Оператор персональных данных: полный гайд

Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав данных и действия с ними. Это определение закреплено в статье 3 Федерального закона № 152-ФЗ «О персональных данных».

На практике оператором ПДн является практически любая организация в России. Если у компании есть хотя бы один сотрудник — она уже обрабатывает его персональные данные (ФИО, паспорт, ИНН, СНИЛС, адрес) и является оператором. Если у интернет-магазина есть форма заказа — он собирает имя, телефон, адрес доставки покупателя и тоже становится оператором.

Вот типичные примеры операторов персональных данных:

• Любая компания с сотрудниками — обрабатывает кадровые данные, начисляет зарплату, ведёт воинский учёт, передаёт сведения в ФНС, ПФР, ФСС
• Интернет-магазин — собирает имя, телефон, email и адрес доставки через формы заказа
• Сайт с формой обратной связи — даже сбор имени и email через контактную форму делает владельца сайта оператором
• Медицинская клиника — обрабатывает специальные категории ПДн (данные о здоровье)
• Образовательное учреждение — хранит данные учеников, студентов, их родителей
• Управляющая компания ЖКХ — ведёт базу жильцов с паспортными данными, адресами, лицевыми счетами
• ИП с сотрудниками или клиентской базой — индивидуальный предприниматель несёт те же обязанности, что и юрлицо
• Физическое лицо — может стать оператором, если обрабатывает чужие ПДн в целях, выходящих за рамки личных и семейных нужд (например, блогер с базой подписчиков для рассылки)

Важно понимать: оператором вас делает сам факт обработки чужих персональных данных, а не какая-либо регистрация. Даже если вы не подали уведомление в Роскомнадзор и не включены в реестр — вы всё равно оператор и несёте все предусмотренные законом обязанности.

Понятие «обработка» трактуется максимально широко. Согласно 152-ФЗ, обработка — это любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Даже простое хранение контактов клиентов в Excel-таблице является обработкой.

Согласно статье 22 закона 152-ФЗ, оператор обязан до начала обработки персональных данных направить уведомление в уполномоченный орган — Роскомнадзор. После подачи уведомления оператор включается в Реестр операторов, осуществляющих обработку персональных данных.

С 1 сентября 2022 года (вступление в силу Федерального закона № 266-ФЗ) перечень исключений из обязательной подачи уведомления был существенно сокращён. Ранее многие компании могли не регистрироваться, ссылаясь на обработку данных в рамках трудового законодательства или договорных отношений. Теперь эти исключения практически не работают.

Актуальные исключения из обязательной подачи уведомления (ч. 2 ст. 22 152-ФЗ):

• Обработка ПДн без использования средств автоматизации (только на бумаге, без компьютера — на практике крайне редкий случай)
• Обработка в целях транспортной безопасности

Таким образом, абсолютное большинство организаций обязано подать уведомление в Роскомнадзор. Ниже таблица для наглядности:

Важно: Роскомнадзор разъясняет, что использование любого программного обеспечения для работы с ПДн (от Excel до 1С) считается средством автоматизации. Поэтому даже маленькое ИП с бухгалтерской программой обязано подать уведомление.

Позиция Роскомнадзора однозначна: если сомневаетесь — подавайте уведомление. Штраф за обработку без уведомления значительно выше, чем трудозатраты на его подачу.

Закон 152-ФЗ устанавливает обширный перечень обязанностей оператора персональных данных. Основные из них закреплены в статье 18.1 и других нормах закона. Несоблюдение любой из этих обязанностей может повлечь штрафные санкции и предписания Роскомнадзора.

1. Назначить ответственного за организацию обработки ПДн

Оператор обязан назначить приказом лицо, ответственное за организацию обработки персональных данных (ч. 1 ст. 22.1 152-ФЗ). Это должен быть сотрудник организации — как правило, юрист, специалист по информационной безопасности или руководитель. Ответственный обеспечивает внутренний контроль за соблюдением требований закона, рассматривает обращения субъектов и взаимодействует с Роскомнадзором.

2. Подать уведомление в Роскомнадзор

До начала обработки ПДн оператор обязан уведомить Роскомнадзор, за исключением случаев, предусмотренных ч. 2 ст. 22 (обработка без автоматизации). Уведомление подаётся через портал pd.rkn.gov.ru или в бумажной форме в территориальное управление РКН.

