а. За неуведомление Роскомнадзора о начале обработки персональных данных, а начинаете вы обработку практически сразу: записали на прием первого клиента, взяли на работу сотрудника - все, вы оператор персональных данных, соответственно вы должны уведомить Роскомнадзор электронно или по почте. Есть специальная форма уведомления, которую надо заполнить. Но скажу сразу, что обычному человеку не понять что и как правильно заполнить, чтобы не было чего лишнего.
Штраф за данное нарушение:
ИП и малые предприятия могут получить штраф 1500—2500 ₽, а средние и крупные компании — от 2500 до 5000 ₽.
б. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных:
Административный штраф:

• для граждан – в размере от 2000 до 6000 руб.;
• для должностных лиц – от 10 тыс. до 20 тыс. руб.;
• для юрлиц - от 60 тыс. до 100 тыс. руб.

За повторное совершение данного административного правонарушения, административный штраф:

• для граждан в размере от 4000 до 12 000 руб.;
• для должностных лиц – от 20 тыс. до 50 тыс1 руб.;
• для ИП – от 50 тыс. до 100 тыс. руб.;
• для юрлиц – от 100 тыс. до 300 тыс. руб.

в. Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в такое согласие:
Административный штраф:

• для граждан в размере от 6000 до 10 000 руб.;
• для должностных лиц – от 20 тыс. до 40 тыс. руб.;
• для юрлиц – от 30 тыс. до 150 тыс. руб.

За повторное совершение данного административного правонарушения, административный штраф:

• для граждан в размере от 10 тыс. до 20 тыс. руб.;
• для должностных лиц – от 40 тыс. до 100 тыс. руб.;
• для ИП – от 100 тыс. до 300 тыс. руб.;
• для юрлиц – от 300 тыс. до 500 тыс. руб.

г. Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных:
Административный штраф:

• для граждан в размере от 1500 до 3000 руб.;
• для должностных лиц – от 6000 до 12 000 руб.;
• для ИП – от 10 тыс. до 20 тыс. руб.;
• для юрлиц – от 30 тыс. до 60 тыс. руб.

д. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ:
Административный штраф:

• для граждан в размере от 30 тыс. до 50 тыс. руб.;
• для должностных лиц – от 100 тыс. до 200 тыс. руб.;
• для юрлиц – от 1 млн до 6 млн руб.

За повторное совершение данного административного правонарушения, административный штраф:

• для граждан в размере от 50 тыс. до 100 тыс. руб.;
• для должностных лиц – от 500 тыс. до 800 тыс. руб.;
• для юрлиц – от 6 млн до 18 млн руб.

и еще ряд нарушений, за которые можно получить внушительные штрафы, вплоть до уголовной ответственности:
Статья 137 УК гласит, что собирать персональные данные сотрудников и распространять без их согласия нельзя. Вот что вас ждет за нарушение:
штраф от 100 до 300 тысяч рублей или в размере доходов за последние два года;
исправительные или обязательные работы до четырех лет ;
лишение права занимать должности на срок от двух до трех лет ;

Оператор персональных данных (ОПДн) — это физическое или юридическое лицо, государственный или муниципальный орган власти. Он организует или самостоятельно занимается обработкой персональных данных с определенной целью.
Оператором персональных данных (ОПДн) может стать любой бизнес и даже физлицо, у которого есть сотрудники, клиентская база или сайт, где собирают почты или номера телефона для регистрации в личном кабинете.
Обработкой персональных данных считаются любые действия с ними: сбор, запись, систематизация, хранение, уничтожение, передача третьим лицам или предоставление им доступа к базе. Собирать сведения можно на бумажных носителях, например, делать копию паспорта при приеме сотрудника на работу. Или через автоматизированную систему, которая записывает контакты пользователей сайта.
Что нельзя делать ОПДн по закону:

• Собирать ПДн физических лиц без определенной цели.
• Собирать личные данные с одной целью, а использовать с другой. Например, нельзя получать информацию по участникам кружка любителей вышивки для продажи расходных материалов, а потом использовать эти сведения, чтобы предлагать кредиты.
• Объединять разные базы, которые создавались для разных целей сбора персональных данных.Как стать ОПДн

А вот тут в зависимости от вашего бизнеса, целей бизнеса, инструментов, техник, каналов продаж и пр.
Основные документы, которые должны быть в обязательном порядке это:

1. Политика конфиденциальности и обработки персональных данных
2. Согласие на обработку персональных данных
3. Оферта (для сайта)
4. Приказ о назначении ответственного
5. Положение о конфиденциальности и обработки персональных данных
6. Приказ об утверждении политики и положения
7. Соглашение о неразглашении информации
8. Модель угроз безопасности

и прочие документы

Вне зависимости откуда у вас приходят клиенты, вы в любом случае собираете от них персональные данные: Имя, Фамилия, телефон. Этого достаточно, чтобы стать оператором. Соответственно вам необходимо подать уведомление в РКН и подготовить пакет документов исходя из специфики вашего бизнеса и какие персональные данные вы собираете.