Обязанности оператора персональных данных в 2026 году: полный гайд для бизнеса

Ваш клиент может подать жалобу в Роскомнадзор из-за спам-рассылки, на которую не давал согласия, или из-за того, что на сайте нет Политики обработки персональных данных (ПДн). Штрафы за такие нарушения довольно существенные, а репутационные потери — и того больше. Чтобы избежать таких рисков, достаточно выполнять обязанности оператора персональных данных. Мы расскажем, что в них входит и как это реализовать на практике. 

Кто считается оператором 

Оператор персональных данных — это коммерческая организация, государственное учреждение, индивидуальный предприниматель или физлицо, которые самостоятельно определяют, для каких целей и как обрабатывать личную информацию физических лиц — субъектов ПДн (ст. 3 ФЗ от 27.07.2006 №152-ФЗ). 

Рассмотрим на простых примерах, кто считается оператором 

1. Интернет-магазин — обрабатывает ФИО, адреса и телефоны покупателей.
2. Салон красоты — для записи клиентов нужно как минимум имя и номер телефона.
3. Работодатель — ведет кадровый учет сотрудников.

Даже ИП с сайтом-визиткой, где есть форма обратной связи, собирает ПДн и считается оператором.

Что входит в обязанности оператора персональных данных 

Все права и обязанности оператор должен соблюдать еще на этапе сбора. Ст.18 Федерального закона №152-ФЗ устанавливает четкие правила:

1. Если вы получаете данные напрямую от человека, вы обязаны:

• Предоставить по его просьбе полную информацию об обработке. Это требования статьи 14 Федерального закона №152-ФЗ. 
• Разъяснить последствия отказа. Если закон обязывает вас взять у субъекта согласие на обработку ПДн, вы должны объяснить, что будет, если он откажется.

2. Если данные получены не от самого субъекта (например, из открытых источников или от партнера), ваши обязанности строже. До начала обработки вы должны уведомить человека и сообщить:

• наименование организации и контактные данные;
• цель и правовое основание обработки;
• перечень данных, которые получили;
• кто будет иметь доступ к этим данным;
• его права по закону №152-ФЗ;
• источник, откуда взяли информацию.

Важный запрет касается данных россиян. Вы не можете собирать и хранить их в базах за рубежом. То есть нельзя использовать для этих целей иностранное ПО и сервисы — необходимо найти российские решения. 

Обязанности оператора при обработке персональных данных

На этом этапе у оператора появляется комплекс практических обязанностей и мер для их исполнения. Основа — статья 18.1 Федерального закона №152-ФЗ. Что должен сделать оператор:

1. Обеспечить конфиденциальность. Доступ к данным должны иметь только уполномоченные лица.
2. Не объединять базы данных. Запрещено смешивать информацию, собранную для разных, несовместимых целей. 
3. Хранить данные в форме, позволяющей идентифицировать субъекта, не больше того срока, который нужен для целей обработки. По истечении срока данные необходимо обезличить или уничтожить.
4. Опубликовать документ, определяющий политику в отношении обработки данных. Он должен быть общедоступным, например, размещен на вашем сайте.
5. Принимать меры по защите. Это ключевая обязанность. Вы должны:

• назначить ответственного за организацию обработки;
• издать внутренние документы с процедурами;
• применять технические средства защиты (шифрование, антивирусы и т.д.);
• оценить вред, который может быть причинен субъектам;
• регулярно контролировать уровень защищенности данных.

6. Сообщать субъекту о факте обработки его данных. По запросу человека вы обязаны подтвердить, что обрабатываете его информацию, и предоставить сведения об обработке.
7. Выполнять предписания уполномоченного органа — Роскомнадзора.
8. Вести учет обращений субъектов. Вы должны фиксировать запросы на доступ, уточнение или блокировку данных и своевременно на них реагировать.

Выполнение этих обязанностей минимизирует риски утечек и штрафов. 

Какие документы обязан разработать оператор 

Ваш пакет документов — это доказательство соблюдения требований закона. Его состав зависит от масштабов обработки, но базовый набор обязателен.

Основные документы можно разделить на несколько групп:

№1. Организационно-распорядительные документы:

• Политика оператора в отношении обработки ПДн. Это главный документ, который является основой для всех действий. Оператор обязан предоставить всем открытый доступ к ней. 
• Приказы: о назначении ответственного за обработку, об утверждении политики, о перечне сотрудников, имеющих доступ к данным и т.д.
• Положения: об обработке данных, об ответственности сотрудников, о порядке уничтожения данных и т.д.

