Продажа бизнеса и due diligence: как проверять и передавать клиентские базы без лишнего риска

Когда клиентская база — это не актив, а бомба замедленного действия

Почему этот вопрос стал критическим именно сейчас

Большинство предпринимателей, продающих бизнес, думают о клиентской базе как о ключевом активе: готовый трафик, история покупок, лояльность. Покупатели платят за неё дополнительную премию. Консультанты включают её в информационный меморандум рядом с выручкой и маржой.

Однако за последние два года правовой контекст изменился настолько радикально, что в определённых ситуациях та же база может превратиться в источник многомиллионных штрафов — причём не только для продавца, но и для покупателя. В ноябре 2024 года в России был принят пакет законов [1], который ввёл уголовную ответственность за незаконный оборот персональных данных (статья 272.1 УК РФ — до 10 лет лишения свободы при отягчающих обстоятельствах) и резко увеличил административные штрафы. С 30 мая 2025 года эти изменения вступили в полную силу [2].

Параллельно российский рынок слияний и поглощений переживает структурную перестройку. По данным агентства AK&M, в 2024 году суммарный объём российского рынка M&A составил около 54,3 млрд долларов США [3], при этом основную активность формируют уже не иностранные выходы, а локальные консолидационные сделки. Консультанты из Право.ру отмечают: due diligence стал многослойным, анализ киберрисков и работы с персональными данными вошёл в стандартную программу проверки [4].

Статья предназначена для собственников бизнеса, их юристов, финансовых директоров, M&A-консультантов и специалистов по безопасности данных. Она отвечает на вопрос: как грамотно провести due diligence клиентских баз, правомерно передать их при сделке и не получить санкцию регулятора — ни сейчас, ни спустя год после закрытия.

Часть 1. Что такое «клиентская база» с точки зрения закона

Прежде чем говорить о рисках и процедурах, важно разобраться с терминологией. В российском праве понятие «клиентская база» не закреплено — зато закреплено понятие «персональные данные».

Согласно статье 3 Федерального закона № 152-ФЗ «О персональных данных», персональными данными является любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу [5]. Имя, телефон, адрес электронной почты, история заказов, IP-адрес, идентификатор в CRM — всё это попадает под действие закона.

Типичная клиентская база содержит данные трёх категорий, которые 152-ФЗ регулирует по-разному [6]:

1. Обычные персональные данные — имя, контактная информация, адрес доставки. Для их обработки достаточно согласия, полученного по договору или в электронной форме.
2. Специальные категории — сведения о здоровье, национальности, религиозных убеждениях. Требуют явного письменного согласия, их обработка в коммерческих базах — редкость, но встречается в медицинских и wellness-сервисах.
3. Биометрические данные — голос, фотография для идентификации, отпечатки. Требуют отдельного письменного согласия; могут присутствовать в базах фитнес-клубов, банков, телекоммуникационных компаний.

Компания, которая собирает, хранит и обрабатывает хотя бы имена и телефоны клиентов, является оператором персональных данных. Это означает обязанность уведомить Роскомнадзор, вести политику конфиденциальности, обеспечить технические меры защиты и уведомлять регулятора об утечках в течение 24 часов [2].

Ключевое юридическое последствие для сделки: при передаче клиентской базы покупателю происходит передача персональных данных третьему лицу. Согласно статье 7 152-ФЗ, операторы обязаны не раскрывать данные без согласия субъекта [7]. Это означает, что само по себе юридически оформленное право собственности на базу данных как объект интеллектуальной собственности не даёт права на обработку содержащихся в ней персональных данных.

