Как несерьезное отношение к персональным данным клиентов может убить микро и малый бизнес

28.07.2025 12:45  
Статьи, Зарплата и кадры, Управление бизнесом

Мы с вами уже в новой реальности по работе с персональными данными клиентов. Основной закон о персональных данных № 152-ФЗ, который подписали еще 27 июля 2006 года, постоянно “прокачивали” и внесли изменения тридцатью другими федеральными законами. Но реального и массового исполнения не наблюдалось.

Респондент:

Юрий Тихомиров
... Открыть профиль специалиста

Расскажу, почему правильная работа с персональными данными теперь будет касаться всех, включая микро-предпринимателей и даже специалистов частной практики. Поделюсь на базе практики и серьезного отношения юристов коммуникационных агентств и крупного бизнеса, а также слепой зоне малого бизнеса, наблюдениям за техническими ограничениями для использования персданных с целью всяких рассылок и рекламы, а также чередой все новых и новых законов, которые заставят всех начать серьезно и правильно работать с персданными.

Старая реальность: когда правила игнорировали

Безответственный подход к собственным персданным и со стороны бизнеса привели к тому, что целые файлы с таблицами собранных контактов легко улетают почтой или через мессенджер, не настроены права и ограничения на копирование и экспорт из CRM-систем, и тому подобное. А потом жалуемся на мошенников и автообзвоны, тех, кто хочет что-то нам продать, и ждет невероятных результатов от такой схемы коммуникации и продаж.

По сей день серьезного отношения у малого и среднего бизнеса к работе с персданными клиентов не наблюдается. У начинающих, микро-предпринимателей и специалистов частной практики вообще бытует ряд мифов и заблуждений, которые можно описать фразами: “А что такого-то?”, “А что, так нельзя что ли?”, “До нас дела нет, мы маленькие”.

Респондент:

Юрий Тихомиров
... Открыть профиль специалиста

К примеру, давно есть требование включать звуковое уведомление о начале сбора персданных, когда клиент звонит в некую компанию. Но кто его исполнял? Единицы. Такая же ситуация, когда подключаются к сайту чаты с возможностью писать из соцсетей и мессенджеров.

То же из практики: наши клиенты просили нас отключать настройки отправки уведомлений о начале сбора персданных и получение запроса на согласие, поскольку клиенты пугались таких сообщений. Т.е. бизнес воспринимал тишину или вопросы клиентов в чате как испуг, и вместо того чтобы сказать: “Мы честно собираем ваши персданные для того-то и того-то” (согласно тексту Политики), они просто просили нас отключать эти уведомления и собирали данные с нарушениями. Еще стоит отметить, что полученные контакты без согласий невозможно использовать в CRM-маркетинге (рассылки через email, мессенджеры и соцсети).

Эти возражения основаны на непонимании общей картины, последовательности взаимосвязанных законов, методов обеспечения контроля, простоте выявления нарушителей, вынесении штрафных санкций со списанием средств со счетов и даже блокировкой веб-ресурсов.

Клиенты – ваш главный актив и главная угроза

Кроме того, важно осознавать, что клиенты являются самым ценным активом для предпринимателей и бизнеса. Собранная клиентская база важна не только для оперативной деятельности, но и для эффективного продвижения путем настройки рекламных кампаний по профилю клиентов, реализации CRM-маркетинга (повторных продаж), автоматизации процессов, чат-ботов, автоворонок, рассылок и прочего.

Ситуация начала меняться в канун 30 мая 2025 года, когда начали везде трубить про высокие штрафы согласно 420-ФЗ от 30.11.24, который начал действовать в пятницу 30 мая, спустя полгода после подписания.

Респондент:

Юрий Тихомиров
... Открыть профиль специалиста

И то, по правде говоря, те, кто среагировал на уйму контента про 420-ФЗ и новые штрафы, разобрался в вопросе не полностью. В большинстве случаев, по наблюдениям в чатах и при общении, сфокусировались на отправке уведомления в РКН и выдохнули.

Выдыхали рано: РКН просыпается

Насколько знаю, уже кому-то пришли отказы от РКН с комментами, что заявление заполнено неверно или с ошибками (прим.: точный текст не показали, попросили помочь исправить и “правильно заполнить”).

