+7 (495) 049-17-07

Регистрация / Войти

Оцените возможности BEJURE для общих статей

Оцените возможности BEJURE БЕСПЛАТНО

Подробнее

Попробовать

Персональные данные гостей кафе: закон, лояльность и доставка

Персональные данные гостей кафе: закон, лояльность и доставка

Вы запустили программу лояльности, подключили доставку, собрали базу постоянных гостей — и думаете, что бизнес работает как надо. Но каждый раз, когда клиент оставляет номер телефона, соглашается на push-уведомления или вводит адрес для курьера, запускается юридический механизм, о котором большинство владельцев кофеен и кафе не имеют ни малейшего представления. Этот механизм называется обработка персональных данных, и он регулируется Федеральным законом № 152-ФЗ «О персональных данных».

Штрафы за нарушения выросли многократно. С 2024 года за повторные нарушения в сфере работы с персональными данными организации получают оборотные штрафы — до 3% от годовой выручки, но не менее 15 миллионов рублей. Для небольшой кофейни это не абстрактная цифра, а реальная угроза закрытия. При этом большинство нарушений происходит не из злого умысла, а из элементарного незнания: неправильно составленное согласие на обработку, отсутствие политики конфиденциальности на сайте, передача данных агрегатору доставки без договора — каждый из этих пунктов превращается в основание для предписания или штрафа.

В этой статье разберём, какие данные вы собираете, зачем нужно согласие и как его правильно получить, что происходит с данными при работе с агрегаторами, и как выстроить систему так, чтобы программа лояльности приносила гостей, а не проблемы с Роскомнадзором.

Какие данные о гостях считаются персональными

Многие владельцы заведений искренне убеждены: «Мы просто спрашиваем имя и телефон для бонусной карты — это не персональные данные». Это заблуждение дорого обходится.

Согласно статье 3 Федерального закона № 152-ФЗ, персональные данные — это любая информация, относящаяся прямо или косвенно к определённому физическому лицу. В контексте кафе и ресторанного бизнеса к таким сведениям относятся:

  • имя и фамилия гостя;
  • номер мобильного телефона;
  • адрес электронной почты;
  • дата рождения (часто запрашивается для поздравления и скидки);
  • адрес доставки;
  • история заказов и предпочтений;
  • геолокация при использовании мобильного приложения;
  • данные банковской карты при онлайн-оплате (в части, доступной оператору).

Отдельно стоит отметить комбинацию данных. Имя само по себе может не идентифицировать человека, но имя + телефон + адрес — уже безусловно персональные данные. Именно поэтому анкета программы лояльности, которую гость заполняет при первом визите, является формой сбора персональных данных со всеми вытекающими обязательствами.

⚠️ Важно: Если вы собираете дату рождения для именинной скидки — это тоже персональные данные. Вам необходимо отдельно указывать цель их обработки в согласии.

Ваш бизнес становится оператором персональных данных в момент, когда вы начинаете собирать, хранить, использовать или передавать любую из перечисленных выше сведений. Регистрация в Роскомнадзоре в качестве оператора с 2022 года стала обязательной для большинства организаций — уведомление подаётся через официальный портал ведомства.

Согласие на обработку данных: как его правильно получить

Согласие гостя на обработку его персональных данных — это не формальность и не «галочка на сайте». Это юридически значимый документ, требования к которому прописаны в статье 9 Закона № 152-ФЗ.

Согласие должно быть:

  1. Конкретным — указана цель обработки (например, «участие в программе лояльности», «доставка заказов», «информирование об акциях»);
  2. Информированным — гость должен понимать, кто обрабатывает его данные, какие именно и зачем;
  3. Сознательным — получено до начала обработки, а не постфактум;
  4. Однозначным — молчание, заранее проставленные галочки или бездействие не считаются согласием.

На практике это означает следующее. Бумажная анкета с текстом «Заполняя анкету, вы соглашаетесь на обработку персональных данных» без расшифровки — это недостаточное согласие. Электронная форма на сайте с предзаполненным чекбоксом «Я согласен» — также нарушение.

📎 Ст. 9 Федерального закона № 152-ФЗ: Субъект персональных данных принимает решение о предоставлении своих персональных данных и даёт согласие на их обработку своей волей и в своём интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

Для кофейни, работающей офлайн, минимальный набор документов при запуске программы лояльности включает:

  • анкету с текстом согласия на обработку персональных данных;
  • перечень обрабатываемых данных;
  • указание целей обработки;
  • срок хранения данных;
  • информацию о праве гостя отозвать согласие.

Для сайта или мобильного приложения обязательна размещённая в открытом доступе Политика конфиденциальности — отдельный документ, описывающий всю систему работы с данными пользователей.

