Франшиза и 152-ФЗ: персональные данные клиентов в сетевом бизнесе

Франшизная сеть фитнес-клубов запускает единую CRM-систему: клиент регистрируется на сайте бренда, данные поступают в облачную CRM, доступ имеют все 30 точек. Клиент из Казани жалуется в Роскомнадзор: «Я регистрировался в конкретном клубе, а мои данные обрабатывает неизвестная мне компания из Москвы. Я не давал на это согласия.» Роскомнадзор проводит проверку — и обнаруживает: согласие на обработку собирал франчайзи, но данные передавались франчайзеру без поручения на обработку; в согласии не указан перечень третьих лиц; уведомление об обработке персональных данных подано только франчайзером, а не каждым франчайзи.

Штраф: 300 000 рублей франчайзеру + 100 000 рублей франчайзи. Плюс предписание привести обработку в соответствие в 30-дневный срок.

Распределение ролей: оператор и обработчик

Ключевой вопрос для любой франшизной сети: кто является оператором персональных данных — франчайзер, франчайзи или оба?

Общее правило. Каждый франчайзи — самостоятельный оператор персональных данных в отношении клиентов и сотрудников своей точки. Франчайзер — оператор в отношении данных, которые обрабатывает сам (данные франчайзи, агрегированная аналитика, данные клиентов, зарегистрировавшихся на федеральном сайте).

Когда франчайзер получает данные клиентов франчайзи. Через единую CRM-систему, через программу лояльности, через мобильное приложение, через аналитические системы. В каждом таком случае необходимо юридическое основание: либо франчайзер указан в согласии клиента как лицо, которому передаются данные, либо между франчайзером и франчайзи заключено поручение на обработку.

Согласие на обработку: что должно содержать

Согласие на обработку персональных данных — основной юридический инструмент для законной обработки данных клиентов.

Обязательные элементы (ст. 9 152-ФЗ). ФИО и контактные данные субъекта (или возможность идентификации). Наименование и адрес оператора. Цель обработки (конкретная, а не «для любых целей»). Перечень обрабатываемых данных (имя, телефон, email, дата рождения — только то, что нужно). Действия с данными (сбор, хранение, использование, передача третьим лицам). Перечень третьих лиц, которым передаются данные (включая управляющую компанию, если передача предусмотрена). Срок действия согласия и способ отзыва.

Для франшизной сети. В согласии, которое собирает франчайзи, должен быть указан и франчайзер — если данные передаются в централизованную систему. Формулировка: «Оператор [франчайзи] передаёт персональные данные [франчайзеру] для целей [конкретная цель] на основании поручения на обработку».

Отдельное согласие на маркетинг. Рассылки, push-уведомления, SMS — требуют отдельного согласия (ст. 15 152-ФЗ, ст. 18 ФЗ «О рекламе»). Нельзя объединять с основным согласием на обслуживание. Подробнее о цифровых инструментах обучения — в материале о выборе LMS для франшизы.

Поручение на обработку: передача данных внутри сети

Когда франчайзи передаёт данные клиентов франчайзеру (в CRM, аналитику, программу лояльности), это должно быть оформлено поручением на обработку (ст. 6 ч. 3 152-ФЗ).

Содержание поручения. Перечень действий с данными (обработчик может только то, что указано). Цели обработки. Обязанности обработчика: конфиденциальность, безопасность, отчётность. Ответственность за нарушения. Порядок прекращения обработки при расторжении договора.

Практика для франшизных сетей. Поручение на обработку оформляется как приложение к договору коммерческой концессии — один раз при заключении. Если управляющая компания является обработчиком (обрабатывает данные по поручению франчайзи), она несёт ответственность за безопасность этих данных перед франчайзи и перед субъектами.

Обратная ситуация. Если управляющая компания собирает данные через федеральный сайт/приложение и передаёт франчайзи для обслуживания — франчайзи выступает обработчиком, а франчайзер — оператором. Необходимо поручение в обратную сторону.

Уведомление Роскомнадзора

Каждый оператор персональных данных обязан подать уведомление в Роскомнадзор до начала обработки (ст. 22 152-ФЗ).

Кто подаёт. И франчайзер, и каждый франчайзи — если они являются операторами. На практике многие франчайзи об этом не знают. Задача управляющей компании — включить подачу уведомления в чек-лист открытия точки.

Содержание уведомления. Наименование оператора, адрес, правовое основание обработки, цели, категории данных, категории субъектов, действия с данными, обеспечение безопасности, трансграничная передача (если есть), дата начала обработки.

Штраф за неподачу. До 300 000 рублей (КоАП, ст. 13.11).

IT-инфраструктура: требования 152-ФЗ

Локализация данных. Персональные данные граждан России должны храниться на серверах, расположенных в РФ (ст. 18 ч. 5 152-ФЗ). Если CRM-система облачная — сервера должны быть в России. Зарубежные SaaS-решения без российских серверов — нарушение.

Безопасность. Организационные меры: политика обработки ПДн, регламенты доступа, приказы об ответственных. Технические меры: шифрование данных при хранении и передаче, разграничение доступа (каждый франчайзи видит только своих клиентов), журналирование действий с данными, резервное копирование, антивирусная защита.

