Полмиллиона за ноготочки. Как штрафуют за отзывы клиентов и фото выполненных работ

Что изменилось для бизнеса: памятка для тех, кто все пропустил

Все ИП и самозанятые обязаны подать в Роскомнадзор уведомление о том, что они собираются обрабатывать персональные данные. Сделать это нужно до начала работы с данными клиентов.

Иначе — штраф. Раньше это было 100–300 рублей, с 30 мая 2025 года штраф для физлиц вырос до 5000–10 000 рублей.

По закону есть исключение: если вы обрабатываете данные без автоматизации или работаете только со своими собственными данными. Но на практике это почти нереально. Как только вы начинаете использовать компьютер или смартфон — вы уже столкнулись с автоматизированной обработкой персональных данных.

Проще говоря: если вы записали имя и телефон клиента в заметки на смартфоне — вы уже оператор персональных данных.

С 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено как отдельный документ. Включать его в договор или анкету больше нельзя.

Галочка в форме не должна быть предустановлена — клиент ставит ее сам. Отозвать согласие он может в любой момент. И главное: одно согласие — одна цель. Нельзя в одном чекбоксе объединить, например, запись на услугу и подписку на рассылку.

Если персональные данные клиентов утекли, вы обязаны уведомить Роскомнадзор в течение 24 часов. Затем провести внутреннее расследование и сообщить о его результатах в течение 72 часов.

Штрафы зависят от масштаба утечки. Если скомпрометированы данные 1000–10 000 человек, юрлицо заплатит до 5 млн рублей. Если больше 100 000 — до 15 млн.

Для тех, кто не просто допустил утечку, а целенаправленно распространял чужие данные или получил к ним доступ незаконно, предусмотрена уголовная ответственность — до 10 лет лишения свободы, если действовала организованная группа или наступили тяжелые последствия.

Нужно ли вообще регистрироваться

Если у вас есть хотя бы один клиент, чье имя и телефон вы где-то записали, вы уже оператор персональных данных. И неважно, руководите вы салоном красоты или берете разовые заказы на фрилансе в свободное от основной работы время.

Многие самозанятые и ИП уверены, что закон о персональных данных — это для крупного бизнеса. Но закон не делит операторов по размеру бизнеса. Критерий один: вы собираете, храните или как-то используете информацию, по которой можно определить конкретного человека? Значит, вы оператор.

Для индивидуальных предпринимателей, самозанятых и небольших компаний разберем сложные случаи.

Как записать клиента, если согласие он подпишет только при визите

Это, пожалуй, самая болезненная практическая проблема для всех, кто работает в сфере услуг. Клиент звонит, просит записать его на стрижку, маникюр, консультацию. Вы спрашиваете имя и телефон, и это значит, что уже обрабатываете персональные данные. А письменное согласие получите, только когда он придет. Если вообще придет.

Получается замкнутый круг: без данных не записать, без визита не взять согласие, без записи визита не будет.

Закон требует, чтобы согласие на обработку персональных данных можно было подтвердить. Устное «да, записывайте» — слово против слова. Если клиент потом скажет «я ничего не давал», доказать обратное не получится.

Владелец салона красоты в Санкт-Петербурге Алина Иванова (имя изменено) описывает проблему изнутри: «Электронное согласие клиент подписывает в свой первый визит. Получается, до этого момента мы формируем запись и отправляем напоминание без согласия. Если при записи онлайн есть способы это согласие получить до визита, то когда клиент звонит по телефону, мы не знаем, как поступать в соответствии с законом и не потерять этого клиента».

Юрист Юлия Яковлева предлагает два пути. Первый — минимизировать риски при телефонной записи:

• Вести запись телефонного разговора и предупреждать об этом клиентов.
• Четко озвучить: кто вы (оператор), зачем собираете данные (цель), какие именно данные просите назвать.
• Получить от клиента конкретный, осознанный, однозначный ответ.
• При визите — оформить полноценное письменное согласие.

Но Яковлева честно предупреждает: этот подход не устраняет проблему, а лишь снижает риск. Запись разговора поможет в спорной ситуации, но проверяющие органы все равно могут задать вопросы.

