+7 (495) 049-17-07

Регистрация / Войти

Оцените возможности BEJURE для агентств недвижимости

Оцените возможности BEJURE
для агентств недвижимости БЕСПЛАТНО

Подробнее

Попробовать

Персональные данные клиентов агентства недвижимости

Персональные данные клиентов агентства недвижимости

Агентство недвижимости ежедневно работает с огромным массивом чувствительной информации: паспортные данные покупателей и продавцов, сведения о доходах, выписки из ЕГРН, номера телефонов и адреса электронной почты. Казалось бы, всё это — обычная рабочая документация. Но с точки зрения закона каждая такая запись является персональными данными, и её обработка строго регулируется Федеральным законом № 152-ФЗ «О персональных данных». Нарушение этих требований грозит агентству не просто штрафами, но и блокировкой деятельности, уголовной ответственностью и репутационными потерями.

Большинство риелторов и руководителей небольших агентств честно признаются: они знают, что «что-то надо сделать по закону о персданных», но не понимают конкретно — что именно. В итоге клиентская база хранится в таблицах Excel без защиты, согласия на обработку не берутся вовсе или оформляются «для галочки» на бумаге, а сотрудники пересылают копии паспортов через обычные мессенджеры. Каждое из этих действий — потенциальное нарушение.

В этой статье мы разберём, как агентству недвижимости законно выстроить работу с персональными данными клиентов: что собирать, как хранить, как получать согласие и что грозит за несоблюдение требований.

Что считается персональными данными в агентстве недвижимости

Персональные данные — это любая информация, прямо или косвенно позволяющая идентифицировать физическое лицо (субъекта персональных данных). В контексте агентства недвижимости к ним относятся:

  • Фамилия, имя, отчество клиента
  • Дата и место рождения
  • Паспортные данные (серия, номер, кем и когда выдан)
  • Адрес регистрации и фактического проживания
  • Контактные данные: телефон, email
  • Сведения о семейном положении и составе семьи (при сделках с участием супругов и детей)
  • Информация о доходах и занятости (при работе с ипотечными клиентами)
  • Сведения об объектах недвижимости, принадлежащих клиенту
  • Банковские реквизиты для расчётов

Отдельную категорию составляют специальные категории персональных данных — сведения о состоянии здоровья (могут фигурировать в сделках с недееспособными гражданами), информация об иностранном гражданстве. Их обработка требует ещё более строгого соблюдения требований закона.

⚠️ Важно: Фотография клиента, сделанная риелтором при просмотре объекта, или запись телефонного разговора также могут квалифицироваться как персональные данные, если по ним можно установить личность человека.

Агентство выступает в роли оператора персональных данных — юридического лица или ИП, самостоятельно или совместно с другими лицами организующего обработку данных. Этот статус возникает автоматически в момент, когда вы впервые записали имя и телефон потенциального клиента. С этого момента на вас распространяются все требования ФЗ-152.

Регистрация в Роскомнадзоре: нужна ли она агентству

Один из самых частых вопросов руководителей агентств: обязательно ли уведомлять Роскомнадзор о начале обработки персональных данных?

Согласно ст. 22 ФЗ-152, оператор обязан направить уведомление в уполномоченный орган до начала обработки персональных данных. Однако закон предусматривает исключения. Агентство недвижимости вправе не направлять уведомление только если:

  • Данные обрабатываются исключительно в рамках трудовых отношений (данные сотрудников, а не клиентов)
  • Данные получены при заключении договора с конкретным субъектом и используются только для исполнения этого договора, без передачи третьим лицам
  • Данные обрабатываются без использования средств автоматизации (то есть только на бумаге)

Если агентство ведёт CRM-систему, хранит клиентскую базу в электронном виде, использует программы для рассылок или рекламные инструменты ретаргетинга — оно обрабатывает данные автоматизированно. В этом случае уведомление обязательно.

📎 Ст. 22 ФЗ-152: Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять обработку персональных данных.

