152-ФЗ для салонов и клиник: что нужно знать о данных клиентов

Обновлено 2026-06-30

Любой салон, клиника или сервис, который ведёт базу клиентов — имена, телефоны, историю визитов, — обрабатывает персональные данные и попадает под 152-ФЗ. Разбираем по-человечески, что это значит на практике и что нужно сделать.

Важно: это обзорный материал, а не юридическая консультация. Перед запуском процессов сверьтесь с актуальной редакцией закона и при необходимости с юристом.

Кто считается оператором персональных данных

Если вы храните контакты и сведения о клиентах — вы оператор персональных данных. Неважно, ведёте вы базу в CRM, в Excel или в тетради: закон смотрит на сам факт обработки, а не на инструмент. ИП и небольшие компании — не исключение.

Согласие клиента

Обработка данных должна происходить с согласия клиента. На практике это означает: при записи и регистрации клиент должен видеть и принять согласие на обработку персональных данных, а для рекламных рассылок — отдельное согласие на маркетинг. Эти два согласия лучше разделять.

Хранение данных в России

Закон требует, чтобы первичный сбор и хранение персональных данных граждан РФ происходили на серверах, расположенных в России. Поэтому при выборе программы важно, где физически находятся её серверы. Зарубежные облачные сервисы здесь создают риск.

Уведомление Роскомнадзора

Оператор обязан подать уведомление в Роскомнадзор о намерении обрабатывать персональные данные. Это бесплатная процедура через сайт ведомства. С 2023 года перечень случаев, когда уведомление обязательно, расширили — фактически оно нужно почти всем, кто ведёт клиентскую базу.

Особый случай — медицинские данные

Если вы клиника, стоматология, косметология или ветклиника и фиксируете диагнозы, медкарту, сведения о здоровье — это специальная категория персональных данных (ст. 10 152-ФЗ). К ней требования строже: усиленная защита, ограниченный доступ, и тем более критично хранение в РФ и разграничение прав доступа сотрудников.

Что должно быть у вас на руках

Минимальный набор: политика обработки персональных данных (опубликована и доступна), формы согласий, поданное уведомление в Роскомнадзор, а также технические меры — разграничение доступа сотрудников и защита данных от утечки.

Как это упрощает специализированная CRM

Профильная система берёт на себя техническую часть: согласия собираются при записи и регистрации, данные хранятся на серверах в РФ, доступ разграничен по ролям и не пересекается между компаниями, чувствительные поля шифруются, а базу можно выгрузить в любой момент. Это снимает большую часть рисков, но не отменяет ваших организационных обязанностей — уведомление и публикацию политики делаете вы.

ClientRec построен с учётом 152-ФЗ: серверы в России, разделение доступа, шифрование чувствительных данных и готовые шаблоны согласий и политики.