3. Разработать и опубликовать политику обработки ПДн

Документ, определяющий политику оператора в отношении обработки персональных данных, должен быть разработан и размещён в свободном доступе — на сайте организации (ч. 2 ст. 18.1). Для сайтов это означает наличие страницы «Политика обработки персональных данных» или «Политика конфиденциальности».

4. Разработать полный комплект внутренних документов

Помимо политики, оператор обязан иметь набор локальных нормативных актов: приказы, положения, журналы, формы согласий. Полный перечень приведён в отдельном разделе этой статьи.

5. Получать согласие субъектов на обработку ПДн

По общему правилу обработка ПДн допускается с согласия субъекта (ст. 6, 9 152-ФЗ). Согласие должно быть конкретным, информированным и сознательным. Для обработки специальных категорий (здоровье, биометрия) и для распространения ПДн требуется письменное согласие установленной формы.

6. Обеспечить безопасность персональных данных

Оператор обязан принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного доступа, уничтожения, изменения, блокирования, копирования и распространения (ст. 19). Конкретные меры определяются в зависимости от уровня защищённости ПДн (Постановление Правительства РФ № 1119).

7. Реагировать на запросы субъектов

Субъект ПДн имеет право требовать от оператора уточнения, блокирования или уничтожения своих данных (ст. 14). Оператор обязан ответить на запрос в течение 10 рабочих дней (до 01.09.2025 было 30 дней, теперь срок сокращён). Также субъект может отозвать своё согласие на обработку, и оператор обязан прекратить обработку и уничтожить данные в течение 30 дней.

8. Уведомлять об инцидентах (утечках)

С 1 сентября 2022 года оператор обязан уведомлять Роскомнадзор о фактах неправомерной передачи (утечки) персональных данных в течение 24 часов, а о результатах внутреннего расследования — в течение 72 часов (ч. 3.1 ст. 21 152-ФЗ). Уведомление подаётся через специальную форму на сайте РКН или через ГосСОПКА.

9. Обеспечить локализацию баз данных

Базы данных, используемые для сбора, записи, систематизации и хранения ПДн граждан РФ, должны располагаться на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ). Это не запрещает трансграничную передачу, но первичный сбор и хранение должны быть в России.

Регистрация в качестве оператора ПДн осуществляется путём подачи уведомления об обработке персональных данных в Роскомнадзор. Существует два способа подачи: электронный (через портал pd.rkn.gov.ru) и бумажный (почтой в территориальное управление). Рассмотрим оба варианта.

Способ 1: Через портал Роскомнадзора (рекомендуется)

• Шаг 1. Перейдите на сайт pd.rkn.gov.ru и авторизуйтесь через учётную запись ЕСИА (Госуслуги). Потребуется подтверждённая учётная запись организации или ИП с привязанной УКЭП (усиленной квалифицированной электронной подписью).
• Шаг 2. В личном кабинете выберите «Подача уведомления об обработке персональных данных» и укажите тип — первичное уведомление.
• Шаг 3. Заполните сведения об операторе: полное и сокращённое наименование организации, ИНН, ОГРН, юридический адрес, фактический адрес, контактный телефон и email.
• Шаг 4. Укажите ответственного за организацию обработки ПДн: ФИО, должность, контактный телефон и email.
• Шаг 5. Заполните сведения об обработке: правовое основание (152-ФЗ, Трудовой кодекс, ГК РФ и т.д.), цели обработки для каждой категории субъектов (сотрудники, клиенты, контрагенты, посетители сайта).
• Шаг 6. Укажите категории персональных данных: ФИО, дата рождения, паспортные данные, адрес, телефон, email, данные о здоровье (если обрабатываются) и т.д. Также укажите категории субъектов: работники, клиенты, посетители сайта, претенденты на вакансии.
• Шаг 7. Опишите меры безопасности: шифрование, межсетевые экраны, антивирусная защита, разграничение доступа, журналы учёта. Укажите место нахождения базы данных (адрес серверной или хостинга в РФ).
• Шаг 8. Если осуществляется трансграничная передача — укажите страны и основания.
• Шаг 9. Подпишите уведомление УКЭП и отправьте. Сохраните номер входящего документа.

