Оператор персональных данных в 2025 году: кто это и как им стать

Оператор ПД — любой человек или компания, которые работают с персональными данными. Оператор, осуществляющий обработку персональных данных, должен собрать кучу бумаг, зарегистрироваться в реестре и правильно работать с ПД, иначе — дикие штрафы.

В статье рассказываем, кому важно зарегистрироваться в качестве оператора и что нужно сделать перед этим.

Операторы персональных данных — физические или юридические лица, которые собирают, обрабатывают, хранят персональные данные. Персональные данные — это ФИО, адрес, телефон, почта, паспортные данные, данные о состоянии здоровья и любые другие сведения, с помощью которых человека можно узнать и идентифицировать.

Например, если предприниматель собирает ФИО, телефоны, адреса всех клиентов в Excel, он работает с персональными данными. Если в компании нанимают сотрудников, собирают о них информацию, это также работа с ПД. А все, кто работают с такими данными становятся операторами персональных данных. Вот, кто является оператором персональных данных.

У операторов есть обязанности. Они должны регистрироваться в Роскомнадзоре, обеспечить защиту ПД, получать согласие у объектов ПД на работу с данными и защитить эти данные. Объекты — люди, чьи данные обрабатывают.

Например, если я оставлю свою почту на сайте компании, я объект ПД, а компания — оператор. В этом случае компания обязана пройти регистрацию оператора персональных данных.

1. Разработать пакет документов

Прежде чем работать с персональными данными, нужно подготовиться. Для этого составляют такие документы:

• Политику обработки ПД. Внешний документ, в котором указывают информацию об операторе, как будете обрабатывать данные и какие именно, цели сбора данных. Этот документ добавляют на сайт.
• Положение о работе с ПД. Внутренний документ, в котором прописывают правила работы с ПД для каждого этапа: сбора, хранения, обработки, изменения, уничтожения.
• Обязательство о неразглашении ПД. Сотрудники, которые работают с ПД, подписывают обязательство не разглашать данные третьим лицам.
• Приказы о назначении ответственных за обработку ПД. В документе указывают, какой сотрудник работает с ПД и что именно входит в его обязанности.

Иногда люди отзывают своё согласие на обработку ПД, тогда нужно перестать использовать сведения, затем уничтожить их. Для этого нужны такие документы:

• акт об уничтожении ПД
• приказ о создании комиссии по уничтожению ПД
• выгрузка из журнала регистрации событий в информационной системе

Вообще документов может быть несколько десятков. Всё зависит от того, с какими данными работает компания. Посмотреть основные документы можно здесь.

2. Выбрать способ хранения ПД

Информацию можно хранить в компьютере, в программах, в базах данных, в облаке, на собственном сервере или на бумаге. Чаще всего оператор хранит персональные данные клиентов в электронном формате, а информацию о сотрудниках в бумажном архиве.

Есть общие требования к хранению данных:

• ПД должны быть надёжно защищены, их нельзя передавать третьим лицам, если это не прописано в документах. Оператор персональных данных вправе делегировать обработку ПД, но он обязан позаботиться о безопасности ПД, В этом случае ответственность за защиту ПД несёт именно оператор
• ПД хранят в зависимости от целей обработки. Если цель выполнена, через 30 дней их уничтожают
• Когда цель завершена, оператор больше не может работать с данными, он обязан их уничтожить. Это важная часть полномочий оператора персональных данных

Есть и специальные требования к хранению данных, которые зависят от категории ПД. Всего их 4:

1. Общедоступные. Это общая информация: фамилия и имя, место рождения, СНИЛС, профессия, реквизиты банковской карты, телефонный номер.
2. Специальные. Это данные о судимости, национальность, религиозные убеждения.
3. Биометрические. Данные голоса, отпечатки пальцев, фотографии, данные о ДНК.
4. Иные. Оставшаяся информация, допустим, принадлежность к какой-то социальной группе.

Оператор персональных данных несет ответственность за то, чтобы обеспечить нужный уровень защиты ПД. Для всех типов ПД есть свои требования защиты, они указаны в таких нормативных актах:

• Приказ ФСБ России от 10 июля 2014 № 378
• Приказ ФСТЭК России от 18.02.2013 № 21
• Постановление Правительства РФ от 6 июля 2008 N 512 «Об утверждении требований к материальным носителям биометрических персональных данных»

Для защиты персональных данных нанимают специалиста по информационной безопасности. Он контролирует выполнение требований нормативных правовых актов Российской Федерации и локальных нормативных актов компании в сфере информационной безопасности.

Определить, какой уровень защищенности ПД нужен в вашей ситуации, можно с помощью специального калькулятора ФСТЭК.