Часть 2. Правовой контекст 2024–2025: почему ставки выросли

Новая архитектура ответственности

Федеральный закон от 30 ноября 2024 года № 420-ФЗ кардинально изменил систему административных санкций за нарушения в области персональных данных [2]. С 30 мая 2025 года действуют следующие штрафы для организаций:

1. За неуведомление Роскомнадзора о начале обработки — от 100 000 до 300 000 рублей.
2. За нарушение порядка получения согласия на обработку — от 300 000 до 700 000 рублей.
3. За утечку данных от 1 000 до 10 000 субъектов — от 3 до 5 млн рублей.
4. За утечку данных от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей.
5. За утечку биометрии или данных свыше 100 000 субъектов — от 15 до 20 млн рублей.
6. При повторной утечке — оборотный штраф от 1% до 3% годовой выручки (минимум 20 млн, максимум 500 млн рублей).

Параллельно Федеральный закон № 421-ФЗ ввёл статью 272.1 в Уголовный кодекс [1]. Теперь незаконный сбор, хранение, использование или распространение компьютерной информации, содержащей персональные данные, квалифицируется как уголовное преступление — вплоть до 10 лет лишения свободы при отягчающих обстоятельствах (корыстная заинтересованность, трансграничная передача, данные несовершеннолетних).

Продажа клиентской базы без надлежащих правовых оснований прямо подпадает под этот состав.

Требование локализации и новый контроль

С 1 июля 2025 года вступили в силу жёсткие требования о локализации данных [8]: все сведения о гражданах РФ должны первично собираться и храниться исключительно на российских серверах. Использование зарубежных CRM, аналитических платформ и облачных хранилищ без специального разрешения РКН становится нарушением. При продаже бизнеса это создаёт дополнительный риск: покупатель обнаруживает, что часть данных хранится в облаке иностранного провайдера, — и уже при Due Diligence фиксирует нарушение.

С 5 сентября 2025 года снижен порог для отнесения компании к категории повышенного риска: плановые проверки РКН теперь распространяются на операторов с базами от 10 000 записей (ранее — от 20 000) [9]. Это означает, что под регулярный надзор попадает широкий круг компаний среднего бизнеса.

Статистика инцидентов как аргумент для переговоров

По данным Роскомнадзора, в 2024 году было зафиксировано 135 утечек персональных данных, в результате которых в сеть попало свыше 710 млн записей [10]. По данным ГК InfoWatch, реальное число инцидентов значительно выше: только в первом полугодии 2024 года аналитики зафиксировали 415 случаев [11]. Лидер по числу инцидентов — торговля и сфера услуг, то есть именно тот сегмент, где сосредоточена основная масса сделок по продаже готового бизнеса.

В 2025 году ситуация несколько улучшилась: по данным РКН, число инцидентов снизилось на 13%, до 118 случаев. Однако средний объём данных на один инцидент вырос — в 2025 году утекало в среднем 3,27 млн записей за один инцидент [10]. Это значит, что даже одна незамеченная уязвимость в унаследованной базе способна создать катастрофические последствия.

Часть 3. Структура due diligence клиентских баз

Классический due diligence при покупке бизнеса охватывает финансовый, юридический, налоговый и коммерческий блоки [12]. Персональные данные традиционно попадали в юридический блок — и там им отводили несколько строк о наличии политики конфиденциальности.

Сегодня это уже недостаточно. По оценке экспертов Право.ру, проверка работы с персональными данными стала самостоятельным направлением due diligence, особенно если бизнес работает с большими объёмами чувствительных данных [4]. Правовой блок дополняется IT-аудитом, который требует участия технических специалистов: юрист не способен сам оценить архитектуру хранения или историю изменений схем баз данных [4].

Блок 1. Юридический аудит клиентской базы

Задача этого блока — установить, есть ли правовое основание для обработки каждого типа данных в базе, и может ли это основание быть передано покупателю.