На этот раз отмахнуться не получится — новые законы (начиная с 420-ФЗ и 421-ФЗ от 30.11.24) коснутся даже самых маленьких бизнесов, включая домашних мастеров, специалистов частной практики, мастеров-ремесленников.

Нужно включиться, разобраться в вопросе и наладить правильную работу с персональными данными.

Размеры простых штрафов выросли в разы, а совокупные штрафы могут уничтожить не только прибыль, но и доходы микро-предпринимателей.

Многие даже не разбирались в принципах правильной работы с персональными данными до сегодняшнего дня.

Совокупные штрафы – это когда идет череда разных нарушений по работе с персданными, вас наказывают по одному и следом подтягиваются остальные.

Чтобы понять, о чем речь, стоит понять связку пяти основных законов по данной теме, а также целый список последующих к ним, которых за 2022-2025 гг. вышло немало, и ждем новые.

5 законов, которые перевернут ваш бизнес

Под пятью основными имею в виду: 2300-1 “О защите прав потребителей”, 152-ФЗ “О персданных”, 38-ФЗ “О рекламе”, 126-ФЗ “О связи” и 149-ФЗ “Об информации…”.

У меня есть отдельная статья, которая называется “13 причин для правильной работы с персональными данными и развития продаж или 13 федеральных законов РФ, которые регулируют правильную работу с персональными данными, для развития клиентов и роста продаж”, в которой можно посмотреть детали по каждому из этих законов (найти можно в телеграм-канале автора “Фокус на Цель“).

Законов много, и они наказывают за различные нарушения: как неправильное получение, ненадежное хранение, отсутствие документации и обучения команды, за рассылки без согласий, за СПАМ, в мессенджерах и звонках, и тому подобное.

Респондент:

Юрий Тихомиров
... Открыть профиль специалиста

Не стоит дожидаться момента, когда все законы вступят в силу, система контроля и наказания заработает автоматически, и один из ваших текущих или будущих клиентов решит пожаловаться на спам или мошенничество. И это уже не фантастика и совсем не далекое будущее, это уже реальность, которая будет реализована в ближайшей перспективе, от силы, 1-2 лет.

И вот вопрос: зачем терять время и недорабатывать сейчас, чтобы пока в настоящем “бежите” и добежите до точки, когда перед вами просто встанет стена, которую не перепрыгнуть и не обойти.

Будущее уже здесь: что вас ждет завтра

Соцсети требуют и контролируют верификацию наших профилей и каналов/сообществ с помощью номеров телефонов (уже в процессе) и через Госуслуги (уже запущен процесс). И не говорите, что это чушь, поскольку даже ваш “любимый и свободный” Телеграм требует регулярно подтверждение, что вы все еще пользуетесь этим (вашим) номером телефона.

Мобильные операторы требуют подтвердить владельцев номеров телефонов (сим-карт) с помощью Госуслуг или посещения салона связи с паспортом. Это реальность последних 4-х лет. Также идет череда событий по ограничению сим-карт на одни руки.

Уже сейчас базы из Excel, после парсинга или купленные, очень сложно использовать для массовых рассылок и настройки рекламы на данные контакты. Это становится невозможно, т.к. конечные исполнители работы таких систем – это крупный бизнес телекома, который также попадает под свои штрафы на основании 126 “О связи” и 149-ФЗ “Об информации…”. Поэтому не рассчитывайте, что сможете бесконечно скупать какие-то базы и что-то с ними творить.

Равно как не рассчитывайте на использование дешевой рабочей силы на холодные обзвоны, поскольку они попадают уже под действующий 41-ФЗ “О маркировке исходящих звонков”, подписанный 01.04.25, вступивший в силу 01.06.25, и отчеты за них нужно сдавать с 01.09.25. А также еще 78-ФЗ от 06.04.24 “О СПАМе”.

В ближайшее время ожидается требование маркировать исходящие холодные сообщения, отправленные через email, мессенджеры и соцсети. Пока отправленные сообщения под видом знакомства и дружбы с целью “грядущих продаж”, по факту завуалированное рекламно-продажное сообщение в начале вашей продающей воронки, попадают под закон о персданных.

