Оператор персональных данных

Все предприниматели и компании работают с персональными данными клиентов и сотрудников, поэтому автоматически становятся операторами ПДн. Этот статус диктует необходимость строго соблюдать законодательные требования. Рассказываем, как должны работать операторы, чтобы не получить штрафы за нарушение закона.

Кто такой оператор персональных данных

Согласно 152-ФЗ «О персональных данных», операторами являются лица или организации, которые осуществляют хранение и обработку персональных данных. Они же отвечают за определение целей обработки и защиту конфиденциальных сведений.

Ответственный за ПДн

Оператор персональных данных — это тот, кто организует процесс обращения с такой информацией и несет ответственность перед субъектами ПДн и контролирующими органами.

Команда Solar Dozor

Кто считается оператором персональных данных:

• Юридические лица. Компании любых форм собственности, масштабов и сфер деятельности.
• Муниципальные и государственные органы. Администрации, министерства, ведомства, образовательные учреждения.
• Индивидуальные предприниматели. ИП в любой сфере деятельности, даже при условии отсутствия наемных работников.
• Физические лица. Граждане, оказывающие услуги и собирающие персональные данные не в личных и семейных целях. Работа с ПДн только «для себя» выпадает из-под регулирования 152-ФЗ (кроме случаев, когда лицо действует во вред другому).

Лица, обрабатывающие ПДн, автоматически получают статус оператора персональных данных, а вместе с этим и необходимость соблюдения законодательства. Масштаб деятельности практически не играет роли — требования и процессы для всех операторов во многом похожи. Могут различаться обязанности. Например, физические лица, в том числе ИП, могут не назначать ответственных за обработку ПДн и не публиковать политику обработки.

Обязанности оператора персональных данных

Закон 152-ФЗ диктует права операторов и регламентирует действия с данными. Что должен делать оператор:

• Обрабатывать данные на правовой основе. За исключением случаев, предусмотренных законом, оператор обязан получить явное согласие субъекта ПДн. Оно по общему правилу оформляется в любой форме, которая позволяет подтвердить получение согласия. Письменная форма самая частая и удобная для оператора, но она не всегда обязательна. Можно, например, вести запись разговора и получать согласие устно (если речь не о чувствительных данных). С 1 сентября 2025 года прямо запрещено включать согласие на обработку персональных данных в тексты договоров, пользовательских соглашений и т. д. Согласие должно представлять собой отдельный документ.
• Определять четкие цели обработки ПДн. Оператор должен обозначить, зачем собирает, хранит и использует сведения. Этих целей нужно строго придерживаться.
• Собирать и хранить только необходимые данные. Количество и характер собранной информации должны соответствовать целям. «Лишние» ПДн — это уже нарушение.
• Информировать субъектов ПДн. Необходимо уведомлять, с какими целями и как ведутся сбор и обработка сведений, своевременно реагировать на обращения субъектов и регулятора. При соответствующих запросах от субъектов следует изменять или удалять персональную информацию.
• Обеспечивать точность и актуальность сведений. Оператор обязан следить, чтобы собранные данные были корректными, при необходимости обновлять или удалять устаревшую информацию.
• Защищать персональные данные. Оператор должен предпринять меры для снижения рисков ИБ, предотвращения утечек и несанкционированного использования информации.

Полный перечень обязанностей указан в законе 152-ФЗ. Требования сводятся к работе в правовом поле, сбору данных в необходимом количестве, взаимодействии с владельцами и организации мер защиты ПДн.

Уведомление Роскомнадзора: когда и как подавать

Все операторы еще до начала обработки должны подавать в Роскомнадзор уведомление о намерении обрабатывать персональные данные. Это требование прописано в ст. 22 закона 152-ФЗ. В том числе оно относится к компаниям, которые сдают в аренду вычислительные мощности для работы с ПДн. Не затрагивает государственные системы, транспортную безопасность и исключительно ручную обработку персональных данных без использования средств автоматизации.

Четких сроков подачи уведомления закон не предусматривает. Действующий оператор, который пока уведомление не подал, должен сделать это как можно скорее, новый — при появлении намерения обрабатывать ПДн. За несвоевременную подачу уведомления предусмотрена административная ответственность в виде штрафов до 10 000 рублей для физических лиц, до 50 000 рублей — для должностных лиц, до 300 000 рублей — для ИП и юрлиц.

Как можно подать уведомление:

• В бумажном виде. На сайте Роскомнадзора нужно заполнить форму уведомления, затем распечатать ее, подписать и доставить в территориальный орган либо направить почтой.
• В электронном виде. На сайте Роскомнадзора нужно заполнить форму уведомления и подписать квалифицированной усиленной электронной подписью.
• Через портал «Госуслуги». Нужно привязать учетную запись к своей организации (если уведомление подается от имени компании) и подтвердить ее. Затем заполнить форму на портале и отправить.

При первичной подаче нужно заполнить полную форму уведомления, в том числе указать дату начала обработки персональных данных (для компаний это, как правило, дата государственной регистрации). Если в дальнейшем меняются способы работы с данными и источники, в Роскомнадзор следует направить документ с обновленными сведениями.

