8 (800) 775-74-87

8 (800) 775-74-87
бесплатно по России

пн - пт : 09:00 - 20:00

сб - вс : 10:00 - 18:00

оформление заказов на сайте
круглосуточно
info@basicdecor.ru
Войти
Сравнение
Корзина
Юридическая грамотность

Обработка персональных данных в 2025 году

Иван Распутин
Анастасия Распутина
2 Автора

Май 2025 года просто взорвал весь российский интернет, а причиной тому стали новые штрафы от Роскомнадзора за неправильную и незаконную обработку персональных данных.

Так, например, за обработку данных без согласия вам грозит штраф:

  • 10–15 тысяч рублей — для физлиц и самозанятых;
  • 100–300 тысяч — для ИП;
  • 300–700 тысяч — для ООО.

И это только за одно нарушение!

Требований к обработке много, и если их не учитывать, то штрафов может быть сразу несколько и в совокупности они могут составить даже не 100 тысяч, а несколько миллионов рублей. Подробнее про всевозможные штрафы можно посмотреть в ст. 13.11 КоАП РФ. Дизайнеров интерьера эти нововведения не обошли стороной, так как многие из них создают прекрасные интерьеры для своих заказчиков — физических лиц. Ведут свою профессиональную деятельность, а значит обязаны обрабатывать персональные данные по всем требованиям закона. Что вообще такое «персональные данные», их обработка, какие к ней требования и что нужно сделать каждому дизайнеру, чтобы не попасть на штрафы — разбираем дальше.

Иван и Анастасия Распутины
Авторы статьи Иван и Анастасия Распутины
- Юристы дизайнеров интерьера
- Эксперты по экономической безопасности бизнеса
- Свыше 400 решенных споров до суда
- Сэкономлено более 530 млн рублей клиентов

Ссылка на Telegram-канал

Содержание:

Что такое «персональные данные»

Что такое «обработка персональных данных»

Кто такой оператор обработки данных

Что важно сделать каждому дизайнеру:

Что такое «персональные данные»?

Это совокупность данных, по которым мы можем идентифицировать конкретного человека. Давайте сразу разберем на примере, какие данные получает дизайнер интерьера от своих клиентов и будут ли они попадать в категорию «персональных».

Например, для составления ТЗ на разработку дизайн-проекта дизайнер запрашивает у заказчика информацию о его жизни: профессию, должность, семейное положение, есть дети или нет, адрес объекта. А кто-то даже дату рождения, знаки зодиака и прочие данные, которые помогают понять стиль жизни и характер человека. Все это является персональными данными, как и ФИО, адрес проживания/регистрации, номер телефона, эл. адрес.

Вопрос от дизайнера: Нужно ли соблюдать закон о персональных данных, если клиент не стал работать со мной? В таком случае будет считаться, что я получила персональные данные человека (его ФИО и номер)?

Ответ: Да, так как в совокупности по этим данным мы можем определить конкретного человека и закон признает их персональными. Однако были случаи, где суд оспаривал решения Роскомнадзора и признавал, что отдельно номер телефона (то есть без известного нам ФИО человека) не является персональными данными, так как по нему сложно установить личность конкретного человека.
Например, Определение Верховного Суда РФ от 21 июля 2023 г. №305-ЭС23-12160.

При этом сейчас усиливается контроль за обработкой персональных данных, появляются новые прецеденты и сервисы. Мы рекомендуем всем дизайнерам, работающим с физ. лицами и получающим их номера телефонов (даже без имени), соблюдать все требования. Сегодня вы получили только номер, завтра ФИО, послезавтра план БТИ с адресом проживания и вот, пожалуйста — уже вовсю обрабатываете персональные данные.

Поэтому надеяться на то, что «я получаю только номер, данные не обрабатываю, а значит делать мне ничего не нужно» — не стоит. Лучше сразу соблюсти все требования и работать спокойно, не переживая о том, признает РКН эти данные персональными или нет.

Что считается обработкой персональных данных по закону № 152-ФЗ?

Это любое действие с данными физических лиц
(п.3 ст.3 Федерального закона #152-ФЗ «О персональных данных»):

  • Сбор (получение) данных: для договора, выставления счетов, занесения в свою базу клиентов/подрядчиков, составления ТЗ для разработки дизайн-проекта и пр. При этом абсолютно не важно, как получены эти данные. Если вы их получили, то уже обрабатываете;
  • Хранение данных у себя — это тоже обработка. Даже если они никуда не передаются;
  • Уточнения, изменения, удаление и любые другие действия — все это обработка.

