Персональные данные — это не только паспортные данные сотрудников или большая клиентская база в CRM.
Если компания принимает заявки на сайте, ведёт клиентов в таблице, хранит телефоны покупателей, оформляет сотрудников, делает рассылки или использует мессенджеры для заказов — она уже работает с персональными данными.
А значит, у бизнеса есть обязанности перед законом.
В 2026 году ошибки в обработке персональных данных могут привести не только к штрафам, но и к проверкам, блокировкам, претензиям регуляторов и дополнительной ответственности руководителей. Разберём, что важно проверить компаниям и ИП.
Что считается персональными данными
Персональные данные — это любая информация, по которой можно определить человека.
Это могут быть:
- фамилия, имя, отчество;
- телефон и адрес электронной почты;
- адрес проживания;
- дата рождения;
- данные об образовании и квалификации;
- семейное положение;
- финансовая информация;
- фотография, если по ней можно установить личность;
- данные сотрудников, клиентов, покупателей, подрядчиков.
То есть персональные данные — это не только паспорт. Иногда достаточно имени и телефона, если они позволяют связать информацию с конкретным человеком.
Кто считается оператором персональных данных
Оператор персональных данных — это тот, кто организует обработку данных и определяет, зачем и как они используются.
Оператором может быть:
- компания;
- ИП;
- государственный орган;
- физическое лицо в отдельных случаях.
Если бизнес собирает заявки с сайта, хранит базу клиентов, ведёт сотрудников в 1С или использует CRM — он, скорее всего, является оператором персональных данных.
Обработка данных — это не только хранение. К ней относятся сбор, запись, систематизация, использование, передача, уточнение, удаление и уничтожение данных.
Почему тема стала важнее
Раньше многие компании относились к персональным данным формально: скачали шаблон политики, добавили чекбокс на сайт и забыли.
Сейчас такой подход становится рискованным.
Ошибки могут возникнуть в разных местах:
- согласия оформлены неправильно;
- политика обработки данных не опубликована;
- уведомление в Роскомнадзор не подано;
- данные клиентов используются для рассылок без отдельного согласия;
- бывшие сотрудники сохраняют доступ к базе;
- нет порядка действий при утечке;
- документы по персональным данным давно не обновлялись.
Проблема в том, что нарушения часто обнаруживаются не сразу. А когда начинается проверка или возникает жалоба, исправлять всё приходится срочно.
Бумажные документы тоже нужно защищать
Персональные данные могут храниться не только в CRM или 1С. Они могут быть и на бумаге: личные дела сотрудников, анкеты, заявления, копии документов.
Закон не всегда подробно описывает, как именно защищать бумажные носители, но общее требование есть: компания должна принимать необходимые меры, чтобы данные не потерялись и не попали к посторонним.
На практике стоит проверить:
- где хранятся бумажные документы;
- закрывается ли помещение или шкаф;
- кто имеет доступ к личным делам;
- ведётся ли учёт выдачи документов;
- разделены ли документы по целям обработки;
- есть ли приказ или внутренний порядок хранения.
Даже простой закрывающийся шкаф, ограниченный доступ и понятный список ответственных сотрудников уже снижают риски при проверке.
Согласие на обработку данных: где чаще всего ошибаются
Во многих случаях персональные данные обрабатываются на основании согласия человека.
Но согласие не должно быть абстрактным и универсальным «на всё». Оно должно быть конкретным, понятным и однозначным.
В согласии важно указать:
- какие данные обрабатываются;
- зачем они нужны;
- какие действия с ними будут совершаться;
- кому данные могут передаваться;
- как долго они будут храниться;
- как человек может отозвать согласие.
Особенно внимательно нужно относиться к маркетингу. Например, если клиент оставил телефон для оформления заказа, это ещё не значит, что его можно использовать для рекламных рассылок без отдельного согласия.
Когда согласие может не понадобиться
Согласие требуется не всегда.
Например, отдельное согласие может не понадобиться, если данные используются для исполнения договора. Покупатель сам передаёт данные, чтобы получить товар или услугу.
Также есть случаи, когда обработка нужна для исполнения обязанностей, возложенных на оператора законом.
Но это не означает, что можно обрабатывать любые данные как угодно. У бизнеса всё равно должны быть законные основания, понятные цели и порядок работы с информацией.
Специальные категории данных: лучше не собирать лишнее
Есть данные, с которыми нужно быть особенно осторожными. Например:
- сведения о здоровье;
- религиозные взгляды;
- национальность;
- информация о личной жизни;
- биометрические данные.
В большинстве случаев бизнесу такие данные не нужны. Если их нет необходимости собирать — лучше этого не делать.
Чем больше чувствительных данных хранит компания, тем выше ответственность и сложнее требования к защите.
Какие документы должны быть у оператора
Документы по персональным данным — это основа всей системы.
Для компании важно назначить ответственного за работу с персональными данными. Обычно это делается приказом. Такой сотрудник отвечает за коммуникацию с Роскомнадзором, инструктаж сотрудников и разработку внутренних документов.