Подать уведомление можно через официальный сайт Роскомнадзора в электронном виде. После регистрации агентство вносится в реестр операторов персональных данных. Отсутствие уведомления при фактической автоматизированной обработке — это нарушение, за которое по ч. 1 ст. 19.7 КоАП РФ предусмотрен штраф для юридических лиц до 5 000 рублей. Звучит незначительно, но это лишь первое последствие — при проверке будут выявлены и другие нарушения с куда более серьёзными санкциями.

Согласие клиента на обработку персональных данных: как оформить правильно

Ключевой документ в системе защиты персональных данных — согласие субъекта на их обработку. Без него агентство фактически работает с чужой информацией незаконно.

Согласие должно быть:

  1. Добровольным — клиент не может быть принуждён к его подписанию под угрозой отказа в услугах (хотя для заключения договора данные всё равно необходимы)
  2. Конкретным — указаны конкретные цели обработки (например, «заключение и исполнение договора на оказание риелторских услуг», «направление информации об объектах недвижимости»)
  3. Информированным — клиент понимает, какие данные, кем и зачем обрабатываются
  4. Сознательным — оформленным дееспособным лицом
  5. Однозначным — выражено прямым действием (подпись, отметка в чекбоксе, иное активное действие; молчание согласием не считается)

Что обязательно должно содержать согласие на обработку персональных данных:

  • Наименование и реквизиты агентства (оператора)
  • Полное имя субъекта
  • Перечень обрабатываемых данных
  • Цели обработки
  • Перечень действий с данными (сбор, хранение, передача третьим лицам)
  • Срок действия согласия
  • Порядок его отзыва

📋 Пример: Клиент Иванов А.В. обращается в агентство с просьбой подобрать квартиру в аренду. При первичном обращении он подписывает согласие на обработку персональных данных, в котором указано: данные используются для подбора объектов, ведения переговоров с арендодателями и направления коммерческих предложений. Отдельный пункт предусматривает право на отзыв согласия с указанием адреса для направления заявления.

Если агентство передаёт данные клиентов третьим лицам — банкам-партнёрам, страховым компаниям, застройщикам — это должно быть явно прописано в согласии. Передача данных без указания этого факта нарушает ст. 6 ФЗ-152 и является отдельным основанием для привлечения к ответственности.

Хранение и защита клиентской базы: технические и организационные меры

Закон требует не просто собирать согласия, но и обеспечивать реальную защиту данных. Ст. 19 ФЗ-152 обязывает оператора принять правовые, организационные и технические меры для защиты персональных данных от несанкционированного доступа, утечек, уничтожения и изменения.

Организационные меры для агентства недвижимости:

  • Назначение ответственного за организацию обработки персональных данных (приказ по агентству)
  • Разработка и утверждение Политики в отношении обработки персональных данных (обязательный публичный документ, размещается на сайте агентства)
  • Утверждение Положения об обработке персональных данных — внутреннего регламента для сотрудников
  • Введение режима конфиденциальности: сотрудники, имеющие доступ к данным клиентов, подписывают обязательство о неразглашении

Технические меры защиты:

  • Разграничение прав доступа к CRM и базам данных (риелтор видит только своих клиентов)
  • Парольная защита рабочих мест и шифрование данных на серверах
  • Запрет передачи паспортных данных через незащищённые каналы (обычный Telegram, WhatsApp без end-to-end шифрования для корпоративных нужд — плохая практика)
  • Регулярное резервное копирование
  • Антивирусная защита

⚠️ Важно: Если агентство использует облачную CRM зарубежного разработчика, важно убедиться, что данные хранятся на серверах, расположенных в России. Согласно ст. 18.1 ФЗ-152, при первичном сборе персональных данных оператор обязан обеспечить их запись, хранение и обновление с использованием баз данных, находящихся на территории РФ. Нарушение этого требования — отдельное основание для блокировки сайта по решению Роскомнадзора.

