Персональные данные для ИП и самозанятых в 2026 — гайд по 152-ФЗ

✅ Статья актуальна на март 2026 года. Учтены изменения по ФЗ от 30.11.2024 № 420-ФЗ (новые штрафы с 30.05.2025), требования к форме согласия с 01.09.2025, уголовная ответственность по ст. 272.1 УК РФ с 11.12.2024.

Записали имя и телефон клиента в CRM? Поздравляю — вы оператор персональных данных. И обязаны соблюдать 152-ФЗ в полном объёме. С 30 мая 2025 года штрафы выросли в 10–60 раз: за отсутствие уведомления в Роскомнадзор — до 300 000 ₽, за обработку без согласия — до 700 000 ₽, а при повторных утечках — оборотные штрафы до 500 млн ₽. Закон не делает различий между салоном красоты на три кресла и онлайн-школой на GetCourse.

Я разобрал все аспекты 152-ФЗ и адаптировал их под реалии малого бизнеса. Ниже — конкретика без воды.

💡 Совет: Если у вас нет времени читать всю статью — переходите сразу к пошаговому алгоритму и таблице штрафов.

Содержание

1. Кто является оператором персональных данных
2. Что закон считает персональными данными
3. Уведомление Роскомнадзора: почему подача без документов — ловушка
4. Какие документы обязательны: ИП, самозанятый, ООО
5. Как Роскомнадзор находит нарушителей
6. Штрафы 2025–2026: конкретные суммы для ИП и ООО
7. Пошаговый алгоритм: от аудита до полного соответствия
8. Кейсы и заблуждения: реальная цена ошибок
9. Что важно понять прямо сейчас

---

Кто является оператором персональных данных

Статья 3 закона 152-ФЗ даёт предельно широкое определение: оператор — любое физическое или юридическое лицо, которое организует обработку персональных данных и определяет её цели. Статус оператора определяется не формой бизнеса и не его масштабом, а исключительно фактом работы с данными конкретного человека.

Я постоянно сталкиваюсь с одним и тем же заблуждением: «Я маленький, меня это не касается». Касается. Вот как это работает на практике:

• ООО — оператор автоматически: сотрудники, клиенты, контрагенты.
• ИП — попадает под закон даже без наёмных работников. Ведёте клиентскую базу, принимаете заявки, храните контакты в телефоне — всё, вы оператор.
• Самозанятые — полноценные операторы, если собирают данные клиентов. Режим НПД не создаёт никаких исключений.

⚖️ Закон: Разъяснение Роскомнадзора: «Обязанности оператора исполняются независимо от включения в реестр операторов». Даже если вы не подавали уведомление и не знаете о существовании реестра — все обязанности на вас с момента первого сбора данных.

Конкретные примеры из моей практики. Салон красоты — собирает ФИО, телефоны для записи, данные в CRM, сведения о здоровье клиентов (аллергии, противопоказания — это уже специальная категория ПД), фото до/после процедур. Мастер маникюра на дому — сохраняет контакты клиентов в телефоне, и этого достаточно. Онлайн-школа — однозначно оператор: ФИО учеников, email, телефоны, CRM, рассылки. Фрилансер, принимающий заказы от физлиц — тоже.

Единственное законное исключение — обработка данных исключительно для личных и семейных нужд (ч. 2 ст. 1 закона 152-ФЗ). Как только данные используются в коммерческих целях — исключение не работает.

Что закон считает персональными данными

Определение намеренно широкое: персональные данные — «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу». Исчерпывающего списка нет, но Роскомнадзор и суды сформировали чёткое понимание.

Однозначно персональные данные:

• ФИО
• Номер телефона (даже без ФИО — позиция РКН: абонентский номер позволяет косвенно определить лицо)
• Email (особенно именной, типа ivanov@mail.ru)
• ИНН, СНИЛС, дата рождения, адрес
• Данные из CRM (имя + телефон + история заказов)
• Записи в бумажном журнале (ФИО + телефон)
• Переписки в мессенджерах с идентифицирующей информацией
• Cookies и IP-адрес (в совокупности с другими данными)

Закон выделяет четыре категории данных с разным уровнем защиты:

⚠️ Важно для бьюти-индустрии: Анкета клиента с информацией об аллергиях, хронических заболеваниях или противопоказаниях — это специальная категория ПД. Я вижу, что 90% салонов об этом не знают. А штрафы за утечку специальных категорий — до 15 000 000 ₽.

