Исполнение обязанностей оператора персональных данных — Контур.Экстерн Баннер
Экосистема продуктов для бизнеса
Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Управление HR‑процессами
Проверка контрагентов
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Для ритейла и поставщиков
Для нового бизнеса
Крупному бизнесу
Работа с госсистемами
Импортозамещение
Маркировка товаров
Все продукты и решения
  1. Главная
  2. Журнал
  3. Бизнес
  4. Управление

Обязанности оператора персональных данных

Обновлено 14 января 2025 10

ИП, самозанятые и юрлица, которые используют личную информацию граждан в своем бизнесе, относятся к операторам персональных данных. По закону у них есть ряд обязанностей, за невыполнение которых грозит штраф, а иногда и уголовная ответственность. С 30 мая 2025 года в КоАП РФ введены санкции за нарушения в работе с персональными данными, аналогов которым нет ни по одной сфере. Например, штраф для должностных лиц составит до 2 млн рублей, а для компаний и ИП — до 500 млн рублей. Разбираем в статье, как выполнять обязанности оператора персональных данных, чтобы уменьшить риски.

Фотография Наталья Пискарева Наталья Пискарева Эксперт по трудовому законодательству и кадровому делопроизводству

Общие требования

Федеральный закон от 27.07.2006 № 152-ФЗ защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). 

Что изменилось в обработке персональных данных с 1 сентября

Условно требования можно разделить на три группы:

  1. Сделать свои действия прозрачными для государственного контроля.
  2. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации.
  3. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД.

Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ.

Автоматизируйте работу с сотрудниками: рассчитывайте зарплату, НДФЛ, взносы, оформляйте кадровые документы прямо в Экстерне

Попробовать

Контроль (надзор) за деятельностью оператора

Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей.

Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ:

  • в ГИС, созданных для защиты безопасности государства и общественного порядка;
  • исключительно без средств автоматизации;
  • для обеспечения транспортной безопасности.

Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо

Оператор информирует Роскомнадзор (ч. 7 ст. 22 Федерального закона № 152-ФЗ):

  • до 15-го числа следующего месяца — об изменениях в сведениях, которые есть в Реестре операторов;
  • в течение 10 рабочих дней — о прекращении обработки персональных данных.

С 30 мая 2025 года штраф за неуведомление Роскомнадзора об обработке ПД составит для ИП и юрлиц от 100 000 до 300 000 рублей (ч. 10 ст. 13.11 КоАП РФ в ред. Федерального закона от 30.11.2024 № 420-ФЗ). 

Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор:

  • не позднее 24-х часов — об утечке ПД;
  • через 72 часа — о результатах расследования происшествия.

В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ).

Если не сообщить в Роскомнадзор об утечке персональных данных, то штраф для ИП и компании составит от 1 000 000 до 3 000 000 рублей (ч. 11 ст. 13.11 КоАП РФ в ред. Федерального закона от 30.11.2024 № 420-ФЗ). Такие санкции применяют с 30 мая 2025 года.

Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ).

Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний.

В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей.

Выполнение требований 152-ФЗ

Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности:

  • принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); 
  • проводят внутренний аудит;
  • оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами;
  • ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами.

Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. 

Также юрлица издают Политику оператора и внутренние документы по обработке ПД.

В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ).

С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки:

  • категории и перечень ПД;
  • категории субъектов;
  • способы, сроки обработки и хранения;
  • порядок уничтожения ПД при достижении целей.

Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ).

Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте.

Примерный перечень документов оператора-юрлица может выглядеть так:

  1. Политика обработки ПД.
  2. Приказ о назначении ответственного за организацию работ.
  3. Реестр персональных данных.
  4. Положение о защите ПД работников.
  5. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора.
  6. Положение о работе с персональными данными.
  7. Регламент взаимодействия с ГосСОПКА.

Соблюдение прав субъектов ПД

Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора:

  1. Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. 
  2. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку.
  3. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ).
  4. Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина.
  5. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно.
  6. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ).

С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. 

Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ).

Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ).

Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).

Отчитайтесь легко и без ошибок

Удобный сервис для подготовки и сдачи отчетов через интернет.

