправляемой таблицы.
Практичный минимум для клиентской базы:
- отдельные рабочие аккаунты вместо общего логина;
- доступ только тем, кому база нужна для работы;
- двухфакторная аутентификация для CRM, почты и таблиц;
- запрет пересылать выгрузки в личную почту и личные мессенджеры;
- регулярное удаление лишних данных и отключение бывших сотрудников;
- резервное копирование без открытых ссылок и паролей в названии файла.
Особенно аккуратно нужно работать с финансовыми следами клиента: кредитная история, платежи, долги, заявки на займы, данные карт и документы требуют повышенной дисциплины. В статье про бесплатную проверку кредитного рейтинга мы писали, почему даже видимость доступа к финансовой информации быстро становится точкой интереса для мошенников.
Передача данных подрядчикам: маркетологу, SMM, колл-центру, разработчику
Подрядчик часто получает больше доступа, чем ему нужно. Разработчику дают админку сайта и CRM, SMM-специалисту — выгрузку покупателей, колл-центру — всю историю заказов за три года, а email-маркетологу — базу с телефонами, хотя он работает только с письмами.
Юридический риск здесь не только в самом факте передачи. Важно, есть ли основание, цель, договорные ограничения и понятный контроль. Если подрядчик обрабатывает данные по поручению бизнеса, в договоре или приложении стоит закрепить, какие данные передаются, для чего, какие действия разрешены, как защищается доступ, можно ли привлекать субподрядчиков и что происходит после окончания работ.
Простой пример. Маркетологу нужно настроить рассылку по действующим клиентам. Безопаснее дать ему доступ к сегменту в сервисе рассылок с ограниченными правами, чем отправить XLSX-файл с полной базой за пять лет. После окончания кампании доступ отключается, а не остается на всякий случай.
Ответственность за нарушение закона о персональных данных: что изменилось в 2025-2026 годах
В 2025 году риск стал заметно дороже. С 30 мая 2025 года в статье 13.11 КоАП РФ появились отдельные штрафы за неуведомление Роскомнадзора о намерении обрабатывать персональные данные, за несообщение об инциденте с данными и за неправомерную передачу или доступ к данным в зависимости от масштаба утечки. Для повторных крупных утечек предусмотрены оборотные штрафы: для юридических лиц это может быть 1-3% выручки, но не ниже установленного минимума.
Для малого бизнеса это не значит, что завтра придет проверка к каждому сайту с формой. Но прежняя логика уже не работает. Раньше многие относились к персональным данным как к формальности: поставим шаблон политики, а потом разберемся. Теперь проблема может вырасти из жалобы клиента, утечки таблицы, конфликта с бывшим сотрудником, претензии по рассылке или вопроса Роскомнадзора.
Еще одна зона риска — локализация. При сборе персональных данных граждан РФ через интернет нужно учитывать требование о записи, систематизации, накоплении, хранении, уточнении и извлечении таких данных с использованием баз данных на территории России. Если сайт, CRM или сервис рассылок уводит первичную базу в зарубежное облако, это нельзя оставлять на уровне вроде у нас же маленькая компания.
Что предприниматель может проверить быстро и без больших затрат
Не нужно начинать с дорогого аудита на сто страниц. Первый слой проверки можно пройти за вечер, если собрать владельца бизнеса, администратора сайта, маркетолога и человека, который работает с CRM.
- Откройте все формы на сайте и проверьте, куда фактически уходят заявки.
- Сравните текст политики с реальными сервисами: CRM, почта, аналитика, рассылки, мессенджеры, хостинг.
- Проверьте, есть ли отдельное согласие на рекламную рассылку и понятная отписка.
- Выгрузите список пользователей CRM, таблиц, почты и рекламных кабинетов, удалите лишних.
- Найдите все клиентские базы в файлах, личных облаках и чатах, перенесите их в контролируемое место.
- Проверьте договоры с подрядчиками: есть ли пункт о персональных данных, конфиденциальности и возврате или удалении данных.
- Уточните, подавалось ли уведомление в Роскомнадзор и совпадает ли оно с текущими процессами.
Это не заменяет юриста и специалиста по информационной безопасности, но быстро показывает слабые места. Обычно после такой проверки бизнес впервые видит, что данные клиентов живут не в одной системе, а в пяти.
