Работа с персональными данными в 2026 году: как не попасть на штрафы

Ведущий юрист Prodamus Юлия Охотюк

— Многие самозанятые и предприниматели узнают о требованиях Федерального закона «О персональных данных» уже после того, как получают запрос от Роскомнадзора или постановление о штрафе. Между тем достаточно вести базу клиентских телефонов, принимать заявки через форму на сайте или переписываться с заказчиками в мессенджере, чтобы уже считаться оператором персональных данных со всеми вытекающими обязанностями. Правила едины для всех: и для крупной корпорации, и для индивидуального предпринимателя, и для самозанятого. Что именно закон считает персональными данными, как должно выглядеть согласие клиента и за какие ошибки чаще всего штрафуют?

Что считается персональными данными и как их обрабатывают

Базовый закон в этой сфере — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Дополнительно работу регулируют КоАП РФ, закон «О рекламе» (если данные идут на рассылки, звонки и SMS), Трудовой кодекс (при обработке данных работников), а также ряд приказов Роскомнадзора и постановлений Правительства.

К персональным данным относится любая информация, прямо или косвенно связанная с конкретным человеком. Это не только паспортные данные, но и ФИО, дата рождения, пол, семейное положение, адрес проживания, e-mail, номер телефона и многое другое — все, что позволяет идентифицировать личность. Отдельной категорией выделяются биометрические данные — голос и изображение человека.

Под обработкой понимается любое действие с данными: сбор, хранение, систематизация, использование, передача, распространение, блокирование и удаление. Поэтому любой предприниматель, который получает паспортные данные клиента, ведет базу контактов, хранит заявки в CRM или просто переписывается с заказчиком, уже работает с персональными данными — а значит, должен получить согласие на их обработку. 

Что должно быть в согласии 

Чтобы у Роскомнадзора не было претензий, в согласии на обработку персональных данных обязательно должны быть указаны:

— ФИО и адрес субъекта (клиента), 

— данные документа, удостоверяющего личность, 

— наименование (или ФИО) и адрес оператора, 

— цель обработки, 

— перечень данных, на которые дается согласие, 

— перечень разрешенных действий с ними и общее описание способов обработки, 

— срок действия согласия и способ его отзыва, 

— подпись клиента или другое подтверждение согласия. 

В согласии на сайте обязательно должны быть зафиксированы: 

— дата, 

— время, 

— IP-адрес или иной технический идентификатор, 

— версия текста согласия, 

— форма, через которую оно было получено. 

Эти сведения нужны для защиты самого оператора данных — они подтвердят, что человек действительно дал согласие, если возникнет спор.

При этом, законодательство допускает работу без оформления согласия в ряде случаев: когда данные необходимы для заключения или исполнения договора по инициативе самого гражданина (продавец берёт адрес, чтобы доставить товар), для выполнения обязанностей, возложенных на оператора законом (e-mail клиента, чтобы направить электронный чек), или для защиты законных интересов оператора без ущерба правам человека (журнал посетителей в целях безопасности). 

Отсутствие необходимости в согласии не означает вседозволенности: даже в этих ситуациях оператор обязан собирать только то, что действительно нужно, использовать данные строго по заявленной цели, не хранить их дольше необходимого и защищать от чужого доступа. Во всех остальных случаях работать можно только с согласия человека.

Какие бывают ошибки в работе с персональными данными и что за это грозит

Перед началом работы с персональными данными необходимо подать уведомление в Роскомнадзор. Если этого не сделать, то по ч. 10 ст. 13.11 КоАП РФ штраф для граждан составляет от 5 000 до 10 000 руб., для должностных лиц — от 30 000 до 50 000 руб., а для юрлиц и ИП — от 100 000 до 300 000 руб.

Нарушение оформления согласия об обработке персональных данных. Штраф может прийти, если: 

— данные собираются через форму без отдельного согласия, 

— в согласии не указана цель обработки или перечень данных, 

— оно объединено с рекламой и офертой в один общий чекбокс, 

— данные используются не для той цели, ради которой собирались. 

В таком случае ответственность наступает по ч. 2 ст. 13.11 КоАП РФ: для граждан — от 10 000 до 15 000 руб., для должностных лиц — от 100 000 до 300 000 руб., для юридических лиц — от 300 000 до 700 000 руб.

Отсутствие политики обработки персональных данных в открытом доступе. Если вы собираете данные через сайт, лендинг, форму обратной связи или сервис записи, политика должна быть опубликована или иным образом доступна без ограничений. За это по ч. 3 ст. 13.11 КоАП РФ грозит штраф: гражданам — от 1 500 до 3 000 руб., должностным лицам — от 6 000 до 12 000 руб., ИП — от 10 000 до 20 000 руб., юрлицам — от 30 000 до 60 000 руб.

Нарушение в хранении персональных данных. С 2026 года российские операторы персональных данных имеют право хранить их только на серверах, расположенных на территории страны. За нарушение этого требования штрафы для граждан составят до 50 000 руб.; для должностных лиц — до 200 000 руб.; для ИП и организаций — до 6 млн руб. При повторном нарушении штрафы для граждан могут достигать 100 000 руб., должностных лиц — до 800 000 руб., для организаций и ИП — до 18 млн руб. 

Самым серьезным нарушением будет утечка персональных данных. Штраф будет рассчитываться в зависимости от масштаба проблемы: так, за утечку 1 000-10 000 субъектов граждане заплатят от 100 до 200 тыс. руб., должностные лица — от 200 до 400 тыс. руб., а юридические лица и ИП — от 3 до 5 млн руб. Утечка биометрических данных будет стоит гораздо больше: 400-500 тыс. руб. для граждан, 1,3-1,5 млн руб. для должностных лиц и 15-20 млн руб. — для юридических, включая ИП. 

Кроме того, за неуведомление Роскомнадзора об утечке данных в течение 24 часов ИП и организации заплатят от 6 до 18 млн руб. 

Персональные данные сегодня обрабатывает почти любой бизнес, а цена невнимательности измеряется сотнями тысяч и даже миллионами. Привести документы в порядок и относиться к данным ответственно оказывается гораздо выгоднее, чем объясняться с регулятором при обнаружении нарушений.