Как правильно оформить кураторов, администраторов и подрядчиков. В статье собраны практические ответы: когда есть риск переквалификации, какие ошибки приводят к штрафам и что нужно учесть в договорах, чтобы защитить бизнес.
Яна Требенкова, юрист LeadPay
Дата публикации: 12.09.2025г
Время прочтения: 12 мин
Как работать с персональными данными в 2025 году?
Что такое персональные данные?
Персональные данные — это любая информация, которая позволяет идентифицировать конкретного человека. К ним относятся ФИО, паспортные данные, номер телефона, адрес электронной почты, IP-адрес, никнеймы в социальных сетях.
В 2025 году расширилось понимание того, что именно считается идентификатором. Теперь к персональным данным относят даже голосовые записи и биометрические шаблоны, если их можно связать с конкретным пользователем. Всё потому, что цифровые сервисы активно собирают и хранят разрозненные данные, которые в совокупности позволяют точно установить личность.
Школы, эксперты и наставники собирают контакты для оплаты курсов, предоставляют доступы к материалам, публикуют отзывы учеников и клиентов. Всё это означает, что каждый такой проект является оператором персональных данных и обязан соблюдать требования законодательства.
В 2025 году расширилось понимание того, что именно считается идентификатором. Теперь к персональным данным относят даже голосовые записи и биометрические шаблоны, если их можно связать с конкретным пользователем. Всё потому, что цифровые сервисы активно собирают и хранят разрозненные данные, которые в совокупности позволяют точно установить личность.
Школы, эксперты и наставники собирают контакты для оплаты курсов, предоставляют доступы к материалам, публикуют отзывы учеников и клиентов. Всё это означает, что каждый такой проект является оператором персональных данных и обязан соблюдать требования законодательства.
Что такое обработка персональных данных?
Обработка персональных данных — это любое действие с ними: сбор, хранение, систематизация, уточнение, передача и удаление. Даже если данные занесены в таблицу Excel и не используются, это также считается обработкой.
К обработке относятся как автоматические процессы, например, CRM собирает информацию и формирует отчёт или регистрация на вебинар через форму на сайте. Так и ручная работа сотрудников, например, когда менеджер запрашивает данные клиента или вручную заносит e-mail ученика в список рассылки.
Для онлайн-школ и экспертов это означает, что каждое взаимодействие с учеником от заявки на курс до выдачи сертификата — подпадает под регулирование закона. Оператор несёт полную ответственность за сохранность информации и законность её использования.
К обработке относятся как автоматические процессы, например, CRM собирает информацию и формирует отчёт или регистрация на вебинар через форму на сайте. Так и ручная работа сотрудников, например, когда менеджер запрашивает данные клиента или вручную заносит e-mail ученика в список рассылки.
Для онлайн-школ и экспертов это означает, что каждое взаимодействие с учеником от заявки на курс до выдачи сертификата — подпадает под регулирование закона. Оператор несёт полную ответственность за сохранность информации и законность её использования.
Оператор и обработчик: в чём разница?
Оператор и обработчик — это разные роли в работе с персональными данными.
Даже если ошибка или утечка произойдёт у обработчика, ответственность всё равно несёт оператор, потому что именно он выбрал этот сервис и передал туда данные.
Ответственность за нарушение законодательства
Контролирующий орган Роскомнадзор проверяет проекты в сфере онлайн-образования и массово собирает данные через интернет. Проверки включают юридические аудиты, автоматический мониторинг сайтов и сбор сетевых данных через операторов связи. Главное внимание уделяется соответствию закону о персональных данных, прозрачности обработки, хранению данных в России и возможности подтвердить законность работы с ними.
Ответственность за нарушение закона наступает по Кодексу об административных правонарушениях. Размер штрафа зависит от категории нарушителя и конкретного нарушения.
Ответственность за нарушение закона наступает по Кодексу об административных правонарушениях. Размер штрафа зависит от категории нарушителя и конкретного нарушения.
Для экспертов и школ важно понимать: ответственность несёт оператор персональных данных, а не подрядчик, на которого пытались переложить задачу. Если доступы выдает менеджер, рассылку делает сервис или платёж проходит через платформу, но вы являетесь владельцем базы учеников — отвечать придётся именно вам.
Ответственность за нарушение законодательства
Кто обязан подавать уведомление в РКН
Оператор — любая организация или физическое лицо, обрабатывающее персональные данные. Это может быть ООО, ИП или самозанятый. Онлайн-школы, эксперты и наставники, которые ведут базу учеников, собирают заявки на курс или принимают оплату через форму, обязаны уведомлять Роскомнадзор.