Что проверяется:

1. Наличие уведомления в Роскомнадзоре о статусе оператора ПДн и актуальность его содержания.
2. Полнота и корректность политики конфиденциальности — соответствие требованиям, действовавшим на момент сбора данных и актуальным сегодня.
3. Форма согласий на обработку ПДн: являются ли они отдельными документами (требование с 1 сентября 2025 года [13]), содержат ли они указание на возможность передачи данных третьим лицам.
4. Явно ли в согласиях указаны цели обработки и перечень третьих лиц — получателей данных. Согласно разъяснениям Konsu Group [14], согласие без указания конкретных получателей и целей передачи является недействительным для целей передачи базы новому оператору.
5. Наличие поручений на обработку ПДн подрядчикам — CRM, email-платформам, службам доставки, колл-центрам.
6. История запросов субъектов на удаление, исправление или ограничение обработки данных и документирование ответов на них.
7. Факты нарушений и санкций со стороны РКН или судов в отношении компании по вопросам ПДн.

Критически важный вывод: даже если продавец добросовестно собирал согласия, в них с высокой вероятностью не указан покупатель как новый оператор и не прописана цель передачи. Это означает, что корректная юридическая передача клиентской базы при продаже бизнеса требует либо переоформления согласий от всех субъектов, либо иного правового основания (например, универсального правопреемства при реорганизации).

Блок 2. Технический аудит

Технический аудит отвечает на вопрос: что на самом деле хранится в базе, где это хранится и как защищено.

Что проверяется:

1. Инвентаризация всех систем, содержащих ПДн: CRM, базы данных, почтовые архивы, 1С, AD/LDAP, маркетинговые платформы, логи веб-сервисов.
2. Состав и объём хранимых данных: какие поля присутствуют, есть ли биометрия или специальные категории.
3. Физическое расположение серверов: соответствие требованию локализации данных в РФ.
4. История изменений схемы баз данных: появлялись ли новые поля без сопутствующего обновления согласий.
5. Разграничение прав доступа: кто из сотрудников и подрядчиков имеет доступ к сырым данным клиентов.
6. Наличие и состояние технических мер защиты: шифрование, логирование доступа, DLP-системы.
7. История инцидентов и уведомлений РКН об утечках (обязанность уведомить в течение 24 часов введена в 2025 году [2]).
8. Наличие избыточных данных: хранятся ли данные, для которых истёк срок согласия или которые не нужны для декларируемых целей.

Институт внутренних аудиторов указывает [15], что при IT due diligence необходимо проверять соответствие 21-му приказу ФСТЭК и отраслевым стандартам, а также оценивать устойчивость всей цепочки поставок: уязвимость одного подрядчика может скомпрометировать всю систему.

Блок 3. Коммерческий аудит клиентской базы

Параллельно с правовым и техническим анализом проводится коммерческая оценка базы как актива.

Что проверяется:

1. Реальный размер активной базы: сколько записей соответствует действующим контактам, а сколько — устаревшие или «серые» данные без подтверждённого согласия.
2. Концентрация: доля выручки, приходящаяся на топ-10 клиентов [16].
3. Показатели качества: retention rate, частота покупок, средний чек, LTV.
4. Источники формирования базы: органический трафик, реферальные программы, покупные базы (последнее — прямой юридический риск).
5. История маркетинговых коммуникаций: как давно велась работа с базой, есть ли жалобы на спам.

Коммерческий анализ критически важен, потому что юридически «чистая» база с устаревшими контактами или неактивными клиентами стоит значительно меньше, чем показывает размер файла. Одновременно база с высокими метриками, но с юридическими проблемами в согласиях создаёт скрытое обязательство, которое должно отражаться в стоимости сделки.

Часть 4. Механизмы передачи данных: что работает, что нет

Вопрос о том, как правомерно передать клиентскую базу, не имеет единственного универсального ответа. Механизм зависит от структуры сделки.

Продажа юридического лица целиком

При покупке юридического лица через приобретение долей или акций смены оператора персональных данных формально не происходит: оператором остаётся то же юридическое лицо, просто меняется его собственник. Это наиболее безопасный с точки зрения персональных данных способ структурирования сделки.