📋 Пример: Кофейня запустила мобильное приложение с накопительными баллами. При регистрации пользователь проставляет две отдельные галочки: первая — согласие на обработку данных для работы приложения (обязательная), вторая — согласие на получение маркетинговых рассылок (добровольная). Это корректная практика: согласие на маркетинг не должно быть условием получения основной услуги.

Программы лояльности: юридические риски и правила работы с базой

Программа лояльности — один из главных инструментов удержания гостей в кофейне. Но именно она чаще всего становится источником нарушений в сфере персональных данных.

Рассмотрим типичные ошибки:

1. Отсутствие чёткой цели обработки. Владелец собирает данные «на всякий случай» — вдруг пригодятся для таргетированной рекламы, вдруг захочется продать базу партнёрам. Закон требует определить цель до начала сбора. Использование данных сверх заявленной цели — нарушение статьи 5 Закона № 152-ФЗ.

2. Передача базы третьим лицам без согласия. Например, вы передали контакты постоянных гостей агентству, которое ведёт ваш Instagram. Без явного согласия гостей и без договора с агентством о конфиденциальности — это нарушение, за которое предусмотрен штраф по статье 13.11 КоАП РФ.

3. Хранение данных сверх необходимого срока. Если гость отозвал согласие или давно не посещает заведение — его данные нельзя хранить бесконечно. Закон обязывает уничтожить сведения после достижения цели их обработки или по истечении установленного срока.

4. Рассылка без согласия. SMS и email с акциями — это коммерческие коммуникации, и помимо Закона № 152-ФЗ они регулируются Федеральным законом № 38-ФЗ «О рекламе». Рассылка без согласия — спам, за который установлена отдельная ответственность.

⚠️ Важно: Штраф за незаконную обработку персональных данных (ч. 1 ст. 13.11 КоАП РФ) составляет от 60 000 до 100 000 рублей для юридических лиц. За повторное нарушение — до 300 000 рублей. С 2024 года введены оборотные штрафы за утечку данных: от 3% до 15% от годовой выручки.

Чтобы программа лояльности работала без правовых рисков, необходимо выстроить внутренний регламент: кто имеет доступ к базе, как долго хранятся данные, как гость может отказаться от участия, как обрабатывается запрос на удаление.

Доставка и агрегаторы: кто отвечает за данные клиента

Подключение к агрегаторам доставки — Яндекс Еда, Delivery Club, самостоятельная курьерская служба — создаёт дополнительный уровень сложности в работе с персональными данными.

Когда гость оформляет заказ через агрегатор, его данные обрабатывают как минимум два оператора: сам агрегатор и ваше заведение. В этой схеме вы можете выступать как:

  • самостоятельный оператор — если у вас собственный сайт или приложение для заказов;
  • оператор, привлекающий третье лицо (так называемый поручитель обработки) — если передаёте данные агрегатору для обработки заказа.

В последнем случае обязателен договор поручения на обработку персональных данных. Без него любая передача данных клиентов агрегатору или курьерской службе является нарушением статьи 6 Закона № 152-ФЗ.

📎 Ст. 6 Федерального закона № 152-ФЗ: Обработка персональных данных может осуществляться с согласия субъекта персональных данных на передачу его данных третьему лицу, либо при наличии договора, заключённого с таким лицом в интересах субъекта.

Что должен содержать договор поручения:

  • перечень операций, которые поручаются третьему лицу;
  • обязательство сохранять конфиденциальность;
  • запрет на использование данных в собственных целях исполнителя;
  • обязательство соблюдать требования Закона № 152-ФЗ;
  • порядок уничтожения данных после исполнения поручения.

Практический момент: крупные агрегаторы, как правило, имеют стандартный договор, который включает положения о персональных данных. Но это не означает, что вы автоматически снимаете с себя ответственность. Ваша обязанность — убедиться, что такие положения в договоре есть, и что согласие гостя на передачу данных курьерской службе получено в явном виде.

Локализация данных: хранение на серверах в России

С 2015 года Федеральный закон № 242-ФЗ ввёл требование о локализации персональных данных: сведения о гражданах России должны первично храниться на серверах, расположенных на территории страны.

Для кофейни это актуально в следующих ситуациях:

  • вы используете зарубежные CRM-системы (например, американский или европейский сервис email-рассылок);
  • мобильное приложение разработано зарубежным подрядчиком и хранит данные на иностранных серверах;
  • вы используете облачные сервисы без указания местонахождения серверов.

⚠️ Важно: Роскомнадзор активно проверяет соблюдение требований локализации. Штраф за первичное нарушение — от 100 000 до 200 000 рублей (ст. 13.11 КоАП РФ), за повторное — до 500 000 рублей для организаций.

На практике это означает, что при выборе платформы для программы лояльности, CRM или сервиса рассылок нужно проверять, где физически расположены серверы поставщика. Российские сервисы, как правило, соответствуют этому требованию автоматически; с зарубежными — нужно запрашивать подтверждение либо выбирать альтернативы.

