Сайты услуг: как юристам, психологам и репетиторам защитить себя при работе с клиентами

Почему частная практика в юриспруденции, психологии и репетиторстве – зона повышенного риска

Сайты специалистов-одиночек и небольших частных практик – юристов, психологов, психотерапевтов, коучей, репетиторов, логопедов, нутрициологов – часто строятся на скорую руку и обходят вниманием ФЗ-152. При этом каждый такой сайт собирает и обрабатывает персональные данные, зачастую – специальные категории, с глубоким уровнем чувствительности. Рассказать юристу о долгах и судимостях, психологу – о семейных проблемах и психических состояниях, репетитору – о трудностях ребёнка в обучении: всё это персональные данные с повышенным уровнем защиты.

Ошибка, которую совершают 9 из 10 частных практиков: «У меня маленькая практика, Роскомнадзору не до меня». В реальности проверка РКН по жалобе клиента проходит за 3-5 рабочих дней, а штрафы не зависят от масштаба бизнеса – минимальные санкции по части 1 статьи 13.11 КоАП для юридического лица начинаются с 60 000 ₽, для ИП – 10 000–20 000 ₽, но сами владельцы сайтов-услуг нередко работают как самозанятые без оформления ИП, и это не освобождает их от ответственности.

В 2025 году РКН провёл точечную кампанию по проверке сайтов психологов и коучей после серии жалоб клиентов. Из 80 проверенных сайтов 72 получили предписания об устранении нарушений. Ключевая проблема – отсутствие политики конфиденциальности на одностраничниках и отсутствие согласия на обработку специальных категорий ПДн (сведений о психическом здоровье).

Юридические сайты: особенности обработки ПДн

Сайт юриста или юридической компании обрабатывает данные клиентов, которые в большинстве случаев выходят за рамки «обычной» обработки: паспортные данные, сведения о судимостях, семейном положении, имущественных правах, долгах, корпоративных спорах. Часть 1 статьи 10 ФЗ-152 относит сведения о судимости к специальным категориям, а значит требуется письменное согласие и повышенные меры защиты.

Где юристы чаще всего нарушают

  • Форма «Бесплатная консультация» – без отдельного согласия, без разделения целей (консультация vs маркетинг)
  • Прикрепление сканов документов через форму на сайте без шифрования и контроля доступа
  • Публикация кейсов с реальными ФИО клиентов (или легко узнаваемых должностями, суммами, обстоятельствами) без согласия
  • Передача дел удалённым помощникам через Google Drive или WhatsApp
  • Отзывы клиентов с реальными ФИО и фото без подписанного согласия

Что должно быть на сайте юриста

  1. Политика конфиденциальности с указанием обработки специальных категорий (судимости, сведения о споре)
  2. Отдельная форма письменного согласия для клиентов, которые передают копии документов
  3. Защищённый канал для отправки сканов – либо личный кабинет с 2FA, либо шифрованный email (например, через bcrypt.pro), либо передача через юрист-облако (CDEK Trust, Jusidbox)
  4. Раздел «Кейсы» – только обезличенные кейсы либо кейсы с письменного разрешения клиента
  5. Договор оказания юридических услуг с пунктом об обработке ПДн и сохранении адвокатской/юридической тайны

Психологи и психотерапевты: специальная категория данных

Сведения о психическом здоровье однозначно относятся к специальным категориям ПДн (статья 10 ФЗ-152). Это означает: ни одна форма на сайте психолога не может работать без письменного согласия на обработку специальных категорий, любое хранение переписки – только на серверах в РФ, любая передача – только по шифрованному каналу.

Типичные нарушения на сайтах психологов

  • Запись на консультацию через форму с полем «Опишите вашу проблему» без согласия на спецкатегории
  • Ведение записей о клиентах в Google Docs, Notion, Evernote
  • Общение с клиентами через Telegram, WhatsApp без специальной защиты
  • Публикация отзывов клиентов с реальными именами и упоминанием диагнозов/проблем
  • Использование зарубежных платформ для онлайн-консультаций (Zoom, Skype)

Минимальный набор правильной практики

  1. На форме записи – два чекбокса: «согласие на обработку персональных данных» и «согласие на обработку специальных категорий (сведений о психическом состоянии)»
  2. Поле «Опишите вашу проблему» – необязательное, с предупреждением «Не указывайте подробностей, первичное обсуждение – на консультации»
  3. Личный кабинет клиента для хранения записей и истории (на российском хостинге, с 2FA)
  4. Платформа для видеоконсультаций – Яндекс.Телемост, TrueConf, Mind, собственный WebRTC-сервис
  5. Договор оказания психологических услуг с пунктами об обработке спецкатегорий и обязанности соблюдения профессиональной тайны
  6. Отзывы – только в обобщённой форме (например, «Помогла клиентка справиться с тревожным расстройством», без имён и точных обстоятельств) + отдельные согласия, если публикуется кейс с именем

Психолог из Москвы получил в 2024 году штраф 30 000 ₽ как ИП за хранение заметок о клиентах в Evernote (американский сервис). Жалоба пришла от клиента, который узнал о месте хранения из разговора с психологом. РКН квалифицировал ситуацию как нарушение локализации.