Также нужна политика обработки персональных данных. Её нужно сделать общедоступной — например, разместить на сайте.
Кроме политики, бизнесу могут понадобиться:
- положение об обработке персональных данных;
- положение о защите персональных данных;
- перечень сотрудников, которые имеют доступ к ПДн;
- приказ о назначении ответственного;
- приказ о местах хранения документов;
- положение о внутреннем контроле и аудите;
- формы согласий;
- порядок хранения и уничтожения данных.
Если политика обработки персональных данных не опубликована, это уже может стать основанием для штрафа.
Уведомления в Роскомнадзор: что важно помнить
Многие компании забывают, что в ряде случаев нужно уведомлять Роскомнадзор.
Есть несколько основных ситуаций.
1. Начало обработки персональных данных
Уведомление подаётся до начала обработки. На практике лучше сделать это в первые дни после регистрации бизнеса, если компания будет работать с данными клиентов, сотрудников или пользователей сайта.
Исключение возможно, если данные обрабатываются исключительно без средств автоматизации. Но если есть сайт, CRM, 1С, Excel или мессенджер — обработка уже может считаться автоматизированной.
2. Изменение сведений
Если изменились данные, которые указаны в реестре операторов, нужно сообщить об этом в установленный срок.
Например, изменился адрес, телефон или ответственное лицо.
3. Прекращение обработки
Если компания ликвидируется, реорганизуется или прекращает обработку данных, это тоже нужно зафиксировать.
4. Утечка данных
Если произошла утечка или нарушение правил обработки, нужно действовать быстро.
В некоторых случаях оператор должен уведомить Роскомнадзор в течение 24 часов после получения информации об инциденте.
5. Результаты расследования
После обнаружения утечки нужно провести внутреннее расследование и направить результаты в установленный срок.
Главное — показать, что компания не игнорирует проблему, а разбирается в причинах и принимает меры.
Пример 1. Личные дела сотрудников лежат в шкафу — этого достаточно?
Не всегда.
Формально закон не говорит, что каждое личное дело должно храниться только в сейфе. Но компания обязана принимать меры по защите персональных данных.
Что стоит проверить:
- шкаф закрывается на ключ;
- доступ есть только у определённых сотрудников;
- список ответственных утверждён;
- документы не лежат в открытом доступе;
- есть порядок выдачи и возврата личных дел;
- документы разделены по целям обработки.
Если документы просто лежат в общем шкафу, куда может подойти любой сотрудник, это риск.
Пример 2. Магазин собирает только имя и телефон — нужны ли документы?
Да, скорее всего, нужны.
Имя и телефон — это персональные данные. Если магазин принимает заказы через сайт, CRM, мессенджер или таблицу, он обрабатывает данные с использованием средств автоматизации.
Что стоит сделать:
- разместить политику обработки персональных данных;
- подать уведомление в Роскомнадзор, если это требуется;
- добавить корректное согласие в форму заказа;
- отдельно получать согласие на рассылки и маркетинг;
- не использовать телефон клиента для других целей без основания.
Если клиент оставил номер для заказа, это не даёт автоматического права отправлять ему рекламные сообщения.
Пример 3. Сотрудник с доступом к базе уволился — что делать
В первый же день нужно закрыть доступы.
Проверьте:
- CRM;
- почту;
- облачные хранилища;
- базы клиентов;
- 1С;
- мессенджеры;
- электронные подписи;
- внутренние сервисы.
Важно не только закрыть доступ, но и зафиксировать это: служебной запиской, актом, логом системы или другой внутренней отметкой.
Также стоит проверить, не выгружал ли сотрудник данные перед увольнением.
Если есть признаки копирования или утечки базы, нужно действовать по процедуре инцидента: провести расследование и при необходимости уведомить регулятора.
Мини-чек-лист для бизнеса
Проверьте, есть ли у компании:
- политика обработки персональных данных;
- опубликованная политика на сайте;
- актуальные согласия;
- отдельное согласие для маркетинга и рассылок;
- приказ о назначении ответственного;
- локальные акты по ПДн;
- перечень сотрудников с доступом;
- порядок хранения бумажных документов;
- защита баз и доступов;
- уведомление в Роскомнадзор;
- порядок действий при утечке;
- правила удаления и уничтожения данных.
Если хотя бы часть пунктов вызывает вопросы, лучше провести ревизию.
Главный вывод
Персональные данные в 2026 году — это не формальность и не только задача юриста или IT-специалиста.
Это зона ответственности бизнеса.
Компании и ИП важно понимать:
- какие данные они собирают;
- зачем они нужны;
- на каком основании обрабатываются;
- где хранятся;
- кто имеет к ним доступ;
- как данные защищаются;
- что делать при утечке.
Чем раньше бизнес приведёт документы и процессы в порядок, тем ниже риск штрафов, претензий и срочных исправлений после проверки.
Специалисты EFSOL помогут привести работу с персональными данными в соответствие закону — от уведомления и регистрации в Роскомнадзоре до разработки локальных актов в рамках юридического сопровождения бизнеса.