Платформы вроде Bejure помогают выстроить документооборот агентства таким образом, что все документы — включая согласия на обработку персональных данных — хранятся в единой защищённой системе с разграничением прав доступа. При этом все документы подписываются электронной подписью и имеют ту же юридическую силу, что и бумажные, а архив доступен в любой момент — даже в ходе проверки.

Ответственность за нарушения: штрафы и уголовные риски

С 1 сентября 2022 года суммы административных санкций за нарушения в сфере персональных данных существенно выросли. В 2024 году в КоАП РФ внесены очередные поправки, ещё более ужесточившие ответственность операторов.

Основные составы нарушений и штрафы (ст. 13.11 КоАП РФ):

Нарушение Штраф для ИП Штраф для юрлица
Обработка данных без согласия субъекта до 100 000 ₽ до 300 000 ₽
Повторное нарушение до 500 000 ₽ до 1 000 000 ₽
Обработка данных без публикации политики конфиденциальности до 30 000 ₽ до 60 000 ₽
Непринятие мер по защите данных до 100 000 ₽ до 300 000 ₽
Трансграничная передача данных с нарушением требований до 6 000 000 ₽ до 6 000 000 ₽
Утечка персональных данных (введена в 2024 году) до 15 000 000 ₽ до 15 000 000 ₽

Помимо административной, возможна и уголовная ответственность. Ст. 137 УК РФ предусматривает наказание за незаконный сбор и распространение сведений о частной жизни без согласия лица — вплоть до лишения свободы на срок до 2 лет. На практике к уголовной ответственности чаще привлекают при намеренной передаче баз данных конкурентам или использовании сведений в корыстных целях.

⚠️ Важно: Проверки Роскомнадзора проводятся как плановые, так и внеплановые — по жалобам клиентов. Даже одно обращение недовольного клиента с указанием на незаконное использование его данных может инициировать визит проверяющих. В 2023 году Роскомнадзор провёл более 1 000 проверок операторов персональных данных по всей стране.

Особенности работы с данными при агентских договорах и ГПХ

Агентство недвижимости нередко работает с риелторами не по трудовым договорам, а по гражданско-правовым договорам (агентский договор, договор оказания услуг). Это создаёт дополнительную правовую коллизию в сфере защиты персональных данных.

Когда риелтор, работающий по ГПХ, получает доступ к клиентской базе агентства, он фактически становится лицом, которому оператор передаёт персональные данные для обработки. Такая передача называется поручением на обработку (ст. 6 ФЗ-152) и требует:

  1. Заключения отдельного соглашения о конфиденциальности или включения соответствующего раздела в основной договор
  2. Указания конкретного перечня данных, к которым имеет доступ исполнитель
  3. Установления запрета на использование данных в личных целях и передачу третьим лицам
  4. Прописания ответственности за утечку

📋 Пример: Агентство «Надёжный дом» заключает агентский договор с риелтором Петровым П.П. на поиск покупателей для объектов застройщика-партнёра. Для работы Петров получает доступ к базе данных потенциальных покупателей. В договор включён раздел «Обработка персональных данных клиентов», в котором перечислены допустимые действия с данными, установлен запрет на их использование в иных целях и закреплена материальная ответственность в случае утечки.

Без такого раздела агентство несёт полную ответственность за действия своего агента с чужими персональными данными. Если Петров «унесёт» базу к конкурентам — отвечать будет агентство.

Кстати, именно здесь скачанный из интернета типовой агентский договор создаёт реальные риски: большинство таких шаблонов не содержат актуальных положений о персональных данных с учётом поправок 2022–2024 годов. Документы Bejure разрабатываются под специфику конкретного вида деятельности и обновляются при изменении законодательства — это особенно критично для области, где нормативная база меняется столь активно.

