Обработка персональных данных ИП и самозанятыми в 2025 году

С 1 июня 2025 года в силу вступили изменения к закону “О персональных данных”, которые напрямую касаются малого и среднего бизнеса. Эти изменения не прошли незамеченными: Роскомнадзор усилил надзор, а количество жалоб от клиентов выросло, особенно в интернет-сегменте. Теперь любая деятельность через соцсети или мессенджеры, если в ней фигурируют данные клиентов, может попасть под контроль со стороны Роскомнадзора..

РКН обращает особое внимание на онлайн-услуги, маркетплейсы, специалистов в сфере инфобизнеса, онлайн-торговли и фриланса. В 2026 году ожидается еще более жесткий подход: планируется интеграция автоматических проверок с платформами и сайтами.

Это значит, что уже сейчас необходимо разобраться: действительно ли вы как ИП или самозанятый обязаны регистрироваться, какие риски влечет игнорирование закона и как сделать все правильно и без лишней бюрократии.

Персональные данные: что важно знать

Многие по-прежнему ошибочно считают, что персональные данные — это паспорт, ИНН или номер СНИЛС. На деле закон трактует понятие гораздо шире. Персональными считаются любые сведения, которые позволяют прямо или косвенно идентифицировать конкретного человека. То есть даже имя в мессенджере или номер телефона, по которому можно связаться с клиентом, — уже подпадает под определение.

Например, если вы продаете украшения через Instagram* и просите у клиента имя и адрес доставки — это обработка персональных данных. Если вы самозанятый и ведете консультации через Telegram, где обсуждаете задачи и берете контакты — это тоже обработка. Даже если вы не сохраняете эти данные намеренно, но получаете, читаете или передаете их — формально вы их обрабатываете. А значит, подпадаете под требования закона.

Кто обязан регистрироваться как оператор ПДн в 2025 году

Если вы работаете с клиентами напрямую, через сайт, соцсети или любой другой канал — вы обязаны уведомить Роскомнадзор и официально зарегистрироваться как оператор персональных данных. Это связано с тем, что с точки зрения закона обработка начинается уже в момент получения информации, даже если она нигде не сохраняется.

Такая обязанность закреплена в статье 22 Федерального закона №152-ФЗ “О персональных данных”: оператор должен заранее, до начала обработки, уведомить об этом Роскомнадзор.

Даже если у вас нет отдельного сайта, но вы используете формы обратной связи на сторонних площадках (например, в карточке товара на маркетплейсе или через бота в Telegram) — это также является основанием для регистрации как оператора персональных данных. Таких случаев стало настолько много, что Роскомнадзор в своих публичных разъяснениях прямо указывает: любой канал, через который поступают данные от физических лиц, — это обработка ПДн.

Исключения действительно есть, но они касаются ситуаций, когда ИП работает только с сотрудниками, не собирает никаких данных от клиентов, и вообще не занимается никакой клиентской деятельностью.

Что будет, если проигнорировать требования

Административные штрафы за обработку персональных данных — это реальность, с которой уже столкнулись сотни предпринимателей. Если не зарегистрироваться как оператор ПДн, можно получить штраф по статье 13.11 КоАП РФ. Для физлиц (в том числе самозанятых) он составляет от 3 000 до 5 000 рублей, для ИП — от 6 000 до 10 000. При повторном нарушении или в случае утечки данных сумма может вырасти до 75 000 рублей.

Важно понимать: штраф — это не предел. Роскомнадзор вправе через суд добиться блокировки сайта или другого ресурса, через который вы собираете данные незаконно. И если вы используете, например, форму на Tilda или сервис рассылок без регистрации — это уже технически возможно. Пострадает в первую очередь ваш доход и лояльность клиентов.

Часто все начинается с простой жалобы: клиент недоволен, не получил ответ или сервис — и отправил обращение через Госуслуги. После этого проверка запускается автоматически.

Как зарегистрироваться оператором ПДн: простой путь

Шаг 1. Определите, какие данные вы собираете и зачем

Подумайте, какую информацию клиенты вам сообщают: имя, телефон, адрес, мессенджер, e-mail. Запишите, с какой целью вы это делаете — например, чтобы оформить заказ, отправить чек или проконсультировать. Это поможет вам правильно заполнить уведомление.

Это может быть как простой набор (имя и телефон), так и более расширенный: дата рождения, адрес, ссылки на соцсети, e-mail. Также важно определить, через какие каналы вы получаете информацию — сайт, CRM, Excel, чаты. Это поможет вам правильно оформить уведомление.

Шаг 2. Подготовьте описание обработки

Укажите, где и как вы обрабатываете данные: вручную, в CRM, в облаке. Кто имеет доступ — только вы, или бухгалтер, помощник, подрядчик? Как долго хранятся данные — пока клиент не откажется от услуги, или по договору? Это все важно прописать в уведомлении.

