152-ФЗ для салона красоты: какие документы нужны

Если у вас есть база клиентов — в CRM, Excel-таблице или даже в блокноте — вы уже оператор персональных данных. Закон 152-ФЗ распространяется на КАЖДЫЙ салон красоты, барбершоп, студию маникюра и косметологический кабинет без исключений.

Роскомнадзор проверяет салоны красоты всё чаще. С 2025 года штрафы существенно выросли: обработка ПДн без согласия — до 150 000 ₽, неуведомление РКН — до 300 000 ₽, повторные нарушения — до 500 000 ₽. Проверка может начаться с жалобы одного недовольного клиента.

Хорошая новость: для салона красоты комплект документов по 152-ФЗ — это 6–8 документов, которые можно подготовить за один день. Ниже — пошаговая инструкция.

Салоны красоты обрабатывают персональные данные клиентов и сотрудников. Данные клиентов включают ФИО, номер телефона, адрес электронной почты, дату рождения, историю посещений и предпочтения по услугам. При онлайн-записи через YCLIENTS, Dikidi или сайт собираются IP-адреса и данные cookies.

Если салон предоставляет медицинские услуги (косметология, трихология, инъекционные процедуры), обрабатываются специальные категории ПДн — сведения о здоровье, аллергиях, противопоказаниях. Это требует повышенных мер защиты согласно статье 10 закона 152-ФЗ и получения отдельного письменного согласия клиента.

Программы лояльности, подарочные сертификаты, история покупок средств по уходу — всё это персональные данные, привязанные к конкретному человеку.

Штрафы по статье 13.11 КоАП РФ для юридических лиц:

Отсутствие политики конфиденциальности на сайте — от 30 000 до 60 000 ₽.

Обработка ПДн без согласия клиента — от 30 000 до 150 000 ₽.

Неуведомление Роскомнадзора об обработке ПДн — от 100 000 до 300 000 ₽ для юрлиц (ч. 10 ст. 13.11 КоАП).

Повторное нарушение — штрафы удваиваются, до 500 000 ₽.

Утечка персональных данных клиентов (например, из CRM) — от 60 000 до 300 000 ₽, а с 2025 года штрафы за утечки доходят до 15 000 000 ₽ в зависимости от объёма.

Для ИП штрафы ниже, но всё равно ощутимы: от 10 000 до 100 000 ₽.

Помимо штрафов, Роскомнадзор вправе приостановить обработку ПДн — это означает запрет на ведение клиентской базы до устранения нарушений.

Минимальный пакет из 6 документов, который должен быть у каждого салона:

1. Согласие клиента на обработку ПДн — бланк для подписи при первом визите или чекбокс на сайте. Для косметологии — отдельное письменное согласие на обработку сведений о здоровье.

2. Политика конфиденциальности — публичный документ для сайта. Обязательна, если есть форма онлайн-записи, чат или любой сбор данных на сайте.

3. Положение об обработке ПДн — внутренний регламент: какие данные собираете, зачем, как храните, когда удаляете.

4. Приказ о назначении ответственного за обработку ПДн — в малом салоне это обычно директор или управляющий.

5. Обязательство о неразглашении — подписывается всеми администраторами и мастерами, имеющими доступ к базе клиентов.

6. Уведомление в Роскомнадзор — подаётся бесплатно через портал pd.rkn.gov.ru ДО начала обработки данных. Если вы уже ведёте базу и не подали уведомление — подайте сейчас.

Согласие клиента — ключевой документ для салона красоты. Оно может быть получено в письменной форме при первом визите или через чекбокс на сайте при онлайн-записи. Согласие должно содержать: перечень данных, цели обработки, срок хранения и порядок отзыва.

Для обычных услуг (стрижка, маникюр, окрашивание) достаточно простого согласия — чекбокса или подписи на бланке.

Для косметологических и медицинских услуг требуется письменное согласие с указанием специальных категорий данных: сведения о здоровье, аллергии, хронических заболеваниях, принимаемых препаратах.

Клиент вправе отозвать согласие в любой момент. Салон обязан прекратить обработку и уничтожить данные в течение 30 дней после получения отзыва, если нет иных законных оснований для хранения (например, бухгалтерские документы).

Большинство салонов используют CRM-системы: YCLIENTS, Dikidi, Арника, Клиентикс и другие. С точки зрения 152-ФЗ, разработчик CRM является лицом, осуществляющим обработку ПДн по поручению оператора.

Что нужно сделать:

Заключить с CRM-провайдером поручение на обработку персональных данных. У YCLIENTS и Dikidi есть типовые оферты, но проверьте — они должны содержать перечень действий с ПДн, обязательства по защите и порядок уведомления об инцидентах.

В политике конфиденциальности на сайте указать, что данные передаются третьим лицам для целей автоматизации учёта.

Проверить, что CRM хранит данные на серверах в Российской Федерации — это требование части 5 статьи 18 закона 152-ФЗ о локализации баз данных граждан РФ.

Если CRM интегрирована с WhatsApp, Telegram-ботом или системой рассылок — каждая интеграция требует отдельного упоминания в политике.

Салон как работодатель обрабатывает данные мастеров и администраторов: паспортные данные, ИНН, СНИЛС, медицинские книжки, банковские реквизиты. Обработка в рамках трудового договора не требует отдельного согласия работника.

Однако размещение фото мастера на сайте или в социальных сетях, публикация портфолио с работами, публикация отзывов с указанием имени мастера — всё это требует письменного согласия сотрудника. Каждый работник подписывает обязательство о неразглашении ПДн клиентов.

При увольнении сотрудника его персональные данные хранятся в течение сроков, установленных трудовым и налоговым законодательством (до 50–75 лет для кадровых документов).

Если салон принимает запись через сайт, мессенджеры или социальные сети, он обязан разместить политику конфиденциальности в открытом доступе. Под каждой формой сбора данных размещается ссылка на политику и механизм получения согласия (чекбокс).

При использовании систем аналитики (Яндекс.Метрика, Google Analytics) салон обрабатывает обезличенные данные посетителей сайта. Это также должно быть отражено в политике конфиденциальности и cookie-баннере.

Рассылки по SMS и электронной почте с акциями и напоминаниями о записи требуют отдельного согласия клиента. Без него рассылка является нарушением закона «О рекламе» (38-ФЗ) и 152-ФЗ одновременно.

Шаг 1. Подайте уведомление в Роскомнадзор через pd.rkn.gov.ru — это бесплатно и занимает 15 минут.

Шаг 2. Создайте комплект документов в конструкторе Кибероснова: согласие клиента, политику конфиденциальности, положение об обработке, приказ и обязательство о неразглашении — всё за 20 минут.

Шаг 3. Разместите политику конфиденциальности на сайте и добавьте чекбокс согласия под формами записи.

Шаг 4. Распечатайте бланки согласия для администратора — подписывать при первом визите клиента.

Шаг 5. Проведите инструктаж администраторов и мастеров, подпишите обязательства о неразглашении.

Готово. Теперь ваш салон соответствует 152-ФЗ и готов к любой проверке.