Однако здесь возникают другие риски: покупатель наследует всю историю нарушений продавца. Если компания не уведомляла РКН о статусе оператора или допустила утечки, ответственность переходит к новому владельцу вместе с юридическим лицом.

Покупка активов (asset deal)

При покупке активов без юридического лица происходит прямая передача клиентской базы от одного оператора к другому. Этот сценарий наиболее распространён при продаже интернет-магазинов, сервисов подписки, малого бизнеса без сложной корпоративной структуры.

Здесь требуется специальное правовое основание для передачи. Варианты:

1. Переоформление согласий субъектов с указанием нового оператора. Технически это означает рассылку всем клиентам с просьбой подтвердить согласие на обработку данных новой компанией. На практике отклик редко превышает 20–30%, что влечёт потерю значительной части базы.
2. Договорная конструкция с поручением на обработку: продавец остаётся формальным оператором и выдаёт покупателю поручение на обработку данных (статья 6 152-ФЗ) [5]. Такая схема применима временно — на переходный период.
3. Передача данных только тех клиентов, в чьих согласиях явно предусмотрена передача третьим лицам и которые дали согласие на распространение данных (статья 10.1 152-ФЗ) [17].

Согласно статье из Shortread.ru [18], если договор не содержит оговорок о передаче ПДн с гарантиями их законности, такая передача может квалифицироваться как несанкционированная утечка — со всеми вытекающими обязательствами по уведомлению РКН.

Реорганизация

При реорганизации в форме слияния, присоединения или выделения происходит универсальное правопреемство. Существует правовая позиция, согласно которой правопреемник вправе обрабатывать данные на основаниях, имевшихся у реорганизованного лица, — без переоформления согласий. Однако применение этой позиции на практике остаётся спорным: данные не найдены в открытых официальных разъяснениях Роскомнадзора, рекомендуем уточнять у профильных юристов.

Часть 5. Виртуальная комната данных при due diligence: возможности и ограничения

Для организации процесса due diligence в современных сделках активно применяются виртуальные комнаты данных (VDR) [12]. VDR — это защищённое облачное хранилище, обеспечивающее управление доступом, шифрование, цифровые водяные знаки и аудит-лог всех действий с документами [19].

На российском рынке присутствуют отечественные VDR-решения, соответствующие требованиям 152-ФЗ и аттестованные по стандартам ФСТЭК — например, DataSpace Cloud (аттестован по уровню защищённости УЗ-3) [20], EveryTag VDR, Vaulterix. Зарубежные платформы типа Intralinks, Datasite или iDeals могут нарушать требование локализации данных.

Использование VDR при due diligence позволяет:

1. Предоставить покупателю и его консультантам доступ к документации без физической передачи файлов — документы просматриваются в браузере, скачивание ограничено.
2. Разграничить доступ: юристы видят договоры, финансисты — отчётность, IT-аудиторы — технические документы, и никто не видит лишнего.
3. Зафиксировать факт знакомства с документом — что важно при последующих спорах об информированности сторон.
4. По данным ЭвриТег [21], использование VDR позволяет завершить due diligence на 25% быстрее запланированного срока.

Что VDR не делает и не может делать:

Присутствие клиентской базы в VDR для ознакомления покупателя означает её частичное раскрытие — что само по себе является передачей ПДн. Поэтому стандартная практика при due diligence — предоставлять не сырую базу, а агрегированные отчёты: количество записей, распределение по сегментам, метрики активности, но без конкретных данных о конкретных людях. Это юридически безопаснее и достаточно для коммерческой оценки.

Подписанное NDA и договор о конфиденциальности снижают юридический риск при ознакомлении, но не дают правового основания для последующей обработки ПДн после закрытия сделки.

