Оператор обработки персональных данных: обязанности и функции в 2025 году
Дарья Алексеева
Физические и юридические лица, использующие личную информацию граждан в целях своего бизнеса, являются операторами персональных данных (ПДн). Законодательство предъявляет к ним определённые требования, невыполнение которых может привести к административным штрафам или даже уголовной ответственности. В 2025 году ожидается существенное ужесточение наказаний за нарушения в сфере обработки персональных данных. Поэтому понимание роли оператора ПДн и его ответственности — ключевая обязанность всех организаций и физлиц, планирующих использовать в своей работе личные данные работников и клиентов.
В этой статье разберёмся, что представляет собой оператор персональных данных, какие у него функции и обязанности, а также расскажем, что необходимо сделать, чтобы обосновать законность сбора и обработки персональных данных субъектов.
Кто такой оператор обработки персональных данных
Основные определения и правила, связанные с обработкой ПДн, регулируются Федеральным законом от 27 июля 2006 года № 152-ФЗ. Здесь в статье 3 оператор персональных данных определяется как субъект (государственный или муниципальный орган, юридическое или физическое лицо), который организует и/или осуществляет обработку ПДн, а также определяет цели этой обработки, состав используемых данных и действия, совершаемые над ними.
В роли оператора персональных данных может выступать компания, индивидуальный предприниматель или физлицо в статусе самозанятого. Главное, чтобы собранные ПДн обрабатывались не в личных целях каких-то лиц, а строго в законных интересах бизнеса.
Функции оператора персональных данных
Закон 152-ФЗ не даёт точного перечня действий, на которые оператор ПДн имеет право. Однако отдельные статьи закона прописывают права субъектов персональных данных, а также принципы и условия обработки ПДн операторами. Таким образом, операции, которые могут осуществляться при обработке собранной информации, каждый оператор должен самостоятельно определить и указать в согласии на обработку ПДн и локальных актах. Часто речь идёт о таких действиях, как:
- сбор информации;
- систематизация и использование собранных данных;
- распространение данных (передача третьим лицам);
- обезличивание и уничтожение персональных данных.
Обязанности оператора персональных данных
Обязанностям оператора ПДн в Федеральном законе № 152-ФЗ посвящена целая глава. Так, например, здесь прописаны чёткие требования к тому, какие меры должны быть применены для обеспечения безопасности данных, в каких локальных НПА следует отразить порядок обработки ПДн, что должны делать лица, ответственные за организацию обработки ПДн и многое другое.
Условно обязанности оператора можно разделить на три категории.
- Прозрачность своих действий. Сюда входит уведомление Роскомнадзора, организация учёта обработки ПДн, информирование субъектов о целях сбора и обработки персональных данных.
- Соответствие требованиям закона: организация защиты ПДн, закрепление правил обработки ПДн в локальных нормативно-правовых актах, назначение ответственного лица.
- Соблюдение прав субъектов персональных данных: разработка и утверждение форм согласий на обработку и распространение ПДн, получение согласий от физлиц, обработка запросов и обращений субъектов персональных данных.
Реестр операторов персональных данных
Органом, уполномоченным защищать права субъектов ПДн, является Роскомнадзор. Именно он следит за тем, как выполняются требования закона о персональных данных.
Прежде чем начать работу с ПДн субъектов, каждый оператор обязан представить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных. На основании этого документа ведомство вносит оператора в соответствующий Реестр.
Реестр операторов персональных данных Роскомнадзора — общедоступный информационный источник, в котором содержится перечень всех юридических и физических лиц, обрабатывающих ПДн субъектов.
Кроме того, оператор обязан формировать отдельные уведомления для Роскомнадзора, если:
- изменились сведения, которые ранее были внесены в Реестр (уведомить до 15-го числа следующего месяца);
- оператор намерен прекратить обработку персональных данных (уведомить в течение 10 рабочих дней).
Все формы уведомлений, которые могут потребоваться оператору, содержаться в Приказе Роскомнадзора от 28 октября 2022 года № 180.
Если оператор получит от Роскомнадзора запрос, он обязан ответить на него в течение 10 рабочих дней. В случае утечки персональных данных ведомство также следует проинформировать: не позднее 24 часов — о самом происшествии, и не позднее 72 часов — о результатах его расследования. Для передачи таких сообщений оператор может воспользоваться порталом Госуслуги.
Как проверить сведения в Реестре
Закон №152-ФЗ устанавливает, что информация из Реестра операторов персональных данных является общедоступной (исключение — сведения о средствах обеспечения безопасности, которые оператор применяет при обработке ПДн). Следовательно, любое заинтересованное лицо может свободно запрашивать данные из Реестра.
Чтобы это сделать, нужно зайти на сайт Роскомнадзора в раздел «Реестр операторов» и произвести поиск по ИНН или наименованию организации. Во втором случае достаточно указать только основное наименование (без кавычек или сокращений, без указания организационно-правовой формы и т.д.).
Ответственность за нарушение законодательства о персональных данных
С 2025 года заметно ужесточается ответственность за несоблюдение правил в сфере обработки ПДн. Связано это с Федеральным законом от 30 ноября 2024 года № 420-ФЗ, который вступает в силу 30 мая 2025 и вносит изменения в Кодекс Российской Федерации об административных правонарушениях.
