Кто такой оператор персональных данных: определение и обязанности
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных. Определение закреплено в ст. 3 Федерального закона № 152-ФЗ. Если вы собираете и используете данные о людях — вы оператор, со всеми вытекающими обязанностями и штрафами за их неисполнение.
Полное определение из закона: три признака оператора
Статья 3 152-ФЗ (п. 2) формулирует так:
«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».
Закон называет три квалифицирующих признака оператора:
- Определяет цели обработки — зачем собираются данные
- Определяет состав ПД — какие именно данные обрабатываются
- Определяет действия (операции) — что с данными происходит: сбор, хранение, передача, уничтожение
Именно это отличает оператора от обработчика — третьего лица, которое обрабатывает данные по поручению оператора, не определяя ни целей, ни состава. Обработчик действует по инструкции; оператор несёт ответственность перед субъектами и РКН.
Кто является оператором: примеры
Однозначно — операторы
| Субъект | Основание |
|---|---|
| Интернет-магазин | Собирает данные покупателей для оформления заказов, сам определяет состав и цели |
| Работодатель (любой) | Ведёт кадровый учёт сотрудников |
| Медицинская организация | Собирает данные пациентов, в т.ч. специальные (здоровье) |
| Банк или МФО | Обрабатывает финансовые и идентификационные данные клиентов |
| Школа, детский сад | Обрабатывает данные учеников и родителей |
| ИП-фрилансер с CRM | Хранит данные клиентов в собственной базе |
| Застройщик | Ведёт базу потенциальных покупателей и дольщиков |
| Салон красоты с программой лояльности | Ведёт базу клиентов с историей визитов |
Пограничные случаи
ИП без сотрудников и без базы клиентов
Если ИП работает только с юрлицами и не хранит данные физлиц — оператором не является. Однако на практике контакты представителей контрагентов (ФИО менеджера, номер телефона, email) — это персональные данные физических лиц. Достаточно телефонной книги или переписки в CRM, чтобы де-факто стать оператором.
Самозанятый
Если выписывает чеки только через приложение «Мой налог» и не ведёт базу клиентов — формально не оператор. Но если сохраняет контакты в мессенджере для деловых целей — вопрос спорный.
Компания, использующая только SaaS без своей базы
Если данные клиентов хранятся у стороннего сервиса, такая компания всё равно, как правило, признаётся оператором — поскольку она определяет цели сбора и состав передаваемых данных.
Оператор vs. Обработчик: в чём разница
| Характеристика | Оператор | Обработчик |
|---|---|---|
| Определяет цели, состав, действия | Да | Нет |
| Несёт ответственность перед субъектом | Да | Нет (только перед оператором) |
| Обязан уведомить РКН | Да (если применимо) | Нет |
| Может передать данные субъекту по его запросу | Обязан | Нет прямой обязанности |
Пример: ООО «Ромашка» использует сервис email-рассылок. ООО «Ромашка» — оператор, сервис рассылок — обработчик. Ответственность перед РКН несёт ООО «Ромашка», и именно оно должно подписать с сервисом соглашение о поручении обработки ПД.
Обязанности оператора персональных данных
Закон устанавливает широкий перечень обязанностей. Нарушение каждой из них образует самостоятельный состав административного правонарушения по ст. 13.11 КоАП РФ (в ред. 420-ФЗ от 30.11.2024, действует с 30.05.2025).
1. Организационные меры (ст. 18.1 152-ФЗ)
| Обязанность | Штраф за нарушение (юрлица) | Норма КоАП |
|---|---|---|
| Разработать и опубликовать политику обработки ПД | 30 000–60 000 ₽ | ч. 3 ст. 13.11 |
| Назначить ответственного за организацию обработки ПД | — нарушение ст. 18.1 → ч. 1 | до 300 000 ₽ |
| Разработать внутренние регламенты и инструкции | — | ст. 18.1 |
| Вести реестр (перечень) обрабатываемых ПД | — | ст. 18.1 |
| Проводить оценку вреда субъектам (Приказ РКН № 178) | — | ст. 18.1 ч.1 п.5 |
| Осуществлять внутренний контроль соответствия | — | ст. 18.1 |
2. Технические меры (ст. 19 152-ФЗ)
- Не допускать несанкционированного доступа
- Обеспечить целостность и доступность данных
- При использовании информационных систем — выполнять требования ПП РФ № 1119
Уровни защиты информационных систем (ПП № 1119):
- УЗ-1 — высший, для специальных категорий и биометрии при угрозах 1-го типа
- УЗ-2 — для специальных категорий при угрозах 2-го типа
- УЗ-3 — стандартный уровень для большинства коммерческих организаций
- УЗ-4 — базовый уровень
3. Работа с субъектами
| Обязанность | Штраф (юрлица) | Норма |
|---|---|---|
| Предоставить субъекту информацию о его данных по запросу | 40 000–80 000 ₽ | ч. 4 ст. 13.11 |
| Исправить/уничтожить данные по требованию субъекта | 50 000–90 000 ₽ | ч. 5 ст. 13.11 |
| Прекратить обработку при незаконных действиях | — | Ст. 21 152-ФЗ |
4. Уведомление Роскомнадзора
| Обязанность | Штраф (юрлица) | Норма |
|---|---|---|
| Уведомить до начала обработки (если нет исключений) | 100 000–300 000 ₽ | ч. 10 ст. 13.11 |
| Уведомить об изменениях — в течение 10 рабочих дней | 100 000–300 000 ₽ | ч. 10 ст. 13.11 |
| Уведомить об инциденте (утечке) — в течение 24/72 часов | 1 000 000–3 000 000 ₽ | ч. 11 ст. 13.11 |
5. Локализация данных
Хранить персональные данные граждан России в базах данных, физически расположенных в России (ст. 18.1 ч.5 152-ФЗ). С 01.07.2025 (23-ФЗ от 28.02.2025) запрещена обработка ПД граждан РФ с использованием баз данных за рубежом. Сервер в России с зарубежной репликой или резервной копией за рубежом — нарушение.