Часть 6. Практический чек-лист: что должна проверить каждая из сторон

Чек-лист для продавца (подготовка к сделке)

Правовой блок:

1. Убедиться, что компания включена в реестр операторов ПДн Роскомнадзора и уведомление актуально.
2. Проверить, оформлены ли согласия на обработку ПДн как отдельные документы (требование с 1 сентября 2025 года).
3. Установить, указаны ли в согласиях цели обработки, перечень третьих лиц и возможность передачи данных.
4. Собрать и структурировать документацию по всем поручениям подрядчикам на обработку ПДн.
5. Проверить историю обращений от субъектов и ответы на них.
6. Удостовериться, что нет открытых предписаний или административных дел со стороны РКН.

Технический блок:

1. Провести инвентаризацию всех систем, содержащих ПДн клиентов.
2. Определить, где физически расположены данные — на российских серверах или в зарубежных облаках.
3. Установить, хранятся ли данные, срок согласия на обработку которых истёк.
4. Подготовить агрегированный отчёт о составе базы для предоставления покупателю в VDR — без сырых ПДн.

Коммерческий блок:

1. Рассчитать долю «чистых» записей с подтверждёнными согласиями.
2. Подготовить аналитику по активности базы: частота взаимодействий за последние 12 месяцев.
3. Зафиксировать источники формирования базы — чтобы не было «покупных» сегментов без правового основания.

Чек-лист для покупателя (проверка в ходе due diligence)

Правовой блок:

1. Запросить выписку из реестра операторов РКН по продавцу и проверить актуальность данных.
2. Изучить образцы форм согласий, действовавших в разные периоды: охватывают ли они возможность передачи данных новому оператору.
3. Проверить, не было ли в отношении продавца административных дел по 13.11 КоАП.
4. Определить правовую конструкцию передачи данных совместно с юристом — до подписания основного договора.
5. Включить в договор купли-продажи заверения продавца о законности собранных данных, их составе и отсутствии нарушений, с условиями компенсации при выявлении нарушений.

Технический блок:

1. Получить от продавца технический отчёт о составе и объёме базы, архитектуре хранения, применяемых мерах защиты.
2. Проверить историю изменений схемы данных: не появлялись ли новые поля без обновлённых согласий.
3. Проверить наличие и историю уведомлений об инцидентах в РКН.
4. Убедиться в наличии технических мер защиты в соответствии с 21-м приказом ФСТЭК.

Post-closing:

1. Не начинать обработку данных до момента, когда правовое основание для неё будет чётко установлено.
2. Уведомить РКН об изменении оператора (если это необходимо при выбранной структуре сделки).
3. Запланировать аудит базы в первые 3 месяца после закрытия сделки.

Часть 7. Типичные ошибки и как их избежать

Ошибка 1. «Нам всё передали по договору — значит, всё законно»

Договор купли-продажи активов регулирует право собственности на объект (базу данных как нематериальный актив), но не создаёт правового основания для обработки персональных данных, содержащихся в этом объекте. Это принципиально разные правовые плоскости. Покупатель, начавший маркетинговую рассылку по купленной базе без надлежащих оснований, с первого дня нарушает 152-ФЗ — независимо от того, что написано в договоре купли-продажи.

Ошибка 2. «Клиенты давали согласие — значит, мы можем всё»

Согласие субъекта ПДн не является бессрочным и неограниченным. В нём указываются конкретные цели, конкретный оператор и нередко — срок действия. Согласие, выданное на обработку данных компанией А, не распространяется на компанию Б автоматически. Согласно разъяснениям на Konsu.ru [14], для передачи базы в рамках сделки необходимы согласия, прямо предусматривающие такую передачу, — со ссылкой на конкретного получателя или категорию получателей.

Ошибка 3. «Мы проверили только юридическую часть»

Юридический блок без технического аудита — неполная картина. Технический специалист может обнаружить, что продавец хранит данные в иностранном облаке, или что в базе появились поля биометрии, которых не было на момент получения согласий, или что часть данных уже попала в публичный доступ (проверяется через специализированные сервисы мониторинга даркнета). Всё это — риски, которые не видны при просмотре документации.