Второй путь — надежнее, хотя и сложнее в реализации:

• Не вносить данные в базу до визита. Записать клиента «вручную» — например, в блокнот, который не является частью автоматизированной системы.
• При посещении салона сразу оформить все согласия.
• И только после этого завести карточку в программу.

С онлайн-записью ситуация проще. На сайте или в приложении можно разместить форму согласия до того, как клиент предоставит свои данные. Он ставит галочку, соглашается с политикой обработки и только потом отправляет имя и телефон. Это и есть то самое согласие «до начала обработки», которого требует закон.

Фотография — это биометрия? Можно ли публиковать снимки с клиентами

Эксперты в интернете пугают: выложите фото довольного клиента с новой стрижкой — готовьтесь к штрафу 500 000 рублей за сбор биометрии. Ролики с такими заголовками вирусятся в соцсетях и заставляют предпринимателей массово чистить портфолио. 

Когда фото все-таки биометрия? Только в одном случае: если вы используете снимок для установления личности человека. Фото на пропуске, сканирование лица на входе в офис, FaceID для подтверждения платежа — вот это биометрия.

Снимок клиента с новой стрижкой, фото участника мастер-класса — все это не биометрия. Никто не использует эти снимки, чтобы установить личность человека. Но если по фото можно определить, кто на нем изображен, — это персональные данные.

А еще это охраняемое изображение гражданина. И тут вступает статья 152.1 Гражданского кодекса: обнародование и использование изображения человека допускается только с его согласия. А если на снимке ребенок, то требуется согласие родителей, напомнила юрист, эксперт аналитического центра университета «Синергия» Дарья Морскова.

Так что замазать лицо перед публикацией может быть мало.

То есть фото рук с маникюром может быть безопасным, а может, и нет — если на руке характерное кольцо или татуировка, по которым подписчики узнают клиента.

Клиент, чье фото использовали без спроса, может через суд потребовать удалить изображение и взыскать компенсацию морального вреда.

Дарья Морскова приводит конкретный прецедент: фотографию девушки без ее ведома использовали для рекламы стоматологической клиники. Суд взыскал 100 000 рублей компенсации морального вреда. Сумма оказалась значительной именно потому, что фото использовалось в коммерческих целях.

Фото на практике: портфолио и мероприятия

Теория понятна: нужно согласие. Но как это работает в реальной жизни, когда мастер хочет показать свою работу, фотограф — пополнить портфолио, а организатор мастер-класса — выложить фотоотчет? Разбираем конкретные ситуации.

Мастер сфотографировал свою работу на клиенте

Типичная история: мастер маникюра снимает руки клиента, парикмахер — волосы со спины. Лица не видно, кажется, что все безопасно. Но так ли это?

Алина Иванова из салона красоты рассказывает, как они решают этот вопрос: «Стараемся делать фото, где сложно идентифицировать человека, — только часть, где оказана услуга, или съемка на общем плане без акцента на конкретную модель. Снимаем только клиентов, с которыми у нас долгая история взаимодействия и они на словах не против».

Подход понятный, но с точки зрения закона уязвимый. Устное согласие трудно подтвердить, если клиент передумает. А «сложно идентифицировать» не значит «невозможно». Как уже говорилось, характерное кольцо, татуировка или даже необычный цвет ногтей могут стать косвенным признаком, по которому человека узнают.

Иванова описывает и другой прием: «Просим клиентов публиковать фото у себя в соцсетях и отмечать нас — тогда мы можем сделать репост». Логика в том, что клиент сам разместил изображение в открытом доступе. Но и тут есть нюанс: репост чужой публикации — это использование изображения, которое клиент разрешил в контексте своего аккаунта, а не вашего.

Самый надежный путь — оформить письменное согласие. Оно не обязательно должно быть длинным юридическим документом. Достаточно зафиксировать: кто разрешает, что именно разрешает (конкретные фото), где будут опубликованы (сайт, соцсети мастера), на какой срок.

Свадебный фотограф и портфолио

Здесь ситуация сложнее: на свадебных фото не только жених и невеста, но и десятки гостей. С молодоженами фотограф заключает договор, в который можно включить условие о публикации. Но гости не являются стороной договора, и снимки с ними без их согласия публиковать нельзя.

