Суть ситуации
Фирменное ателье работает в одном районе, собирает базу клиентов, делает рассылки, использует сайт и «геокарты». Владелец уверен: «Никаких законов я не нарушаю, мы маленькие, нас никто не проверит». Но законодательство не освобождает от ответственности по признаку «размера бизнеса».
При этом:
- Сайт собирает: имя, телефон, email.
- Никакой политики конфиденциальности нет.
- Нет чекбоксов, согласий, уведомлений.
- Рассылки проводятся без подписки и права отписаться.
- База клиентов ведётся в Excel или CRM, без подтверждённых согласий.
Что говорит закон (актуально на июль 2026)
- ФЗ-152, ст. 6 и 18.1: обработка персональных данных допускается только при наличии законного основания, а при сборе данных через сайт оператор обязан обеспечить доступ к политике обработки персональных данных.
- Ст. 18 закона «О рекламе»: любая рассылка — реклама, если содержит предложение услуг.
- Закон не делает исключения для малого бизнеса: если ателье собирает персональные данные клиентов через сайт, формы, CRM, мессенджеры или рассылки, то оно выступает оператором персональных данных и должно соблюдать требования 152-ФЗ.
Нарушения
- Отсутствие политики конфиденциальности.
- Нет механизма получения согласия на обработку ПДн.
- Нарушение закона о рекламе — рассылка без подписки.
- Отсутствие права отписки.
Заблуждения
- «Я маленький, меня не проверят» — проверяют, особенно после жалоб.
- «Рассылки только клиентам» — если нет подтверждённого согласия, это нарушение.
- «У меня не реклама» — если предлагается услуга → это реклама.
Штрафы по состоянию на июль 2026
- За отсутствие опубликованной политики обработки персональных данных — до 60 000 руб. для юридического лица.
- За обработку персональных данных без необходимого согласия или с нарушением требований к согласию — до 700 000 руб. для юридического лица, а при повторном нарушении — до 1 500 000 руб.
- За рекламную рассылку без предварительного согласия адресата — до 1 000 000 руб. для юридического лица.
Если используются зарубежные сервисы, CRM, формы, рассылочные платформы или аналитика, дополнительно нужно проверить риски трансграничной передачи персональных данных и требования к уведомлению Роскомнадзора.
Что делать
- Срочно разместить политику конфиденциальности.
- Добавить чекбоксы с формулировкой согласия ко всем формам.
- Уточнить текст рассылок, предусмотреть возможность отписки.
- Проверить юридическую корректность базы данных.
- Оповестить клиентов о новых правилах обработки и подтвердить их согласие.