Ошибка 4. «Небольшая база — не страшно»

С 5 сентября 2025 года плановые проверки РКН распространяются на операторов с базами от 10 000 записей [9]. Для розничного бизнеса, медицинского центра, фитнес-клуба или онлайн-образования это типичный масштаб. Кроме того, уголовная ответственность по статье 272.1 УК РФ не имеет порогового размера базы — достаточно незаконного умысла.

Ошибка 5. «Мы передадим базу, а потом разберёмся с документами»

Разбираться потом — дорого. С момента фактической передачи данных покупатель является оператором. Если через шесть месяцев выяснится, что согласия были оформлены некорректно, и при этом по базе было отправлено 50 000 маркетинговых писем — это 50 000 случаев обработки данных без надлежащего основания. Штраф может составить от 300 000 до 700 000 рублей за сам факт нарушения порядка согласия, не считая репутационных потерь.

Ошибка 6. «NDA защищает нас в ходе due diligence»

NDA обязывает покупателя не разглашать информацию и не использовать её в конкурентных целях. Оно не является правовым основанием для обработки ПДн в смысле 152-ФЗ. Факт ознакомления покупателя с базой в ходе due diligence создаёт риск: если в ходе проверки сотрудники покупателя скопировали данные, формально они стали «обработчиками» без надлежащего основания. Именно поэтому корректная практика — предоставлять агрегированные данные без конкретных ПДн.

Часть 8. Кейсы и примеры

Кейс 1. Покупка интернет-магазина: «серая» база как причина пересмотра цены

Покупатель рассматривал приобретение интернет-магазина в сегменте бытовой техники с заявленной клиентской базой в 180 000 записей. В ходе технического due diligence было установлено: база собиралась с 2015 по 2019 год через форму заказа, где в политике конфиденциальности не было прямого указания на маркетинговую рассылку; с 2019 по 2022 год форма была исправлена; в 2022–2024 годах данные собирались корректно. По итогам аудита лишь около 60 000 записей имели действующие и надлежащим образом оформленные согласия. Остальные 120 000 были квалифицированы как «серая» часть. Стороны договорились о снижении цены на сумму, эквивалентную стоимости кампании по переоформлению согласий и риску потери части базы. Эта история типична для рынка: устаревшие данные — распространённая проблема в торговле [10].

Кейс 2. Как IT-аудит остановил сделку

Покупатель проверял небольшую SaaS-компанию, предоставлявшую сервисы управления персоналом для HR-отделов. Компания хранила данные своих клиентов (в том числе данные сотрудников клиентов) в облаке иностранного провайдера. Формально продавец осознавал риск, но полагал, что до сделки это «не горит». IT-аудит показал, что компания нарушала требование локализации ПДн граждан РФ с момента вступления в силу поправок в 2022 году и далее. Покупатель приостановил сделку — стоимость миграции данных и риск предписаний РКН не укладывались в первоначальную оценку актива. Сделка была закрыта через три месяца с условием о переносе инфраструктуры до закрытия и удержании части цены на депозите до подтверждения миграции.

Часть 9. Будущие тренды

По мнению аналитиков B1 [22] и данных AK&M [3], рынок M&A в России в 2025–2026 годах продолжает консолидационный цикл: число локальных сделок остаётся значительным, несмотря на высокую ключевую ставку. В этом контексте прослеживается несколько устойчивых тенденций в сфере due diligence персональных данных.

