Оператор обработки персональных данных (ПД) — это юридическое или физическое лицо, включая ИП и самозанятых, которое собирает, обрабатывает и хранит ПД в электронном виде. То есть практически любой бизнес можно отнести к категории оператора персданных.

Персональные данные — сведения, которые прямо или косвенно позволяют определить человека, например, ФИО, дата рождения, адрес, ИНН, СНИЛС, реквизиты паспорта, контактный телефон и email.

Оборот ПД в России регулируется Законом от 27.07.2006 № 152-ФЗ.

Какие требования к оператору ПД предъявляет закон:

  • обеспечивать законную и справедливую обработку — нельзя использовать чужую личную информацию не по назначению;
  • соблюдать точность и стараться запрашивать только самые необходимые сведения;
  • организовывать защиту от несанкционированного доступа к полученным данным — такую информацию нужно правильно хранить;
  • предварительно информировать субъект данных о порядке и целях обработки ПД — человек должен понимать, зачем вам нужны эти сведения.

Что может делать оператор:

  • собирать, записывать, копировать, систематизировать ПД;
  • накапливать и хранить данные;
  • использовать, распространять, анализировать, обновлять информацию;
  • обезличивать, блокировать, уничтожать личные сведения.

Кто может быть оператором персональных данных:

Физлицо признают оператором ПД, если он собирает, хранит или использует такую информацию. В этом случае необходимо соблюдать все обязательные требования законодателей, в том числе, пройти регистрацию в Роскомнадзоре (РКН) и гарантировать защиту чужой персональной информации.

ИП также считается оператором, если в рамках деятельности он обрабатывает персданные. В первую очередь это касается предпринимателей с сотрудниками. Но даже если ИП просто собирает информацию о поставщиках или клиентах через электронные каналы, всё равно он обязан уведомить об этом РКН.

Самозанятый, который обрабатывает ПД других лиц, считается оператором, хотя сотрудников у него быть не может. Для этого достаточно собирать контакты клиентов или партнёров — телефоны, адреса электронной почты, страницы в соцсетях. Поэтому нужно зарегистрироваться в Роскомнадзоре и получать согласие владельцев данных на их обработку.

Как понять, что я работаю с персональными данными

30 дней Эльбы за 0 ₽

Оцените все возможности онлайн-бухгалтерии бесплатно

Попробовать бесплатно

По закону оператор ПД обязан:

  • зарегистрироваться в Роскомнадзоре до начала работы с персданными;
  • составлять и обновлять политику обработки ПД;
  • обеспечивать легальную обработку;
  • получать согласия субъектов;
  • информировать субъектов о целях, способах и условиях обработки;
  • защищать информацию от утечки и оперативно уведомлять о том, что она произошла;
  • хранить сведения на российских серверах;
  • оперативно реагировать на запросы субъектов об их ПД;
  • уничтожать или обезличивать сведения после завершения обработки.

Запрещено продолжать обрабатывать персданные, если вы достигли целей их обработки или прошёл отведённый срок.

Помимо внушительного списка обязанностей, у оператора есть такие права:

  • формулировать цели и методы обработки ПД;
  • получать и использовать данные в рамках закона;
  • передавать данные третьим лицам, если для этого есть основания;
  • требовать достоверной информации от субъектов;
  • приостанавливать обработку персданных;
  • обжаловать действия контролирующих органов и муниципальных властей.

Вам не нужно уведомлять Роскомнадзор о начале обработки сведений по каждому новому сотруднику — работодателю достаточно один раз зарегистрироваться в ведомстве.

Закон не определяет конкретного списка документов, всё зависит от специфики бизнеса и самой работы с персональными данным.

Что может включать основной пакет документов:

Вид документа Для чего нужен

Политика оператора обработки ПД

Информирует субъектов о правилах обработки

Положение по работе с ПД

Регламентирует внутренние процедуры

Согласие субъекта

Подтверждает легальную обработку данных

Положение по защите ПД

Объясняет, как добиться безопасной работы с ПД

Регламент допуска сотрудников к ПД

Обеспечивают конфиденциальность и защиту от утечки данных через сотрудников оператора

Обязательство о неразглашении

Акты и инструкции по безопасности

Приказ о назначении ответственного лица

Наделяет сотрудника полномочиями следить за выполнением норм по обработке ПД

Документы внутреннего контроля за работой с ПД

Помогают проводить аудит

Подробнее остановимся на согласии субъекта персональных данных. Это письменное или электронное разрешение человека на использование его личной информации. То есть физлицо осознает, какие сведения он сообщает оператору и с какой целью.

Чтобы процедура обработки персданных была законной, важно правильно оформить согласие. В документе указывают информацию об операторе, цели обработки ПД, перечень обрабатываемых сведений, права субъекта, в том числе на отзыв этого согласия, срок действия согласия.

За деятельностью операторов ПД следит Роскомнадзор. Этот государственный орган защищает права граждан и проверяет, как бизнес выполняет требования законодательства.

По закону информация об операторе персональных данных является общедоступной, а сами участники собраны в едином реестре. Работать с персданными без уведомления РКН нельзя, но есть исключения, о них ниже.

Уведомление в Роскомнадзор об обработке персональных данных в 2025 году

 

Чтобы попасть в реестр операторов, заявите о начале работы с ПД в Роскомнадзор. Для этого подайте уведомление на официальном сайте ведомства в разделе «Электронные формы заявлений». Также можно лично отнести бумажный вариант в территориальное подразделение РКН или отправить документ по почте.