Права гостей и как на них реагировать

Закон наделяет каждого человека правами в отношении его персональных данных. Как оператор, вы обязаны обеспечить их реализацию. Незнание этих обязательств — ещё одна распространённая причина штрафов.

Права субъекта персональных данных:

  1. Право на доступ — гость вправе запросить, какие именно данные вы о нём храните. Вы обязаны ответить в течение 10 рабочих дней.
  2. Право на исправление — если данные устарели или недостоверны, их нужно обновить по требованию гостя.
  3. Право на удаление («право быть забытым») — по требованию субъекта вы обязаны уничтожить его данные, если отсутствуют законные основания для их дальнейшего хранения.
  4. Право на отзыв согласия — гость может в любой момент отозвать согласие на обработку. После этого обработка должна прекратиться, а данные — быть уничтожены в течение 30 дней.
  5. Право на ограничение обработки — гость вправе потребовать прекратить использование данных в маркетинговых целях, сохранив их только для исполнения договора.

📋 Пример: Постоянный гость кофейни написал в директ Instagram с просьбой удалить его из базы рассылки. Это — юридически значимое требование. Отсутствие реакции или игнорирование сообщения является нарушением. Рекомендуется установить официальный канал для таких запросов (email или форма на сайте) и обеспечить фактическое удаление в течение 30 дней.

Для корректной работы с такими обращениями в заведении должен быть назначен ответственный за организацию обработки персональных данных — это требование статьи 22.1 Закона № 152-ФЗ. Для малого бизнеса эту функцию может выполнять сам владелец или администратор.

Как выстроить систему защиты данных в кофейне

Соблюдение законодательства о персональных данных — это не разовая акция, а постоянный процесс. Чтобы снизить риски, нужно выстроить базовую систему, которая будет работать даже без участия юриста.

Минимальный пакет документов для кофейни:

  • Политика обработки персональных данных — публичный документ, размещённый на сайте и в заведении;
  • Согласие на обработку персональных данных — для каждого канала сбора (анкета, сайт, приложение);
  • Договор поручения с каждым контрагентом, которому передаются данные гостей (агрегаторы, маркетинговые агентства, CRM-провайдеры);
  • Приказ о назначении ответственного за обработку персональных данных;
  • Регламент работы с базой — кто имеет доступ, как долго хранятся данные, как реагировать на запросы об удалении;
  • Инструкция для персонала — кассиры и администраторы должны знать, что делать, если гость просит удалить его данные или задаёт вопросы о хранении информации.

Шаблоны из интернета решают задачу лишь частично: они устаревают, не учитывают специфику конкретного бизнеса и не обновляются при изменении законодательства. Платформа Bejure предлагает готовые документы, разработанные под конкретные виды деятельности, — включая шаблоны для заведений общественного питания. При этом весь документооборот ведётся внутри защищённой системы: документы подписываются электронной подписью, хранятся в едином архиве и доступны в любой момент — даже при проверке или споре.

⚠️ Важно: Уведомление в Роскомнадзор о начале обработки персональных данных подаётся до начала сбора сведений, а не после. За непредоставление уведомления предусмотрен штраф по статье 19.7 КоАП РФ — до 5 000 рублей для должностных лиц и до 50 000 рублей для организаций.

Отдельного внимания заслуживает техническая защита данных: пароли на базы клиентов, разграничение доступа для сотрудников, шифрование при передаче данных — всё это часть требований к безопасности персональных данных, установленных Постановлением Правительства РФ № 1119 и приказами ФСТЭК.

Для малого бизнеса достаточно минимального уровня защиты, но он должен быть задокументирован. Если у вас нет приказа об утверждении модели угроз и перечня мер по защите — при проверке это будет отдельным нарушением.

Важно понимать: выстроить эту систему самостоятельно — вполне реально. Ключевое условие — наличие актуальных шаблонов и чёткого регламента. Именно здесь Bejure работает как базовая система порядка: фиксированная подписка от 1 440 ₽/мес, документы обновляются автоматически при изменении законодательства, и вам не нужно отслеживать поправки вручную или держать штатного юриста за 80 000 ₽/мес.

Часто задаваемые вопросы

Нужно ли регистрироваться в Роскомнадзоре, если я собираю только телефоны гостей для программы лояльности?

Да. Сбор телефонных номеров физических лиц с целью их использования в коммерческих целях — это обработка персональных данных. Вы становитесь оператором и обязаны подать уведомление в Роскомнадзор до начала сбора данных. Исключения предусмотрены статьёй 22 Закона № 152-ФЗ, однако программа лояльности под них не подпадает.

Можно ли передавать базу гостей агрегатору доставки без отдельного согласия?