№2. Документы для взаимодействия с субъектом:

• Согласие на обработку ПДн в разных формах (общее, для распространения, на передачу, для несовершеннолетних).
• Правила рассмотрения обращений субъектов и журнал учета таких обращений. 

№3. Документы по безопасности и учету:

• Меры защиты фиксируются в инструкциях: для администратора безопасности, для работы с носителями данных.
• Требования к парольной защите и оборудованию помещений оформляются отдельными положениями.
• Обязательны журналы учета: лиц, допущенных к данным; машинных носителей; инцидентов и т.д.
• Акт оценки вреда и модель угроз безопасности — ключевые документы по защите ПДн.

№4. Документы по отдельным процедурам: 

• Акты: об уничтожении данных, о выявлении нарушений и т.д.
• Регламент резервного копирования и восстановления.
• Копии уведомлений в Роскомнадзор: об обработке ПДн, об изменении сведений, о намерении осуществлять трансграничную передачу, об утечке (если она была). 

Не все документы из этого списка нужны малому бизнесу. Но политика, согласие, приказ о назначении ответственного и журналы учета доступа — это необходимый минимум, без которого ваша деятельность по обработке ПДн будет считаться нарушением. 

Обязанности оператора при взаимодействии с Роскомнадзором

Оператор обязан оперативно реагировать на запросы Роскомнадзора. По закону вы должны дать ответ в течение 10 рабочих дней с момента получения запроса. При необходимости срок можно продлить еще на 5 дней, но только с предварительным мотивированным уведомлением РКН (ч. 4 ст. 20 №152-ФЗ).

Крайне важно вовремя сообщить в Роскомнадзор об утечке:

1. В течение 24 часов — о самом инциденте и принятых мерах.
2. В течение 72 часов — о результатах внутреннего расследования, включая причины и виновных.

Уведомление направляется через портал «Госуслуги» или систему ГосСОПКА. В случае компьютерных атак дополнительно требуется сообщить в ФСБ.

Что обязан выполнить оператор при передаче обработки данных третьему лицу

Оператор вправе передать обработку данных третьему лицу, которое будет действовать по его поручению. Это часто необходимо для ведения кадрового учета, бухгалтерии, проведения маркетинговых рассылок, аудита или юридического сопровождения. Такое лицо называется исполнителем или агентом.

Передача возможна, если у оператора уже есть законное основание для обработки данных. Оператор должен заранее получить от человека согласие не только на обработку, но и на ее поручение конкретному третьему лицу. Для ПДн сотрудников такое согласие всегда оформляется письменно, как того требует ст. 88 ТК РФ.

Чтобы оформить передачу юридически правильно, оператор должен выполнить несколько шагов:

1. Составить поручение на обработку. Его можно оформить как приложение к договору или отдельный документ. В нем обязательно указывают:

• перечень передаваемых данных;
• цели и конкретные действия, которые может совершать исполнитель;
• обязанность исполнителя соблюдать конфиденциальность и требования закона о безопасности данных;
• обязанность исполнителя сообщать оператору о любых инцидентах (утечках).

2. Проверить, что согласие субъекта соответствует требованиям. Оно должно быть конкретным, информированным и содержать данные будущего исполнителя.

Помните, что исполнитель обрабатывает данные строго в интересах оператора и несет перед ним ответственность. Оператор же остается ответственным перед субъектом данных. 

Ответственность оператора 

Нарушение закона об обработке ПДн влечет административную ответственность по ст.13.11 КоАП РФ. Штрафы для юрлиц могут достигать десятков миллионов рублей. Все зависит от конкретного нарушения:

1. Обработка без письменного согласия или с нарушением его формы. Штраф для компании — до 700 000 рублей. При повторном нарушении — до 1.5 млн рублей.
2. Необеспечение безопасности данных, повлекшее утечку. Ответственность зависит от масштаба и категории данных: например, за утечку биометрии можно получить штраф до 20 млн рублей, а при повторном инциденте — 1-3% годового оборота компании, минимум 25 млн и не более 500 млн рублей. 
3. Неисполнение обязанностей перед субъектом: непредоставление информации, неисполнение требований об уточнении или удалении данных: штраф до 90 000 рублей.

Помимо штрафов, оператор обязан возместить причиненный ущерб и моральный вред субъекту по правилам гражданского законодательства Российской Федерации (ст.24 ФЗ №152-ФЗ). 
Соблюдать обязанности оператора персональных данных легче, если рядом есть юристы, которые всегда готовы прийти на помощь. Доверьтесь экспертам Роском Сервис и создайте прочный правовой фундамент для своего бизнеса, избежав рисков и крупных штрафов.