Локальные документы агентства: что должно быть в наличии

Чтобы агентство недвижимости соответствовало требованиям ФЗ-152, у него должен быть сформирован комплект обязательных локальных документов. Вот минимально необходимый перечень:

Публичные документы (размещаются на сайте):

  • Политика конфиденциальности — описывает цели и правовые основания обработки, категории субъектов, права пользователей сайта
  • Согласие на обработку персональных данных (форма для заполнения на сайте при подаче заявки)
  • Пользовательское соглашение (при наличии личного кабинета или онлайн-сервиса)

Внутренние документы:

  • Приказ о назначении ответственного за обработку персональных данных
  • Положение об обработке персональных данных — внутренний регламент для сотрудников
  • Перечень лиц, допущенных к обработке персональных данных
  • Обязательства о неразглашении для каждого сотрудника (или агента по ГПХ) с доступом к клиентской базе
  • Согласия клиентов — отдельно для каждого, с датой, подписью и указанием целей

Договорные документы:

  • Раздел о персональных данных в договоре на оказание риелторских услуг
  • Раздел или соглашение о персональных данных в агентских договорах с риелторами на ГПХ

📎 Ст. 18.1 ФЗ-152: Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом. Оператор самостоятельно определяет состав и перечень мер, если иное не предусмотрено настоящим Федеральным законом и другими федеральными законами.

Наличие полного комплекта документов — не просто «защита на случай проверки». Это сигнал клиентам о профессиональном подходе агентства к вопросам конфиденциальности, что в условиях роста правовой грамотности населения становится конкурентным преимуществом.

Часто задаваемые вопросы

Обязан ли ИП-риелтор соблюдать требования ФЗ-152?

Да, в полном объёме. Требования Федерального закона № 152-ФЗ «О персональных данных» распространяются на всех операторов персональных данных — как юридических лиц, так и индивидуальных предпринимателей. Как только ИП-риелтор собирает имя и телефон потенциального клиента, он становится оператором с соответствующими обязанностями: получение согласия, разработка политики конфиденциальности, обеспечение защиты данных и уведомление Роскомнадзора при автоматизированной обработке.

Можно ли хранить клиентскую базу в Google Таблицах или Notion?

Формально — нет, если данные обрабатываются на серверах за пределами России. Ст. 18.1 ФЗ-152 обязывает оператора обеспечить хранение персональных данных российских граждан с использованием баз данных на территории РФ при их первичном сборе. Использование зарубежных облачных сервисов (серверы которых расположены не в России) создаёт правовой риск — Роскомнадзор вправе признать это нарушением требований о локализации. Безопаснее использовать российские CRM-системы или облачные решения с подтверждённой локализацией данных в РФ.

Что делать, если клиент требует удалить его данные?

Согласно ст. 21 ФЗ-152, субъект персональных данных вправе в любое время отозвать согласие на их обработку. При получении такого требования оператор обязан прекратить обработку и уничтожить данные в течение 30 дней. Исключение составляют ситуации, когда обработка необходима для исполнения обязательств по уже заключённому договору, судебного разбирательства или выполнения требований закона. Рекомендуется зафиксировать факт получения заявления и принятые меры — это защитит агентство при возможных претензиях.

Нужно ли отдельное согласие для рекламных рассылок по базе клиентов?

Да, обязательно. Рассылка рекламных и информационных материалов является самостоятельной целью обработки персональных данных, которая должна быть прямо указана в согласии. Если клиент подписал согласие только в рамках заключения договора купли-продажи, использовать его email или телефон для рассылок без дополнительного разрешения незаконно. Кроме того, такие рассылки регулируются ФЗ-38 «О рекламе», который также требует предварительного согласия получателя.

Каковы сроки хранения персональных данных клиентов в агентстве?

Чёткого универсального срока закон не устанавливает — оператор определяет его самостоятельно, исходя из целей обработки. На практике данные следует хранить не дольше, чем это необходимо для достижения цели. Для сделок с недвижимостью разумный срок — 5 лет с момента завершения сделки (с учётом срока исковой давности по имущественным спорам согласно ГК РФ). Для несостоявшихся клиентов, не заключивших договор, — не более 1 года или до отзыва согласия. Конкретные сроки должны быть закреплены во внутреннем Положении об обработке персональных данных.

