← Все статьи
⚠️ Важно

152-ФЗ для чайников: как правильно хранить данные клиентов в 2026

Опубликовано: 15 января 2026 | Время чтения: 10 минут
152-ФЗ — это закон «О персональных данных». Если у вас есть бизнес и вы собираете имена, телефоны, email клиентов или сотрудников — этот закон касается вас. В 2026 году штрафы за нарушения до 300 000₽, поэтому давайте разберём закон простыми словами.

🤔 Что такое персональные данные?

Персональные данные (ПД) — это любая информация, по которой можно идентифицировать человека.

📋 Примеры персональных данных:

  • ФИО — Иванов Иван Иванович
  • Телефон — +7 (900) 123-45-67
  • Email — ivan@example.com
  • Адрес — ул. Ленина, д. 10, кв. 5
  • Дата рождения — 15.03.1990
  • Паспортные данные — серия, номер, кем выдан
  • ИНН, СНИЛС
  • Фотография лица (если по ней можно узнать человека)
  • IP-адрес (если используется для идентификации)
  • Геолокация (если привязана к человеку)
  • История покупок, заказов (если привязана к ФИО/телефону)

Пример: У вас салон красоты. Клиентка Мария записалась на стрижку через сайт и оставила телефон +7 (900) 111-22-33. Это персональные данные. Вы обязаны их защищать по закону.

⚠️ Что НЕ является персональными данными:

  • Обезличенная статистика (например, "50% клиентов — женщины")
  • Название компании
  • Общедоступная информация (если человек сам опубликовал в открытом доступе)

❓ Кто должен соблюдать 152-ФЗ?

Все, кто собирает, хранит или обрабатывает персональные данные.

✅ Вы точно попадаете под 152-ФЗ, если:

У вас есть сайт с формой обратной связи (имя + телефон/email)
У вас есть интернет-магазин (заказы с ФИО и адресом доставки)
У вас есть CRM-система с базой клиентов
Вы ведёте список клиентов в Excel (имена, телефоны)
У вас есть сотрудники (храните их паспортные данные, ИНН, СНИЛС)
Вы принимаете записи через чат-бота в Telegram/WhatsApp
У вас медицинская клиника (медкарты — это ПД)
У вас онлайн-школа (данные учеников)

🚨 Важно!

Даже если у вас 1 клиент или 1 сотрудник — вы обязаны соблюдать 152-ФЗ. Размер бизнеса не имеет значения.

⚖️ Что можно и что нельзя делать с персональными данными?

Действие Можно? Условие
Собирать имя и телефон клиента через форму на сайте ✅ Можно Если есть согласие (галочка "Согласен на обработку ПД")
Хранить базу клиентов в Google Таблице ❌ Нельзя Google — иностранная компания, данные уходят за границу (нарушение закона)
Хранить базу клиентов в Яндекс.Диске или Mail.ru Облаке ✅ Можно Российские серверы — OK
Передать телефон клиента партнёру (например, курьеру) ✅ Можно Если это нужно для выполнения договора (доставка заказа)
Продать базу клиентов другой компании ❌ Нельзя Уголовная статья за разглашение ПД
Отправлять рассылки клиентам ✅ Можно Если клиент дал согласие на рассылку
Хранить ПД на компьютере без пароля ❌ Нельзя Нарушение требований безопасности
Использовать amoCRM, Битрикс24 ✅ Можно Если данные хранятся на серверах в РФ

📝 Главное правило: согласие на обработку ПД

Прежде чем собирать персональные данные, вы обязаны получить согласие человека.

✅ Как правильно получить согласие:

На сайте: Добавьте галочку под формой:

☑ Я согласен на обработку моих персональных данных в соответствии с Политикой конфиденциальности

В чат-боте: При первом обращении бот пишет:

"Для записи на услугу мне понадобится ваше имя и номер телефона. Продолжая диалог, вы соглашаетесь на обработку персональных данных согласно нашей Политике конфиденциальности."

При приёме на работу: Сотрудник подписывает бумажное согласие на обработку ПД.

📄 Что должно быть в Политике конфиденциальности:

  • Какие данные вы собираете (имя, телефон, email и т.д.)
  • Зачем вы их собираете (для записи, обработки заказа, связи)
  • Как вы их храните (на сервере в РФ, в CRM, в зашифрованном виде)
  • Кому вы их передаёте (партнёры-курьеры, платёжные системы)
  • Как человек может удалить свои данные (написать вам на email)
  • Ваши реквизиты (ИП/ООО, ИНН, адрес)

🔒 Как правильно хранить персональные данные?

Закон требует обеспечить безопасность персональных данных.

1

Хранить на защищённых носителях

Правильно:

  • CRM на российских серверах (amoCRM, Битрикс24 с РФ-хостингом)
  • Excel-файл на компьютере с паролем + шифрование диска
  • Облако (Яндекс.Диск, Mail.ru Облако — российские)

Неправильно:

  • Google Таблицы (данные уходят в США)
  • Dropbox, iCloud (иностранные серверы)
  • Excel на рабочем столе без пароля
  • Бумажные анкеты валяются на столе (любой может посмотреть)
2

Ограничить доступ

Только нужные сотрудники должны видеть персональные данные.

Пример: В салоне красоты базу клиентов видят администратор и директор. Мастера видят только имя и время записи, но не телефон и адрес.