Поэтому если дизайнер задается вопросом: «А обрабатываю ли я данные своих клиентов?», то однозначный ответ — да.

Каждый, кто работает с клиентами (не важно — заключает он договор или работает без него), обрабатывает персональные данные этого клиента.

Вопрос от дизайнера: А если я работаю только с ИП и ООО, я обрабатываю персональные данные?

Ответ: Тут все зависит от того, какие данные вы получаете. Если это паспортные данные ИП, его адрес проживания/регистрации, личный номер телефона (не рабочий) — то есть данные, по которым мы можем идентифицировать его как конкретное физическое лицо, они будут являться персональными. У ООО нет персональных данных, это компания, но при работе с ней мы можем получать и обрабатывать данные работников.

Подводя итог — если вы ведете предпринимательскую деятельность, получаете, храните, систематизируете, уточняете, удаляете любые данные физических лиц: клиентов, сотрудников, подрядчиков-фрилансеров и пр., то вы обрабатываете персональные данные. Еще короче: если вы сейчас работаете, то вы точно обрабатываете персональные данные.

А если вы обрабатываете персональные данные, то вы являетесь оператором обработки персональных данных.

Кто такой оператор обработки персональных данных?

Каждый, кто работает с физическими лицами (клиентами, сотрудниками и пр.) и получает их персональные данные, считается оператором, вне зависимости от формы деятельности. Даже если вы не оформлены официально или являетесь самозанятым или ИП/ООО — вы всегда будете оператором, если работаете с данными физ.лиц. А значит, вы обязаны обеспечить защиту персональных данных и соблюдать все требования закона.

На этом мы разобрали всю теорию и переходим к конкретным действиям, которые нужно сделать каждому дизайнеру интерьера, чтобы избежать многомиллионных штрафов от РКН.

Что важно сделать каждому дизайнеру?

1. Проверить и привести в порядок все свои онлайн-ресурсы, сайты (Taplink — это тоже сайт).

Что должно быть на сайте?

  • Первое, что должен увидеть пользователь, когда зашел к вам на сайт — всплывающее окошко с уведомлением о том, что вы обрабатываете файлы cookies;

Оно должно быть везде, потому что Роскомнадзор признает cookie-файлы персональными данными. На любом вашем сайте, даже если на нем нет никаких форм заявок. Если вам кажется, что вы не обрабатываете файлы cookies — вам кажется. Обработку файлов cookies может отключить только сам пользователь у себя в браузере.

Пример с сайта Rasputiny.ru:

При нажатии на кнопку «Настройки cookie» (которая есть на картинке) пользователь как раз получает информацию о том, что отключить сбор cookie-файлов он может самостоятельно в своем браузере.

  • Следующее, что должно быть на сайте — это галочка-согласие на обработку данных возле каждой формы с комментарием: «Соглашаюсь на обработку персональных данных в соответствии с условиями Политики конфиденциальности». В сами фразы нужно «вшить» ссылки на документы — согласие и политику;

Важно! Галочка не должна быть проставлена по умолчанию, пользователь должен поставить ее сам. Также важно, чтобы без этой галочки клиент не мог отправить вам заявку, то есть она должна быть обязательной для заполнения.

  • На сайте должна быть юридическая информация о вас: реквизиты и контакты, по которым можно связаться;

Лайфхак для самозанятых и ИП: заведите рабочий номер телефона и размещайте на сайте его, а не личный номер. Это поможет вам защититься от спама и навязанной рекламы.

  • И документы: политика конфиденциальности (обязательно), согласие на обработку данных (обязательно), согласие на распространение данных (если передаете), согласие на получение рекламы (если делаете рекламную рассылку). Четыре отдельных документа должны быть размещены в самом низу сайта (в «подвале»).

Где взять документы для сайта

Вопрос от дизайнера: А если у меня на сайте нет формы заявки, только кнопки мессенджеров, на которые если пользователь нажмет, то его перекинет со мной в чат. Что в таком случае должно быть на сайте?

Ответ: Несмотря на то, что формы заявки нет, если человек нажимает на кнопку мессенджера — вы получаете его имя и номер телефона. Это считается обработкой данных, тем более, если далее, например, вы запрашиваете информацию для расчета предварительной стоимости. Поэтому рекомендуем:

1) Разместить под кнопкой текст: «Нажимая кнопку и активируя переписку, Вы даете свое согласие на обработку персональных данных в соответствии с условиями Политики конфиденциальности», где «согласие» кликабельно и ведет на документ — Согласие, а «Политика» на документ — Политика;

2) Разместить на сайте документы, о которых писали выше, всплывающее окошко об обработке файлов cookies, и ваши реквизиты.