Заключение

Защита персональных данных клиентов — это не бюрократическая формальность, а реальное юридическое обязательство каждого агентства недвижимости и каждого ИП-риелтора. Нарушения в этой сфере влекут за собой штрафы до 15 миллионов рублей, репутационный ущерб и утрату доверия клиентов, которое в риелторском бизнесе стоит дороже любой сделки.

Минимально необходимые шаги, которые стоит сделать уже сейчас:

  1. Проверить наличие политики конфиденциальности на сайте агентства
  2. Пересмотреть форму согласия на обработку персональных данных — она должна соответствовать требованиям 2024 года
  3. Аудит договоров с риелторами на ГПХ — включены ли в них актуальные положения о персональных данных
  4. Ограничить доступ к клиентской базе и обязать сотрудников подписать обязательства о конфиденциальности
  5. Убедиться, что данные хранятся на российских серверах

Важно понимать: шаблонные документы из открытых источников не отражают актуальные требования законодательства — ни поправки 2022 года, ни нормы об ответственности за утечки, принятые в 2024-м. Сторонний юрист, которому вы пересылаете свои договоры и базы данных для «приведения в порядок», фактически получает доступ к коммерческой тайне агентства без каких-либо гарантий конфиденциальности. Системный подход — когда документооборот замкнут внутри защищённой платформы, а документы обновляются автоматически, — надёжнее и экономически выгоднее разовых консультаций.

Вам может быть интересно

article-preview

Селлеры

Трудовой договор у селлера маркетплейсов: полное руководство по оформлению сотрудников без штрафов и блокировок

Селлеры маркетплейсов часто работают в формате «быстрого роста». В этой статье разберём ключевые аспекты трудовых договоров у селлеров и как закрыть вопросы системно.

article-preview

Общие

Какие штрафы грозят за отсутствие кадровых документов

Кадровые документы — это основа любого бизнеса, независимо от его размера. Даже если у вас всего один сотрудник, трудовая инспекция вправе запросить полный комплект бумаг. Отсутствие обязательных документов влечёт серьёзные штрафы, которые часто становятся неожиданностью для предпринимателей.

Договоры для курьеров и логистики: как оформить доставку

Селлеры

Договоры для курьеров и логистики: как оформить доставку

Как оформить доставку селлеру: типы договоров с курьерами и логистикой, различия между штатным сотрудником и подрядчиком, избежание налоговых рисков.

Проверка селлера: какие документы запрашивают контролёры

Селлеры

Проверка селлера: какие документы запрашивают контролёры

Какие документы запрашивают контролёры при проверке селлеров и торговых работников. Полный перечень для избежания штрафов.

article-preview

Общие

Документы по персональным данным для бизнеса

Какие документы по персональным данным должны быть у бизнеса: политика обработки данных, согласие на обработку персональных данных, документы для сайта и требования закона.

article-preview

Общие

Документы для сотрудников

Какие документы нужны для сотрудников при приёме на работу, в процессе работы и при увольнении. Полный список кадровых документов работодателя, частые ошибки и защита бизнеса.

Решения

Пункты выдачиСалоны красотыКосметологияСеллерыКофейниПекарня / КондитерскаяАвтосервисыЦветочные магазиныТабачные магазиныШиномонтажАвтомойкиАгентства недвижимостиФитнес-центрыСтоматологииРемонт техникиИндивидуальные решения

Продукт

О продуктеСферы деятельностиЧто получает предпринимательПравовая упаковка сайта

О нас

О компанииМанифестЮридическая информация

Полезное

СтатьиПроверки и рискиСроки хранения документовНачинающим предпринимателямАкцииПартнёрам

Юридическая документация

Лицензионный договорСогласие на использование файлов кукиПолитика конфиденциальности и обработки персональных данныхСогласие на обработку персональных данных
Тарифы
Max
8 (800) 777 92 07
+7 (495) 049-17-07

ООО "БИЮРЭ" © 2026