Штрафные санкции, утверждённые ч. 1 ст. 13.11 КоАП РФ, поднимутся до следующих значений:
- для физических лиц — от 10 000 до 15 000 рублей;
- для должностных лиц — от 50 000 до 100 000 рублей;
- для юридических лиц — от 150 000 до 300 000 рублей.
Закон № 420-ФЗ также вводит спецсоставы правонарушений:
- неуведомление Роскомнадзора о намерении обрабатывать ПДн;
- неуведомление об утечке персональных данных;
- действия (или их отсутствие), которые повлекли за собой утечку ПДн;
- действия (или их отсутствие), которые повлекли за собой утечку ПДн специальной категории;
- действия (или их отсутствие), повлёкшие за собой утечку биометрических персональных данных.
Часть 11 новой редакции статьи 13.11 КоАП РФ предусматривает серьёзные штрафы для операторов, не уведомивших Роскомнадзор об утечке персональных данных:
- для физических лиц — от 50 000 до 10 000 рублей;
- для должностных лиц — от 400 000 до 800 000 рублей;
- для юридических лиц — от 1 млн до 3 млн рублей.
Сумма штрафа за саму утечку будет зависеть от общего количества субъектов, чьи данные оказались скомпрометированы, но не более 500 млн рублей.
Если говорить об уголовной ответственности, то здесь стоит помнить о Статье 272.1 УК РФ, устанавливающей ответственность за сбор, хранение и передачу персональных данных, полученных незаконным путём (наказание может составить от 4 до 10 лет тюремного срока). Неправомерный доступ к компьютерной информации, повлёкший за собой блокирование, уничтожение или копирование этой информации, тоже регулируется Уголовным кодексом РФ (наказание по Статье 272 УК РФ может быть как в виде штрафа, так и в виде реального тюремного срока, в зависимости от особенностей правонарушения).
Часто задаваемые вопросы (FAQ)
Да, обязан на основании Статьи 22 Федерального закона № 152-ФЗ. Уведомление можно не предъявлять лишь в особых случаях:
- обработка данных в ГИС, созданных для защиты безопасности общественного порядка;
- обработка ПДн без средств автоматизации;
- обработка ПДн в целях обеспечения транспортной безопасности.
Точный перечень каждый оператор определяет самостоятельно. Однако чаще всего в число локальных НПА входят:
- политика обработки персональных данных (основной документ, содержащий информацию как для субъектов ПДн, так и для Роскомнадзора);
- различные регламенты (инструкция для лица, ответственного за организацию обработки персональных данных; порядок сбора ПДн; регламент по определению степеней защищённости данных в информационных системах; и т.д.);
- приказ о назначении работника, ответственного за организацию обработки персональных данных;
- локальные НПА, регламентирующие порядок допуска сотрудников к обработке персональных данных;
- сведения о способах уничтожения персональных данных, а также их резервного копирования.
Полный перечень документов представлен здесь.
Кроме того, оператор должен разработать формы согласий субъектов на обработку персональных данных. При этом важно проследить за тем, чтобы эти формы ясно отображали цели обработки ПДн и в дальнейшем служили доказательством того, что субъект ПДн согласен со всеми действиями в отношении своих данных.
Ответственный сотрудник назначается специальным приказом. Важно, чтобы у назначенного лица был достаточный объём ресурсов и статус, позволяющий ему получать сведения от разных подразделений и раздавать указания. К обязанностям ответственного лица относится проведение аудитов, информирование сотрудников о действующих законах, контроль обработки запросов субъектов ПДн и многое другое.
Письменное согласие на обработку персональных данных — это документ, который содержит личные данные физлица. Порядок хранения документов, содержащих персональные данные работников или клиентов, определяется самим оператором ПДн с учётом требований законодательства.
Если обратиться к закону № 152-ФЗ, то общее правило хранения согласий и прочих документов будет звучать так: информация должна храниться в форме, позволяющей определить конкретную личность, и не дольше, чем того требует цель её обработки.
Дарья Алексеева
Сергей Феоктистов
Дарья Алексеева
Дарья Кочергина
Дарья Кочергина
Дарья Кочергина
Дарья Кочергина
Дарья Кочергина
Дарья Кочергина
Астрал Отчет 5.0
Астрал Отчет 4.5
1С-Отчетность
1С-УП
Астрал Доверенность
МЧД
Астрал.Маркировка
Продукты 1С
Астрал.Платформа
Внесение изменений
Астрал.Торги
Регистрация бизнеса
1С-ЭТП
Астрал Подпись
Подпись ФНС
Корпоративный УЦ
КриптоПро
КриптоАРМ
JaCarta LT
JaCarta-2 SE
Рутокен Lite
Рутокен ЭЦП 2.0.2100
Рутокен ЭЦП 3.0
Доки
1С-ЭПД
1С-ЭДО
Астрал.ЭДО
Астрал iКЭДО
Роуминг
Астрал.СКРИН
Астрал.ОФД
Онлайн-кассы