Вопрос от дизайнера: А если у меня на сайте нет ни формы заявки, ни кнопок, только мой номер телефона, что в таком случае должно быть на сайте?

Ответ: На вашем сайте в любом случае должно быть всплывающее окошко об обработке файлов cookies, а если есть оно, значит должна быть и политика конфиденциальности (как отдельный документ).

Вопрос от дизайнера: А если у меня вообще нет сайта, у меня должна быть политика конфиденциальности?

Ответ: Тут все зависит от того, какие данные и на каком этапе вы получаете от своего клиента.

  • Если вы собираете персональные данные уже в целях заключения и исполнения договора с клиентом, то отдельная страница «Политика» необязательна;

Функции документа со всей информацией о целях обработки персональной информации и о вас выполняет договор, который клиент заключает с вами. Но отдельно от договора вам нужно будет подписать с заказчиком согласие на обработку его данных (данное требование принято Федеральным законом от 24 июня 2025 г. № 156-ФЗ и вступает в силу с 1 сентября 2025 г., но уже можно его подготовить и подписывать).

Поэтому, если дизайнер не обрабатывает персональные данные через сайт или другие онлайн-ресурсы в сети интернет, то в рамках договорных отношений ПОЛИТИКОЙ выступает сам договор, а вот СОГЛАСИЕ должно быть подписано как отдельный документ.

  • Если вы запрашиваете персональные данные задолго ДО того, как заказчик принимает решение работать с вами и заключить договор. И вы получаете их, например, в мессенджере, то тут только по запросу оператор (вы) обязан предоставить заказчику информацию о Политике конфиденциальности.

Если такого запроса от потенциального заказчика нет, но он дал какую-то информацию о себе, то это косвенное согласие на обработку. Однако рекомендуем перед тем, как начать с ним обсуждение деталей, направить ему ссылки на Политику и Согласие.

Поэтому, чтобы оперативно ответить на запрос потенциального клиента и предоставить ему информацию о вас, как об операторе обработки персональных данных, документы рекомендуем подготовить заранее. Разместить их, например, на файловом хранилище и направлять ссылку, если кто-то захочет с ними ознакомиться.


2. Иметь на руках и подписывать с клиентами документы об обработке персональных данных.

Так как при заключении договора он и является той самой политикой (мы писали об этом выше), то при работе с заказчиком оффлайн отдельно никакую политику с ним подписывать не надо.

Однако!

Отдельно нужно подписывать согласие на обработку персональных данных с заказчиком и в нем перечислить все данные, которые получаете, цели обработки и правила.

Если вы передаете данные, например, поставщикам (или другим третьим лицам) для расчета стоимости того или иного изделия, получения бонусов и пр. То вы должны подписывать согласие на распространение персональных данных заказчика.

Также, если потом вы делаете рекламные рассылки с какими-то предложениями своим клиентам, то необходимо отдельно подписать с заказчиком согласие на получение рекламы.

Согласие на обработку, согласие на распространение и согласие на получение рекламы — это три разных документа.

Таким образом, у каждого дизайнера с заказчиком должны быть:

  • заключенный договор;
  • подписанное согласие на обработку персональных данных (подписывать его обязательно);
  • согласие на распространение персональных данных, если они передаются поставщикам, строителям и другим подрядчикам (если данные не передаются, согласие подписывать не нужно);
  • согласие на получение рекламы, если потом распространяете рекламу среди клиентов (рассылки в мессенджерах, через e-mail и пр.).


3. Уведомить Роскомнадзор о том, что вы являетесь оператором обработки персональных данных.

Когда вы привели сайты и договоры в порядок, вам нужно уведомить Роскомнадзор о том, что вы обрабатываете персональные данные.

На самом деле, требование подать уведомление в РКН существует уже очень много лет, с момента вступления в силу Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В 2023 году РКН утвердил форму электронного уведомления, но судя по тому, какая паника была у всех в мае 2025, мало кто об этом знал и уж тем более — делал. Поэтому, чтобы не получить штраф до 300 тысяч рублей, который ввели с 30 мая 2025 г., давайте разберем пошагово, что это за уведомление, кто обязан его подать и почему.

  • Начнем с того, кому надо уведомить Роскомнадзор?

Всем, кто обрабатывает персональные данные: и физ. лицам, и самозанятым, и ИП, и ООО.

