Если вы собираете паспортные данные, номера телефонов, адреса и фотографии водительских удостоверений -- вы оператор персональных данных. А значит, на вас распространяется Федеральный закон 152-ФЗ «О персональных данных». Штрафы за нарушения выросли в 2025 году, и Роскомнадзор стал активнее проверять малый бизнес.
Что считается персональными данными
Персональные данные -- это любая информация, по которой можно прямо или косвенно определить конкретного человека. В контексте автопарка это: ФИО, дата рождения, паспортные данные, номер телефона, адрес, номер водительского удостоверения, фотографии документов, данные банковских карт, информация о местоположении (если используете GPS-трекеры).
Что обязан делать автопарк
1. Получить согласие на обработку. Перед тем как собирать данные водителя, вы должны получить его письменное согласие. Согласие должно быть конкретным: какие данные собираете, зачем, как долго храните, кому передаёте. Шаблон «согласен на всё» -- не работает и может быть признан недействительным.
2. Определить цели обработки. Нельзя собирать данные «на всякий случай». Каждый тип данных должен иметь конкретную цель. Паспорт -- для заключения договора. Телефон -- для оперативной связи. Фото ВУ -- для проверки подлинности. Если вы собираете данные, которые не нужны для вашей деятельности, -- это нарушение.
3. Обеспечить защиту. Данные должны быть защищены от несанкционированного доступа. Если вы храните сканы паспортов в общей папке на Google Drive, к которой имеют доступ все сотрудники, -- это нарушение. Минимальные меры: ограничение доступа, шифрование при передаче, регулярное резервное копирование.
4. Уведомить Роскомнадзор. Оператор персональных данных обязан подать уведомление в Роскомнадзор до начала обработки. Это можно сделать через портал pd.rkn.gov.ru. Процедура бесплатная и занимает 15-20 минут.
Типичные нарушения в автопарках
Хранение данных после прекращения отношений. Когда водитель уволился или контракт расторгнут, вы обязаны удалить или обезличить его данные в течение 30 дней (если законом не предусмотрен иной срок хранения). На практике многие парки хранят данные бывших водителей годами.
Передача данных третьим лицам без согласия. Если вы передаёте данные водителя страховой компании, агрегатору такси или бухгалтеру на аутсорсе -- каждая передача должна быть прописана в согласии. Иначе -- штраф.
Отсутствие политики конфиденциальности. Если у вас есть сайт или приложение, где водители оставляют свои данные -- на сайте обязательно должна быть размещена политика конфиденциальности.
Штрафы
С 2025 года штрафы значительно выросли. За обработку без согласия -- до 150 000 руб. для юрлица. За неуведомление Роскомнадзора -- до 5 000 руб. За утечку данных -- до 500 000 руб., а при повторном нарушении -- до 1% годовой выручки.
Как CRM помогает соблюдать закон
Использование специализированной CRM вместо Excel-таблиц и мессенджеров -- само по себе шаг к соблюдению 152-ФЗ. CRM обеспечивает: разграничение доступа (каждый сотрудник видит только то, что ему нужно), шифрование данных при хранении и передаче, журнал действий (кто и когда просматривал данные), возможность удаления данных по запросу субъекта. В podvikup при создании водителя автоматически формируется шаблон согласия на обработку ПД, который можно распечатать и подписать.