Статья 6 152-ФЗ: Принципы обработки ПДнУстанавливает, что обработка персональных данных должна быть целенаправленной и прозрачной:

• Запрещено собирать данные под ложным предлогом (например, под видом дружбы, если цель — коммерческое использование информации).
• Пример: Если лицо скрывает, что собирает контакты для рассылки рекламы, маскируя это под личное общение — это нарушение принципа законности.

Штрафы-убийцы: как микро-бизнес может потерять всё

Давайте порассуждаем на предмет: могут ли определить, что вы используете персданные клиентов. Рассмотрим простые сценарии ваших возражений и постараюсь наглядно продемонстрировать, насколько легко “наступить на грабли”.

У вас есть доход и поступление средств на счет

Вы занимаетесь какой-либо деятельностью и получаете доход, следовательно, происходят движения по вашему банковскому счету. В такой ситуации банку и налоговой службе известно о вашем доходе, и совместно с Роскомнадзором они могут выявить ваше нарушение.

Первая проверка заключается в выяснении основания получения дохода (это отдельная тема со своими законами) и подаче вами сведений об обработке персональных данных. Если вы не представили такую информацию, то сразу получаете первый штраф увеличенного размера согласно 420-ФЗ.

Далее последуют дополнительные проверки соблюдения прочих требований по работе с персональными данными, и, вероятно, начнется серия взысканий и штрафов, поскольку маловероятно, что вы своевременно подготовили всю необходимую документацию и организовали процесс корректно.

Респондент:

Юрий Тихомиров
... Открыть профиль специалиста

Допустим, первой целью проверок станут индивидуальные предприниматели и общества с ограниченной ответственностью, потому что сумма простого штрафа для них составит от 100 до 300 тысяч рублей.

Однако это не повод ожидать, пока дойдет очередь до физических лиц и самозанятых, ведь провести параллельные проверки технически несложно. Вопрос лишь в том, почему бы не заняться организацией своего дела уже сейчас?

Ваши клиенты сами звонят и пишут вам

Распространенным способом привлечения клиентов является получение входящих звонков и сообщений через электронную почту, социальные сети и мессенджеры.

Предполагается, что предприниматель провел определенную рекламную активность и привлек запросы. Идеальная ситуация выглядит так: клиенты самостоятельно обращаются к вам.

Часто микро-предприниматели могут вовсе не иметь сайт, не говоря уже о наличии офиса и взаимодействии с клиентами оффлайн. Привлечение клиентов осуществляется благодаря рекомендации знакомых (“сарафанное радио”), публикациям в социальных сетях, истории публикаций, сообществам и каналам, статьям и видеороликам.

Возникает возражение вроде: “Мы же взаимодействуем с клиентами через личный телефон, мессенджеры и соцсети, значит нас не затрагивает действие законов?”

Фактически, как только начинается общение, вы уже собрали персональные данные клиентов: имя, контактные сведения, содержание запросов и разговоров. Следовательно, в вашей практике неправильно ведется обработка персональных данных: отсутствует процедура правильного сбора, хранения, безопасности и предоставления доступа другим лицам. Получается четыре нарушения законодательства.

Откуда станет известно, что вы пользуетесь личной связью и сообщениями в соцсетях и мессенджерах?

Во-первых, смотрите предыдущий пункт: если имеются операции по вашим банковским счетам, значит, есть работа с клиентами, и появляется объект для проверки.

Респондент:

Юрий Тихомиров
... Открыть профиль специалиста

Далее проверяется реестр зарегистрированных самозанятых, индивидуальных предпринимателей и юридических лиц на предмет представления ими сведений об обработке персональных данных, а также методики сбора, хранения и обработки. Всё довольно просто.

Ваш план спасения: 7 шагов к безопасности

Правильная организация работы с персональными данными предполагает следующие шаги:

1. Сбор и получение согласий на обработку данных
2. Надежное хранение и обеспечение информационной безопасности
3. Регулирование доступа третьих лиц и определение уровня полномочий
4. Определение мест хранения данных (география размещения и используемые IT-сервисы)
5. Контроль процесса обработки и использования данных
6. Для выполнения вышеизложенных пунктов необходимы документация, процессы обучения команды по работе с ПДн, назначение ответственных лиц
7. И под финал: документы должны быть оформлены, введены в действие Приказом(-ами) и опубликованы в общем доступе

Провести контроль достаточно легко.

Метки данного материала:

• малый бизнес
• мсп
• персональные данные