Почему нововведения касаются всех на рынке недвижимости

Рынок недвижимости работает с максимально чувствительными данными: к ним относятся паспорт, прописка, семейное положение, история сделок, суммы расчётов, ипотека, контакты. Любая сделка, подбор или консультация — это уже обработка персональных данных.

Сбор информации давно связан не только с бумажными носителями: CRM, формы на сайте, переписки в мессенджерах, электронные архивы, сервисы бронирования. Всё это — автоматизированные системы, а значит, подпадают под действие Федерального закона № 152-ФЗ.

Особое внимание к сфере недвижимости связано с тем, что:

• клиент часто передаёт риелтору или агентству полный объём информации — от паспортных данных до финансовых деталей сделки;
• агент становится связующим звеном между банком, нотариусом, страховой, застройщиком и другими сторонами, которым могут передаваться персональные данные;
• большинство операций происходит в цифровом формате, включая подписание документов, отправку сканов, загрузку в CRM и на электронные площадки.

Агент может получать доступ к данным о праве собственности, регистрационных действиях, составе семьи, прописке, состоянии счетов и даже медицинских ограничениях клиента — если, например, в сделке участвует опека. Такие данные требуют особой защиты и внимания.

Сама норма действует с 2006 года, но с 30 мая 2025 года вступили в силу обновления:

• появились новые составы правонарушений;
• штрафы выросли в разы;
• требования к согласиям стали строже;
• уточнён порядок уведомления Роскомнадзора;
• акцент сделан на цифровую гигиену и безопасность.

— Риелтор сегодня не просто посредник. Он получает от клиента огромный объём конфиденциальной информации: когда будет сделка, сколько денег, в каком банке. И большинство людей доверяют агенту безоговорочно. Мы обязаны быть предельно осознанными и профессиональными в обращении с этими данными — и именно это отличает надёжного специалиста от остальных.

Кто теперь точно считается оператором персональных данных

Оператором персональных данных признаётся любое физическое или юридическое лицо, которое собирает, хранит, использует или передаёт персональные данные, включая:

• агентства недвижимости (в любой форме организации);
• индивидуальных предпринимателей;
• самозанятых агентов;
• юристов по недвижимости, оказывающих услуги.

Исключение — если специалист получает данные исключительно в бумажном виде, не хранит их в цифровой форме и не пересылает по почте, через мессенджеры, сайты или CRM. На практике такие ситуации почти не встречаются.

Поэтому любой агент, работающий с клиентами, обязан:

• зарегистрироваться как оператор в Роскомнадзоре;
• получать корректные согласия на обработку персональных данных;
• обеспечить надёжную защиту каналов передачи и хранения данных.

Ранее работодатели были освобождены от уведомления при сборе данных сотрудников, но с 2022 года это обязательное требование. Это касается не только анкет и резюме, но и сканов паспортов, ИНН, СНИЛС, банковских реквизитов.

Что изменилось в законодательстве

1. Штрафы стали серьёзнее

Теперь действуют новые размеры штрафов, согласно обновлениям в Кодексе об административных правонарушениях, в том числе на основании Федерального закона № 420-ФЗ.

За неуведомление Роскомнадзора:

• для граждан: от 5 до 10 тыс. рублей;
• для должностных лиц: от 30 до 50 тыс. рублей;
• для организаций и ИП: от 100 до 300 тыс. рублей.

За отсутствие корректного согласия на обработку персональных данных:

• физлица: от 10 до 15 тыс. рублей;
• должностные лица: от 50 до 100 тыс. рублей;
• юрлица и ИП: от 150 до 300 тыс. рублей.

За повторное нарушение:

• до 500 тыс. рублей для организаций.

За утечку персональных данных:

• от 1 до 3 млн рублей — если пострадали обычные персональные данные;
• от 3 до 5 млн рублей — если пострадали более 10 тыс. идентификаторов — например, email-адреса;
• до 15 млн рублей — если утекли биометрические или данные спецкатегорий: например, судей, адвокатов, прокуроров.

Особенность: в отличие от штрафов за нарушение ПДД, здесь не предусмотрены скидки при быстрой оплате.

— Штрафы в десятки и сотни тысяч рублей — это реальность. Но ещё важнее — сохранить доверие клиентов. Ответственное обращение с данными — это уже часть качества услуги.

2. Согласие — это не формальность

Чтобы согласие клиента на обработку персональных данных имело юридическую силу, оно должно быть:

• персонализированным — указывать конкретные данные, цель и получателей;
• добровольным — без принуждения, с возможностью отозвать;
• верифицируемым — подписано лично или с помощью УЭП/КЭП.

Типовые шаблоны, скачанные из интернета, часто не соответствуют требованиям закона. Согласие должно быть адаптировано под:

• тип сделки (ипотека, продажа, аренда и др.),
• используемые системы (например, CRM, онлайн-регистрация через Росреестр),
• всех участников сделки (банк, страховая, нотариус и т. д.)

В документе должны быть обязательно указаны:

• наименование или Ф.И.О. и адрес оператора;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых даётся согласие;
• перечень действий с персональными данными, на совершение которых даётся согласие, общее описание используемых способов обработки персональных данных;
• срок, в течение которого действует согласие, а также способ, как его можно отозвать;
• подпись субъекта персональных данных.

3. Надо в обязательном порядке уведомлять Роскомнадзор

Подать уведомление можно онлайн через сайт Роскомнадзора, но в мае 2025 года он временно не выдержал нагрузки. Паника возникла из-за недопонимания: формально закон не требовал сделать это строго до 30 мая. Главное — подать до начала сбора данных.

Если раньше уведомление было практически символическим (штрафы — 300–500 рублей), теперь за неуведомление назначены серьёзные суммы. Кроме того, введена отдельная статья 13.11 Кодекса РФ об административных правонарушениях, которая отражает новую степень ответственности.

Как контролируется соблюдение

Контроль ведётся по трём каналам:

• Жалобы клиентов. Наиболее частый путь начала проверки. Достаточно одного обращения, чтобы инспекторы начали административную проверку.
• Плановые выборочные проверки. Роскомнадзор проводит выборочный мониторинг сайтов и компаний. Особенно внимательно он следит за сайтами агентств и формами сбора данных.
• Показательные проверки. В фокус внимания могут попасть даже небольшие агентства, как это было с маркировкой рекламы.

Среди потенциальных кейсов: будет выявлен факты утечки, использования иностранных сервисов или в реестре операторов персональных данных будет отсутствовать уведомление.

Что делать агентствам и агентам уже сейчас

Минимальный план действий:

— Зарегистрироваться в Роскомнадзоре в качестве оператора персональных данных.

— Проверить все формы, анкеты, CRM и договоры на соответствие.

— Обновить шаблоны согласий под конкретные цели и кейсы.

— Встроить этап сбора согласия в бизнес-процессы: без согласия нет договора.

— Назначить сотрудника, ответственного за соблюдение требований.

— Провести обучение для команды и зафиксировать внутренний регламент.

— Хранить данные не более 5 лет и только в защищённой среде.

— Использовать российские сервисы хранения и аналитики.

Нельзя использовать: Google Forms, Google Analytics, облачные CRM без хранения на территории РФ, Instagram* (принадлежит Meta — организации, признанной экстремистской и деятельность которой запрещена на территории РФ) для сбора заявок или обратной связи.

— Многие агенты даже не задумываются, когда клиент пересылает фото паспорта в WhatsApp. Но в этот момент начинается полноценная обработка персональных данных. Закон здесь работает жёстко: нет уведомления — есть риск штрафа. Нет согласия — тоже риск. И всё это может быть выявлено при банальной жалобе.