Когда возникает статус оператора персональных данных?

Статус оператора возникает в момент фактического начала обработки персональных данных — при первой записи данных клиента в CRM, запуске формы на сайте, оформлении первого сотрудника или заключении договора с физлицом. Отдельная регистрация для получения статуса не требуется.

Оператор персональных данных: кто это и какие обязанности несёт

Q: Является ли ИП оператором персональных данных?

Да. Индивидуальный предприниматель становится оператором ПД в момент, когда начинает собирать данные физических лиц — клиентов, сотрудников или контрагентов. Требования ФЗ-152 распространяются на ИП в полном объёме независимо от размера бизнеса.

Q: Можно ли передать обязанности оператора третьему лицу?

Оператор может поручить обработку данных подрядчику по договору поручения, но ответственность перед субъектами персональных данных остаётся за оператором. Подрядчик отвечает только в рамках договора перед оператором.

Q: Что нужно сделать сразу после того, как стал оператором?

Необходимо подать уведомление в РКН, подготовить и опубликовать политику обработки ПД, настроить согласия во всех формах сбора данных, назначить ответственного за обработку и организовать меры защиты персональных данных.

Главное за 30 секунд

Оператором становится любая организация или ИП, собирающие данные физлиц
Статус оператора возникает автоматически — без регистрации и уведомлений
Обязанности оператора включают уведомление РКН, согласия и защиту данных
Назначение ответственного за обработку ПД обязательно для всех операторов
Нарушение обязанностей оператора может привести к крупным штрафам и проверкам

Кто такой оператор персональных данных

По статье 3 ФЗ-152 оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных.

На практике это означает: если вы собираете, храните, передаёте или используете любые данные физических лиц — вы оператор.

Статус возникает автоматически

Вам не нужно подавать заявление или проходить регистрацию, чтобы стать оператором ПД. Статус возникает в момент первой обработки персональных данных. Уведомление РКН — это обязанность уже действующего оператора.

Кто является оператором на практике

Оператором персональных данных является практически любой бизнес:

| Тип организации | Почему является оператором | |---|---| | Интернет-магазин | Сбор ФИО, телефона, адреса при заказе | | Медицинская клиника | Обработка медицинских данных пациентов | | Работодатель (любой) | Кадровые документы, расчёт зарплаты | | Онлайн-сервис с регистрацией | Email, телефон, cookie пользователей | | Банк, МФО | Финансовые и персональные данные клиентов | | Школа, детский сад | Данные учеников и родителей |

Риск

Многие компании считают себя «слишком маленькими» для ФЗ-152. Закон не устанавливает пороговых значений по размеру бизнеса или количеству обрабатываемых записей. ИП с пятью клиентами и корпорация с миллионной базой — оба оператора с одинаковыми обязательствами.

Основные обязанности оператора

1. Уведомить Роскомнадзор

До начала обработки ПД (или сразу после обнаружения, что вы уже являетесь оператором) необходимо направить уведомление в РКН через сайт pd.rkn.gov.ru.

Уведомление содержит:

Наименование и реквизиты организации
Цели обработки персональных данных
Категории обрабатываемых данных
Категории субъектов (клиенты, сотрудники и т.д.)
Описание мер защиты
Место нахождения серверов

Уведомление Роскомнадзора о начале обработки ПД

2. Получить согласие субъектов

Перед сбором данных необходимо получить конкретное, информированное и добровольное согласие субъекта. Форма согласия — явный активный акцепт (чекбокс, подпись, кнопка).

Согласие должно:

Содержать цель обработки
Описывать перечень собираемых данных
Указывать срок обработки
Содержать сведения об операторе
Давать возможность отозвать согласие

3. Опубликовать политику обработки ПД

На сайте оператора обязана быть доступна (без регистрации) актуальная политика обработки персональных данных. Скрытая ссылка в подвале не освобождает от ответственности — документ должен быть легко найден.

Политика должна содержать:

Цели обработки
Категории данных
Перечень действий с ПД
Информацию о передаче третьим лицам
Контакты оператора
Порядок обращения субъектов

4. Назначить ответственного

Оператор обязан назначить лицо, ответственное за организацию обработки ПД, оформив назначение приказом. Это не обязательно юрист — может быть любой сотрудник с соответствующими полномочиями.

Ответственный обычно:

Контролирует соблюдение ФЗ-152
Организует внутренние регламенты
Ведёт взаимодействие с РКН
Контролирует сроки хранения и уничтожения ПД
Проводит инструктаж сотрудников

5. Обеспечить защиту данных

Технические и организационные меры защиты зависят от категорий обрабатываемых данных и класса информационной системы персональных данных (ИСПДн).

Минимальные меры обычно включают:

Ограничение доступа к базам данных
Пароли и двухфакторную аутентификацию
Резервное копирование
Антивирусную защиту
Журналы доступа и действий сотрудников

Локализация обязательна

Первичная обработка персональных данных граждан России должна осуществляться на серверах, расположенных на территории РФ. Использование только зарубежных облаков (AWS, Google Cloud, Azure) без российской копии — нарушение требований локализации.

Ответственность оператора

За нарушение обязанностей оператора предусмотрена административная ответственность по статье 13.11 КоАП РФ.

| Нарушение | Штраф для юрлица | |---|---| | Обработка без согласия | до 100 000 ₽ | | Нет политики ПД на сайте | до 60 000 ₽ | | Не уведомил РКН | до 100 000 ₽ | | Нарушение локализации | до 6 000 000 ₽ | | Повторное нарушение локализации | до 18 000 000 ₽ |

Дополнительно возможны:

Предписания РКН об устранении нарушений
Блокировка сайта
Судебные иски со стороны субъектов ПД
Репутационные потери после утечки данных

Чек-лист обязанностей оператора

Направлено уведомление в РКН через pd.rkn.gov.ruобязательно
Политика конфиденциальности опубликована на сайтеобязательно
Согласия настроены во всех формах сбора данныхобязательно
Назначен ответственный за обработку ПД (приказ)обязательно
Данные хранятся на серверах в России
Заключены договоры поручения с подрядчиками
Ведётся журнал обращений субъектов ПД
Сотрудники прошли инструктаж по работе с ПД

Вопросы об операторах ПД

Является ли ИП оператором персональных данных?

Да. ИП становится оператором ПД в момент начала сбора данных физических лиц — клиентов, сотрудников или контрагентов. Требования ФЗ-152 распространяются на ИП в полном объёме независимо от количества клиентов.

Когда возникает статус оператора?

В момент фактического начала обработки ПД — при первой записи данных клиента в CRM, запуске формы на сайте, приёме сотрудника или подписании договора с физическим лицом.

Можно ли передать обязанности оператора третьему лицу?

Оператор может передать обработку данных поручителю по договору, но ответственность перед субъектами ПД и РКН остаётся за оператором. Полностью «передать» статус оператора нельзя.

Что нужно сделать сразу после того, как стал оператором?

Подать уведомление в РКН, разработать и опубликовать политику обработки ПД, настроить согласия во всех формах, назначить ответственного приказом и организовать технические меры защиты.

Проверьте, все ли обязанности оператора выполнены

Проверим сайт и документы — за 2 рабочих дня

Получить аудит бесплатно

Александр Петров

Юрист · Эксперт по ФЗ-152

Консультирует средний и крупный бизнес по вопросам соответствия требованиям закона о персональных данных. Более 8 лет практики.