3

Использовать пароли и шифрование

  • На компьютере должен быть пароль
  • Файлы с ПД должны быть зашифрованы (BitLocker в Windows, FileVault в macOS)
  • Доступ к CRM только по логину и паролю
  • Сложные пароли (не "12345" или "qwerty")
4

Удалять данные, когда они больше не нужны

Если клиент попросил удалить его данные — вы обязаны это сделать в течение 30 дней.

Исключение: Если данные нужны для выполнения договора или по закону (например, чеки и договоры нужно хранить 5 лет для налоговой).

📋 Регистрация в реестре Роскомнадзора

🚨 Новое требование с 2025 года!

С 30 мая 2025 года все компании и ИП, которые обрабатывают персональные данные, обязаны подать уведомление в Роскомнадзор.

Штраф за отсутствие уведомления: до 300 000 ₽.

Кто должен зарегистрироваться:

  • ИП и ООО с сайтом (форма обратной связи)
  • Интернет-магазины
  • Салоны, клиники, автосервисы (база клиентов)
  • Работодатели (данные сотрудников)
  • Онлайн-школы, курсы

Как зарегистрироваться:

  1. Подготовить документы (Политика конфиденциальности, перечень ПД, меры защиты)
  2. Заполнить форму на сайте Роскомнадзора
  3. Подать уведомление (через портал Госуслуг или лично)
  4. Получить номер в реестре

💡 Помощь ITMagic.SPB

Мы помогаем с регистрацией в реестре Роскомнадзора:

  • Аудит: проверяем, какие данные вы собираете
  • Подготовка всех документов
  • Подача уведомления
  • Сопровождение до получения номера

Стоимость: 30 000 ₽ | Срок: 5-7 рабочих дней

→ Подробнее об услуге регистрации

💸 Штрафы за нарушение 152-ФЗ в 2026 году

Нарушение Штраф для ИП Штраф для ООО
Обработка ПД без согласия 10 000 – 20 000 ₽ 30 000 – 50 000 ₽
Нарушение условий обработки ПД 10 000 – 20 000 ₽ 30 000 – 50 000 ₽
Хранение данных на иностранных серверах без разрешения 30 000 – 50 000 ₽ 100 000 – 300 000 ₽
Отсутствие уведомления в Роскомнадзор (с 30.05.2025) 100 000 – 300 000 ₽ 300 000 ₽
Утечка персональных данных 10 000 – 20 000 ₽ 50 000 – 75 000 ₽
Незаконная передача/продажа ПД Уголовная ответственность (ст. 137 УК РФ)

✅ Чек-лист: как не нарушать 152-ФЗ

Политика конфиденциальности на сайте (ссылка в футере)
Согласие на обработку ПД — галочка под каждой формой
Хранение данных в РФ (российские CRM, облака, серверы)
Пароли на компьютерах с доступом к базе клиентов
Ограничение доступа — только нужные сотрудники видят ПД
Шифрование данных (BitLocker, FileVault, HTTPS на сайте)
Уведомление в Роскомнадзор (если не подавали — срочно!)
Процедура удаления ПД по запросу клиента
Договоры с сотрудниками на неразглашение ПД

❓ Частые вопросы про 152-ФЗ

Я храню базу клиентов в обычной тетрадке — это нарушение?
Нет, если тетрадка лежит в запираемом шкафу и к ней нет доступа у посторонних. Но если она на столе — нарушение (любой может посмотреть).
Можно ли использовать Google Таблицы, если я ИП?
Нельзя. Google хранит данные на серверах в США — это нарушение закона о локализации данных (ПД граждан РФ должны храниться в РФ). Используйте Яндекс.Документы или российские CRM.
Я записываю клиентов через Instagram Direct — это нарушение?
Да, Instagram (Meta) — иностранная компания, данные уходят за рубеж. Лучше переводите клиентов в Telegram-бот или российскую CRM после первого контакта.
Клиент попросил удалить его данные. Обязан ли я это делать?
Да, в течение 30 дней. Исключение: если данные нужны для выполнения договора (например, клиент заказал товар, который ещё не доставлен) или по закону (бухгалтерские документы хранятся 5 лет).
Я использую amoCRM — нужно ли мне регистрироваться в Роскомнадзоре?
Да, если вы обрабатываете ПД клиентов или сотрудников. amoCRM — это просто инструмент, но ответственность за данные лежит на вас (ИП/ООО).
Я самозанятый (НПД). Нужно ли мне соблюдать 152-ФЗ?
Да, если вы собираете ПД клиентов (имя, телефон). Но самозанятые НЕ обязаны подавать уведомление в Роскомнадзор (это требование только для ИП и ООО). Однако Политику конфиденциальности иметь нужно.
Можно ли хранить ПД в облаке Mail.ru?
Да, Mail.ru — российская компания, серверы в РФ. Главное — поставить пароль на доступ и не делиться публичными ссылками.
Что будет, если я не подам уведомление в Роскомнадзор?
Штраф от 100 000 до 300 000 ₽ с 30 мая 2025 года. Проверки идут, особенно по жалобам клиентов. Лучше зарегистрироваться сейчас.

📋 Нужна помощь с 152-ФЗ?

Избежите штрафов до 300 000₽. Подготовим документы и зарегистрируем в Роскомнадзоре за 5-7 дней.

Стоимость: 30 000₽ | Срок: 5-7 дней | Гарантия регистрации

Оставить заявку

📞 Контакты ITMagic.SPB

Сайт: itmagic.spb.ru

Telegram-бот: @itmagicspbbot

География работы: Работаем по всей России и за рубежом. Офис в Санкт-Петербурге

Рабочее время: Пн-Пт 9:00-20:00 МСК