Персональные данные бизнеса: формы, рассылки, базы

Опубликовано: 03.06.2026

Персональные данные в бизнесе появляются намного раньше, чем предпринимателю кажется. Не тогда, когда компания запускает личный кабинет или крупную CRM, а уже в момент, когда на сайте появляется форма заявки, кнопка «подписаться», чат-бот, запись на консультацию или поле «оставьте телефон».

Для малого бизнеса это часто выглядит как техническая мелочь: человек сам оставил имя, телефон или email, значит, все нормально. Но с точки зрения закона это уже обработка персональных данных. А значит, у компании появляются обязанности: объяснить, какие данные она собирает, зачем, как хранит, кому передает и на каком основании.

Разбираем вместе с юристами и экспертами, где бизнес чаще всего ошибается на сайте, в рассылках, CRM и клиентских базах.

Коротко: если у компании есть форма обратной связи, подписка на рассылку, онлайн-заявка, чат-бот, CRM или клиентская база, бизнес почти наверняка работает с персональными данными. И лучше проверить это до жалобы клиента или запроса Роскомнадзора.

Ошибка первая: данные собирают, но не понимают, на каком основании

Одна из базовых проблем — бизнес собирает данные «просто потому что так принято». Имя, телефон, email, город, должность, название компании, комментарий к заявке. Иногда добавляются дата рождения, мессенджер, ссылки на соцсети и другие сведения, без которых можно было бы обойтись.

Но для обработки персональных данных нужно правовое основание. Это может быть согласие пользователя, исполнение договора, требование закона или другой предусмотренный законом вариант. Если основание не определено, вся дальнейшая обработка становится уязвимой.

Андрей Лихачев

руководитель юридической компании «Хелп Консалтинг»

«Одной из самых распространенных проблем является обработка персональных данных без надлежащего правового основания. Например, сбор данных, передача информации о клиентах партнерам, размещение данных о сотрудниках на сайте без правильно оформленного согласия».

Эксперт также обращает внимание на работу с контрагентами. Если персональные данные передает подрядчик или партнер, это должно быть оформлено юридически: в договоре или отдельном соглашении нужно прописать поручение на обработку персональных данных.

Ошибка вторая: политика есть, но она не работает

Политика обработки персональных данных не должна быть документом «для галочки». Пользователь должен легко найти ее на сайте, а содержание должно соответствовать реальным процессам компании.

Если в политике написано одно, в формах собирается другое, а в уведомлении Роскомнадзора указаны третьи цели, это уже риск. Особенно если компания скачала типовой шаблон и не адаптировала его под свой сайт, рассылку, CRM, подрядчиков и способы коммуникации с клиентами.

Елена Федорова

Елена Федорова

юрисконсульт компании «Бридж Групп», эксперт в области трудового и гражданского права

«Первое, с чего надо начать, — выявить все точки соприкосновения с данными физических лиц. Особенно там, где это легко проверить: на сайте компании или странице в соцсети. Именно этот внешний контур Роскомнадзор может увидеть без предупреждения».

По словам эксперта, частая ошибка — когда цели обработки указаны отдельно, а списки данных отдельно. Корректнее указывать, какие именно данные собираются под каждую цель.

Ошибка третья: чекбокс уже отмечен за пользователя

Согласие должно быть осознанным действием пользователя. Поэтому опасный вариант — заранее проставленная галочка в форме. Пользователь не должен «отменять согласие», которое за него уже дали. Он должен сам его поставить.

Еще один риск — формулировка в стиле «нажимая кнопку, вы соглашаетесь со всем». Для простых сценариев бизнес часто считает это достаточным, но в спорной ситуации доказать добровольное и конкретное согласие будет сложнее.

Что проверить: в форме заявки, подписки или обратной связи чекбокс согласия не должен быть отмечен заранее. Рядом должна быть понятная формулировка, на что именно человек соглашается.

Ошибка четвертая: ответ на заявку превращают в рекламную рассылку

Это одна из самых частых и неприятных ошибок. Человек оставил email, чтобы получить ответ на вопрос, расчет стоимости или запись на консультацию. А через неделю начинает получать рекламные письма.

Проблема в том, что согласие на обработку данных для ответа на заявку и согласие на рекламную рассылку — это разные вещи. Их лучше разделять.

Если человек написал в форму обратной связи, это не означает, что он согласился получать новости, акции и подборки материалов. Для рассылки нужно отдельное согласие.

Ангелина Биль

Ангелина Биль

юрист для онлайн-бизнеса, преподаватель СКИ РАНХиГС

Эксперт отмечает, что даже сбор имени и номера телефона через сайт уже является обработкой персональных данных. Среди типичных ошибок она выделяет отсутствие политики обработки данных, некорректное согласие, сбор лишней информации и отсутствие понятного механизма отзыва согласия.

Базовый минимум для сайта — политика обработки персональных данных и явное согласие пользователя в каждой точке сбора данных.

Ошибка пятая: бизнес собирает больше данных, чем ему нужно

Иногда компания просит у клиента слишком много: дату рождения, город, профессию, ссылку на соцсети, подробные комментарии, хотя для ответа на запрос достаточно имени и email.

Чем больше данных собирает бизнес, тем больше ответственность. Особенно если эти сведения потом годами лежат в таблицах, мессенджерах, почте, старых CRM или у подрядчиков, которые давно не работают с компанией.