РКН нужно уведомить о намерении начать обработку персональных данных до фактического начала этой обработки (ст. 22 № 152-ФЗ). В уведомлении фиксируется, какие именно данные собираются (например, фамилия, имя, e-mail, телефон), для каких целей они используются и какими средствами обрабатываются. Если проект работает через сторонние сервисы: CRM, платёжные системы, мессенджеры, — это тоже указывается.
Когда вы становитесь оператором персональных данных
У вас есть сайт или Телеграм-бот, где пользователи:
Используете Яндекс.Форму или любую другую анкету для сбора данных. Исключение — анкета, где нет персональных данных (например, опросник о качестве услуг без ФИО и контактов).
Вы или ваши менеджеры общаетесь с клиентами в мессенджерах. Если для продолжения взаимодействия вы просите имя или e-mail, это уже обработка персональных данных.
Запрашиваете данные для заключения договора. Формально закон относит это к исключениям, когда уведомление не требуется. Но на практике Роскомнадзор рекомендует подавать уведомление, чтобы избежать претензий при проверке.
Когда не нужно уведомлять Роскомнадзор об обработке персональных данных
Подавать уведомление не нужно, если:
Разберём отдельную ситуацию, попадающую по исключение. Если фрилансер работает с несколькими клиентами и использует их персональные данные только в рамках договоров (например, хранит ФИО, контакты и реквизиты для отчётности и оплаты), уведомление в РКН не требуется. В такой ситуации данные применяются исключительно для исполнения обязательств по договору, что подпадает под исключение.
Но если фрилансер начинает собирать базу потенциальных клиентов, использовать данные для рассылок, рекламы или иных целей, выходящих за рамки договора, он уже становится оператором персональных данных. В этом случае уведомление в Роскомнадзор обязательно.
Для онлайн-школ и образовательных проектов вышеперечисленные исключения практически не встречаются.
Оператор — любая организация или физическое лицо, обрабатывающее персональные данные. Это может быть ООО, ИП или самозанятый. Онлайн-школы, эксперты и наставники, которые ведут базу учеников, собирают заявки на курс или принимают оплату через форму, обязаны уведомлять Роскомнадзор.
РКН нужно уведомить о намерении начать обработку персональных данных до фактического начала этой обработки (ст. 22 № 152-ФЗ). В уведомлении фиксируется, какие именно данные собираются (например, фамилия, имя, e-mail, телефон), для каких целей они используются и какими средствами обрабатываются. Если проект работает через сторонние сервисы: CRM, платёжные системы, мессенджеры, — это тоже указывается.
Когда вы становитесь оператором персональных данных
У вас есть сайт или Телеграм-бот, где пользователи:
- заполняют форму обратной связи, чтобы им перезвонили;
- оставляют данные для получения гайда, чек-листа или письма с доступом;
- оформляют покупку на сайте; регистрируются в личном кабинете;
- вводят данные для участия в вебинаре.
Используете Яндекс.Форму или любую другую анкету для сбора данных. Исключение — анкета, где нет персональных данных (например, опросник о качестве услуг без ФИО и контактов).
Вы или ваши менеджеры общаетесь с клиентами в мессенджерах. Если для продолжения взаимодействия вы просите имя или e-mail, это уже обработка персональных данных.
Запрашиваете данные для заключения договора. Формально закон относит это к исключениям, когда уведомление не требуется. Но на практике Роскомнадзор рекомендует подавать уведомление, чтобы избежать претензий при проверке.
Когда не нужно уведомлять Роскомнадзор об обработке персональных данных
Подавать уведомление не нужно, если:
- данные используются только для исполнения трудового договора;
- информация обрабатывается исключительно для заключения и исполнения договора, стороной которого является сам субъект данных;
- оператор получает данные для личных, семейных или домашних нужд;
- база формируется для внутреннего учёта сотрудников;
- данные обезличены, то есть исключена возможность установить личность субъекта.
Разберём отдельную ситуацию, попадающую по исключение. Если фрилансер работает с несколькими клиентами и использует их персональные данные только в рамках договоров (например, хранит ФИО, контакты и реквизиты для отчётности и оплаты), уведомление в РКН не требуется. В такой ситуации данные применяются исключительно для исполнения обязательств по договору, что подпадает под исключение.
Но если фрилансер начинает собирать базу потенциальных клиентов, использовать данные для рассылок, рекламы или иных целей, выходящих за рамки договора, он уже становится оператором персональных данных. В этом случае уведомление в Роскомнадзор обязательно.