Репетиторы и частные преподаватели: согласия от родителей

Сайт репетитора пересекается с тематикой онлайн-школ, но имеет свои особенности. Во-первых, аудитория часто – дети и подростки, требующие согласия родителей. Во-вторых, масштаб меньше: репетитор редко способен построить полноценную LMS с 2FA, поэтому часто использует подручные инструменты.

Типичные нарушения

  • Регистрация ребёнка напрямую без идентификации родителя
  • Заметки о прогрессе учеников в Google Sheets
  • Видеозапись уроков с публикацией на YouTube или хранением в Google Drive
  • Рассылка результатов тестирования родителям через WhatsApp
  • Публикация рейтинговых таблиц учеников с ФИО на сайте

Минимальная правильная практика для репетитора

  1. Сайт с политикой конфиденциальности и согласиями – даже если это простой лендинг
  2. Форма заявки – через родителя, с подтверждением согласия на обработку данных ребёнка
  3. Договор или оферта с указанием обработки ПДн
  4. Заметки о клиентах – в российском сервисе (Яндекс.Диск, МойОфис, 1С:Fresh)
  5. Видеозаписи – только в закрытом личном кабинете, не в открытом доступе
  6. Рейтинги учеников – либо обезличенные, либо с именами только при согласии родителей
  7. Передача результатов родителям – через email или личный кабинет, не через мессенджеры

Частные практикующие специалисты как ИП или самозанятые

Многие частные практики работают как ИП или самозанятые (НПД). Важно понимать: статус самозанятого не освобождает от обязанностей оператора персональных данных. ФЗ-152 применяется ко всем лицам и организациям, обрабатывающим ПДн в связи с профессиональной деятельностью.

Статус Обязанности по ФЗ-152 Штрафы (физ. лицо / ИП)
Физ. лицо (вне проф. деятельности) Не применяется, если для личных нужд
Самозанятый (НПД) Полные обязанности оператора 3 000 – 5 000 ₽
ИП Полные обязанности оператора 10 000 – 20 000 ₽
ООО Полные обязанности оператора 60 000 – 100 000 ₽

Штрафы для ИП и самозанятых меньше, чем для ЮЛ, но при этом проверки проходят по тому же сценарию. Регистрируя согласие и политику, самозанятый специалист страхуется от репутационных и финансовых рисков.

Уведомление в РКН: нужно ли частному специалисту

По статье 22 ФЗ-152 оператор обязан подать уведомление об обработке ПДн до начала обработки. Есть исключения – статья 22 часть 2 освобождает от уведомления, если:

  • Обработка осуществляется исключительно для исполнения договора с субъектом
  • Обрабатываются данные работников
  • Данные обрабатываются без средств автоматизации

Для большинства частных практиков, ведущих сайт с формами, первый пункт не работает – сбор данных через форму для «бесплатной консультации» идёт до заключения договора. Значит уведомление подать нужно. Это бесплатно, занимает 30-60 минут через портал РКН или Госуслуги, и существенно снижает риски при проверке.

Форма согласия: шаблон для частной практики

Минимальная структура согласия для сайта юриста, психолога, коуча, репетитора:

  1. Наименование оператора (ФИО или название компании), адрес
  2. ФИО и контакты субъекта
  3. Цели обработки – перечислить конкретные (консультация, проведение занятия, оформление договора, рассылка материалов)
  4. Перечень обрабатываемых данных (ФИО, телефон, email, сведения об обращении, для спецкатегорий – конкретно)
  5. Перечень действий с данными (сбор, хранение, использование, удаление)
  6. Срок действия согласия – «до отзыва субъектом» или «на срок оказания услуг + 3 года»
  7. Порядок отзыва согласия – куда писать, в какой форме
  8. Подпись субъекта – электронная (чекбокс + IP + время) или собственноручная

