Когда «просто собрали список гостей» становится нарушением

Федеральный закон № 152-ФЗ регулирует любую обработку персональных данных. Сбор, запись, хранение и передача попадают под закон, даже если вы не называете это CRM. Ст. 6 перечисляет основания: согласие, договор, закон. Всё остальное — зона риска. Ст. 9 требует конкретного и информированного согласия. Доказывать его наличие должен оператор, не участник. Ст. 19 обязывает принимать меры защиты до того, как данные попали в таблицу.

На мероприятии оператором почти всегда выступает заказчик или агентство по договору. Подрядчик с формой регистрации — обработчик по поручению по ст. 6 ч. 3. Но перед субъектом ПД отвечает оператор. Если промоутер собирает телефоны в личный Telegram, а потом пересылает Excel, цепочка уже есть. Оснований для такой обработки часто нет.

Что изменилось с 30 мая 2025

Статья 13.11 КоАП РФ стала заметно длиннее. Появились отдельные составы за отсутствие уведомления Роскомнадзора, за утечку, за сокрытие инцидента и за повторную компрометацию. Раньше многие нарушения закрывались предупреждением или фразой «доработайте политику». Сейчас Роскомнадзор чаще приходит по жалобе участника. Или после публикации базы в открытом доступе. Или когда видит, что оператора нет в реестре.

С 1 июля 2025 ужесточили трансграничную передачу. Первичный сбор ПД граждан РФ должен идти на сервере в России. За рубеж данные уходят только при основаниях и уведомлении. Форма на Google Sheets, ответы в зарубежную CRM или счётчик с передачей IP в EU — уже не «техническая мелочь». Это отдельный блок рисков.

Штрафы за формальные и организационные нарушения

К «мягкому» блоку относят устаревшую политику, неточное уведомление в реестре и подрядчика, не указанного в документах. Суммы ниже, чем за утечку, но проверка всё равно неприятная. Нужно показать уведомление, локальные акты и договоры с обработчиками.

Штрафы за формальные нарушения обработки ПД
Нарушение Штраф, юрлицо Где ломается на ивенте
Общие нарушения порядка обработки (ч. 1 ст. 13.11) 150 000–300 000 ₽ Цели в согласии не совпадают с тем, что реально делаете с базой после event; политика не обновляли три года
Нет уведомления Роскомнадзора (ч. 4 ст. 13.11) 100 000–300 000 ₽ Собрали email на лендинге конференции, но в реестре операторов записи нет — даже если форма «корректная»
Обработка без согласия или без иного основания (ч. 2–3 ст. 13.11) 300 000–700 000 ₽ Одна галочка «с правилами сайта» вместо согласия на ПД; импорт списка без повторного основания

Размеры — по ст. 13.11 КоАП РФ в редакции Федерального закона от 30.05.2025. Точная квалификация зависит от состава нарушения.

Утечки, сокрытие инцидента и оборотные штрафы

Утечкой считают не только взлом. Опубликовали клиентскую базу или отправили CSV не тому человеку — это тоже разглашение без согласия субъекта. Отдали подрядчику доступ без договора — формально то же самое. Штраф считают по числу идентификаторов. Имя, телефон и email одного человека — три ID, не один.

Штрафы за утечку персональных данных
Ситуация Штраф, юрлицо Типичный триггер на площадке
Первая утечка (ч. 5 ст. 13.11) от 3 до 20 млн ₽* Общий доступ к Google-таблице с участниками; утерянный ноутбук стойки без шифрования
Утечка спецкатегорий или биометрии выше базового диапазона* Фото для face-check-in с привязкой к ФИО; поле «аллергии» в форме без письменного согласия
Повторная утечка за год (ч. 6 ст. 13.11) 1–3% выручки, 20–500 млн ₽ Второй инцидент после «устранили и забыли» — без смены процессов и доступов
Не сообщили в Роскомнадзор за 24 часа (ч. 7 ст. 13.11) до 3 000 000 ₽ Узнали о выгрузке базы в пятницу вечером, «разберёмся в понедельник»

*Точная сумма первой утечки зависит от объёма скомпрометированных идентификаторов и категории данных. Подробная таблица с мерами защиты — на странице 152-ФЗ в Рег.Поинт.