Способ 2: В бумажной форме

Уведомление можно оформить на бланке организации, подписать руководителем, заверить печатью (при наличии) и направить заказным письмом в территориальное управление Роскомнадзора по месту регистрации юрлица. Форма уведомления утверждена приказом Роскомнадзора.

Сроки: Роскомнадзор вносит оператора в реестр в течение 30 дней с момента получения уведомления. Регистрационный номер присваивается автоматически. Проверить включение можно на сайте pd.rkn.gov.ru по ИНН или наименованию.

Стоимость: Подача уведомления и включение в реестр — бесплатно. Государственная пошлина не предусмотрена. Единственные затраты — на оформление УКЭП (если её ещё нет) и, возможно, на услуги юриста для корректного заполнения.

Реестр операторов, осуществляющих обработку персональных данных — это публичная база данных, которую ведёт Роскомнадзор на основании статьи 22 закона 152-ФЗ. Реестр размещён на портале pd.rkn.gov.ru и доступен для поиска всем пользователям.

Как проверить наличие в реестре:

• Перейдите на сайт pd.rkn.gov.ru
• В разделе «Реестр операторов» введите ИНН, ОГРН или наименование организации
• Система покажет регистрационный номер, дату включения в реестр, сведения об операторе и его обработке

Если при поиске по ИНН результат не найден — значит, организация не подавала уведомление или оно ещё не рассмотрено. В этом случае необходимо срочно подать уведомление, чтобы избежать штрафа.

Какие сведения содержит реестр:

• Регистрационный номер оператора
• Дата внесения в реестр
• Наименование (ФИО) оператора, ИНН, адрес
• Цели обработки персональных данных
• Категории субъектов и категории обрабатываемых данных
• Правовое основание обработки
• Дата начала обработки
• Сведения о трансграничной передаче
• Сведения о месте нахождения базы данных

Реестр является публичным — любой человек может проверить, зарегистрирована ли конкретная организация как оператор ПДн. Это часто используют при проверке контрагентов, аудите поставщиков и подрядчиков, а также при подаче жалоб в Роскомнадзор.

Совет: после подачи уведомления регулярно проверяйте актуальность данных в реестре. Если изменились цели обработки, адрес или состав обрабатываемых данных — подайте информационное письмо об изменениях в течение 10 рабочих дней.

Роскомнадзор осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям законодательства. Проверки могут быть плановыми и внеплановыми.

Плановые проверки

Проводятся на основании ежегодного плана, утверждаемого Роскомнадзором и согласованного с Прокуратурой. План публикуется на сайте РКН до 31 декабря предшествующего года. Плановая проверка может проводиться не чаще одного раза в три года для одного оператора. О плановой проверке оператор уведомляется не менее чем за 3 рабочих дня.

Внеплановые проверки

Проводятся по следующим основаниям:

• Жалоба субъекта ПДн — наиболее частая причина. Достаточно одной жалобы гражданина на несанкционированные звонки, спам-рассылки или отказ удалить данные
• Истечение срока предписания об устранении ранее выявленных нарушений
• Поручение Президента или Правительства РФ
• Информация об утечке персональных данных
• Требование прокурора

Что проверяют:

Как подготовиться к проверке:

• Проведите внутренний аудит обработки ПДн — проверьте все информационные системы, бумажные носители
• Убедитесь, что все документы актуальны и подписаны
• Проверьте наличие согласий на обработку для каждой категории субъектов
• Проверьте актуальность сведений в реестре РКН
• Подготовьте журнал учёта обращений субъектов
• Назначьте сотрудника, который будет взаимодействовать с проверяющими

По результатам проверки Роскомнадзор может выдать предписание об устранении нарушений (со сроком исполнения) или составить протокол об административном правонарушении для привлечения к ответственности через суд.

Ответственность за нарушение законодательства о персональных данных установлена статьёй 13.11 КоАП РФ. С 2025 года штрафы были многократно увеличены, а за повторные нарушения и утечки введены оборотные штрафы. Рассмотрим актуальные размеры санкций.