Хранение ПДн клиентов: что реально использовать

CRM и учёт клиентов

  • Подходит: Битрикс24 (облако или коробка), amoCRM, 1С:CRM, МойСклад, Yclients (для записи)
  • Не подходит: HubSpot, Salesforce, Pipedrive, Zoho – серверы за рубежом

Облачные документы

  • Подходит: Яндекс 360, МойОфис, VK WorkSpace, Диск-О, Cloud.ru
  • Не подходит: Google Workspace, Microsoft 365, Dropbox, Box, Apple iCloud

Мессенджеры для работы с клиентами

  • Подходит (условно): VK Мессенджер, Яндекс Мессенджер, МАХ (в России официально); собственный чат в личном кабинете
  • С оговорками: Telegram (серверы за рубежом, но массово используется – следует минимизировать передачу ПДн и не обсуждать спецкатегории)
  • Не подходит: WhatsApp, Viber, Signal – данные идут через серверы в США

Email-рассылка

  • Подходит: UniSender, Sendsay, Mindbox, DashaMail, Mailopost – российская инфраструктура
  • Не подходит: Mailchimp, SendGrid, ActiveCampaign, GetResponse

Права клиента и как их обеспечить

Клиент имеет право запросить: какие его данные обрабатываются, для каких целей, кому передавались, удалить все данные. По статье 14 ФЗ-152 – срок ответа 10 рабочих дней.

Практические рекомендации для частного специалиста

  1. Разработайте один шаблон ответа на «стандартный запрос субъекта» – чтобы не тратить время при каждом запросе
  2. Ведите простой журнал обработки: дата, ФИО клиента, цель обработки, где хранится
  3. По завершении услуги и истечении срока хранения удаляйте данные (рекомендуемый срок – 3 года для бухгалтерских нужд)
  4. По запросу клиента удалите его данные в 10-дневный срок, зафиксируйте факт удаления в журнале

Реклама и продвижение сайта услуг

Частные практики активно используют контекстную рекламу, таргет в соцсетях, email-рассылки. Ключевые правила:

  • Рассылки – только по согласию на рекламу (отдельный чекбокс, не включён по умолчанию)
  • Ретаргетинг – с учётом того, что идентификаторы устройств признаются ПДн; необходим cookie-banner
  • Реклама в запрещённых сетях (Meta) – формально допустима, но с дополнительным риском по ФЗ-236 «О самоконтроле IT-компаний»
  • Маркировка рекламы по ФЗ-38 – отдельная обязанность, не связанная с ФЗ-152, но часто проверяется параллельно
  • Персонализированные предложения на основе данных о проблеме клиента (например, «Психолог по тревожным расстройствам» тем, кто спрашивал об этом) – требует согласия на профилирование

Чек-лист для сайта частной практики

  1. Политика конфиденциальности опубликована на сайте, ссылка в подвале
  2. На каждой форме – чекбокс согласия + ссылка на политику
  3. Для спецкатегорий (психология, медицина, юриспруденция) – отдельный чекбокс на обработку спецкатегорий
  4. Для услуг детям – схема согласия через родителя
  5. Сайт размещён на российском хостинге
  6. CRM, облако, рассылка, мессенджер – из российского сегмента
  7. Договор оказания услуг содержит пункт об обработке ПДн
  8. Уведомление в РКН подано (если применимо)
  9. Отзывы – только с письменного согласия или в обезличенной форме
  10. Кейсы публикуются обезличенно или с согласия клиента
  11. Платформа для онлайн-встреч – российская
  12. Видеозаписи консультаций – в личном кабинете, не на YouTube
  13. Ведётся простой журнал обработки
  14. Есть шаблон ответа на запрос субъекта
  15. Настроен cookie-banner

Если сайт ещё не готов: минимальный набор «сейчас»

Если вы практикующий специалист и у вас нет ресурсов на полноценный аудит, минимум для старта:

  1. Опубликуйте политику конфиденциальности – шаблон можно взять у юристов-практиков, адаптировать под свою практику
  2. Поставьте чекбокс согласия на каждой форме
  3. Перенесите базу клиентов из Google Sheets в Яндекс.Таблицы или МойОфис
  4. Прекратите использовать зарубежные облака и рассыльщики
  5. Напишите простой договор оферты с пунктом об обработке ПДн
  6. Если есть спецкатегории – добавьте отдельное согласие
  7. Отправьте уведомление в РКН

Это покрывает 80% типовых рисков частной практики при минимальных инвестициях времени. Дальнейшее улучшение (личный кабинет с 2FA, формальная модель угроз, аттестация ИСПДн) – имеет смысл при росте числа клиентов свыше нескольких сотен активных субъектов, особенно если вы работаете со специальными категориями данных.