Оператор персональных данных: кто является, обязанности, штрафы Роскомнадзора

Главная / Словарик / Оператор персональных данных

Оператор персональных данных — это компания, организация или физическое лицо, которые собирают, хранят и обрабатывают в электронном виде личную информацию других физических лиц (ФИО, адреса, телефоны, адреса электронной почты и т. д.). По сути, операторами персональных данных являются практически любой бизнес и любая организация — объясняем, почему.

Что говорит закон

Федеральный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ

Главный документ, который регулирует оборот персональных данных в России, — это федеральный закон 152-ФЗ. Именно в нем прописано, что считается персональными данными (правда, не очень конкретно), кто их может и не может собирать, как должен хранить, обрабатывать и использовать.

Этот закон называет оператором персональных данных «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».

Всякий бизнес работает с людьми — это сотрудники, клиенты, партнеры и исполнители, работающие по договорам ГПХ. Все это физические лица, ведь ими считаются и ИП, и самозанятые, а у юридических лиц есть отдельные представители, персональные данные которых тоже могут собираться и храниться. Получается, что оператором персональных данных является практически любой бизнес, даже самый маленький.

Важно, что о намерении собирать данные каждый оператор должен уведомлять Роскомнадзор (РКН) еще до начала сбора (и обработки). Поэтому понять, является ли именно ваш бизнес или организация таким оператором, нужно как можно скорее — чтобы не нарваться на штрафы за нарушение закона.

Несмотря на строгие правила, в законодательстве есть три основания не подавать в РКН уведомление. Так может быть, если вы обрабатываете данные:

включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (то есть секретную государственную информацию);
без использования средств автоматизации (то есть, например, записываете номера клиентов в блокнот);
обрабатываемые в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.

Что обязан делать оператор персональных данных

Вот основные обязанности оператора персональных данных:

уведомлять Роскомнадзор о начале сбора/обработки данных до начала сбора или обработки;
составлять и обновлять политику обработки персональных данных;
собирать cookie только с согласия посетителя своего сайта;
хранить и обрабатывать собранные данные только на российских серверах;
использовать средства защиты данных и не допускать утечек;
своевременно сообщать об утечках и проводить расследования для выяснения причин, если утечки все же произойдут.

За неисполнение практически любой из этих обязанностей компанию, ИП или самозанятого ждет штраф. Самозанятые в этом контексте приравниваются к обычным физлицам и платят по установленным для них нормам закона. Кроме того, если есть сотрудник, ответственный за нарушение, — например, должностное лицо в компании, — то штраф назначат еще и этому человеку.

Что будет, если оператор персональных данных работает без уведомления РКН

Нарушений в работе операторов персональных данных много, но самые распространенные по статистике штрафов — работа без уведомления РКН об обработке данных и об утечках, когда они происходят. С 30 мая 2025 года за это предусмотрены большие штрафы.

За неуведомление РКН об обработке данных: