About Teletype
Join
Юля Гуцева SMM | Маркетолог
@gyceva_yuliya
July 4, 2025

Что должен учитывать эксперт, самозанятый или предприниматель при продаже курсов, услуг и товаров через соцсети, ботов и сайты в 2025 году?

С 01/07/2025 года в силу вступили обновлённые правила закона "О персональных данных" (152-ФЗ), которые напрямую касаются всех, кто ведёт деятельность онлайн: продаёт товары, услуги, обучающие курсы через сайт, мессенджеры, чат-ботов или соцсети.

Чтобы работать законно и избежать штрафов и блокировок, предприниматель или эксперт должен соблюдать ряд требований.

1. Обработка персональных данных: что считается данными?

Обработка персональных данных — это любое действие с информацией, позволяющее прямо или косвенно идентифицировать человека. Это может быть:

  • Получение (например, когда пользователь заполняет форму на сайте или пишет в бот);
  • Хранение (в CRM, Google Таблицах, почте);
  • Использование (например, отправка сообщений, напоминаний);
  • Передача (если делишься контактами с помощником, куратором);
  • Удаление или обезличивание данных (например, по запросу клиента).

Типичные персональные данные в деятельности онлайн-эксперта:

  • Имя и фамилия
  • Адрес электронной почты
  • Номер телефона
  • Telegram или WhatsApp ID
  • IP-адрес, cookies (если установлен аналитический скрипт на сайте)
  • Платёжная информация, если не через агрегатор
  • Данные об обучении (если ведёшь курсы и знаешь прогресс клиента)

Даже если человек сам написал тебе первым (например, в мессенджере), ты всё равно начинаешь обрабатывать его данные. Это означает, что ты становишься оператором персональных данных и обязана соблюдать требования закона.

2. Политика конфиденциальности и согласие на обработку

Политика конфиденциальности и согласие на обработку персональных данных — это юридические документы, которые подтверждают, что клиент осознанно предоставил тебе свои данные и знает, как ты их используешь.

Согласно изменениям в 152-ФЗ, вступившим в силу в 2025 году, согласие на обработку персональных данных должно быть оформлено как отдельный документ, не встроенный в договор оферты, пользовательское соглашение или другие тексты.

Что должна содержать Политика конфиденциальности:

  • кто ты: ФИО/ИП/самозанятый, ИНН, контакты;
  • какие данные ты собираешь (имя, телефон, e-mail, мессенджер, IP и т. п.);
  • зачем ты их собираешь (цель: обратная связь, продажа, рассылка и пр.);
  • где ты их хранишь и как защищаешь;
  • кому передаёшь (если передаёшь);
  • как можно отозвать согласие и удалить данные.

Этот документ должен быть доступен по прямой ссылке на сайте или внутри бота. Его наличие — обязательное требование для всех, кто собирает персональные данные.

Что такое корректное Согласие:

  • оформлено отдельно (не внутри пользовательского соглашения);
  • имеет указание на цели обработки;
  • включает перечень собираемых данных;
  • указывает срок действия согласия;
  • включает возможность его отзыва.

На сайте:

  • Размести ссылку на политику рядом с формами и кнопками.
  • Добавь фразу: "Нажимая кнопку, вы даёте согласие на обработку персональных данных в соответствии с [политикой]".
  • Лучше использовать чекбокс, который нельзя оставить пустым — он фиксирует согласие.

В чат-боте:

  • Добавь блок приветствия, где запрашивается согласие: "Вы даёте согласие на обработку персональных данных?"
  • Кнопки "Да" / "Нет"
  • Если пользователь нажал "Нет" — бот должен завершить общение или ограничить доступ.
  • Ответ должен сохраняться: user ID, дата, согласие (текст).

Соблюдение этих требований доказывает, что пользователь сам дал согласие, и ты обрабатываешь его данные на законных основаниях.

3. Рассылки: когда они законны

Рассылки — это один из самых чувствительных аспектов обработки персональных данных. Чтобы вести e-mail, мессенджер- или SMS-рассылки, необходимо строго соблюдать требования законодательства:

Когда рассылка считается законной:

  1. Есть отдельное согласие пользователя
    • Пользователь должен явно выразить желание получать рассылку (например, нажать «Подписаться» или «Да, хочу получать новости»).
    • Согласие не может быть «по умолчанию» или заранее проставленным чекбоксом.
    • Оно должно быть отделено от других целей (например, нельзя «по умолчанию» включать согласие в заказ услуги).
  2. Есть описание, что именно будет рассылаться
    • Укажи тематику: «анонсы курсов», «полезные советы», «спецпредложения» и т. п.
    • Пример: «Подписываясь, вы будете получать не более 2 писем в неделю с полезной информацией и новостями курсов».
  3. У пользователя есть возможность отписаться
    • В каждом письме, сообщении в боте или SMS должна быть понятная кнопка или ссылка «Отписаться».
    • В Telegram-ботах реализуется кнопкой «Отписаться от рассылки» или специальной командой.
  4. Факт согласия фиксируется
    • Для защиты от претензий ты должна сохранять:
      • дату, когда было получено согласие,
      • с какого источника (форма на сайте, бот и т. д.),
      • конкретный текст согласия или выбор пользователя.