Сдать отчеты бесплатно

Рекомендации Роскомнадзора для операторов ПД

В августе 2023 года Роскомнадзор опубликовал советы, как уменьшить утечки персональных данных. С учетом многомиллионных штрафов в 2025 году эти рекомендации стали еще более актуальными:

  1. Назначьте приказом ответственного за защиту персональных данных. Совет от «Экстерна»: включите соответствующие обязанности работнику в трудовой договор или должностную инструкцию. Работу по защите ПД оформите как совмещение по ст. 60.2 ТК РФ.
  2. Ограничьте сотрудникам, которые не работают с ПД, физический доступ к ним. Контролируйте, как это выполняется.
  3. Исключите из обработки избыточные персональные данные. Чем меньше личной информации хранит оператор, тем ниже вероятность утечки.
  4. Не храните ПД «на всякий случай». Своевременно уничтожайте или передавайте в архив сведения о клиентах, работниках и других контрагентах, которые уже не нужны вам в работе. Пример: не держите у себя резюме соискателей после того, как закрыли вакансию.
  5. Храните раздельно данные клиентов, работников, соискателей, подрядчиков и т.д., особенно, если у ПД несовместимые цели обработки.
  6. Используйте разные базы данных для контактной информации гражданина (ФИО, телефон, адрес, email, СНИЛС, ИНН) и сведений о взаимодействии с ним (трудовой договор, договор об оказании услуг, расчетные листки и т.д.). Для связи баз используйте синтетические идентификаторы, которые не позволяют без дополнительных алгоритмов соотнести информацию с конкретным человеком. Их тоже храните отдельно. 
  7. Используйте специальные технические и программные средства защиты ПД. Учитывайте, что если вы поручили обработку персональных данных третьим лицам, то это снижает контроль с вашей стороны. Пример: передача на аутсорсинг бухучета, охраны труда, кадрового делопроизводства.
  8. Оперативно информируйте Роскомнадзор о компьютерных инцидентах и утечках ПД. 

Основание: информация с сайта Роскомнадзора от 08.08.2023.

Ответственность оператора

За нарушения в обработке персональных данных грозит административная, а в ряде случаев и уголовная ответственность. Самая «страшная» для оператора статья в КоАП — это ст. 13.11 в ред. Федерального закона от 30.11.2024 № 420-ФЗ. Мы собрали все санкции по ней в отдельную таблицу, а также привели в ней примеры нарушений.

Скачайте таблицу со штрафами по ст. 13.11 КоАП РФ в ред. № 420-ФЗ.

Санкции по ст. 13.11 КоАП РФ (в ред. № 420-ФЗ) фактически не имеют аналогов в КоАП РФ. Например, за повторные утечки специальных или биометрических персональных данных компании или ИП грозит оборотный штраф в размере от 1 % до 3 % от годовой выручки, но не менее 25 млн рублей. Правда, есть верхняя граница штрафа — 500 млн рублей. Если это, конечно, кого-то успокоит.

Причем оператора могут оштрафовать за повторные утечки, даже если он добросовестно принимал меры по защите ПД. Роскомнадзор учтет это как смягчающее обстоятельство и назначит санкции не более 50 млн рублей.

Еще в 2024 году в УК РФ появилась новая статья — ст. 272.1 (Федеральный закон от 30.11.2024 № 421-ФЗ). Она предусматривает ответственность вплоть до лишения свободы до 10 лет за незаконные получение и использование компьютерной информации с персональными данными. Фигурантами уголовного дела могут стать не только взломщики, но и обычные предприниматели, у которых есть недобросовестные партнеры или работники.

Примеры:

  • компания приняла на работу менеджера по продажам и использует его базу данных по клиентам, которую он украл у предыдущего работодателя;

  • рекрутер при проверке кандидата на трудоустройство использовал незаконные программы для поиска информации о человеке в интернете.

Среди некоторых предпринимателей есть заблуждение, что Роскомнадзор не привлечет к ответственности, если не уведомлять его о своей деятельности в качестве оператора ПД, а также об утечках ПД. Это не так. Роскомнадзор активно практикует в последние годы мониторинг информации в Интернете. ИП или компания могут о себе не заявлять — о них все расскажут их соцсети и официальные сайты, а также базы данных ФНС России.

Смотрите перечень индикаторов риска, при наличии которых Роскомнадзор проведет внеплановую проверку оператора ПД

Советы операторам по снижению риска штрафов

С введением многомиллионных штрафов за нарушения в обработке персональных данных эта сфера деятельности стала критической для бизнеса. Полностью отказать от использования личной информации граждан, а, значит, исключить риск ее утечек предприниматели не могут. Но в их силах предпринять ряд мер для своей безопасности.

Разберитесь, для каких именно целей и какие ПД нужны вашей компании. Для этого проведите аудит в структурных подразделениях, какую информацию от контрагентов они собирают и хранят. Составьте Реестр используемых ПД.

Пример

Традиционно «избыточные» ПД и их утечки есть в службах работы с клиентами и в отделах кадров. Их специалисты любят делать ксерокопии личных документов граждан, вносить данные гражданина в разные карточки, анкеты и таблички.

Например, оцените, стоит ли вам продолжать вести не обязательные личные карточки Т-2 и не лучше ли отказаться полностью или хотя бы частично от информации в них.

Минимизируйте количество обрабатываемых ПД. Так вы уменьшите риски привлечения к ответственности за их вероятные утечки.