1. Privacy due diligence выделяется в самостоятельное направление. Крупные M&A-консультанты формируют специализированные команды, включающие юристов по ПДн и технических аудиторов. Ранее эту задачу отдавали «смежному» специалисту.
2. Требования к документации ужесточаются со стороны покупателей. После введения уголовной ответственности за незаконный оборот ПДн покупатели всё чаще требуют полноценный privacy-отчёт как условие выхода на term sheet.
3. Автоматизация инвентаризации данных становится стандартом. Без актуальной карты персональных данных (где они хранятся, кто владелец, какие изменения произошли) продавец не может быстро ответить на вопросы покупателя. Те, кто ведут непрерывный учёт, сокращают время due diligence в несколько раз.
4. Цифровые водяные знаки в VDR как норма. По данным Anti-Malware.ru [19], использование VDR с автоматической маркировкой документов и аудит-логом становится обязательным требованием при сделках, включающих передачу конфиденциальных баз данных.
5. Роскомнадзор переходит к автоматическому мониторингу. С 1 июля 2025 года РКН запустил автоматическую проверку сайтов на соответствие требованиям ПДн с использованием ИИ [13]. Это означает, что компании с нарушениями будут обнаруживаться значительно быстрее, чем при плановых проверках — в том числе в процессе подготовки к сделке.

Часть 10. Как «Пятый фактор» помогает подготовиться к сделке

Одна из главных проблем при подготовке к due diligence — отсутствие актуальной картины: где именно в корпоративных системах хранятся персональные данные, какие поля появились после последнего аудита, кто является владельцем каждого источника.

Именно эту задачу решает платформа «Пятый фактор» — on-premise решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах. Платформа работает с базами данных, хранилищами, почтой, AD/LDAP, CRM, 1С и API, выявляя, где и какие данные хранятся, кто их владелец и что изменилось с последней проверки.

Ключевое преимущество для сделок M&A — архитектура «privacy-by-design»: «Пятый фактор» работает исключительно с метаданными, структурой и агрегатами, не передавая и не сохраняя сырые значения персональных данных. Это означает, что сам инструмент не создаёт дополнительный риск утечки при проведении инвентаризации.

Для продавца это позволяет:

1. Сформировать актуальную «карту ПДн» до начала due diligence — без недель ручной работы.
2. Быстро ответить на технические вопросы покупателя о составе базы, источниках и истории изменений.
3. Выявить нарушения и устранить их до момента, когда их обнаружит аудитор покупателя.

Для покупателя — проверить, что заявленная продавцом картина соответствует действительности, и после закрытия сделки сразу получить работающую систему контроля над унаследованными данными.

В условиях, когда аудит занимает недели, а штрафы за пропущенные риски измеряются миллионами, непрерывная инвентаризация персональных данных перестаёт быть задачей «для крупных компаний» — это стандарт комплаенс-гигиены при любой сделке.

Заключение: что делать прямо сейчас

Продажа бизнеса с клиентской базой в 2025–2026 годах — это операция в условиях значительно возросших регуляторных требований. Игнорировать их не получится: покупатели сами запрашивают privacy-отчёт, а банки-кредиторы всё чаще включают compliance-проверку ПДн в условия финансирования сделки.

Для тех, кто планирует продать бизнес в ближайшие 12–24 месяца:

1. Начните с инвентаризации: узнайте, какие данные у вас хранятся и где.
2. Проверьте согласия: соответствуют ли они актуальным требованиям, включают ли возможность передачи данных.
3. Устраните технические нарушения: перенесите данные с иностранных серверов, удалите устаревшие записи.
4. Подготовьте документацию для VDR в агрегированном виде — без сырых ПДн.
5. Привлеките юриста по персональным данным к переговорам об условиях передачи базы — до подписания NDA.

Для тех, кто планирует купить бизнес:

1. Включите privacy due diligence в стандартную программу проверки.
2. Запросите технический отчёт об архитектуре хранения данных, а не только юридические документы.
3. Убедитесь, что в договоре купли-продажи прописаны заверения о законности базы и механизм компенсации при нарушениях.
4. Не начинайте коммерческое использование базы до урегулирования правового основания.

Клиентская база — это действительно ценный актив. Но ценность актива определяется в том числе его «чистотой». В нынешних условиях грамотный due diligence ПДн — это не дополнительные расходы, а защита стоимости сделки.

