Персональные данные на мероприятиях и 152-ФЗ

ФИО и телефон в форме — и вы уже оператор ПД. Согласие с меткой времени, audit log, шифрование — единственная защита от огромных штрафов. Всё уже реализовано и поставляется с каждым из наших модулей.

Почему Google Forms опасны для ивентов и промо

Типовая история: форму собрали за вечер, доступы раздали в чат, текст согласия взяли с прошлого проекта. Пока акция идёт, это незаметно. Проблемы начинаются позже, когда заказчик просит показать, где лежат данные и на каком основании их вообще собрали. Отдельно про формулировки: согласия на странице регистрации.

Где лежат данные и кто к ним имеет доступ

Для 152-ФЗ важно не только согласие, но и ответ на вопросы заказчика: где физически хранится база, кто делал выгрузку, кто видел ПД на площадке. Если сбор идёт через зарубежную форму на чужом аккаунте, на эти вопросы обычно нечем отвечать. Сравнение моделей — в статье self-hosted vs SaaS, техническая часть — в Технологиях.

Какие ПД реально собирают на мероприятиях и в промо

Регистрация на событие

  • ФИО, email, телефон, компания, должность
  • Сегментация по категориям участников и билетам
  • Согласие на обработку ПД до отправки формы

Check-in и onsite

  • QR-код участника и факт посещения мероприятия
  • Доступ сотрудников стойки только к нужным полям
  • Журнал действий и разграничение ролей

Промоакции и чеки

  • Контакты участника, данные покупки, номер чека
  • Проверка условий акции и хранение истории заявок
  • Отдельные риски при выдаче призов и работе с подрядчиками

Полевой сбор промоутерами

  • Сбор ПД «в точке» часто ведут временные сотрудники
  • Без роли, сценария согласия и единой базы риск кратно выше
  • Нужен контролируемый интерфейс, а не личный аккаунт подрядчика

Что именно снижает риск в Рег.Поинт

Функции compliance в Рег.Поинт
Функция Описание
ЛокализацияБаза участников и промо-данные хранятся на инфраструктуре заказчика, а не в случайной зарубежной форме
СогласиеОператор сам задаёт текст согласия, цели обработки и ссылку на политику для конкретного event или акции
Роли и доступПромоутеры, менеджеры и стойка регистрации получают только тот объём доступа, который им нужен
Audit logЖурнал действий с ПД помогает разбирать инциденты, запросы субъекта и внутренние проверки
Удаление и retentionЕсть процедуры удаления, блокирования и настройки сроков хранения по сценарию заказчика
Экспорт под контролемВыгрузки и интеграции происходят в управляемом контуре, а не через личные таблицы подрядчиков

Штрафы по ст. 13.11 КоАП и как Рег.Поинт снижает риск

Размеры — для юридических лиц по ст. 13.11 КоАП РФ в редакции от 30.05.2025. Подробный разбор типичных нарушений на ивентах — в статье чем опасно нарушение 152-ФЗ.

Формальные нарушения обработки ПД
Нарушение Штраф Как закрывает Рег.Поинт
Общие нарушения порядка обработки (ч. 1) 150 000–300 000 ₽ Согласие и политика задаются per-event; цели и поля совпадают с фактическим сбором на форме
Нет уведомления Роскомнадзора (ч. 4) 100 000–300 000 ₽ Не подаёт уведомление за вас — но даёт документируемый контур обработки для реестра и договора с обработчиком
Обработка без согласия (ч. 2–3) 300 000–700 000 ₽ Отдельный чекбокс, текст по ст. 9, метка времени и версия согласия в базе; без галочки форма не отправляется
Нарушение локализации / сбор через иностранную инфраструктуру до 6 000 000 ₽ Self-hosted на VPS в РФ: первичный сбор и хранение у заказчика, не в Google Forms или зарубежной CRM
Повторное нарушение локализации до 18 000 000 ₽ Единый контур для регистрации, check-in и промо — меньше «временных» форм с прошлого проекта
Утечки и инциденты с персональными данными
Ситуация Штраф Как закрывает Рег.Поинт
Утечка ПД (ч. 5)* 3–20 млн ₽ Роли и маскирование на стойке; нет общих таблиц в мессенджерах; шифрование чувствительных полей; ограничение выгрузок
Повторная утечка за год (ч. 6) 1–3% выручки (20–500 млн ₽) Audit log: кто смотрел и выгружал базу; проще расследовать инцидент и показать меры, а не «мы не знаем, кто слил»
Не сообщили об утечке за 24 ч (ч. 7) до 3 000 000 ₽ Журнал действий и контролируемые выгрузки — быстрее понять масштаб и срок, когда инцидент стал известен
Лишний доступ подрядчиков в составе ч. 5 / ч. 1 Manager видит имя и статус, не полный email; промоутер — только свою точку; director — по роли

*Сумма первой утечки зависит от числа скомпрометированных идентификаторов (ФИО, телефон, email считаются отдельно) и категории данных. Рег.Поинт не отменяет обязанность оператора уведомить Роскомнадзор и субъектов — но убирает часть технических причин, из-за которых база оказывается «у всех в чате».

Трансграничная передача и подрядчики

С 1 июля 2025 первичный сбор ПД граждан РФ — на сервере в России. Скрипты аналитики, зарубежные email-сервисы и формы с ответами за рубежом попадают под тот же блок рисков, что и «явная» CRM. Отдельной универсальной статьи «за любую трансграничную передачу» нет, но связка иностранной формы + отсутствие уведомления + согласия без целей — типичный сценарий проверки после жалобы участника.

Где чаще всего срывается compliance

Чаще всего всё ломается на стыке людей и процессов. Промоутеру нужен быстрый инструмент, агентству нужен отчёт, заказчику нужна чистая база. Если роли и хранение не продумали заранее, это всплывает уже на согласовании или после первой выгрузки.

Что даёт управляемый контур

Рег.Поинт не делает compliance “автоматически”. Оператором всё равно остаётся заказчик. Но система убирает то, на чём чаще всего горят проекты: сбор в чужой форме, лишние доступы и неуправляемые выгрузки. Практический чеклист 152-ФЗ для организатора.