Единая CRM для франшизной сети. Архитектура должна обеспечивать сегментацию: данные клиентов каждой точки изолированы. Франчайзи видит только свои данные. Управляющая компания — агрегированную аналитику или детализацию (в рамках поручения на обработку). Подробнее о принципах цифровых платформ для франшизы — в статье про первые 90 дней франчайзи.

Обучение персонала: первая линия защиты

Большинство утечек и нарушений — результат человеческих ошибок, а не хакерских атак. Кассир фотографирует экран CRM и отправляет в личный чат. Администратор оставляет бумажные анкеты на стойке. Менеджер пересылает базу клиентов через незащищённый мессенджер.

Обязательное обучение. Каждый сотрудник, имеющий доступ к персональным данным, должен пройти обучение: что такое персональные данные, что можно и нельзя делать, какие последствия за нарушения. Формат: онлайн-курс (30–45 минут) + тест. Периодичность: при приёме на работу + ежегодное обновление.

Содержание курса. Определение персональных данных и примеры. Правила обращения: не фотографировать экран, не пересылать данные в личных мессенджерах, не оставлять документы без присмотра, блокировать экран при отходе от рабочего места. Действия при инциденте: кому сообщить, что зафиксировать.

Ответственность. Включить обязательство о неразглашении в трудовой договор или отдельное соглашение. Дисциплинарная ответственность за нарушение — вплоть до увольнения. Платформа обучения позволяет автоматически назначать курс по 152-ФЗ при добавлении сотрудника и контролировать прохождение.

Утечки данных: новые штрафы 2024–2026

С 2024 года штрафы за утечки персональных данных значительно ужесточены.

За утечку. До 18 000 000 рублей за утечку большого объёма данных (более 100 000 субъектов). Для небольших утечек: 3 000 000–10 000 000 рублей.

Уголовная ответственность. Незаконный сбор, хранение, использование или распространение персональных данных — до 5 лет лишения свободы (с учётом поправок 2024 года).

Для франшизных сетей. Утечка в одной точке — юридическая ответственность этого франчайзи. Но если утечка произошла из централизованной CRM — ответственность оператора (франчайзера или франчайзи, в зависимости от архитектуры). Репутационный ущерб — всей сети.

Программа лояльности: отдельный блок рисков

Программа лояльности во франшизной сети — один из самых сложных элементов с точки зрения 152-ФЗ.

Оператор программы лояльности. Обычно — управляющая компания (франчайзер). Она собирает данные через приложение или карту, хранит и обрабатывает их централизованно. Каждый франчайзи — обработчик (начисляет баллы, предоставляет скидки по данным из системы).

Согласие. Клиент даёт согласие оператору программы лояльности (франчайзеру) с указанием целей: начисление бонусов, маркетинговые коммуникации, аналитика. В согласии указываются все франчайзи как лица, получающие доступ к данным.

Отзыв согласия. Клиент вправе отозвать согласие в любой момент. Оператор обязан прекратить обработку в 30-дневный срок. Для франшизной сети это означает: удаление данных из CRM и уведомление всех франчайзи о прекращении обработки данных этого клиента.

Видеонаблюдение на франшизных точках

Камеры видеонаблюдения фиксируют персональные данные (изображение — это персональные данные, если позволяют идентифицировать человека).

Требования. Информирование: табличка «Ведётся видеонаблюдение» при входе. Правовое основание: законный интерес (безопасность) — не требует отдельного согласия, но должно быть указано в политике обработки ПДн. Срок хранения: обоснованный (обычно 30–90 дней). Доступ: ограниченный круг лиц.

Пошаговый план соответствия 152-ФЗ для франшизной сети

Шаг 1. Аудит: какие данные обрабатываются, кем, на каком основании, где хранятся. По каждой точке и по управляющей компании отдельно.

Шаг 2. Распределение ролей: кто оператор, кто обработчик, для каких данных. Оформление поручений на обработку.

Шаг 3. Разработка документации: политика обработки ПДн, шаблоны согласий, регламенты доступа, приказы. Управляющая компания создаёт шаблоны — франчайзи адаптирует под своё юрлицо.

Шаг 4. Подача уведомлений в Роскомнадзор — каждым оператором.

Шаг 5. Техническая защита: проверка IT-инфраструктуры, сегментация доступа в CRM, шифрование.

Шаг 6. Обучение: курс по 152-ФЗ для всех сотрудников с доступом к данным. Подробнее — в статье о ROI обучения во франшизе.

Шаг 7. Регулярный мониторинг: ежеквартальная самопроверка, обновление документации при изменении процессов. Запросите демо платформы, чтобы увидеть, как автоматическое назначение курсов по 152-ФЗ и контроль прохождения интегрируются в общую систему обучения.

Итог: данные — актив и ответственность

Персональные данные клиентов и сотрудников — ценный актив франшизной сети. Но за этот актив нужно отвечать — юридически, технически и организационно. Штрафы растут, уголовная ответственность введена, репутационные риски утечки — колоссальны. Системное соответствие 152-ФЗ — не расход, а инвестиция в устойчивость бизнеса.