Ресторан как оператор персональных данных: обязанности и штрафы с 30 мая 2025 года
08.04.2026
Что такое персональные данные и почему ресторан уже является их оператором
Согласно статье 3 Федерального закона от 27.07.2006 № 152-ФЗ, персональные данные — это любая информация, относящаяся к конкретному человеку прямо или косвенно.
Для ресторана к персональным данным относятся:
Наличие отдельного сотрудника по работе с персональными данными не требуется, но оператор должен назначить ответственного за организацию обработки персональных данных. Ресторан с программой лояльности или клиентской базой автоматически попадает под действие 152-ФЗ.
Для ресторана к персональным данным относятся:
- имя и номер телефона (из бронирования столов или чека-листа);
- электронная почта и дата рождения (для рассылки акций);
- история заказов и бонусный баланс (из программы лояльности).
Наличие отдельного сотрудника по работе с персональными данными не требуется, но оператор должен назначить ответственного за организацию обработки персональных данных. Ресторан с программой лояльности или клиентской базой автоматически попадает под действие 152-ФЗ.
Какие обязанности это накладывает на бизнес
Среди базовых обязанностей оператора — уведомление Роскомнадзора, публикация политики обработки ПД и принятие мер защиты. (ст.18.1, 19, 20)
- Уведомить Роскомнадзор (ст. 22 закона № 152-ФЗ). Как правило, уведомление подается до начала обработки данных. Исключение — обработка только данных сотрудников или использование данных клиентов исключительно для исполнения договора (например, для доставки заказа). Программа лояльности и рассылка не являются исполнением договора, поэтому уведомление обязательно.
- Опубликовать Политику обработки персональных данных. Это документ на сайте, в котором указывается: какие данные собираются, для каких целей, как долго хранятся, кому передаются.
- Принять меры по защите персональных данных. Требуются правовые, организационные и технические меры. На практике это означает: назначить ответственного за организацию обработки ПДн, ограничить доступ к базе, установить пароли, не хранить файлы с данными клиентов в общих чатах и на личных устройствах.
Какие штрафы грозят за нарушения с 30 мая 2025 года
С 30 мая 2025 года ответственность за нарушения при работе с персональными данными ужесточена. Штрафы зависят от количества пострадавших либо от количества скомпрометированных идентификаторов (например, номеров телефонов, адресов электронной почты, СНИЛС).
Повторный штраф для ИП и юрлиц рассчитывается от всей выручки ресторана за предыдущий календарный год. Для небольшого заведения минимальный порог в 20 млн рублей часто является фактическим размером штрафа. Для сети сумма может достигать сотен миллионов рублей.
Кроме штрафов за утечку, существуют отдельные санкции за отсутствие уведомления Роскомнадзора или политики обработки персональных данных. Размер таких штрафов зависит от состава нарушения — от 30 до 300 тысяч рублей.
Кроме штрафов за утечку, существуют отдельные санкции за отсутствие уведомления Роскомнадзора или политики обработки персональных данных. Размер таких штрафов зависит от состава нарушения — от 30 до 300 тысяч рублей.
Почему хранить клиентскую базу в Telegram — это рискованно с точки зрения закона
152-ФЗ требует, чтобы при сборе персональных данных граждан РФ их запись, систематизация, накопление и хранение осуществлялись с использованием баз данных, находящихся на территории России.
Облачные данные Telegram физически распределены по дата-центрам в разных юрисдикциях. Определить точное место хранения файла невозможно. Следовательно, использование Telegram как основной системы хранения клиентской базы создает высокий риск несоблюдения требования о локализации баз данных.
Использовать Telegram как основной инструмент хранения персональных данных рискованно с правовой точки зрения.
Корректная модель:
Облачные данные Telegram физически распределены по дата-центрам в разных юрисдикциях. Определить точное место хранения файла невозможно. Следовательно, использование Telegram как основной системы хранения клиентской базы создает высокий риск несоблюдения требования о локализации баз данных.
Использовать Telegram как основной инструмент хранения персональных данных рискованно с правовой точки зрения.
Корректная модель:
- Telegram используется только как канал коммуникации (например, для отправки гостю промокода).
- База персональных данных хранится в российской клиентской системе, соответствующей требованиям 152-ФЗ: данные находятся на серверах в РФ, доступ разграничен по ролям, ведётся логирование действий.
Резюме
При наличии программы лояльности, формы сбора данных на сайте или рассылки ресторан является оператором персональных данных. Требуется подать уведомление в Роскомнадзор, опубликовать политику обработки ПДн и исключить хранение клиентских данных в Telegram. С 30 мая 2025 года штрафы за нарушения существенно увеличены.