 

Выберите, о чём хотите заявить:

  • о начале работы с ПД — сообщите об этом сразу при регистрации бизнеса;
  • о прекращении работы — не позже 10 рабочих дней;
  • об изменении сведений о компании — не позднее 15 числа следующего месяца.

Затем заполните бланк заявления — реквизиты и характеристики лица, которое собирает, обрабатывает и передаёт персданные.

Оператор персональных данных вправе не уведомлять Роскомнадзор, если:

  • Обработка касается государственно важной, секретной информации, которую используют с целью обеспечить правопорядок.
  • Предприниматель не автоматизирует процесс с помощью компьютера или других устройств, а ведёт учёт вручную на бумаге.
  • Данные собирает транспортная компания, ЖКХ.
  • Работодатель добавляет в штат компании нового сотрудника, сведения о компании или ИП уже есть в реестре.
  • Организация ведёт некоммерческую или религиозную деятельность, а личные данные посторонним не разглашаются.
  • С персданными работает государственная информационная система.
  • Взаимодействие с субъектом ПД происходит по заключённому договору.

Как проверить сведения в реестре

РКН присваивает статус оператора в течение 30 дней. Узнать о статусе можно онлайн. Сделайте запрос в реестр, чтобы получить ответ:

  1. Зайдите на официальный сайт Роскомнадзора, где размещён реестр.

  2. Введите один из трёх реквизитов для поиска: ИНН, ОГРН или наименование.

  3. Нажмите «Найти».

Не вводите в строке поиска тире или кавычки, сокращения, организационно-правовую форму — ООО или ИП. Ищите по основному слову, если название состоит из нескольких.

Поиск по ИНН — самый надёжный и точный, так как этот номер уникален для каждого участника. По наименованию придётся разбирать длинный список совпадений, а ОГРН есть только у юрлиц, для поиска ИП не подойдёт.

Обратите внимание, что не лишним будет регулярно проверять себя в реестре. Это позволит вовремя вносить актуальную информацию. РКН штрафует бизнес за несоответствие сведений.

Сориентируйтесь на старте

Удобный гайд и подсказки Эльбы помогут с первыми шагами в отчётности, налогах, деньгах и документах

Сделать первый шаг

Обработка персональных данных — важная сфера, где за малейшую оплошность предусмотрена ответственность. Основное наказание — административное, то есть штраф. Но есть и другие варианты:

  • уголовное преследование;
  • дисциплинарное взыскание, увольнение или штраф для виновного сотрудника;
  • возмещение морального вреда субъекту, чьи данные были утеряны или украдены.

Что будет, если оператор работает без уведомления РКН

Одна из ключевых обязанностей оператора — своевременно уведомлять РКН о начале такой деятельности. Если бизнес упустит этот шаг, ему грозят серьёзные последствия.

В 2025 году за это нарушение назначают штраф или административное наказание, а в особо тяжёлых случаях — приостанавливают деятельность.

Новые штрафы в работе с персональными данными

Суммы денежных взысканий возросли с 30 мая 2025 года. Теперь штрафы такие:

Нарушение Категория лиц

физлица и самозанятые

должностные лица

юрлица и ИП

За неуведомление РКН об утечке данных

50-100 тыс. ₽

400-800 тыс. ₽

1-3 млн ₽

За неуведомление РКН об обработке данных

5-10 тыс. ₽

50-100 тыс. ₽

100-300 тыс. ₽
Штрафы за обработку персональных данных с 30 мая

Вы можете делегировать обработку персональных данных другому лицу или организации, чтобы снять с себя лишние задачи. Бизнес остаётся основным ответственным лицом, но техническую часть берёт на себя подрядчик.

В таком случае вам нужно официально назначить исполнителя, а ему — своевременно получить согласие субъектов на обработку информации согласно ч. 3 ст. 6 Закона № 152-ФЗ.

В договоре между оператором и обработчиком обязательно укажите цели обработки, объём передаваемых данных, обязанность обеспечить конфиденциальность, меры по защите информации.

Обработчик не вправе использовать полученные ПД в своих интересах — он действует строго в рамках порученных задач.

Делегирование выгодно для тех ООО и ИП, у кого нет необходимой технической базы или квалификации. То есть самостоятельно обрабатывать данные и обеспечивать их защиту не получается. С подрядчиком вы экономите время, силы и снижаете риски неправомерных действий с персданными.

Однако если бизнес предпочитает полностью контролировать все рабочие процессы или располагает достаточными внутренними ресурсами, смысла в такой передаче нет. Наоборот, этот вариант может оказаться неудобным и даже рискованным.

  1. Не игнорируйте ваши обязанности в роли оператора персданных — последствия могут обернуться крупными штрафами и потерей репутации.

  2. Зарегистрируйтесь в РКН до начала работы с ПД, то есть сразу после открытия бизнеса.

  3. Соблюдайте права субъекта данных — получите согласие, обеспечьте защиту сведений, прекратите обработку по истечении срока.

  4. Задумайтесь о мерах безопасности или передайте хранение ПД надёжному подрядчику.

  5. Организуйте документооборот в сфере ПД — если произойдёт утечка, проверяющие органы обратят внимание на отсутствие регламентов и положений.

Новым ИП — год Эльбы бесплатно

Всем ИП младше 3 месяцев годовой доступ ко всем возможностям Эльбы

Получить бесплатно