3. Зарегистрироваться в реестре

Оператор до начала обработки персональных данных должен подать заявку, чтобы его включили в реестр операторов. Это можно сделать на Госуслугах или на сайте Роскомнадзора. Есть и третий вариант — отправить заявление в бумажном варианте.

Есть несколько случаев, когда не нужно регистрироваться в реестре операторов обработки персональных данных:

• вы обрабатываете ПД, которые важны для защиты безопасности государства, общественного порядка и транспортной безопасности
• вы обрабатываете на бумажных носителях: информацию о сотрудниках согласно ТК РФ, берёте у них только ФИО или разово пропускаете людей на территорию, давая им пропуск

Требования к операторам прописаны в Федеральном законе № 152-ФЗ от 27.07.2006. По сути их все можно свести к трём основным тезисам:

1. Оператор персональных данных обязан сделать все действия с персональными данными прозрачными, чтобы контролирующие органы могли легко проводить проверки
2. Оператор должен организовать обработку и хранение ПД мероприятия в рамках закона
3. Оператор должен соблюдать права субъекта ПД — того, чьи сведения собирает оператор. Права субъектов описаны в главе 3 Федерального закона № 152-ФЗ

В любой момент Роскомнадзор может потребовать показать документы, регламентирующие обработку ПД, или изучить, как вы выполняете обязанности оператора персональных данных. Если Роскомнадзор пришлёт запрос, например, на рассмотрение документов, нужно ответить не позже 10 рабочих дней.

Ещё если произошла утечка данных или какое-то ЧП, об этом оператор должен уведомить Роскомнадзор через Госуслуги или ЕСИА. Об утечке нужно сообщить в течение 24 часов. Также оператор обязан провести расследование, о результатах надо доложить в течение 72 часов после утечки.

Функции оператора персональных данных:

• Собирать ПД с разрешения субъекта, и только законным путем. Нельзя брать информацию самостоятельно, например, из интернета
• Следить, чтобы собранные данные использовали в соответствии с целями обработки, прописанными в документе. Также нельзя собирать избыточные сведения. Например, просить покупателя указать свои религиозные убеждения.
• Отдельно вести базы данных, собранные для разных целей. К примеру, данные сотрудников и покупателей нужно хранить отдельно
• Разъяснить субъекту ПД юридические последствия отказа от предоставления согласия или ПД, если они нужны в соответствии с законом (ч. 2 ст. 18 152-ФЗ). Это ответственность оператора персональных данных

Нельзя просто брать данные сотрудников или клиентов, на это нужно получать согласие у каждого человека. Именно поэтому к форма сбора контактов на сайтах прикручивают чек-боксы, где нужно согласиться на обработку данных.

В остальных случаях согласие — документ, который подписывает субъект. Например, в магазине администратор выдаёт клиентам бумажные бланки, которые те подписывают. В компании сотрудникам дают на подпись бумажные бланки, а удалённым сотрудникам отправляют электронную версию формы согласия на обработку ПД.

Если оператор не подаст уведомление в Роскомнадзор о работе с ПД, с 30 мая 2025 года он получит увеличенный штраф:

• от 5 000 ₽ до 10 000 ₽ — для физлиц
• от 30 000 ₽ до 50 000 ₽ — для должностных лиц
• от 100 000 ₽ до 300 000 ₽ — для ИП и компаний

Штраф за утечку ПД зависят от количества человек, чьи данные скомпрометирует оператор ↓

Штрафы за повторную утечку данных ещё выше ↓

Если не уведомить Роскомнадзор об утечке данных вовремя, также придётся платить штраф.

Штрафы за отсутствие согласия на обработку ПД:

• 10 000 ₽ – 15 000 ₽ — для граждан
• 100 000 ₽ – 300 000 ₽ — для должностных лиц и ИП
• 300 000 ₽ – 700 000 ₽ — для юрлиц

1. Оператор обработки персональных данных — любой человек или компания, которые собирают, обрабатывают, хранят персональные данные. Персональные данные — это ФИО, адрес, телефон, почта, паспортные данные, данные о состоянии здоровья и т. д.
2. Как стать оператором: разработать пакет документов, выбрать способ хранения ПД, назначить ответственных, зарегистрироваться в реестре Роскомнадзора.
3. Оператор обработки персональных данных обязан получать согласие на обработку ПД, работать с данными, в соответствии с целями, указанными в документах.
4. В любой момент Роскомнадзор может потребовать показать документы, регламентирующие обработку ПД, или изучить, как вы собираете, храните, защищаете, уничтожаете данные. Если Роскомнадзор пришлёт запрос, например, на рассмотрение документов, нужно ответить не позже 10 рабочих дней.