Не важно, есть ли у вас сайт, заключаете ли вы договоры, получаете вы данные от клиентов лично или через кого-то, вы обязаны уведомить Роскомнадзор о том, что либо намереваетесь обрабатывать данные, либо уже обрабатываете.

Конечно, есть и исключение. Можно не подавать уведомление об обработке персональных данных, если сбор, хранение и использование всех личных сведений осуществляется исключительно без использования средств автоматизации (п.8 ч.2 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ).

И сразу ответим на вопрос: «Что такое средства автоматизации?».

Многие считают, что это только сайты и онлайн-сервисы (например, CRM), но это не так. Ими в данном случае будут являться и компьютеры, и «айпады», и даже телефоны. Потому что сейчас в любом современном гаджете есть программное обеспечение, облачные хранилища, резервные копии (которые хранятся в облачных хранилищах) и т.д.

В нашем современном мире сложно представить дизайнера интерьера, который работает со всеми персональными данными (мы их перечисляли выше) исключительно на бумаге: записывает, хранит. Как минимум, все счета мы формируем в приложениях банков, договоры подписываем дистанционно, отправляем по e-mail и тд.

Поэтому мы все каждый день пользуемся средствами автоматизации, а значит каждый должен уведомить Роскомнадзор о том, что обрабатывает данные своих клиентов.

Если вдруг у вас нет клиентов, но есть сотрудники, то уведомление тоже подавать надо, потому что сотрудники вам предоставляют свои персональные данные.

  • Как уведомить Роскомнадзор об обработке персональных данных?

Подать уведомление в Роскомнадзор можно онлайн, через форму на их сайте: https://pd.rkn.gov.ru/operators-registry/notification/form/

Для этого у вас должна быть подтвержденная учетная запись на Госуслугах или электронная цифровая подпись.

Уведомление можно также заполнить и отправить по почте в территориальный орган. Но в любом случае заполняется она на сайте РКН по ссылке выше.

В анкете (форме уведомления) необходимо указать:

  • Перечень персональных данных, которые вы обрабатываете: ФИО, все данные из паспорта клиента, все данные, которые запрашиваете при составлении ТЗ и др;
  • Цели обработки персональных данных — заключение и исполнение договора, продвижение товаров и услуг на рынке, ведение кадрового учета (если у вас есть сотрудники, например) и тд. В одном уведомлении можно указать сразу несколько целей. Также перечислить чьи это данные и прописать действия, которые вы будете с ними совершать.

Уведомление подается только один раз. При этом, если что-то изменилось вам нужно подать уведомление об изменении сведений об операторе. Например, вы поменяли форму ведения бизнеса (были самозанятым, стали ИП) или поменялись/добавились цели обработки. Сделать это можно здесь: https://pd.rkn.gov.ru/operators-registry/notification/updateform/.

После того, как отправите уведомление, вашему заявлению будет присвоен номер и ключ, они придут на электронный адрес. Если они не пришли (такое бывает), не спешите паниковать, система иногда сбоит, просто через время проверьте себя в реестре операторов. Если через 30 дней вас в реестре не будет, подайте уведомление еще раз. Проверить себя (или кого-то другого) в реестре можно тут: https://pd.rkn.gov.ru/operators-registry/operators-list/

  • Когда надо уведомить Роскомнадзор?

Многие путают и думают, что уведомление нужно было подать до 30 мая 2025, но это не так. С 30 мая ввели штрафы, а уведомить можно было и до, и можно еще после.

Отправлять уведомление нужно перед началом обработки персональных данных. Если вы уже обрабатываете персональные данные, но еще не отправили уведомление, не переживайте, просто займитесь этим сейчас.

В форме уведомления вам нужно будет указать дату начала обработки — указываете ту дату, с которой начали обрабатывать данные, даже если делаете это уже год, два, три, пять.

Подводя итог:

Когда надо уведомить Роскомнадзор? Сейчас, если вы еще этого не сделали.

Почему? Потому что в случае нарушения обработки персональных данных оператором, которого нет в реестре, ему могут быть начислены повышенные штрафы:

  • Для физлиц — от 50 до 100 тыс. рублей;
  • Для ИП — от 400 до 800 тыс. рублей;
  • Для ООО — от 1 до 3 млн. рублей.

Поэтому не откладывайте!

4. Соблюдайте все правила обработки персональных данных

После того как вы выполнили все требования по получению и сбору персональных данных, а также уведомили Роскомнадзор, остается одно — не нарушать правила обработки. Особенно важно не допустить утечки данных, иначе можно получить серьезный штраф.