Что считается рассылкой:

  • e-mail маркетинг (через UniSender, SendPulse, Mailchimp и др.);
  • сообщения в Telegram/WhatsApp-ботах;
  • массовые SMS-уведомления;
  • любые автоматические уведомления, не относящиеся к конкретному заказу (например, не транзакционные письма).

Что нельзя:

  • Нельзя добавлять всех пользователей в рассылку автоматически.
  • Нельзя использовать базу e-mail/номеров, если человек не давал согласия.
  • Нельзя делать скрытые или «вшитые» в соглашение подписки.
  • Нельзя сохранять данные для рассылки, если не указал цель при сборе.

Пример правильного оформления:

  • В форме подписки на сайте:
    • «Я хочу получать рассылку с новостями и предложениями» (чекбокс + ссылка на политику).
  • В боте:
    • «Хотите получать полезные материалы и новости от проекта? Нажмите “Да” для подписки».

Таким образом, ты можешь вести легальные рассылки только при наличии явного, отдельного и подтверждённого согласия. Это защищает тебя от штрафов и повышает доверие клиентов.

4. Хранение и защита данных

С 1 июля 2025 года вступает в силу требование локализации данных: все персональные данные граждан РФ, которые ты собираешь и обрабатываешь, должны храниться исключительно на территории России.

Что это означает на практике:

  • Нельзя использовать зарубежные сервисы для хранения персональных данных — такие как Google Таблицы, Notion, Airtable, Trello, Dropbox, Mailchimp и др.
  • Даже если ты просто читаешь заявки в Google-таблице — это уже нарушение, если там есть имя и телефон.

Разрешено:

  • Использовать российские CRM и сервисы хранения: Bitrix24, Яндекс 360, Мегаплан, Тильда с хостингом в РФ, Сбис, Контур, VK Cloud и др.
  • Самостоятельно хранить данные на своём сервере/жёстком диске с защищённым доступом.

Как обеспечить защиту:

  • Установить SSL-сертификат на сайт (HTTPS);
  • Ограничить доступ к личным данным (например, помощник не должен видеть всё);
  • Вести учёт, кто и когда имел доступ к базе клиентов;
  • Настроить резервное копирование и хранение только необходимого.

Также важно:

  • Не передавать данные третьим лицам без согласия пользователя;
  • Удалять данные клиентов по их запросу;
  • Разработать внутреннюю инструкцию, как обрабатывать, защищать и хранить данные.

Если ты используешь чат-ботов, формы и CRM — заранее уточни, где именно хранятся данные пользователей. Это поможет избежать нарушений и возможных проверок.

5. Уведомление в Роскомнадзор

Согласно закону 152-ФЗ, если ты собираешь, обрабатываешь и хранишь персональные данные граждан РФ, ты становишься оператором персональных данных и обязана уведомить об этом Роскомнадзор (РКН).

Кто обязан подавать уведомление:

Ты обязана уведомить РКН, если:

  • на твоём сайте есть форма обратной связи, подписки, заявки, регистрации;
  • ты используешь чат-ботов для сбора данных (имя, номер телефона, e-mail и др.);
  • применяешь CRM-системы (например, amoCRM, Битрикс24);
  • собираешь отзывы, заявки, анкеты, ведёшь анализ пользовательского поведения;
  • осуществляешь рассылки в мессенджерах или по электронной почте.

Даже если ты самозанятый или ИП, и даже если обрабатываешь данные в одиночку — ты обязан подать уведомление.

Как подать уведомление:

  1. Перейди на официальный сайт Роскомнадзора: https://pd.rkn.gov.ru
  2. Зарегистрируйся в личном кабинете (через Госуслуги или ЭЦП)
  3. Заполни электронную форму уведомления:
    • укажи свои данные (ФИО/ИП/ИНН);
    • опиши цели обработки (например: регистрация на курс, отправка рассылки);
    • укажи, какие именно данные ты обрабатываешь;
    • укажи, какие меры защиты ты принимаешь.
  4. Отправь форму онлайн. В течение 30 дней РКН внесёт тебя в реестр операторов персональных данных.

Что будет, если не уведомить:

  • При проверке Роскомнадзор может наложить штраф до 150 000 рублей;
  • При массовой утечке — до 1 млн рублей и блокировка сайта или бота.

Советы:

  • Уведомление подаётся один раз, его не нужно продлевать каждый год;
  • Если ты меняешь цели обработки, используемые данные или платформы хранения — нужно подать уточнение.

Таким образом, уведомление в Роскомнадзор — это не формальность, а обязательная часть законной деятельности в интернете. Подай его до начала сбора данных, чтобы избежать штрафов и блокировок.