Источники

[1] Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» — https://b-152.ru/zakon-o-personalnyh-dannyh-2025

[2] Федеральный закон от 30.11.2024 № 420-ФЗ; разбор штрафов и изменений — https://habr.com/ru/companies/moysklad/articles/994568/

[3] Рынок M&A России 2024: итоги — AK&M / Группа «Деловой профиль» — https://delprof.ru/press-center/open-analytics/analiz-rynka-sliyanij-i-pogloshchenij-prognozy-i-tendencii-v-2025-godu/

[4] Комплексный due diligence: персональные данные и кибербезопасность — Право.ру — https://pravo.ru/story/259028/

[5] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», статья 6 — КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_61801/315f051396c88f1e4f827ba3f2ae313d999a1873/

[6] Поправки в 152-ФЗ: категории данных и новые требования — РБК Компании — https://companies.rbc.ru/news/LfIRlNzMxt/popravki-v-152-fz-chto-biznesu-nuzhno-znat-o-personalnyih-dannyih-v-2025/

[7] Роскомнадзор — ответы на вопросы о конфиденциальности — https://25.rkn.gov.ru/p17348/p32646/

[8] Новые требования о локализации ПДн с 1 июля 2025 — Denuo Legal — https://denuo.legal/ru/insights/news/250303/

[9] Персональные данные на сайте: новые правила с сентября 2025 — Гендальф — https://gendalf.ru/news/marketing/kak-pravilno-zaprashivat-personalnye-dan/

[10] Роскомнадзор: статистика утечек данных в России 2024–2025 — TAdviser — https://www.tadviser.ru/index.php/Статья:Утечки_данных_в_России

[11] Аналитический отчёт ГК InfoWatch — утечки ПДн в 2024 году — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret

[12] Что такое Due Diligence — обзор процедуры — Lotvel.com — https://lotvel.com/blog/what_is_dd

[13] Новые требования к обработке персональных данных с 01.07.2025 и 01.09.2025 — Klerk.ru — https://www.klerk.ru/blogs/fedresurs/658225/

[14] Риски приобретения баз данных с персональными данными — Konsu Group — https://konsugroup.com/news/risks-of-purchasing-databases-of-potential-customers/

[15] ИТ-риски при проведении Due Diligence — Институт внутренних аудиторов — https://www.iia-ru.ru/inner_auditor/publications/articles/it-audit/it-riski-pri-provedenii-due-diligence/

[16] Due Diligence: 80 ключевых вопросов перед покупкой бизнеса — Valen Legal — https://valen-legal.com/ru/news/due-diligence-80-vazhnyh-voprosov-pered-pokupkoj-biznesa/

[17] 152-ФЗ, статья 10.1 — особенности обработки данных, разрешённых для распространения — КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_61801/591acc70f577873c1ee54765eda110b7a0271eaf/

[18] Оговорки в договорах при передаче персональных данных — Shortread.ru — https://shortread.ru/ogovorki-v-dogovorah-pri-peredache-personalnyh-dannyh-zachem-oni-nuzhny-i-chto-v-nih-ukazat/

[19] Кибербезопасность при слияниях и поглощениях: VDR — Anti-Malware.ru / PowerDMARC — https://powerdmarc.com/ru/ma-cybersecurity-virtual-data-rooms/amp/

[20] Виртуальная комната данных DataSpace VDR — https://www.dataspace.ru/services/information-security/vdr/

[21] Кейс VDR ЭвриТег при сделке M&A — CISOclub — https://cisoclub.ru/ispolzovanie-virtualnoj-komnaty-dannyh-vdr-dlja-optimizacii-processa-due-diligence-pri-sdelke-slijanija-i-pogloshhenija-m-a/

[22] Исследование рынка M&A 2022–2025 — группа B1 — https://b1.ru/analytics/m-a-market-survey-2025/