С 30 мая 2025 года вступили в силу новые суммы штрафов. Например, за незаконную передачу данных от 1 000 до 10 000 человек ИП или ООО может заплатить от 3 до 5 млн рублей.

Важно понимать: если произошла утечка персональных данных только одного человека — это не значит, что вы не получите штраф. Одним из вариантов утечки может быть незаконное распространение данных без полученного на это согласия от заказчика.

В такой ситуации вы рискуете получить штраф до 300 тыс рублей за первое выявленное нарушение и до 500 тыс рублей за повторное.

Чтобы избежать проблем и штрафов, важно соблюдать следующие правила:

  • Всегда получать согласие на обработку;

В нашей практике уже не один раз были истории, где заказчики дизайнеров отказываются предоставлять свои данные для заключения договора — то есть они не дают данные и не дают согласие на обработку. В таком случае нужно объяснять, что информация вам нужна для исполнения договора, в противном случае вы просто не можете заключить договор и соответственно не можете работать с данным заказчиком.

  • Не распространять и не передавать третьим лицам (поставщикам, строителям и др. подрядчикам) данные без письменного согласия человека;

Реальная история, которая не так давно случилась у дизайнера. Заказчик прислал претензию с требованием выплатить штраф и компенсировать моральный ущерб за незаконное распространение его персональных данных.

Дизайнер без согласия заказчика передала его данные поставщикам, те начали звонить заказчику, ему это не понравилось и он решил защитить свои законные права.

Не забываем, что во всех законах и нововведениях разбираетесь не только вы, но и ваши заказчики, а значит вам нужно делать все грамотно, чтобы не было таких ситуаций. Еще раз заострим внимание, что для распространения данных и передачи их третьим лицам, у вас должно быть получено отдельное письменное согласие на это от заказчика.

  • Самим не покупать и не распространять «базы клиентов»;

  • Не спамить, если человек не давал вам согласие на обработку его данных и получение рекламы;

  • Обеспечить защиту и сохранность данных;

История из нашей практики: дизайнер сняла и опубликовала в социальной сети ролик о своем проекте, который она сделала. В ролике она листала альбом (дизайн-проект) и не обратила внимание, что на чертежной рамке были видны персональные данные заказчика. Ролик увидела заказчица и прислала претензию с требованием выплатить ей штраф и компенсацию за моральный ущерб в размере 50 000 рублей. Поэтому будьте внимательнее.

  • Удалять данные и прекратить их обработку по заявлению человека.

Обращаем внимание, что отозвать согласие на обработку персональных данных заказчик имеет право и письменно, и устно.

Что значит прекратить обрабатывать данные? Достаточно просто удалить их?

Удалить данные — не равно перестать их обрабатывать.

О том, что вы перестали обрабатывать персональные данные заказчика, у вас должен быть соответствующий документ — акт об уничтожении персональных данных. Что должен содержать данный акт установлено Приказом Роскомнадзора от 28.10.2022 № 179.


5. Какие еще требования по обработке персональных данных есть для ИП и ООО?

  • По закону № 152-ФЗ «О персональных данных» ИП и ООО обязаны назначить ответственного за обеспечение защиты персональных данных;

Если есть сотрудники, можно назначить кого-то из сотрудников, если нет, то ИП назначает себя, а ООО назначает генерального директора.

Для этого подписывается соответствующий приказ, в свободной форме, в котором указывается ответственный, обозначается, что в должностную инструкцию ответственного вносится обязанность организации обработки персональных данных, а также информация о том, что сотрудник предупрежден об ответственности за нарушения.

  • Также у ИП и ООО должен быть внутренний документ — политика обработки и защиты персональных данных работников (это требование не только закона №152-ФЗ «Об обработке персональных данных», но и ст. 87 Трудового кодекса РФ). С этим документом каждого работника должны ознакомить под подпись — это тоже требование закона.

Соответственно, помимо документов для правильной обработки персональных данных заказчиков, должны еще быть и внутренние документы: приказ о назначении ответственного и внутренняя политика обработки данных работников.

Мы разобрали с вами основной порядок действий, который нужно учесть каждому дизайнеру интерьера в своей работе, чтобы исключить риск получить штраф за неправильную обработку персональных данных. Сохраняйте статью, делайте все по шагам — и тогда никакие проверки и штрафы вам не страшны.

А чтобы убедиться, что вы ничего не упустили, добавили короткий чек-лист. Пройдитесь по нему и проверьте, все ли уже сделано.

Чек-лист по обработке персональных данных

Вебинар “Дизайнер и закон: как защитить себя и свою работу”