6. Штрафы и риски

Нарушение законодательства о персональных данных может привести не только к финансовым потерям, но и к блокировке ресурсов, ухудшению репутации и ограничению деятельности.

Основные виды нарушений и их последствия:

  1. Отсутствие политики конфиденциальности и согласия на обработку
    • Даже если ты не собираешь данные через форму, но получаешь их в мессенджерах или боте — обязанность иметь политику сохраняется.
    • Штраф: до 700 000 руб. (по ст. 13.11 КоАП РФ)
  2. Хранение данных на зарубежных сервисах
    • Использование Google Docs, Airtable, Notion, Mailchimp и других облаков, не имеющих серверов в РФ, приравнивается к нарушению локализации.
    • Штраф: до 1 000 000 руб. + предписание об удалении данных и возможная блокировка сайта/бота
  3. Отсутствие возможности отписаться от рассылки
    • Если в письмах или сообщениях не предусмотрено механизма отказа от рассылки.
    • Штраф: до 200 000 руб.
  4. Рассылка без подтверждённого согласия
    • Использование базы телефонов, e-mail или мессенджеров без доказательства согласия клиента.
    • Штраф: до 500 000 руб.
  5. Утечка данных пользователей
    • Если в результате небрежности (например, отправки таблиц с личными данными по открытым ссылкам) произошла утечка — это самое серьёзное нарушение.
    • Штраф: до 15 000 000 руб. + блокировка ресурса и занесение в чёрный список
  6. Отсутствие уведомления в Роскомнадзор
    • При выявлении факта сбора персональных данных без регистрации в реестре операторов.
    • Штраф: до 150 000 руб.

Важно:

  • Штрафы могут накладываться и на физлицо (самозанятого), и на ИП/организацию.
  • За повторные нарушения санкции увеличиваются кратно.
  • Роскомнадзор активно проверяет сайты, мессенджеры и даже Instagram/Telegram-профили на наличие нарушений.

Поэтому важно не просто создать документы, но и реально их внедрить, настроить хранение данных и механизмы согласия.

7. Что делать сейчас эксперту или самозанятому

Этот пункт — практический план действий, чтобы быстро привести деятельность в соответствие с требованиями закона и обезопасить себя от штрафов и блокировок.

📌 Шаг 1. Размести политику конфиденциальности

  • Напиши или закажи документ «Политика обработки персональных данных».
  • Размести его по прямой ссылке на сайте, внутри бота или в Google Docs (если сайта нет).
  • Убедись, что к этой политике есть доступ из каждой формы или канала сбора данных.

📌 Шаг 2. Добавь явное согласие в формы и бота

  • На сайте: добавь текст рядом с кнопкой отправки (и желательно чекбокс):Нажимая кнопку, вы даёте согласие на обработку персональных данных
  • В боте: сделай блок с запросом согласия и кнопками «Да / Нет».
  • Сохраняй дату и факт ответа — это и есть доказательство согласия.

📌 Шаг 3. Проверь, где хранятся данные

  • Убедись, что данные клиентов хранятся в России.
  • Если ты используешь Google Таблицы, Airtable, Trello, Notion, Mailchimp — перенеси в российские сервисы.
  • Примеры: Яндекс 360, VK Cloud, Битрикс24, Сбис, Мегаплан, CRM от Тинькофф и т.д.

📌 Шаг 4. Уведоми Роскомнадзор

  • Зарегистрируйся как оператор персональных данных на сайте https://pd.rkn.gov.ru.
  • Это займёт 20–30 минут.
  • Уведомление нужно подать до начала сбора или обработки данных.

📌 Шаг 5. Приведи в порядок рассылки

  • Убедись, что есть явное согласие на каждую рассылку.
  • Удали всех, кто не дал согласия.
  • Добавь возможность отписаться (в боте — отдельная кнопка, в письмах — ссылка).

📌 Шаг 6. Проверь безопасность

  • Сайт работает через HTTPS? Установлен SSL?
  • Кто имеет доступ к таблицам, CRM, чатам?
  • Есть резервные копии?
  • Есть ли инструкция, как ты удаляешь данные по запросу клиента?

📌 Шаг 7. Регулярно пересматривай процессы

  • Меняется платформа, способ оплаты, рассылки, хранение данных? Проверь, не требует ли это корректировки политики и уведомления в РКН.

Если ты продаёшь курсы, услуги или товары в интернете — защита персональных данных теперь не формальность, а обязательное требование закона. Соблюдение этих правил не только избавит от штрафов, но и повысит доверие клиентов.

Данная информация не является публичной офертой, юридической консультацией или официальным толкованием законодательства. Это частная авторская аналитика и личные выводы, сделанные на основе открытых источников. Используйте изложенные рекомендации осознанно, при необходимости консультируйтесь с юристом по вашему конкретному вопрорсу.

Юля Гуцева SMM | Маркетолог
July 4, 2025, 16:29
0 views
0 reactions
0 replies
0 reposts