Маленький бизнес — большие штрафы: чем грозит отсутствие политики и согласий у ателье

Суть ситуации

Фирменное ателье работает в одном районе, собирает базу клиентов, делает рассылки, использует сайт и «геокарты». Владелец уверен: «Никаких законов я не нарушаю, мы маленькие, нас никто не проверит». Но законодательство не освобождает от ответственности по признаку «размера бизнеса».

При этом:

  • Сайт собирает: имя, телефон, email.
  • Никакой политики конфиденциальности нет.
  • Нет чекбоксов, согласий, уведомлений.
  • Рассылки проводятся без подписки и права отписаться.
  • База клиентов ведётся в Excel или CRM, без подтверждённых согласий.

Что говорит закон (актуально на июль 2026)

  • ФЗ-152, ст. 6 и 18.1: обработка персональных данных допускается только при наличии законного основания, а при сборе данных через сайт оператор обязан обеспечить доступ к политике обработки персональных данных.
  • Ст. 18 закона «О рекламе»: любая рассылка — реклама, если содержит предложение услуг.
  • Закон не делает исключения для малого бизнеса: если ателье собирает персональные данные клиентов через сайт, формы, CRM, мессенджеры или рассылки, то оно выступает оператором персональных данных и должно соблюдать требования 152-ФЗ.

Нарушения

  • Отсутствие политики конфиденциальности.
  • Нет механизма получения согласия на обработку ПДн.
  • Нарушение закона о рекламе — рассылка без подписки.
  • Отсутствие права отписки.

Заблуждения

  • «Я маленький, меня не проверят» — проверяют, особенно после жалоб.
  • «Рассылки только клиентам» — если нет подтверждённого согласия, это нарушение.
  • «У меня не реклама» — если предлагается услуга → это реклама.

Штрафы по состоянию на июль 2026

  • За отсутствие опубликованной политики обработки персональных данных — до 60 000 руб. для юридического лица.
  • За обработку персональных данных без необходимого согласия или с нарушением требований к согласию — до 700 000 руб. для юридического лица, а при повторном нарушении — до 1 500 000 руб.
  • За рекламную рассылку без предварительного согласия адресата — до 1 000 000 руб. для юридического лица.

Если используются зарубежные сервисы, CRM, формы, рассылочные платформы или аналитика, дополнительно нужно проверить риски трансграничной передачи персональных данных и требования к уведомлению Роскомнадзора.

Что делать

  • Срочно разместить политику конфиденциальности.
  • Добавить чекбоксы с формулировкой согласия ко всем формам.
  • Уточнить текст рассылок, предусмотреть возможность отписки.
  • Проверить юридическую корректность базы данных.
  • Оповестить клиентов о новых правилах обработки и подтвердить их согласие.
Поделитесь Важной Информацией:

ДРУГИЕ СИТУАЦИИ

ОСТАЛИСЬ ВОПРОСЫ?

кратко ответим бесплатно