Для онлайн-школ и образовательных проектов вышеперечисленные исключения практически не встречаются.
Ответственность за нарушение законодательства
Уведомление об обработке персональных данных подаётся через электронную форму на сайте Роскомнадзора. Авторизация проходит через «Госуслуги». Процедура бесплатная и занимает около 15–20 минут.
Форма утверждена приказом Роскомнадзора и одинакова для всех операторов. В ней нужно указать сведения об операторе (ООО, ИП, самозанятый), категории данных, цели их использования, правовое основание и меры защиты.
Порядок и сроки подачи уведомления в РКН
Закон обязывает подать уведомление до начала обработки данных. То есть сначала регистрация в реестре, а уже потом сбор заявок, оплат или контактов.
После отправки уведомления Роскомнадзор рассматривает его до 30 дней. На практике регистрация проходит обычно 10–15 рабочих дней, если не требуется уточнений.
Как заполнить уведомление об обработке ПД
При заполнении указываются:
В правовом основании указывают 152-ФЗ и договор (оферта). Дополнительно прикладываются согласия пользователей на обработку и на рассылку.
Что делать после подачи уведомления об ОПД
После внесения в реестр оператор получает подтверждение. На этом обязанности не заканчиваются. Нужно:
Основные ошибки при оформлении и подаче уведомления об ОПД
Отсутствие документов. На сайте, в боте и формах должны быть политика конфиденциальности, согласие на обработку данных и согласие на рассылку.
Использование зарубежных сервисов. Для Google Forms, Google Sheets, Notion, ManyChat, Zoom нужно предварительное разрешение Роскомнадзора на трансграничную передачу данных.
Подача уведомления после фактической обработки. Закон требует уведомить РКН до начала работы с данными.
Формальный подход к мерам защиты. Недостаточно написать «доступ ограничен». Нужно реально внедрять пароли, разграничение прав сотрудников и хранение на российских серверах.
Форма утверждена приказом Роскомнадзора и одинакова для всех операторов. В ней нужно указать сведения об операторе (ООО, ИП, самозанятый), категории данных, цели их использования, правовое основание и меры защиты.
Порядок и сроки подачи уведомления в РКН
Закон обязывает подать уведомление до начала обработки данных. То есть сначала регистрация в реестре, а уже потом сбор заявок, оплат или контактов.
После отправки уведомления Роскомнадзор рассматривает его до 30 дней. На практике регистрация проходит обычно 10–15 рабочих дней, если не требуется уточнений.
Как заполнить уведомление об обработке ПД
При заполнении указываются:
- сведения об операторе: наименование, ИНН, адрес;
- цель обработки: например, заключение договоров на обучение, приём оплаты, регистрация на вебинар;
- категории субъектов: ученики, клиенты, сотрудники;
- перечень данных: ФИО, e-mail, телефон, реквизиты для оплаты, аккаунты в мессенджерах;
- способы обработки: CRM, чат-боты, сервисы рассылок, платёжные системы;
- меры защиты: разграничение доступа, пароли, хранение на российских серверах, шифрование.
В правовом основании указывают 152-ФЗ и договор (оферта). Дополнительно прикладываются согласия пользователей на обработку и на рассылку.
Что делать после подачи уведомления об ОПД
После внесения в реестр оператор получает подтверждение. На этом обязанности не заканчиваются. Нужно:
- хранить согласия пользователей и версии политики конфиденциальности;
- обновлять уведомление при изменении целей, состава данных или сервисов, где они обрабатываются;
- проверять, чтобы согласия были привязаны к каждой точке сбора данных (сайт, бот, анкета, форма);
- обеспечить хранение данных на территории РФ или оформить разрешение на трансграничную передачу, если используются зарубежные сервисы
Основные ошибки при оформлении и подаче уведомления об ОПД
Отсутствие документов. На сайте, в боте и формах должны быть политика конфиденциальности, согласие на обработку данных и согласие на рассылку.
Использование зарубежных сервисов. Для Google Forms, Google Sheets, Notion, ManyChat, Zoom нужно предварительное разрешение Роскомнадзора на трансграничную передачу данных.
Подача уведомления после фактической обработки. Закон требует уведомить РКН до начала работы с данными.
Формальный подход к мерам защиты. Недостаточно написать «доступ ограничен». Нужно реально внедрять пароли, разграничение прав сотрудников и хранение на российских серверах.
Уведомление о прекращении обработки персональных данных
Закон предусматривает не только начало, но и окончание работы с персональными данными. Если оператор перестаёт собирать или использовать данные, он обязан уведомить Роскомнадзор о прекращении обработки.