Юрист Юлия Яковлева подробно разбирает эту ситуацию. Свадьба — это не публичное мероприятие в смысле закона. У нее «личный, интимный характер», в отличие от концерта, выставки или конференции. Значит, правило «человек не главный объект съемки в публичном месте» здесь не работает.

А с женихом и невестой она советует включить условия о публикации в договор или оформить отдельное соглашение. В нем прописать: какие фото, в каком ракурсе, в каком количестве, на каких площадках будут размещены. 

При этом размещение фото в портфолио фотографа суды расценивают как использование в рекламных целях. Яковлева советует предложить молодоженам встречную выгоду — скидку на услуги или символическую плату за размещение. Это снимает вопрос о безвозмездности и укрепляет юридическую позицию фотографа.

Фотоотчет с платного мастер-класса

Предприниматель провел мастер-класс на 15 человек, сделал красивый фотоотчет, выложил в соцсети. На фото видны лица участников. Нарушение?

Скорее всего — да.

Платный мастер-класс — это не место, открытое для свободного посещения. Доступ ограничен теми, кто заплатил. Юлия Яковлева поясняет: свободным посещением закон считает ситуацию, когда любой человек может прийти без ограничений — парк, улица, открытая выставка.

Даже если на фото — групповой снимок и лицо конкретного участника не крупным планом, это не спасает. В отличие от публичного концерта, где человек «случайно попал в кадр», участник платного мастер-класса пришел целенаправленно, в ограниченную группу. Аргумент «он не основной объект съемки» здесь работать не будет.

Выход: получить согласие участников до или во время мероприятия. Проще всего включить пункт о фотосъемке и публикации в условия участия. Но помните: согласие на обработку персональных данных и согласие на публикацию изображения — это два разных согласия.

Отзывы и переписки с клиентом: можно ли их публиковать

Кажется, что отзыв клиента — это подарок бизнесу. Человек сам написал хорошие слова, бери и публикуй. Но закон смотрит на это иначе: отзыв исходит от конкретного человека, содержит его мнение, часто — имя и фамилию. А значит, это персональные данные.

Когда нарушения нет? 

• Отзыв обезличен — скрыты все данные, по которым можно определить автора.
• Отзыв не содержит деталей и признаков, позволяющих понять, от кого он.
• В согласии на обработку персональных данных прямо указано, что отзывы клиента могут использоваться в целях бизнеса.

Третий вариант — самый надежный. Если вы заранее включили использование отзывов в согласие на обработку данных и клиент его подписал, вопросов не будет. Главное — хранить доказательства: само согласие и привязку к конкретному отзыву.

С перепиской еще строже. Она защищена не только законом о персональных данных, но и тайной частной жизни. И даже если клиент неправ, а вы хотите восстановить справедливость — публиковать скриншот без согласия нельзя.

Как тогда работать с негативом?

Леонид Устин рекомендует безопасную тактику: переводить взаимодействие из публичного пространства в частное. Написать клиенту в мессенджер, позвонить, отправить письмо на электронную почту. То есть решать проблему один на один, а не на глазах у подписчиков.

Если хочется публично показать свою версию событий, можно ответить на отзыв без раскрытия данных клиента и без публикации переписки. Описать ситуацию в общих чертах: «К нам обратился клиент с такой-то проблемой, мы предложили такое-то решение». Без имен, без скриншотов, без деталей, которые позволят опознать конкретного человека.

Конкурсы в соцсетях: подводные камни

Розыгрыш в соцсетях — это классический инструмент продвижения. Подписчики оставляют комментарии, репостят, отмечают друзей. Победитель получает приз, вы — охваты и новых клиентов. Схема простая, но с точки зрения закона о персональных данных в ней есть ловушки.

Комментарий под постом — это не согласие

Если для участия в конкурсе или получения награды требуются данные, по которым человека можно идентифицировать, например Ф. И. О. + номер телефона или адрес электронной почты, это уже сбор персональных данных. И сам факт того, что человек добровольно принял участие в какой-то активности, не означает автоматически его согласия на обработку персональных данных.

