Оператор персональных данных

Оператор персональных данных — это любое лицо (юридическое, физическое или государственный орган), которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных, а также определяет цели обработки, состав данных и совершаемые с ними действия (ст. 3 Федерального закона № 152-ФЗ).

Оператором ПДн является практически любая организация в России: от ИП с одним сотрудником до крупной корпорации. Если вы нанимаете работников, ведёте клиентскую базу, собираете данные через сайт или обрабатываете заявки — вы оператор. Самозанятые также могут быть операторами, если обрабатывают данные клиентов.

Субъект персональных данных — это физическое лицо, чьи данные обрабатываются. Оператор и субъект — две стороны одного процесса: оператор обрабатывает, субъект даёт согласие и контролирует.

До начала обработки оператор обязан уведомить Роскомнадзор о своём намерении обрабатывать персональные данные (ст. 22 152-ФЗ). Это ключевая обязанность, за нарушение которой предусмотрены штрафы.

Оператор обязан: получить согласие субъекта на обработку ПДн (за рядом исключений), обеспечить конфиденциальность данных, назначить ответственного за организацию обработки, разработать и опубликовать политику обработки ПДн, принять организационные и технические меры защиты.

При обращении субъекта оператор обязан предоставить информацию об обработке его данных в течение 10 рабочих дней. При отзыве согласия — прекратить обработку и уничтожить данные в течение 30 дней (если нет иных оснований для обработки).

Реестр операторов, осуществляющих обработку персональных данных — это официальная база Роскомнадзора, в которую вносятся сведения обо всех операторах ПДн. Проверить наличие организации в реестре можно на официальном сайте РКН или через наш инструмент проверки по ИНН.

Для внесения в реестр оператор подаёт уведомление через портал РКН (pd.rkn.gov.ru) или через Госуслуги. В уведомлении указываются: цели обработки, категории данных, категории субъектов, правовые основания, меры защиты и другие сведения.

Важно: реестр операторов содержит только тех, кто подал уведомление. Отсутствие в реестре НЕ означает, что организация не является оператором — это означает нарушение закона.

Регистрация в качестве оператора ПДн в Роскомнадзоре — обязательная процедура для большинства организаций. Для этого необходимо подать уведомление об обработке персональных данных через портал pd.rkn.gov.ru.

Порядок регистрации: 1) подготовьте комплект документов по 152-ФЗ, 2) заполните электронную форму уведомления на сайте РКН, 3) распечатайте и подпишите уведомление, 4) направьте подписанный экземпляр в территориальный орган РКН.

Есть исключения: уведомление не требуется, если ПДн обрабатываются только для исполнения трудового договора, без автоматизации, или если данные включают только ФИО. Однако на практике большинство организаций обрабатывают данные шире этих исключений.

Оператор обязан разработать и утвердить комплект документов по обработке и защите персональных данных. Минимальный набор включает: политику обработки ПДн (публикуется на сайте), приказ о назначении ответственного, согласие на обработку ПДн, положение об обработке ПДн.

Полный пакет документов для оператора включает до 90 документов: политика конфиденциальности, согласия на обработку ПДн (несколько видов), приказы, положения, журналы учёта, акт оценки вреда, модель угроз и другие. Конкретный состав зависит от категорий обрабатываемых данных и способов обработки.

Создать весь комплект документов оператора ПДн можно в нашем онлайн-конструкторе за 15 минут. Все документы соответствуют актуальным требованиям 152-ФЗ и Роскомнадзора.

За нарушение требований 152-ФЗ оператор несёт административную, гражданско-правовую и уголовную ответственность. С 2025 года штрафы существенно ужесточены: введены оборотные штрафы до 500 млн рублей за повторные утечки (420-ФЗ).

Основные штрафы: отсутствие политики на сайте — до 60 000 ₽, обработка без согласия — до 700 000 ₽, неуведомление РКН — до 300 000 ₽, утечка данных — до 15 млн ₽ (первичная) и до 500 млн ₽ (повторная, оборотный штраф).

Лучший способ снизить риски — оформить полный комплект документов, подать уведомление в РКН и наладить процессы обработки ПДн. Рассчитайте свои риски в нашем калькуляторе штрафов.