Такое уведомление подают, чтобы исключить оператора из реестра Роскомнадзора. Это подтверждает, что данные больше не обрабатываются, и снимает с вас дальнейшие обязанности по их защите.
Как составить уведомление о прекращении ОПД
Форма уведомления также размещена на сайте Роскомнадзора. Подать его можно через «Госуслуги», что и первоначальное уведомление.
В документе указывают:
Срок подачи уведомления законом не регламентирован. Но сделать это рекомендуется сразу после завершения обработки, чтобы не возникло вопросов при проверке.
Если оператор не уведомляет Роскомнадзор, формально он продолжает оставаться в реестре и несёт ответственность за сохранность данных, даже если фактически их уже не использует.
Такое уведомление подают, чтобы исключить оператора из реестра Роскомнадзора. Это подтверждает, что данные больше не обрабатываются, и снимает с вас дальнейшие обязанности по их защите.
Как составить уведомление о прекращении ОПД
Форма уведомления также размещена на сайте Роскомнадзора. Подать его можно через «Госуслуги», что и первоначальное уведомление.
В документе указывают:
- сведения об операторе (название, ИНН, адрес);
- дату и причину прекращения обработки (например, закрытие проекта, ликвидация ИП, переход на сервис-оператор);
- информацию о том, что все собранные персональные данные уничтожены или обезличены.
Срок подачи уведомления законом не регламентирован. Но сделать это рекомендуется сразу после завершения обработки, чтобы не возникло вопросов при проверке.
Если оператор не уведомляет Роскомнадзор, формально он продолжает оставаться в реестре и несёт ответственность за сохранность данных, даже если фактически их уже не использует.
Документы для обработки персональных данных
Для законной работы с персональными данными оператору нужно подготовить и разместить базовый комплект документов. Они должны быть доступны пользователям на сайте, в чат-ботах и формах, где собираются данные.
Политика в отношении обработки персональных данных. Главный документ, который описывает, какие данные собираются, зачем они нужны, как используются и защищаются.
Согласие пользователя на обработку персональных данных, разрешённых для распространения. Подтверждает, что человек добровольно передал свои данные и согласен на их использование.
Согласие на получение рекламной и информационной рассылки. Нужно, если вы планируете отправлять письма, уведомления или сообщения с предложениями.
Все эти документы должны быть доступны в открытом виде: ссылки на них размещают рядом с формами, а согласие фиксируется через галочку или другое явное действие пользователя.
Политика в отношении обработки персональных данных. Главный документ, который описывает, какие данные собираются, зачем они нужны, как используются и защищаются.
Согласие пользователя на обработку персональных данных, разрешённых для распространения. Подтверждает, что человек добровольно передал свои данные и согласен на их использование.
Согласие на получение рекламной и информационной рассылки. Нужно, если вы планируете отправлять письма, уведомления или сообщения с предложениями.
Все эти документы должны быть доступны в открытом виде: ссылки на них размещают рядом с формами, а согласие фиксируется через галочку или другое явное действие пользователя.
Галочка не должна стоять по умолчанию — это считается нарушением. Пользователь должен сам поставить отметку, подтверждая согласие.
Чек-лист действий
- Подаёте уведомление в РКН о том, что вы обрабатываете персональные данные.
2. Проверяете у себя наличие документов:
— Политика в отношении обработки персональных данных
— Согласие пользователя на обработку персональных данных, разрешенных для распространения
— Согласие на получение рекламной и информационной рассылки
3. Размещаете документы на сайте, в боте, в Яндекс.Формы. Везде, где обрабатываете данные.
4. Проверяете галочки или стоп-действия, при которых клиенты соглашается с обработкой данных и со всеми документами.
5. На сайте и во всех точках сбора данных (анкеты, формы, бот и т.д.) должно быть следующее:
Использование персональных данных через LeadPay
Выбор сценария работы с платёжным сервисом определяет ваш статус. Если данные обрабатываются только внутри LeadPay, всю ответственность по закону несёт сервис. Но как только вы начинаете использовать их самостоятельно, на вас распространяются все требования законодательства о персональных данных.
Вы отправляете клиентам ссылку на оплату через LeadPay, где они
самостоятельно вводят свои данные, после чего сервис автоматически
предоставляет им доступ к продукту или услуге. По умолчанию оператором
персональных данных в этом случае является LeadPay.
