Оператор персональных данных

Оператор персональных данных — это компания, организация или физическое лицо, которые собирают, хранят и обрабатывают в электронном виде личную информацию других физических лиц (ФИО, адреса, телефоны, электронные почты и т. д.). По сути, операторами персональных данных являются практически любой бизнес и любая организация — объясняем, почему.

Что говорит закон

Главный документ, который регулирует оборот персональных данных в России, — это федеральный закон 152-ФЗ. Именно в нем прописано, что считается персональными данными (правда, не очень конкретно), кто их может и не может собирать, как должен хранить, обрабатывать и использовать.

Этот закон называет оператором персональных данных «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».

Всякий бизнес работает с людьми — это сотрудники, клиенты, партнеры и исполнители, работающие по договорам ГПХ. Все это физические лица, ведь ими считаются и ИП, и самозанятые, а у юридических лиц есть отдельные представители, персональные данные которых тоже могут собираться и храниться. Получается, что оператором персональных данных является практически любой бизнес, даже самый маленький.

Важно, что о намерении собирать данные каждый оператор должен уведомлять Роскомнадзор еще до начала сбора (и обработки). Поэтому понять, является ли именно ваш бизнес или организация таким оператором, нужно как можно скорее — чтобы не нарваться на штрафы за нарушение закона.

Что обязан делать оператор персональных данных

Читайте также:

Как работать с персональными данными клиентов и сотрудников

Вот основные обязанности оператора персональных данных:

• уведомлять Роскомнадзор о начале сбора/обработки данных до начала сбора или обработки;
• составлять и обновлять политику обработки персональных данных;
• собирать cookie только с согласия посетителя своего сайта;
• хранить и обрабатывать собранные данные только на российских серверах;
• использовать средства защиты данных и не допускать утечек;
• своевременно сообщать об утечках и проводить расследования для выяснения причин, если утечки все же произойдут.

Что будет, если оператор персональных данных работает без уведомления РКН

Читайте также:

Новые штрафы в работе с персональными данными: что проверить прямо сейчас

Нарушений в работе операторов персональных данных много, но самые распространенные по статистике штрафов — работа без уведомления РКН об обработке данных и об утечках, когда они происходят. С 30 мая 2025 года за это предусмотрены большие штрафы.

За неуведомление РКН об обработке данных:

• для юридических лиц и ИП — от 100 до 300 тыс. руб.;
• для физлиц (и самозанятых) — до 15 тыс. руб.;
• для должностных лиц — от 50 до 100 тыс. руб.

За неуведомление об утечке данных:

• для физических лиц — от 50 до 100 тыс. руб.;
• для должностных лиц — от 400 до 800 тыс. руб.;
• для ИП и юридических лиц — от 1 до 3 млн руб.

Модульюрист

Юридическая поддержка вашего бизнеса по подписке. Безлимитные консультации, составление договоров, досудебных претензий, защита интересов в суде. От 12 490 рублей в месяц

Узнать больше