Шаг 3. Авторизуйтесь на сайте Роскомнадзора через Госуслуги

Зайдите на pd.rkn.gov.ru, войдите через Госуслуги и перейдите к подаче уведомления.

Шаг 4. Заполните и отправьте анкету

Укажите свои данные как ИП или самозанятого, цели обработки, категории персональных данных, источники получения, способы хранения и защиты. Проверьте все и отправьте форму онлайн.

Шаг 5. Получите регистрационный номер

После проверки Роскомнадзор присвоит вам регистрационный номер. С этого момента вы официально зарегистрированы как оператор персональных данных и действуете в рамках закона.

Какие документы нужны ИП и самозанятому

Политика конфиденциальности ИП — это не просто формальность. Она показывает, что вы открыто и законно работаете с клиентскими данными. Даже если вы не юрист, составить базовый вариант можно по шаблонам. Главное — указать: какие данные вы получаете, зачем, как долго храните, как можно отозвать согласие.

Согласие на обработку данных — это подтверждение от клиента. Оно может быть устным, текстовым, оформлено через форму на сайте или в сообщении. Главное — чтобы вы могли подтвердить, что клиент его дал. Например, в заказе или переписке. В идеале — формализовать это с помощью галочки или короткой формы.

По закону клиент имеет право отозвать согласие в любой момент. Если это произойдет — вы должны прекратить обработку, а при необходимости удалить все сведения, кроме тех, которые обязаны хранить по закону (например, данные для налоговой или бухгалтерии).

Отзыв согласия не означает, что вы нарушили закон — главное, чтобы у вас была возможность отреагировать и выполнить это требование. Если вы используете Robokassa, такие механизмы уже предусмотрены, и вам не нужно ничего удалять вручную.

Журнал обработки полезен, если вы ведете базу клиентов, особенно с повторными обращениями. Он не обязателен, но может подтвердить вашу организованность и соответствие требованиям при проверке.

Если вы работаете только через соцсети и мессенджеры

На первый взгляд кажется, что если вы не ведете сайт, а общаетесь с клиентами в соцсетях, то закон вас не касается. Но это не так. Социальные сети — такой же канал получения данных, как и сайт. А значит, регистрация оператора персональных данных все равно обязательна.

Можно упростить себе работу: разместить текст политики в закрепленном сообщении Telegram-канала или добавить ссылку на Google-документ с согласием в шапку профиля Instagram*. При первом обращении клиента просто дайте ссылку на документ или отправьте короткий текст согласия: «Подтверждаю согласие на обработку персональных данных для оформления заказа».

Да, это неформально. Но если клиент подтвердил согласие, а вы — зарегистрированы и действуете в рамках закона — этого уже достаточно.

Многие самозанятые считают, что если клиент сам написал первым, это автоматически освобождает от ответственности. На самом деле закон не делает исключений: если вы получили, прочитали и используете персональные данные клиентов, вы их обрабатываете, независимо от того, кто начал диалог.

Кроме того, популярная ошибка — сохранять данные в телефонной книге, в заметках или даже в чатах без системы. Лучше все же структурировать информацию, хранить только то, что нужно, и при необходимости иметь возможность удалить данные по запросу клиента. Это простой способ показать добросовестность в случае проверки.

Как Robokassa помогает работать с персональными данными по закону

Работа с онлайн-оплатой — это всегда взаимодействие с данными клиента. Именно поэтому в Robokassa сделано все, чтобы вы могли принимать платежи и одновременно соответствовать требованиям законодательства.

Передача данных клиентов защищена по протоколу HTTPS, и все платежи проходят по международным стандартам безопасности PCI DSS. Это значит, что информация о покупателе не утечет, и вам не нужно хранить ее самостоятельно.

Кроме того, Robokassa позволяет формировать платежные ссылки, которые не требуют хранения ПДн продавцом. То есть вы можете просто отправить ссылку клиенту и получить оплату без риска обработки персональных данных с вашей стороны — вся ответственность по защите ложится на платежный шлюз.

Если вы подключаете прием платежей через Robokassa, вы уже минимизируете юридические риски, связанные с ПДн.

Реальность 2025 года такова, что практически каждый ИП и самозанятый, ведущий деятельность онлайн, обязан зарегистрироваться как оператор ПДн. Процедура достаточно проста и не требует значительных затрат времени и ресурсов.. Главное — понимать, что именно вы собираете, оформить простые документы и один раз подать уведомление.

Игнорировать требования закона — значит рисковать своим доходом. Лучше один раз пройти всю процедуру и быть уверенным, что к вам не возникнет претензий.

А чтобы минимизировать ошибки и технические сложности, используйте платежные инструменты, которые уже соответствуют закону — Robokassa. Это простой и надежный способ принимать оплату и быть уверенным в защите персональных данных при оплате ваших клиенто.

*Социальная сеть Instagram принадлежит компании Meta*, деятельность которой признана экстремистской и запрещена на территории Российской Федерации.