Вы отправляете клиентам ссылку на оплату через LeadPay, где они
самостоятельно вводят свои данные, после чего сервис автоматически
предоставляет им доступ к продукту или услуге. По умолчанию оператором
персональных данных в этом случае является LeadPay.
LeadPay зарегистрирован в Роскомнадзоре как оператор персональных данных. Сервис имеет право обрабатывать данные покупателей, обеспечивать их защиту и исполнять обязанности, предусмотренные законом.
Если вы не используете данные покупателей в своих целях (для рассылок,
добавления в CRM, Excel, чаты или другие каналы), вы не считаетесь
оператором персональных данных и не обязаны подавать уведомление в
Роскомнадзор.
Если вы скачиваете историю платежей в Excel-таблице, вы начинаете работать с персональными данными напрямую и становитесь оператором. Если вы просматриваете статистику в личном кабинете LeadPay без выгрузки, оператором остаётся сервис.
Как только вы начинаете использовать эти данные вне личного кабинета
LeadPay (даже просто копируете контакт покупателя), вы становитесь
оператором персональных данных. В этом случае на вас распространяются
все требования законодательства о защите персональных данных, включая
необходимость уведомления Роскомнадзора.
Важно про уведомления об оплатах и персональные данные
В LeadPay уведомления об оплатах можно получать двумя способами: на e-mail или в Телеграм-бот.
Уведомления на e-mail. В письме содержатся персональные данные покупателя (ФИО, e-mail и телефон). В этом случае вы становитесь оператором персональных данных, так как данные поступают вам напрямую, и обязаны соблюдать требования закона (в том числе подать уведомление в Роскомнадзор).
Уведомления в Телеграм-бот. Здесь персональные данные не передаются, так как отображается только номер заказа и название продукта. Эти сведения не позволяют идентифицировать человека, поэтому вы не становитесь оператором.
Таким образом, статус зависит от выбранного формата уведомлений: e-mail делает вас оператором, а Телеграм остаётся безопасным каналом, где данные клиентов не раскрываются.
Уведомления можно отключить в личном кабинете:
1.Перейдите в настройки → Оповещения
2.Включите тумблер «E-mail», укажите там свою почту (можно ту же, что на лендинге)
3.Выключите тумблер для оповещений на E-mail
4.Нажмите «Сохранить»
После этого данные клиентов не будут поступать вам, и обработчиком
данных будет LeadPay, а не вы.
Но если вы используете данные клиентов из личного кабинета LeadPay в
своих целях, вы становитесь оператором и обязаны соблюдать требования
закона (подача уведомления в РКН).
добавления в CRM, Excel, чаты или другие каналы), вы не считаетесь
оператором персональных данных и не обязаны подавать уведомление в
Роскомнадзор.
Если вы скачиваете историю платежей в Excel-таблице, вы начинаете работать с персональными данными напрямую и становитесь оператором. Если вы просматриваете статистику в личном кабинете LeadPay без выгрузки, оператором остаётся сервис.
Как только вы начинаете использовать эти данные вне личного кабинета
LeadPay (даже просто копируете контакт покупателя), вы становитесь
оператором персональных данных. В этом случае на вас распространяются
все требования законодательства о защите персональных данных, включая
необходимость уведомления Роскомнадзора.
Важно про уведомления об оплатах и персональные данные
В LeadPay уведомления об оплатах можно получать двумя способами: на e-mail или в Телеграм-бот.
Уведомления на e-mail. В письме содержатся персональные данные покупателя (ФИО, e-mail и телефон). В этом случае вы становитесь оператором персональных данных, так как данные поступают вам напрямую, и обязаны соблюдать требования закона (в том числе подать уведомление в Роскомнадзор).
Уведомления в Телеграм-бот. Здесь персональные данные не передаются, так как отображается только номер заказа и название продукта. Эти сведения не позволяют идентифицировать человека, поэтому вы не становитесь оператором.
Таким образом, статус зависит от выбранного формата уведомлений: e-mail делает вас оператором, а Телеграм остаётся безопасным каналом, где данные клиентов не раскрываются.
Уведомления можно отключить в личном кабинете:
1.Перейдите в настройки → Оповещения
2.Включите тумблер «E-mail», укажите там свою почту (можно ту же, что на лендинге)
3.Выключите тумблер для оповещений на E-mail
4.Нажмите «Сохранить»
После этого данные клиентов не будут поступать вам, и обработчиком
данных будет LeadPay, а не вы.
Но если вы используете данные клиентов из личного кабинета LeadPay в
своих целях, вы становитесь оператором и обязаны соблюдать требования
закона (подача уведомления в РКН).