Отдельный вопрос — фото «до/после». Позиция Роскомнадзора: фото без дополнительной информации само по себе не является обработкой ПД. Но если фото сопровождается ФИО, историей процедуры или привязано к карточке клиента — это персональные данные. Для публикации в соцсетях нужно согласие и по 152-ФЗ, и по ст. 152.1 ГК РФ.

Не являются персональными данными: обезличенная статистика, данные юрлиц (ИНН организации, ОГРН), корпоративный email нескольких сотрудников.

Уведомление Роскомнадзора: почему подача без документов — ловушка

С 1 сентября 2022 года (ФЗ от 14.07.2022 № 266-ФЗ) были отменены шесть из восьми исключений из обязанности уведомлять РКН. Раньше можно было не уведомлять при обработке в рамках трудового законодательства, по договору с физлицом, при обработке только ФИО. Теперь всё это — не исключение.

Осталось три освобождения:

1. Обработка в государственных информационных системах безопасности
2. Обработка исключительно без средств автоматизации (полностью вручную, без компьютера, Excel или CRM)
3. Обработка для целей транспортной безопасности

На практике второе исключение почти не работает: используете хотя бы смартфон для хранения контактов — это уже «средства автоматизации». Подать уведомление можно через портал pd.rkn.gov.ru, через Госуслуги или на бумаге.

Но вот что я вижу постоянно — и это самая опасная тенденция 2025 года.

⚠️ Важно: Когда штраф за неуведомление вырос до 300 000 ₽, предприниматели бросились подавать заявки. Но без политики обработки ПД, без приказов, без согласий, без мер защиты. Я называю это «ловушкой уведомления».

Механизм простой. После подачи уведомления оператор попадает в общедоступный реестр на pd.rkn.gov.ru. Роскомнадзор видит регистрацию и направляет профилактический визит — обычно через несколько недель. На визите проверяют: локальные акты, приказ о назначении ответственного, формы согласий, меры защиты. Если ничего нет — фиксируются нарушения, выносится предписание, а при игнорировании — административное дело со штрафами, которые суммируются.

Я рекомендую строго: подача уведомления — финальный шаг, а не первый. Правильная последовательность: аудит данных → разработка документов → внедрение мер защиты → подача уведомления. Недавно делал аудит клиенту — ИП без сотрудников. Ему продали «готовый пакет документов». Внутри — регламенты с «комиссиями» и «администраторами ИСПДн», а публичной политики обработки ПД не было вообще. Три лишних документа и три критически важных отсутствуют. Подробнее об этом — в моём Telegram-канале.

Какие документы обязательны: ИП, самозанятый, ООО

Требования определяются ст. 18.1, 19 и 22 закона 152-ФЗ, Постановлением Правительства № 1119 и приказами ФСТЭК. Объём зависит от масштаба, но базовый набор обязателен для всех.

Для самозанятого (мастер маникюра, фрилансер, репетитор)

Минимальный пакет:

• Политика обработки ПД (если есть сайт или соцсети с формами — обязательна к публикации)
• Форма согласия клиента на обработку ПД
• Уведомление Роскомнадзора
• При работе с данными о здоровье — письменное согласие на обработку специальных категорий

Самозанятый является ответственным за обработку сам, приказ не нужен.

Для ИП (салон красоты, интернет-магазин, косметолог)

Пакет расширяется до 10–15 документов:

• Политика обработки ПД (на сайте и в помещении)
• Приказ о назначении ответственного
• Положение об обработке и защите ПД
• Формы согласий — отдельно на общую обработку, на специальные категории (здоровье), на распространение (публикация фото), на передачу третьим лицам
• Обязательство о неразглашении для сотрудников (если есть)
• Перечень обрабатываемых ПД
• Порядок уничтожения ПД
• Поручения на обработку для сторонних сервисов (CRM, онлайн-запись, рассыльщик, хостинг)
• Уведомление Роскомнадзора

Для ООО

Комплект — 30 и более документов. Добавляются: акты определения уровня защищённости, модель угроз, положение о разграничении прав доступа, журналы учёта, план мероприятий по безопасности, дополнения в трудовые договоры.

⚠️ Важно: с 1 сентября 2025 года согласие на обработку ПД оформляется только отдельным документом. Нельзя включать в договор, оферту или анкету. Штраф за нарушение формы — до 700 000 ₽. На сайте под каждой формой сбора данных — отдельный чекбокс с полным текстом согласия и ссылкой на политику.

