ИП — полноценный оператор персональных данных по ФЗ-152. Если на вашем сайте есть форма обратной связи, онлайн-запись или корзина — нужна политика конфиденциальности. Без неё штраф от 60 000 ₽. Создать за 5 минут:
Создать политику для ИП →Является ли ИП оператором персональных данных?
Да — безусловно. Согласно статье 3 Федерального закона от 27.07.2006 № 152-ФЗ, оператором персональных данных признаётся физическое или юридическое лицо, которое организует и осуществляет обработку ПДн. Индивидуальный предприниматель — физическое лицо, осуществляющее предпринимательскую деятельность.
Если ИП собирает хотя бы один из следующих видов данных через свой сайт или в процессе работы — он является оператором ПДн и обязан соблюдать требования закона:
- имя, фамилия или отчество клиента;
- номер телефона;
- адрес электронной почты;
- адрес доставки (физический адрес);
- информация о заказах, платежах, предпочтениях.
Частое заблуждение: «152-ФЗ только для больших компаний». Это не так. Закон распространяется на всех операторов персональных данных — ИП, ООО, НКО, самозанятых. Размер бизнеса не имеет значения.
Что обрабатывает ИП на сайте: типичные данные
Ниже — стандартный набор персональных данных, которые обрабатывает типичный ИП с сайтом. Каждый вид данных требует указания в политике конфиденциальности с описанием цели и правового основания.
| Тип данных | Где хранится | Правовое основание |
|---|---|---|
| ФИО клиента | CRM-система / база данных | Исполнение договора (ст. 6 ч. 1 п. 5 ФЗ-152) |
| Email-адрес | CRM / почтовый сервис | Согласие субъекта (ст. 6 ч. 1 п. 1) |
| Номер телефона | CRM / база данных | Исполнение договора / согласие |
| Адрес доставки | База данных / служба доставки | Исполнение договора (ст. 6 ч. 1 п. 5) |
| История заказов / оплат | Бухгалтерский учёт / CRM | Требование закона (ст. 6 ч. 1 п. 2) |
| Cookie и IP-адрес (аналитика) | Яндекс.Метрика / аналитика | Согласие субъекта (cookie-баннер) |
| Платёжные реквизиты | Платёжная система (не у ИП) | Исполнение договора — обрабатывает банк/ЮKassa |
Чем рискует ИП без политики конфиденциальности
Административная ответственность предусмотрена статьёй 13.11 КоАП РФ. После вступления в силу ФЗ-420 (30.05.2025 и 01.09.2025) штрафы существенно выросли. Ниже — актуальная таблица рисков:
| Нарушение | Статья | Штраф для ИП |
|---|---|---|
| Отсутствие политики конфиденциальности на сайте | ст. 13.11 ч. 1 |
от 10 000 до 20 000 ₽ |
| Обработка ПДн без согласия субъекта | ст. 13.11 ч. 2 |
от 20 000 до 75 000 ₽ |
| Несоблюдение порядка обработки ПДн | ст. 13.11 ч. 5 |
от 60 000 до 100 000 ₽ |
| Отсутствие уведомления РКН (после 30.05.2025) | ст. 13.11 ч. 1 |
от 10 000 до 20 000 ₽ |
| Передача ПДн без надлежащего основания | ст. 13.11 ч. 6 |
от 100 000 до 300 000 ₽ |
| Утечка ПДн 1–10 тыс. человек (ФЗ-420) | ст. 13.11.3 |
от 3 000 000 до 5 000 000 ₽ |
| Повторная утечка ПДн (ФЗ-420) | ст. 13.11.3 ч. 2 |
1–3% годовой выручки (от 20 до 500 млн ₽) |
Штрафы по статье 13.11 назначаются за каждый выявленный факт нарушения. Проверка Роскомнадзора может охватить весь сайт — несколько форм, несколько нарушений = несколько штрафов одновременно.
Нужно ли ИП уведомлять Роскомнадзор?
С 30 мая 2025 года — да, в большинстве случаев. ФЗ-420 отменил фактическое освобождение малого бизнеса от обязанности уведомления. Теперь уведомление обязательно для всех операторов персональных данных.
Исключения из статьи 22 ФЗ-152, при которых уведомление не нужно:
- Данные работников ИП — обработка данных сотрудников для ведения трудовых отношений.
- Разовые договоры с физлицами — если ПДн используются только для исполнения конкретного договора и не накапливаются.
- Данные членов общественных объединений — только в рамках уставной деятельности.
К типичному ИП с интернет-магазином, лендингом или онлайн-записью ни одно из этих исключений не применяется. Уведомление нужно подавать через портал Роскомнадзора — процедура бесплатная, занимает 20–30 минут.
Создайте политику конфиденциальности для ИП
7 вопросов — готовый документ с вашими реквизитами. Бесплатно, данные не покидают браузер.
Частые вопросы: политика конфиденциальности для ИП
Является ли ИП оператором персональных данных?
Да. Согласно статье 3 ФЗ-152, оператором персональных данных является любое лицо (физическое, юридическое, государственный орган), которое организует и осуществляет обработку ПДн. ИП — физическое лицо, осуществляющее предпринимательскую деятельность. Если ИП собирает данные клиентов через сайт или в ходе работы — он оператор ПДн со всеми вытекающими обязательствами.
Нужно ли ИП уведомлять Роскомнадзор?
Скорее всего да. С 30.05.2025 уведомление Роскомнадзора об обработке ПДн обязательно для всех операторов. Исключения из статьи 22 ФЗ-152 (данные работников, разовые договоры, члены общественных объединений) к типичному ИП с сайтом и клиентской базой не применяются. Уведомление подаётся через портал РКН бесплатно и занимает около 30 минут.
Нужна ли политика, если на сайте только форма обратной связи с email?
Да. Email-адрес — персональные данные по статье 3 ФЗ-152. Даже одна форма с полем email обязывает ИП разместить политику конфиденциальности. Это минимальный порог. При этом рядом с формой нужно размещать ссылку на политику и получать согласие пользователя (чекбокс или подпись под кнопкой отправки).
Можно ли ИП использовать шаблон политики конфиденциальности?
Можно, но только адаптированный под ваши реальные данные и виды обработки. Скопированный шаблон с чужими реквизитами — прямое нарушение. Роскомнадзор при проверке сравнивает политику с фактическими формами и инструментами на сайте. Несоответствие = штраф. Наш генератор создаёт персонализированный документ за 7 шагов с реальными данными вашего ИП.
Самозанятый — тоже оператор ПДн?
Да, если самозанятый собирает данные клиентов (имя, телефон, email) через сайт, форму или мессенджеры. Закон 152-ФЗ распространяется на всех, кто обрабатывает персональные данные физических лиц — независимо от организационно-правовой формы и налогового статуса.
Как часто ИП нужно обновлять политику конфиденциальности?
При любых изменениях в обработке данных: добавили новую форму — обновите политику; подключили CRM — обновите; изменили цели обработки — обновите. Минимальная рекомендуемая периодичность — раз в год. Дата актуализации должна быть указана в документе. После вступления в силу ФЗ-420 (2025) рекомендуется проверить политику на соответствие новым требованиям.
Где ИП должен разместить политику конфиденциальности?
Обязательно: HTML-страница на сайте по адресу /privacy/ или /politika-konfidencialnosti/ — ссылка из футера каждой страницы. Дополнительно: ссылка рядом с каждой формой сбора данных, ссылка в cookie-баннере, ссылка в подтверждении заказа (для интернет-магазина). Документ в формате PDF не подходит: поисковики не индексируют, РКН считает труднодоступным.