Ограничьте доступ к ПД со стороны работников. Вы должны точно знать, кто в компании занимается обработкой персональных данных и каких именно, чтобы при утечке найти виновного.

По возможности, исключите использование иностранных программ в работе с ПД. Роскомнадзор неоднократно предупреждал, что иностранные владельцы ПО и хостинг-провайдеры могут в любой момент разорвать сотрудничество с российской компанией, например, по политическим причинам, и тогда бизнес потеряет доступ к своей информации. К тому же на зарубежных серверах данные не всегда защищены от несанкционированного доступа. 

Проведите обучение всех работников в области работы с ПД. Можете, например, разработать памятку и через руководителей структурных подразделений довести ее до каждого работника. Также используют периодические рассылки по e-mail, уголки с информацией, стенды.

Включите обязанность знать и соблюдать законодательство в области ПД в должностные инструкции или трудовые договоры всех без исключения сотрудников, включая рабочих и вспомогательный персонал. Источником утечки далеко не всегда выступают «белые воротнички».

Читайте также:

Экстерн

С Экстерном соблюдать требования законодательства легко. Учет, отчетность, электронные документы — всё в одном месте.

Хочу попробовать
Фотография Наталья Пискарева Наталья Пискарева Эксперт по трудовому законодательству и кадровому делопроизводству
Экстерн

С Экстерном соблюдать требования законодательства легко. Учет, отчетность, электронные документы — всё в одном месте.

Хочу попробовать
#Управление #Бизнес #Работодатель #Ответственность #Персональные данные
10 комментариев
Подпишитесь на рассылку и получите в подарок путеводитель по НДС на 2025 годПодпишитесь на рассылку и получите в подарок путеводитель по НДС на 2025 год
Подписаться

Другие статьи

Все статьи
<
10 комментариев
ЕХ
Екатерина Хар 25 мая
Здравствуйте! У меня ИП которое оказывает услуги юрлицам и ИП (не связанные с бухучетом и отчетностью) , для работы использую ФИО, телефон, адрес, эл. почту сотрудников (представителей) этих юрлиц. сдаю отчетность за ИП онлайн - я являюсь оператором ПД? нужно регистрироваться в Роскомнадзоре?
Галина, эксперт 26 мая
Екатерина Хар, здравствуйте! Отправлять уведомление в Роскомнадзор нужно только в некоторых случаях:
— если вы обрабатываете персональные данные на бумаге;
— если данные включены в государственные системы для защиты безопасности страны, например, собираете данные через биометрию;
— если это связано с транспортной безопасностью по законам РФ.

В вашем случае данные клиентов хранятся и обрабатываются в компьютере, то есть через автоматизированную систему. Поэтому вы должны соблюдать все требования по уведомлению о обработке персональных данных и отправить его.

Еще больше вопросов про обработку ПД разобрал наш эксперт в другой статье, рекомендую ее почитать.
Л
Людмила 28 марта
Можно ли в Согласии на передачу персональных данных просто написать "Оператор может предавать ПД передавать банкам и контрагентам! без конкретизации банков и контрагентов. Спасибо!
А
Андрей 19 января
В этой статье выделенно:
С 30 мая 2025 года штраф за неуведомление Роскомнадзора об обработке ПД составит для ИП и юрлиц от 100 000 до 300 000 рублей (ч. 10 ст. 13.11 КоАП РФ в ред. Федерального закона (ссылка)от 30.11.2024 № 420-ФЗ).

По ссылке "от 30.11.2024 № 420-ФЗ"
Невыполнение или несвоевременное выполнение оператором... о намерении осуществлять обработку персональных данных.
.на граждан от пяти тысяч до десяти тысяч рублей;
.на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей;
.на юридических лиц - от ста тысяч до трехсот тысяч рублей.
Почему для ИП от 100 до 300К?
Эрика, эксперт 22 января
Андрей, в примечаниях Федерального закона от 30.11.2024 № 420-ФЗ указано, что за правонарушения частей 1.1 и 8-18 индивидуальные предприниматели несут ответственность как юридические лица. Поэтому штраф будет в размере от 100 000 до 300 000 рублей.
Л
Лейла 16 декабря 2024
Добрый день. Через "Контур" отправляем отчеты по сотрудникам в ФНС и СФР. В договоре с "Контур" должен присутствовать пункт о защите персональных данных? Пример.
О
Ольга 29 сентября 2022
А если до 01 сентября не сообщил, то можно ли это сделать сейчас? и какая ответственность?
ОФ
Ооо Фосс Электрик 13 сентября 2022
Относится ли Работодатель как владелец персинформации о своих сотрудников к числу операторов ПД ?
Н
Надежда 15 сентября 2022
Ооо Фосс Электрик, я понимаю,что да,но нигде нет четкого списка.
Елизавета Кобрина 15 сентября 2022
Ооо Фосс Электрик, добрый день! Да, относится