Откройте пункты, которые совпадают с вашим бизнесом. Если набралось три и больше, стоит провести короткий аудит сайта, CRM и рассылок.
На сайте есть форма заявки, но я не уверен, куда попадают данные
Риск средний или высокий: нужно составить карту маршрута данных от формы до CRM, почты, мессенджера и подрядчиков.
Рассылку делаем по базе клиентов, но не храним источник согласия
Риск высокий: при жалобе трудно доказать, что человек соглашался именно на маркетинговые сообщения.
Клиентская база лежит в таблице по ссылке
Риск высокий: проверьте права доступа, историю пользователей, бывших сотрудников и возможность скачать файл.
Подрядчики подключаются к CRM или админке под нашим логином
Риск высокий: нужен отдельный доступ, ограничение прав, срок действия и договорное поручение на обработку данных.
Мы не знаем, подавали ли уведомление в Роскомнадзор
Риск зависит от процессов, но игнорировать его нельзя: сайт с формами, CRM и рассылками обычно требует отдельной проверки обязанности уведомления.
Что посоветовать владельцу малого бизнеса
Начните с инвентаризации, а не с переписывания всех документов. Нарисуйте простую схему: какие данные собираете, от кого, через какие формы, куда они уходят, кто имеет доступ, сколько храните и кому передаете. На одной странице сразу будет видно, где нарушение закона о персональных данных вероятнее всего: лишние поля, старые доступы, неподтвержденная рассылка, подрядчики без договора, таблицы без контроля.
После этого приводите сайт и процессы к схеме. Политика должна описывать реальность, согласия должны соответствовать целям, а доступы — ролям людей. Если бизнес работает с платежами, кредитными продуктами или цифровыми сервисами, след данных становится еще важнее: в материале о цифровом рубле и прозрачности расчетов мы уже показывали, как финансовая инфраструктура постепенно делает операции более видимыми.
Самая здоровая позиция для малого бизнеса звучит просто: собирать меньше, хранить аккуратнее, передавать только по делу, удалять вовремя и уметь объяснить клиенту, что происходит с его данными. Это дешевле, чем разбираться после жалобы, утечки или претензии регулятора.
FAQ
Нарушение закона о персональных данных — это только утечка базы?
Нет. Утечка — самый заметный случай, но нарушение может быть и без взлома: нет политики на сайте, согласие оформлено неправильно, данные используют не по той цели, клиенту не отвечают на требование удалить сведения, подрядчику передали базу без ограничений.
Чем грозит нарушение закона о персональных данных по КоАП?
Ответственность зависит от нарушения. Статья 13.11 КоАП РФ предусматривает штрафы за незаконную обработку, отсутствие опубликованной политики, нарушение правил хранения, неуведомление Роскомнадзора, несообщение об инциденте и неправомерный доступ к данным. После изменений 2025 года отдельные составы по уведомлениям и утечкам стали заметно строже.
Нужно ли согласие, если клиент сам оставил телефон в форме?
Сам факт ввода телефона не всегда закрывает все вопросы. Бизнесу нужно понятное основание и цель обработки. Если телефон нужен для ответа на заявку, это одна цель. Если потом номер используют для рекламной рассылки или передают колл-центру, нужны отдельная проверка основания, корректный текст согласия и отражение этого процесса в документах.
Можно ли хранить клиентскую базу в Google Таблицах?
Запрета именно на таблицы нет, но есть требования к контролю доступа, безопасности, срокам хранения и законности обработки. Таблица с открытой ссылкой, общим паролем и бывшими сотрудниками в доступе — плохая идея. Для клиентской базы лучше использовать рабочие аккаунты, роли, двухфакторную защиту и журнал доступа.
Куда обращаться клиенту при нарушении закона о персональных данных?
Клиент может сначала обратиться к самому оператору и потребовать информацию, исправление, блокировку или удаление данных. Если ответа нет или он не решает проблему, можно жаловаться в Роскомнадзор. В отдельных ситуациях возможны суд и обращение в правоохранительные органы, особенно если речь идет о незаконном распространении сведений о частной жизни или мошенничестве.
Что важнее: политика на сайте или уведомление Роскомнадзора?
Это разные обязанности. Политика нужна, чтобы посетитель понимал, кто и как обрабатывает его данные. Уведомление Роскомнадзора относится к включению оператора в реестр и подается до начала обработки, если нет исключения. Одно не заменяет другое.