Штраф за нарушение локализации — 1 000 000–6 000 000 ₽ (ч. 8 ст. 13.11 КоАП), при повторном — до 18 000 000 ₽.
6. Трансграничная передача (ст. 12 152-ФЗ)
Передача данных в страны, не обеспечивающие «адекватную» защиту по Приказу РКН № 128, требует уведомления РКН о намерении осуществить трансграничную передачу. РКН вправе запретить или ограничить такую передачу (ПП РФ № 6 от 10.01.2023, № 1371 от 14.10.2024). Одного согласия субъекта недостаточно — требуется именно уведомительный порядок через РКН.
Страны с адекватной защитой перечислены в Приказе № 128: 55 стран в Разделе I (стороны Конвенции СЕ № 108) и 34 страны в Разделе II. Крупные юрисдикции вроде США в перечне отсутствуют.
Не уверены, выполнены ли все обязанности? ПдПро определит, какие именно требования не закрыты, и сформирует до 38 готовых документов за ~10 минут. Тарифы: 2 990 ₽ на 6 месяцев, 4 990 ₽ навсегда.
Совместные операторы
Закон допускает ситуацию, когда два и более лица совместно обрабатывают данные. В этом случае они должны:
- Заключить соглашение о совместной обработке
- Определить, кто несёт ответственность перед субъектами
- Разграничить обязанности
Пример: франчайзер и франчайзи используют единую CRM-систему. Оба — операторы, и должны урегулировать отношения договором.
Реестр операторов персональных данных
Реестр ведёт Роскомнадзор на портале pd.rkn.gov.ru.
Что можно узнать из реестра: регистрационный номер, дату регистрации, наименование и ИНН, цели обработки.
Проверить компанию: https://pd.rkn.gov.ru/operators-registry/operators-list/
Реестр не исчерпывающий — многие малые предприятия обоснованно не уведомляют РКН, используя исключения из ст. 22 152-ФЗ. Отсутствие в реестре не означает автоматически нарушение.
Ответственное лицо: кто это и зачем
С 1 сентября 2022 года каждый оператор обязан назначить ответственного за организацию обработки персональных данных (ст. 18.1 152-ФЗ).
Кем может быть: штатный сотрудник (юрист, кадровик, ИТ-директор), сам руководитель (для малого бизнеса), внешний специалист на аутсорсе.
Что делает: организует разработку документации, следит за актуальностью политики и регламентов, принимает запросы от субъектов, уведомляет РКН об инцидентах, проводит обучение сотрудников.
Приказ о назначении — один из обязательных документов в пакете по 152-ФЗ.
Чек-лист: убедитесь, что вы исполняете обязанности оператора
- Назначен ответственный за организацию обработки ПД
- Разработана и опубликована политика обработки ПД
- Подано уведомление в РКН (если применимо)
- Ведётся реестр/перечень обрабатываемых данных
- Настроены согласия на сайте
- Есть процедура реагирования на запросы субъектов
- БД физически в РФ (после 23-ФЗ: зарубежная реплика = нарушение)
- С обработчиками заключены соглашения о поручении
- При трансграничной передаче в страны вне Приказа № 128 — уведомлён РКН о намерении передачи
До 38 документов по 152-ФЗ — за ~10 минут. Пройти опрос на pd-pro.ru/wizard — сервис определит, какие именно обязанности не выполнены, и сформирует готовый пакет: политику, согласия, приказ о назначении, регламенты и всё остальное.