Про поручения на обработку. Если данные передаются третьим лицам — CRM-система, YCLIENTS, сервис рассылок, бухгалтерия на аутсорсе, хостинг, курьерские службы — с каждым контрагентом нужен договор поручения по ч. 3 ст. 6 закона 152-ФЗ с указанием перечня данных, операций, целей и обязанностей по защите.

Как Роскомнадзор находит нарушителей

Мораторий на плановые проверки малого бизнеса действует до 2030 года (Постановление Правительства РФ № 336). Для малого бизнеса вероятность плановой проверки минимальна.

Но мораторий не распространяется на три ключевых механизма:

1. Внеплановые проверки по жалобам граждан

Самый частый триггер для малого бизнеса. Клиент жалуется на нежелательный звонок, рассылку без согласия, отказ удалить данные — РКН обязан отреагировать. При 10 и более обращениях автоматически запускается проверка. Из моей практики: предприниматель получил штраф 280 000 ₽ после одной жалобы клиентки на звонки без согласия.

2. Автоматизированный мониторинг сайтов

Роскомнадзор использует системы, включая алгоритмы на основе ИИ, для массового сканирования. Проверяют: наличие политики конфиденциальности, чекбоксы согласия под формами, cookie-баннеры. Оператор может не знать о проверке — она проводится без взаимодействия. Если у вас есть сайт — убедитесь, что онлайн-касса и формы сбора данных оформлены правильно.

3. Профилактические визиты

Активно проводятся в 2025–2026 году. Инспектор РКН разъясняет требования (лично или по видеосвязи). Штрафы по итогам не назначаются, но фиксируются рекомендации. Отказаться нельзя. Обычно следуют за подачей уведомления в реестр — вот почему я говорю: сначала документы, потом уведомление.

Отдельная история — жалобы конкурентов. В практике РКН зафиксированы случаи, когда конкуренты целенаправленно подавали жалобы. Роскомнадзор обязан реагировать на любую жалобу, включая анонимные.

Штрафы 2025–2026: конкретные суммы для ИП и ООО

Федеральный закон от 30.11.2024 № 420-ФЗ полностью изменил ландшафт. Все новые штрафы действуют с 30 мая 2025 года. Главное: ИП по частям 1.1 и 8–18 ст. 13.11 КоАП несут ответственность наравне с юрлицами. Скидка 50% при быстрой оплате — отменена.

⚠️ Важно: Хранение данных в Google-таблицах, Dropbox или на зарубежных серверах — нарушение локализации, штраф до 6 000 000 ₽. Это одна из типичных ошибок, о которых предприниматели не задумываются.

С 11 декабря 2024 года действует и уголовная ответственность по ст. 272.1 УК РФ: незаконное использование или передача персональных данных — штраф до 300 000 ₽ или лишение свободы до 4 лет. За данные несовершеннолетних — до 5 лет. Максимум — до 10 лет при тяжких последствиях.

Небольшое утешение: при первом нарушении по ст. 4.1.1 КоАП штраф может быть заменён на предупреждение, если не причинён вред. Но рассчитывать на это я бы не стал — замена на усмотрении суда.

Пошаговый алгоритм: от аудита до полного соответствия

Приведение бизнеса в порядок по 152-ФЗ — не разовая акция, а выстраивание системы. Ключевой принцип: сначала документы и процессы, уведомление в РКН — в последнюю очередь.

Шаг 1. Аудит: найти все точки сбора данных

Составьте полный перечень: сайт (формы, регистрация, онлайн-запись), CRM, мессенджеры, Excel-таблицы, бумажные анкеты и договоры, сервис онлайн-записи, соцсети. Для каждой точки зафиксируйте: какие данные, чьи (клиенты, сотрудники, контрагенты), где хранятся.

Шаг 2. Определить цели и правовые основания

Для каждого набора данных — конкретная цель: запись на услугу, исполнение договора, маркетинговые рассылки. Для каждой цели — правовое основание: договор (п. 5 ч. 1 ст. 6), согласие (ст. 9), требование закона (п. 2 ч. 1 ст. 6). Размытое «для улучшения качества обслуживания» не подходит.