Нет. Передача персональных данных третьему лицу требует либо отдельного согласия субъекта, либо наличия договора поручения на обработку данных. Если гость оформляет заказ через ваш сайт и вы передаёте его адрес курьерской службе — в форме заказа должно быть указано, что данные передаются третьим лицам, с перечнем таких лиц.

Что делать, если гость требует удалить его из базы рассылки?

Это юридически обязательный запрос. Вы обязаны прекратить рассылку немедленно после получения такого требования и уничтожить данные гостя в течение 30 дней, если нет иных законных оснований для их хранения. Рекомендуется зафиксировать факт получения запроса и его исполнения — это защитит вас при возможной жалобе в Роскомнадзор.

Влияет ли использование зарубежного приложения для программы лояльности на соблюдение закона?

Да. Если данные гостей хранятся на серверах за пределами России, это нарушает требование локализации по Закону № 242-ФЗ. Перед внедрением любого иностранного сервиса необходимо уточнить местонахождение серверов и при необходимости выбрать российский аналог или добиться от провайдера обработки данных на российской инфраструктуре.

Нужно ли отдельное согласие на фотографирование гостей для публикации в соцсетях?

Да. Фотографии, на которых можно идентифицировать конкретного человека, относятся к персональным данным (биометрическим). Публикация таких фото без письменного согласия гостя является нарушением как Закона № 152-ФЗ, так и статьи 152.1 Гражданского кодекса РФ. Исключение — публичные мероприятия, если человек не является главным объектом съёмки.

Заключение

Работа с персональными данными гостей — это не бюрократия ради бюрократии. Это система доверия: гость передаёт вам свои контакты в расчёте на то, что вы обращаетесь с ними ответственно. Нарушение этого доверия влечёт за собой не только штрафы, но и репутационный ущерб, который для небольшой кофейни может оказаться куда серьёзнее финансовых санкций.

Минимальный порядок — правильное согласие, актуальная политика конфиденциальности, договор с агрегатором и регламент работы с базой — закрывает большинство рисков. Внедрение этих документов занимает несколько часов при наличии готовых, актуальных шаблонов. Не откладывайте до первой проверки: Роскомнадзор планово проверяет операторов персональных данных, а жалоба одного гостя может инициировать внеплановый контроль.

Выстройте систему один раз — и занимайтесь тем, ради чего открывали своё заведение.

Вам может быть интересно

article-preview

Общие

Документы по персональным данным для бизнеса

Какие документы по персональным данным должны быть у бизнеса: политика обработки данных, согласие на обработку персональных данных, документы для сайта и требования закона.

article-preview

Цветы

Какие приказы обязательны в цветочном бизнесе

Цветочный бизнес кажется простым: цветы, букеты, праздники. Но за красивой витриной всегда стоит документация. Особенно важны приказы, которые регулируют кадровую работу, безопасность и ежедневную деятельность магазина. Их отсутствие может привести к штрафам от инспекций.

Должностные инструкции для автомойки: образцы по всем должностям

Автомойки

Должностные инструкции для автомойки: образцы по всем должностям

Должностные инструкции для автомойки: образцы для мойщика, оператора, администратора. Защита от штрафов ГИТ и споров с сотрудниками.

Должностные инструкции для пекарни и кондитерской

Пекарни / кондитерские

Должностные инструкции для пекарни и кондитерской

Должностные инструкции для пекарни и кондитерской: обязательные должности, требования к оформлению, защита от штрафов трудинспекции. Готовые шаблоны и примеры.

Оформление складского персонала: кладовщик, упаковщик, комплектовщик

Селлеры

Оформление складского персонала: кладовщик, упаковщик, комплектовщик

Как правильно оформить складской персонал: кладовщика, упаковщика и комплектовщика. Трудовые договоры, материальная ответственность, график работы.

Должностные инструкции для селлеров: образцы по всем должностям

Селлеры

Должностные инструкции для селлеров: образцы по всем должностям

Образцы должностных инструкций для селлеров всех уровней. Узнайте, что обязательно включать в документ и как защитить бизнес от ошибок.

Решения

Пункты выдачиСалоны красотыКосметологияСеллерыКофейниПекарня / КондитерскаяАвтосервисыЦветочные магазиныТабачные магазиныШиномонтажАвтомойкиАгентства недвижимостиФитнес-центрыСтоматологииРемонт техникиИндивидуальные решения

Продукт

О продуктеСферы деятельностиЧто получает предпринимательПравовая упаковка сайта

О нас

О компанииМанифестЮридическая информация

Полезное

СтатьиПроверки и рискиСроки хранения документовНачинающим предпринимателямАкцииПартнёрам

Юридическая документация

Лицензионный договорСогласие на использование файлов кукиПолитика конфиденциальности и обработки персональных данныхСогласие на обработку персональных данных
Тарифы
Max
8 (800) 777 92 07
+7 (495) 049-17-07

ООО "БИЮРЭ" © 2026