Локализация и зарубежные сервисы

Отдельная линия ответственности — хранение и первичный сбор ПД граждан РФ за пределами России. Google Forms, Typeform, Notion с guest list или зарубежная CRM «пока тестируем» — классика pre-event. Такая схема всплывает на согласовании с ИБ банка или pharma-заказчика. Штрафы здесь крупнее формальных: до 6 млн ₽ за первое нарушение локализации и до 18 млн ₽ при повторе. Плюс возможные требования прекратить обработку.

Трансграничная передача через скрипты аналитики, email-сервисы и виджеты обратного звонка тоже попадает под контроль. Участник не видит, куда ушёл его IP. Но оператор перед регулятором отвечает.

Что ломается именно на корпоративах и промо

Фото с мероприятия — отдельная головная боль. Съёмка на публичном event часто допустима по ст. 152.1 ГК РФ без согласия, если человек не главный объект кадра. Но стоит выложить на сайт фото с подписью «Иван Петров, директор по закупкам X» — это уже распространение ПД по ст. 10.1 152-ФЗ. Нужно отдельное согласие по правилам Роскомнадзора. QR check-in с фото лица для идентификации — биометрия по ст. 11. Только письменное согласие.

На промо-стойке промоутер «для скорости» пишет телефоны в блокнот. Менеджер выгружает всю базу акции подрядчику на печать призов. После event HR просит список «кто был» и получает полные контакты без отдельного основания. Каждый такой эпизод — потенциальный состав. В сумме они выглядят как системное безразличие, а не как разовая оплошность.

Не только деньги

Ст. 24 152-ФЗ прямо говорит о возмещении морального вреда. Это независимо от штрафа КоАП. Участник может пожаловаться в Роскомнадзор и параллельно подать иск. Регулятор вправе потребовать прекратить обработку. Фактически это остановка рассылок, закрытие регистрации на следующий event или блокировка доступа к базе до устранения.

Для агентства и in-house команды риск ещё и репутационный. Тендеры банков и pharma всё чаще начинаются с опросника по ПД. Ответ «мы собирали в Google Forms, но удалим» procurement обычно не принимает.

Что сделать до первой проверки

Сначала проверьте запись в реестре операторов Роскомнадзора. Делать это нужно до старта сбора, не после. Приведите согласие к требованиям ст. 9: цели, поля, срок, оператор, порядок отзыва. Подробнее — в материале что указать в согласии на странице регистрации. Пройдите чеклист организатора по 152-ФЗ по этапам до, на площадке и после. Зафиксируйте, где физически лежит база и кто имеет доступ. Роли важнее, чем «все в админке». Пропишите, что делать при инциденте: кто фиксирует, кого уведомляет и в какой срок пишет в Роскомнадзор.

Платформа регистрации не снимает обязанностей оператора. Но убирает часть технических триггеров. Сбор не в чужой форме, согласие с меткой времени, журнал действий и маскирование для стойки. Разбор по функциям — в разделе 152-ФЗ и персональные данные.

FAQ

Можно ли оштрафовать за Google Forms на регистрации?

Да. Если через форму собирают ПД граждан РФ, а первичная обработка идёт на иностранной инфраструктуре без уведомления Роскомнадзора и без локализации, это отдельный блок рисков. Плюс отсутствие согласия и регистрации оператора. «Временная форма на один event» статус оператора не отменяет.

Кто платит штраф — агентство или заказчик?

Штраф по КоАП получает оператор из уведомления и согласия. Между собой стороны могут распределить риск договором. Но Роскомнадзор смотрит на формального оператора.

Читайте также

152-ФЗ · 9 мин

152-ФЗ на мероприятии: чеклист для организатора

152-ФЗ · 10 мин

Согласие на обработку ПД: что указать на странице регистрации