Оборотные штрафы за утечку данных (с 2025 года)

Федеральным законом № 421-ФЗ от 30.11.2024 введена принципиально новая ответственность — оборотные штрафы за утечку персональных данных:

• Утечка данных от 1 000 до 10 000 субъектов — штраф от 3 000 000 до 5 000 000 руб.
• Утечка данных от 10 000 до 100 000 субъектов — штраф от 5 000 000 до 10 000 000 руб.
• Утечка данных более 100 000 субъектов — штраф от 10 000 000 до 15 000 000 руб.
• Повторная утечка — оборотный штраф от 1% до 3% годовой выручки компании, но не менее 20 000 000 руб. и не более 500 000 000 руб.
• Утечка специальных категорий ПДн (здоровье, биометрия) — повышенные штрафы

Кроме административной ответственности, с 2025 года вступают в силу нормы об уголовной ответственности за незаконное использование персональных данных (ст. 272.1 УК РФ): штраф до 300 000 руб. или лишение свободы до 4 лет за незаконный сбор и передачу ПДн, до 10 лет — за совершение в составе организованной группы или с тяжкими последствиями.

Вывод: штрафы за нарушение законодательства о ПДн в 2025–2026 году стали рекордными. Оборотные штрафы за утечки могут составить сотни миллионов рублей. Инвестиция в правильное оформление документов и обеспечение безопасности данных — это не расход, а страховка от катастрофических финансовых потерь.

Оператор персональных данных обязан разработать и поддерживать в актуальном состоянии комплект организационно-распорядительных документов по обработке и защите ПДн. Ниже приведён полный перечень необходимых документов, основанный на требованиях 152-ФЗ, Постановления Правительства РФ № 1119 и рекомендациях Роскомнадзора.

Основные документы:

• Политика обработки персональных данных — основной документ, определяющий цели, правовые основания, порядок обработки и права субъектов. Обязательно публикуется на сайте (ст. 18.1)
• Приказ о назначении ответственного за обработку ПДн — назначает конкретного сотрудника, определяет его полномочия и обязанности
• Положение об обработке персональных данных — внутренний документ, детально описывающий процессы обработки ПДн в организации
• Приказ об утверждении перечня лиц, допущенных к обработке ПДн — список сотрудников с указанием, какие данные и в каких системах они обрабатывают
• Перечень информационных систем ПДн (ИСПДн) — описание всех систем, в которых обрабатываются ПДн: 1С, CRM, сайт, email и др.

Документы по безопасности:

• Модель угроз безопасности ПДн — определение актуальных угроз для каждой ИСПДн
• Акт определения уровня защищённости ПДн — устанавливает один из четырёх уровней защищённости по Постановлению № 1119
• Приказ об установлении уровня защищённости — утверждает результаты определения уровня
• Перечень мер по обеспечению безопасности ПДн — организационные и технические меры, соответствующие уровню защищённости
• Инструкция по реагированию на инциденты — порядок действий при утечке ПДн, включая уведомление РКН в 24 часа

Согласия и уведомления:

• Форма согласия на обработку ПДн — для каждой категории субъектов (сотрудники, клиенты)
• Форма согласия на распространение ПДн — отдельный документ, введён с 01.03.2021
• Уведомление об обработке ПДн (для субъектов) — информирование при сборе данных

Журналы:

• Журнал учёта обращений субъектов ПДн — регистрация всех запросов, ответы, сроки
• Журнал учёта машинных носителей — если ПДн хранятся на съёмных носителях
• Журнал проведения инструктажей — подтверждение обучения сотрудников

Дополнительные документы:

• Обязательство о неразглашении ПДн — подписывается каждым сотрудником, допущенным к обработке
• Правила работы с ПДн для сотрудников — инструкция по безопасной обработке
• Акт уничтожения ПДн — фиксирует факт уничтожения данных по истечении срока обработки или по запросу субъекта
• Поручение на обработку ПДн — если обработка поручается третьему лицу (хостинг, бухгалтерский аутсорсинг)

Итого порядка 15–20 документов. Их разработка с нуля силами юриста может занять несколько недель. Сервис Кибероснова Документы позволяет автоматически сгенерировать полный комплект документов, адаптированных под вашу организацию, за минуты.