Роман Адаменко

Роман Адаменко

директор по развитию мультисервисной компании Newstaff

«Одна из неочевидных, но частых проблем — информационная жадность. Не нужно требовать от клиентов для предоставления скидки той информации, которая вам не нужна. Это нарушает принцип минимизации данных».

Он также напоминает о другой распространенной ошибке — бессрочном хранении данных, например сканов документов бывших сотрудников или старых клиентских баз, которые давно не используются.

Ошибка шестая: забывают про cookies, метрики и аналитику

Если сайт использует сервисы аналитики, рекламные пиксели, cookies или другие онлайн-идентификаторы, это тоже зона риска. Особенно если такие данные позволяют прямо или косвенно связать поведение на сайте с конкретным пользователем.

Для технических cookies, без которых сайт не работает, обычно достаточно уведомления. Но если используются аналитические или маркетинговые cookies, пользователю лучше дать понятный выбор: разрешить только необходимые cookies или согласиться на все.

Здесь важно не просто поставить баннер, а понять, какие именно cookies и сторонние сервисы подключены на сайте: Яндекс.Метрика, пиксели рекламных систем, виджеты, формы, онлайн-чаты.

Ошибка седьмая: данные передают подрядчикам без договора

Сайт ведет разработчик. Рассылку настраивает маркетолог. Базу клиентов видит SMM-специалист. Звонки обрабатывает колл-центр. CRM обслуживает внешний сервис. Формально данные могут находиться не только внутри компании, но ответственность перед пользователем все равно остается на бизнесе.

Поэтому передачу данных подрядчикам нужно оформлять: прописывать цели обработки, объем данных, обязанности по защите, запрет использовать базу в своих интересах, порядок удаления данных после завершения работы.

Похожая логика работает и внутри команды: когда ответственность размыта, а процессы держатся на привычках, риски быстро накапливаются. Об этом мы писали в статье «Когда команда тормозит развитие бизнеса: причины и решения».

Андрей Воробьев

Андрей Воробьев

директор Координационного центра доменов .RU/.РФ

«Даже если обработку данных ведет сторонняя компания, ответственность перед пользователями и Роскомнадзором несет владелец сайта».

Эксперт подчеркивает: форма обратной связи, регистрация, личный кабинет, онлайн-оплата, подписка на рассылку или авторизация через соцсети уже означают работу с персональными данными.

Что еще важно в 2026 году

Для владельцев сайтов есть еще один практический момент, который не стоит откладывать. С 1 сентября 2026 года для администраторов доменов в зонах .RU, .РФ и .SU вводится обязательная идентификация через ЕСИА, то есть через «Госуслуги».

Это не про форму заявки напрямую, но про контроль над сайтом. Если домен оформлен на бывшего сотрудника, подрядчика или человека, к которому давно нет доступа, лучше разобраться заранее.

Проверьте, кто указан администратором домена, актуальны ли контакты, есть ли доступ к почте администратора и личному кабинету регистратора.

Мини-чек-лист: что проверить на сайте

Чтобы снизить риски, владельцу бизнеса стоит пройтись по нескольким базовым пунктам.

На сайте есть политика обработки персональных данных, и ее легко найти.
Политика описывает реальные процессы: формы, рассылку, аналитику, подрядчиков, хранение данных.
В формах заявки и подписки есть чекбокс согласия, и он не отмечен заранее.
Согласие на рекламную рассылку отделено от согласия на ответ по заявке.
Бизнес не собирает лишние данные «на всякий случай».
Настроен cookie-баннер, если сайт использует cookies, аналитику или рекламные идентификаторы.
Понятно, где хранятся данные клиентов и кто имеет к ним доступ.
С подрядчиками, которые видят данные клиентов, оформлены договоры и поручения на обработку.
Старые базы, сканы документов и выгрузки не лежат бесконтрольно в почте, мессенджерах и таблицах.
Компания проверила, нужно ли ей уведомление Роскомнадзора об обработке персональных данных.

В бизнесе вообще опасны зоны, которые выглядят незначительными: лишняя форма, старая база, незаметная комиссия, неучтенный расход. Например, в статье «Почему продавцы на маркетплейсах теряют прибыль» мы разбирали, как прибыль уходит не из-за одной большой ошибки, а из-за множества мелких процессов, которые никто вовремя не посчитал.

Почему это важно не только из-за штрафов

Персональные данные — это не только юридическая обязанность. Это еще и вопрос доверия. Клиент хочет понимать, зачем у него спрашивают телефон, почему ему пришла рассылка и кто увидит его данные после отправки формы.

Бизнесу кажется, что документы, чекбоксы и политика — это бюрократия. Но в реальности это часть нормальной коммуникации с клиентом. Прозрачность снижает тревогу, помогает избежать жалоб и показывает, что компания умеет аккуратно обращаться с информацией.

Главная ошибка малого бизнеса — думать, что закон о персональных данных касается только крупных компаний, банков и маркетплейсов. На практике риск начинается гораздо раньше: с маленькой формы на сайте, базы в таблице и рассылки по клиентам, которые однажды оставили email совсем для другой цели.

Важно: материал носит информационный характер и не является юридической консультацией. Требования к обработке персональных данных зависят от конкретной модели бизнеса, состава данных, подрядчиков и технических настроек сайта.

Правовая база и источники

Поделитесь записью с друзьями

Люди и Деньги

Форма на сайте, рассылка и база клиентов: где бизнес рискует нарушить закон о персональных данных