Вы берёте клиента. Записываете его имя и телефон в блокнот, телефон или программу. Делаете фото «до/после», выкладываете в соцсети. Отправляете напоминание о записи. Обычная рабочая рутина.
С точки зрения закона, с этого момента вы становитесь оператором персональных данных. Любая работа с данными клиентов без их согласия — прямое нарушение Федерального закона №152-ФЗ. Штрафы за такие нарушения с 2025 года выросли в десятки раз. И это касается даже самозанятых массажистов и небольших салонов.
Разбираемся, какие данные считаются персональными, в каких случаях клиент может подать в суд и как мастеру защитить себя.
Вы оператор персональных данных, даже если работаете в одиночку
Закон трактует понятие «персональные данные» очень широко. Это не только паспортные данные и СНИЛС. Согласно 152-ФЗ, персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу.
В вашей практике к персональным данным относятся:
- имя, фамилия клиента
- номер телефона
- адрес электронной почты
- адрес проживания (если работаете на выезде)
- фотографии и видеозаписи (даже фото «до/после» без лица)
Если вы храните эту информацию, используете её для записи клиентов, напоминаний, рассылок или публикуете фото в соцсетях — вы обрабатываете персональные данные. А значит, по закону вы — оператор персональных данных.
Исключение: если вы ведёте учёт клиентов на бумаге и не используете для этого компьютер или другие электронные устройства. Но даже в этом случае, если вы сканируете документы, отправляете клиентам сообщения в мессенджере или выкладываете фото в соцсети — вы уже используете средства автоматизации, и подавать уведомление нужно.
Чем грозит работа без согласия: штрафы, суды, уголовная ответственность
С 30 мая 2025 года вступили в силу поправки к 152-ФЗ, которые значительно ужесточили ответственность для операторов персональных данных.
Административные штрафы
Штрафы зависят от нарушения. За обработку данных без письменного согласия — от 5 000 до 75 000 рублей для ИП. За отсутствие политики конфиденциальности на сайте — от 15 000 до 30 000 рублей. За отсутствие уведомления в Роскомнадзоре — от 100 000 до 300 000 рублей. За утечку персональных данных — до 3 000 000 рублей.
Для сравнения: раньше за отсутствие уведомления можно было получить штраф всего 30 000 рублей. Теперь суммы выросли в десятки раз, и для малого бизнеса это очень существенно.
Судебные иски от клиентов
Клиент, чьи данные были использованы без его согласия, может подать на вас в суд. Вот три самых частых основания.
Первое — публикация фото «до/после» без согласия. Даже если вы закрыли лицо, сам факт использования изображения без разрешения — нарушение статьи 152.1 Гражданского кодекса. Клиент может потребовать компенсацию морального вреда. В судебной практике это суммы от 10 000 до 200 000 рублей.
Второе — использование данных для рассылок без согласия. Если вы отправляете клиентам акции и новости, а они этого не просили — это спам. Клиент может пожаловаться в Роскомнадзор и подать в суд на нарушение его прав.
Третье — утечка данных. Если ваш телефон украдут, взломают аккаунт в мессенджере или компьютер, а данные клиентов попадут к третьим лицам — каждый пострадавший клиент может подать иск. В 2025 году один из операторов был оштрафован за утечку на 30 000 рублей. По новым нормам штраф мог бы составить до 15 миллионов рублей.
Уголовная ответственность
Да, и такое возможно. Если вы незаконно собираете и распространяете сведения о частной жизни клиента — штраф до 200 000 рублей или лишение свободы до двух лет. Если произошла утечка данных из-за вашей халатности, и это повлекло тяжкие последствия — возможно уголовное дело. Роскомнадзор и прокуратура всё чаще возбуждают уголовные дела по фактам утечек. И оправдание «я маленький мастер, я не знал» не работает.
Какую информацию нужно собирать с клиента
Чтобы законно обрабатывать персональные данные клиентов, вам нужно получить два основных документа.