Можно возразить: при регистрации в соцсети пользователь уже согласился с политикой конфиденциальности площадки. Но юрист объясняет, почему это не работает: «При регистрации у владельца сайта были сформулированы свои цели сбора и обработки персональных данных. Ответственности за иных лиц он не несет, тем более при проведении публичных конкурсов».

Проще говоря: согласие пользователя с правилами «ВКонтакте» не распространяется на ваш розыгрыш.

Фото победителя с призом

Победитель пришел, получил подарок. Вы его сфотографировали с призом и выложили в соцсети. Обычная история, но без письменного согласия рискованная.

Конкурс проводится дистанционно, через интернет. Это не публичное мероприятие вроде концерта или выставки, где человек «случайно попал в кадр». Необходимо получить письменное согласие на обработку персональных данных и размещение изображения гражданина.

Юлия Яковлева рекомендует подходить к конкурсам основательно. Гражданский кодекс (главы 56 и 57) разделяет понятия «публичное обещание награды» и «публичный конкурс», но оба сводятся к заключению сделки. А сделка требует данных участников — как минимум для того, чтобы связаться с победителем и вручить приз.

Яковлева обращает внимание на еще один момент. Важно определить, какие именно данные вам нужны от участников. Если для розыгрыша достаточно одного номера телефона без имени и фамилии — идентифицировать личность по нему затруднительно и рисков меньше.

Но, как только вы собираете несколько категорий — например, имя и телефон или имя, фамилию и электронную почту, — по совокупности этих данных человека можно определить. А значит, нужно полноценное согласие.

Маркетинг и продвижение: что еще можно, а от чего отказаться

Новые правила не означают, что продвигать бизнес теперь невозможно. Инструментов достаточно. Но некоторые привычные приемы придется пересмотреть, а от каких-то — отказаться совсем.

Проблема не в самих «Google Формах», а в том, где хранятся данные. Серверы Google — за пределами России. А закон требует, чтобы персональные данные российских граждан хранились на территории РФ. 

Штрафы за нарушение локализации:

• физлица — 30 000–50 000 рублей;
• должностные лица — 100 000–200 000 рублей;
• юрлица — до 6 млн рублей;
• при повторном нарушении — до 18 млн рублей для юрлиц.

Юлия Яковлева обращает внимание на менее очевидную вещь: «Если персональные данные направляются оператору на его электронную почту от Google, это уже может рассматриваться как сбор персональных данных с использованием серверов за пределами России».

Алла Филиппова описывает ситуацию, с которой столкнулась на практике: «У меня зарезалось несколько маркетинговых проектов, потому что юристы не согласовали рассылки по нашей собственной базе пользователей в мессенджерах. Потому что конкретно там они не давали согласия, плюс данные передаются за границу».

Два нарушения в одном: рассылка в канале, на который клиент не давал согласия, и трансграничная передача данных через зарубежный мессенджер.

И еще дополнительное напоминание: если клиент оставил свой номер телефона, он оставил его для конкретной цели. Записаться на услугу и получить рекламную рассылку — разные цели, и для каждой нужно отдельное согласие.

Правда ли, что Роскомнадзор лютует с проверками

Пока нет. Массовых проверок по новым правилам не было и в ближайшее время не планируется. 

Ряд предпринимателей, опрошенных при подготовке этого материала, подтверждают: они не регистрировались как операторы, работают по-старому, фотографии публикуют с устного согласия клиентов. Если кто-то недоволен, просто удаляют, и все. О проверках не слышали, спрашивали у коллег — те тоже не в курсе.

То есть пока вы работаете с лояльными клиентами и никто не жалуется — шансы попасть на проверку минимальны. Но достаточно одного конфликта, одного обиженного клиента, который напишет в Роскомнадзор, и механизм заработает.

Теперь соблюдение законодательства о персональных данных могут проверять не только люди из Роскомнадзора, но и из ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю). Раньше они работали только с государственным сектором, теперь — и с коммерческим.

Проверяющие уже вводят системы анализа на основе машинной обработки информации. Они позволят дистанционно выявлять нарушения — без выезда проверяющих. 

Яковлева отмечает: «На практике пока не встречалось ситуаций, как именно будут работать системы, но первые итоги можем получить примерно после первого квартала 2026 года, когда будут понятны результаты первых контрольных мероприятий».