Назначение лица, ответственного за организацию обработки персональных данных, — одна из ключевых обязанностей оператора, закреплённая в статье 22.1 закона 152-ФЗ. Разберём, кого назначать, какие требования предъявляются и какие функции выполняет ответственный.

Кого можно назначить:

Ответственным должен быть сотрудник организации — назначение стороннего лица (аутсорсера) не допускается. Как правило, эту функцию возлагают на:

• Руководителя организации (в небольших компаниях)
• Юриста или начальника юридического отдела
• Специалиста по информационной безопасности / IT-директора
• Руководителя отдела кадров (если основной объём ПДн — кадровые данные)

Основные функции ответственного:

• Осуществление внутреннего контроля за соблюдением законодательства о ПДн
• Доведение до сведения сотрудников положений законодательства и локальных актов по обработке ПДн
• Организация приёма и обработки обращений и запросов субъектов ПДн
• Контроль за принятием мер безопасности
• Взаимодействие с Роскомнадзором — ответы на запросы, предоставление документов при проверках
• Контроль за соответствием фактических процессов обработки заявленным в уведомлении и политике
• Организация обучения сотрудников, допущенных к обработке ПДн

Как оформить назначение:

Ответственный назначается приказом руководителя организации. В приказе указываются: ФИО и должность назначаемого сотрудника, перечень его полномочий и обязанностей, дата назначения. Сотрудник должен быть ознакомлен с приказом под подпись.

Сведения об ответственном (ФИО, должность, телефон, email) указываются в уведомлении Роскомнадзора. При смене ответственного необходимо в течение 10 рабочих дней подать информационное письмо об изменениях в РКН.

Важно: назначение ответственного не снимает ответственность с руководителя организации. Директор как должностное лицо может быть привлечён к административной ответственности за нарушения в сфере ПДн наряду с юридическим лицом.

По данным проверок Роскомнадзора и судебной практики, операторы персональных данных допускают одни и те же типичные ошибки. Рассмотрим наиболее распространённые, чтобы вы могли их избежать.

1. Отсутствие уведомления в Роскомнадзор

Самая частая проблема — компания обрабатывает ПДн, но не подала уведомление и не включена в реестр операторов. Многие руководители до сих пор считают, что это «необязательная формальность». После ужесточения законодательства в 2022–2025 годах это прямой путь к штрафу.

2. Формальный подход к документам

Организация скачала шаблоны документов из интернета, но не адаптировала их под свои реальные процессы. При проверке Роскомнадзор обнаруживает, что в политике указана обработка данных только сотрудников, а компания также собирает данные клиентов через сайт — это нарушение.

3. Отсутствие согласий

Оператор обрабатывает ПДн без получения согласия, когда оно требуется по закону. Особенно часто это касается данных посетителей сайта (cookies, веб-аналитика), фотографий сотрудников на корпоративном сайте, рассылок по email-базе.

4. Игнорирование запросов субъектов

Субъект ПДн направил запрос на удаление данных, а оператор не ответил или не уложился в 10-дневный срок. Это одна из частых причин подачи жалоб в Роскомнадзор, которые влекут внеплановую проверку.

5. Отсутствие политики на сайте

У организации есть сайт, но на нём не опубликована политика обработки персональных данных. Либо политика есть, но она неактуальна — не содержит информации о cookies, web-аналитике, формах сбора данных на сайте.

6. Несоответствие данных в реестре

Организация подала уведомление 5 лет назад, но с тех пор сменила юридический адрес, добавила новые ИСПДн, изменила цели обработки — а в реестре данные старые. За неактуальные сведения также предусмотрена ответственность.

7. Отсутствие обучения сотрудников

Сотрудники, допущенные к обработке ПДн, не проходили инструктаж, не ознакомлены с локальными актами, не подписали обязательство о неразглашении. При проверке это легко выявляется.

8. Нарушение локализации

Базы данных с ПДн граждан РФ размещены на зарубежных серверах без первичного сбора и хранения в России. Штрафы за это нарушение — до 18 млн руб. при повторном выявлении.

Рекомендация: проведите самопроверку по этому списку. Если обнаружите хотя бы одну из перечисленных проблем — устраните её до того, как к вам придёт Роскомнадзор. Сервис Кибероснова Документы поможет подготовить полный комплект документов и привести обработку ПДн в соответствие с законом.