1. Согласие на обработку персональных данных
Этот документ клиент подписывает до начала оказания услуг. В согласии должны быть указаны: ФИО и контакты клиента, ваши данные (ФИО, ИНН, адрес), цель обработки (например, «для записи на услуги, ведения клиентской базы, информирования об акциях»), какие именно данные обрабатываются (имя, телефон, фото), какие действия с ними совершаются (сбор, хранение, использование), срок действия согласия и право клиента отозвать согласие в любой момент.
Согласие должно быть конкретным, информированным и сознательным. Клиент должен понимать, на что именно он подписывается.
2. Согласие на фото- и видеосъёмку
Если вы делаете фото «до/после» и выкладываете их в соцсети, публикуете видео процесса или отзывы с клиентами в кадре — нужно отдельное согласие на фото- и видеосъёмку. В нём нужно указать, где именно будут публиковаться фото (Telegram, ВКонтакте, MAX, сайт), с какой целью (портфолио, соцсети, реклама), сколько времени фото будут храниться и можно ли их использовать после того, как клиент откажется от услуг.
Без такого согласия даже фото с закрытым лицом могут быть признаны нарушением, если клиент сможет доказать, что на фото он.
3. Уведомление в Роскомнадзор
Если вы обрабатываете персональные данные с использованием компьютера, телефона или любых других электронных средств — вы обязаны подать уведомление в Роскомнадзор. Это делается онлайн через портал «Госуслуги» или сайт Роскомнадзора. Процедура бесплатная. Штраф за отсутствие уведомления — от 100 000 до 300 000 рублей. Самозанятые тоже подают уведомление, если обрабатывают данные в электронном виде.
Что делать, если клиент отозвал согласие
Клиент имеет право отозвать согласие на обработку персональных данных в любой момент. Это его законное право. Как только клиент отозвал согласие, вы обязаны прекратить обработку его данных и удалить всю информацию о нём из своей базы: удалить контакт из телефона, удалить фото из соцсетей, удалить данные из учётных программ.
Исключение — если вы обязаны хранить данные по закону. Например, для налоговой отчётности. В этом случае вы можете хранить данные, но только в тех пределах, которые требуются законом, и не использовать их для других целей (например, для рассылок).
Практические рекомендации: как не нарушить и защитить себя
Скачайте шаблоны согласий. Лучше брать готовые, проверенные формы, составленные юристами с учётом последних изменений закона.
Заранее подготовьте все документы и показывайте их клиенту до процедуры, а не после. Не принимайте клиента без подписанного согласия.
Сохраняйте подписанные согласия. Храните бумажные экземпляры или скан-копии в надёжном месте. Без бумажки вы не сможете доказать, что согласие было получено.
Подайте уведомление в Роскомнадзор, если обрабатываете данные в электронном виде. Это бесплатно и делается через интернет.
Не публикуйте фото «до/после» без письменного согласия. Даже если клиент разрешил устно — это не имеет юридической силы.
Не делайте рассылки клиентам без их явного согласия. Если клиент не подписывался на рассылку — не пишите ему акции и новости.
Если произошла утечка данных — немедленно уведомите Роскомнадзор и пострадавших клиентов. Сокрытие факта утечки — отдельное нарушение с дополнительными штрафами.
Регулярно проверяйте изменения в законодательстве. Штрафы и требования меняются, и ссылка на «я не знал» не освобождает от ответственности.
Что в итоге
Согласие на обработку персональных данных — это не бюрократия и не прихоть юристов. Это ваша защита от штрафов, судов и репутационных потерь. Один недовольный клиент, одна утечка данных или одна публикация фото без согласия могут стоить вам десятков тысяч рублей штрафа и подорванного доверия.
Потратьте один день, чтобы подготовить документы и подать уведомление. Это проще, чем потом разбираться с проверкой или иском.
💬 А у вас уже есть подписанные согласия от клиентов? Подавали уведомление в Роскомнадзор? Делитесь опытом в комментариях 🤍