Шаг 3. Разработать пакет документов

Адаптированный под ваш конкретный бизнес. Шаблон из интернета не подойдёт — я разбирал такой случай выше: три лишних документа, три критичных отсутствуют. Политика должна отражать реальные процессы обработки.

Шаг 4. Привести в порядок сайт

Опубликовать политику конфиденциальности отдельной страницей. Под каждой формой — отдельный чекбокс с текстом согласия и ссылкой на политику. Установить cookie-баннер. Проверить, что хостинг на территории РФ.

Шаг 5. Оформить согласия клиентов

С 1 сентября 2025 года — только отдельным документом. Для спецкатегорий (здоровье) — в письменной форме. Для передачи третьим лицам — отдельное согласие с указанием получателя.

Шаг 6. Заключить поручения на обработку

С каждым сервисом: CRM, онлайн-запись, рассыльщик, хостинг, бухгалтерия.

Шаг 7. Обеспечить техническую защиту

Минимум: парольная защита всех устройств, антивирус, резервное копирование, SSL на сайте, разграничение доступа в CRM, блокировка экрана.

Шаг 8. Навести порядок в уже собранных данных

Для клиентов без согласия — получить его или удалить данные. Перенести информацию из мессенджеров в защищённую CRM. Уничтожить данные с истёкшим сроком (составить акт). Бумажные носители — в запираемый шкаф.

Шаг 9. Подать уведомление в Роскомнадзор

Только после выполнения шагов 1–8.

Шаг 10. Настроить постоянные процессы

Ежегодный внутренний аудит, обучение новых сотрудников, реагирование на запросы субъектов, уведомление РКН об инцидентах в течение 24 часов, обновление документов при изменении процессов.

---

📋 Нужна помощь с документами? Я подготовлю полный пакет документов по 152-ФЗ, адаптированный под ваш бизнес. Не шаблон из интернета, а документы под вашу конкретную ситуацию. Оставить заявку →

---

Кейсы и заблуждения: реальная цена ошибок

Реальные штрафы из практики

• Предприниматель: совокупный штраф 280 000 ₽ после одной жалобы на звонки без согласия — при проверке нашли отсутствие уведомления и политики на сайте.
• Банк: 105 000 ₽ за телемаркетинг — не смогли доказать наличие согласия конкретного абонента.
• Организация: 50 000 ₽ за передачу клиентских данных третьей стороне без согласия.
• Суд взыскал моральный вред за публикацию фото человека без согласия (определение 1 КСОЮ от 18.05.2022 № 88-12009/2022).

По данным InfoWatch, в 2024 году — 135 утечек, затронувших более 710 млн записей. Большинство — в торговле и сфере услуг, где работает малый бизнес.

Девять заблуждений, которые приводят к штрафам

Что важно понять прямо сейчас

Ситуация с персональными данными изменилась качественно. До мая 2025 года штраф за неуведомление — 3 000–5 000 ₽. Сейчас — до 300 000 ₽. За обработку без согласия — до 1 500 000 ₽ при повторном нарушении. Для бизнеса с выручкой 2–3 млн ₽ в год один штраф может равняться месячному обороту.

Три действия, которые дадут максимальную защиту при минимальных усилиях:

1. Провести аудит всех точек сбора данных и оформить согласия
2. Опубликовать на сайте корректную политику конфиденциальности с чекбоксами под формами
3. Перенести клиентские данные из мессенджеров в защищённую CRM с российской локализацией

Эти шаги закрывают наиболее вероятные составы нарушений и снижают штрафные риски на порядок.

Хронология ключевых дат

Все эти нормы уже работают и применяются.

---

📋 Не хотите разбираться сами? Я подготовлю полный комплект документов по 152-ФЗ под ваш бизнес — от политики до поручений на обработку. Без шаблонов, без «комиссий» и «администраторов ИСПДн» для ИП без сотрудников. Оставить заявку →

---

Об авторе

Владимир Алдушин — основатель агентства «Владимир Алдушин. Бухгалтерия и право». Помогаем ИП, самозанятым и малому бизнесу работать без штрафов и налоговых сюрпризов. Более 500 клиентов прошли регистрацию, выбрали режим налогообложения и выстроили безопасную схему работы с нашей командой.

Об агентстве и услугах

---

Информация актуальна на март 2026 года. Законодательство может измениться. Для решения конкретной ситуации рекомендуем обратиться за индивидуальной консультацией. Данная статья носит информационный характер и не является юридической консультацией.