Согласие на обработку ПДн

Согласие — это подтверждение, что владелец ПДн дает оператору разрешение на хранение и обработку персональных данных, если нет иных правовых оснований. Субъект должен явно его предоставить — новые требования закона о ПДн призваны исключить согласие по умолчанию, например, при регистрации или оформлении заказа на сайте, подписании договора.

Согласие можно получить разными способами. Главное, чтобы субъект ПДн четко понимал, зачем оператор собирает данные и что будет с ними делать. В некоторых случаях закон предусматривает получение согласия строго в письменной форме. Документ должен содержать следующие пункты:

• ФИО, данные паспорта и адрес владельца персональных данных.
• Адрес и полное название компании-оператора или ФИО физлица или предпринимателя, собирающего данные.
• Персональные данные лица, которое по доверенности или на других законных основаниях представляет интересы субъекта, информация которого обрабатывается оператором (если согласие дает представитель).
• Перечень сведений, с которыми можно работать оператору.
• Список действий, которые можно совершать с персональными данными. Например: собирать, хранить, обрабатывать, изменять, передавать третьим лицам и прочее.
• Четкие цели сбора и обработки ПДн.
• Информация о третьих лицах, которые по поручению оператора могут осуществлять хранение и обработку данных (если обработка им поручается).
• Срок действия согласия.
• Доступные способы отозвать согласие. Желательно не делать процесс отзыва согласия слишком сложным: в идеале он должен быть таким же легким, как и предоставление.
• Физическая или электронная подпись субъекта ПДн.

Если оператор планирует передавать персональные данные третьим лицам, он обязан указать это в документе. Если таких третьих лиц много и их перечень может периодически меняться, допускается указать ссылку на страницу сайта с информацией и партнерах, но в таком случае нужно следить за ее актуальностью. По запросу владельца ПДн оператор должен дать достоверную информацию о получателях сведений.

Категории обрабатываемых персональных данных

От характера персональных данных будет зависеть способ получения согласия владельца, правила работы оператора и уровень защиты. Общепринятые категории ПДн:

Нужно хорошо понимать принципы работы с определенными видами информации. Например, может возникнуть вопрос, является ли фотография персональными данными и относится ли она к биометрическим ПДн. Например, снимок на бумажном пропуске или в договоре к биометрии не относится. Это же фото в автоматизированной системе распознавания лиц — относится и нуждается в усиленной защите.

Трансграничная передача персональных данных

Трансграничная передача персональных данных — отправка информации иностранным органам власти, компаниям или лицам. Для операторов установлены строгие требования в этом направлении. Основные моменты:

• Отправка отдельного уведомления в Роскомнадзор. Его нужно передать в контролирующий орган до фактической передачи данных. После ознакомления с уведомлением Роскомнадзор имеет право ограничить или запретить отправку информации иностранным получателям.
• Ограничение передачи информации в «небезопасные» страны. Это государства, которые не являются сторонами Конвенции Совета Европы о защите ПДн или не признаны Роскомнадзором государствами, обеспечивающими адекватную защиту прав субъектов ПДн. Полный перечень доверенных стран установлен приказом Роскомнадзора № 128.
• Локализация персональных данных. Первичные сбор и хранение ПДн российских граждан должны осуществляться внутри России.
• Оценка контрагента. Оператор должен проверить, как иностранный получатель будет защищать сведения. Если иностранное государство не является «надежным», нужно также понимать, какие правовые требования к обработке ПДн действуют на территории такой страны.

Оператор персональных данных продолжает отвечать за информацию даже после отправки иностранным получателям. Он должен информировать субъектов ПДн о целях и порядке обработки сведений, хранить документацию, проверять меры защиты, фиксировать риски ИБ. При необходимости оператор обязан подтвердить законность трансграничной передачи сведений и предоставить информацию по запросу Роскомнадзора. РНК может запросить информацию/документы у каждого оператора по своему усмотрению даже без проведения проверки. Если что-то меняется, например страна получателя или цели обработки персональных данных, оператор обязан повторно уведомить Роскомнадзор.

Требования к защите ПДн

С 1 марта 2026 года вступили в силу новые требования приказа № 117 ФСТЭК России, которые распространяются на ГИС. Нововведения касаются управления уязвимостями, внутренних процессов компании, мониторинга и отчетности.

Для других лиц продолжают действовать требования, установленные приказом ФСТЭК России № 21 и постановлением Правительства России № 1119. Чтобы выполнить требования, операторы персональных данных, должны внедрить организационные, правовые и технические меры защиты ПДн.

Организационные и правовые меры — это выстраивание процессов обработки ПДн в соответствии с требованиями законодательства, определение ответственных лиц и их обязанностей, повышение уровня осведомленности сотрудников в сфере ИБ, разработка внутренних регламентов, политик безопасности и правил создания отчетности. Важно, чтобы они выполнялись, а не существовали только на бумаге. В компании должны быть лица, которые будут контролировать соблюдение требований.

Технические меры подразумевают контроль доступа к ПДн, непрерывный мониторинг событий ИБ и использование средств защиты: межсетевых экранов, систем предотвращения вторжений, антивирусов, СКЗИ. Для предотвращения утечек компании могут использовать DLP-систему(Data Leak Prevention). Она контролирует не доступ к ПДн, а непосредственно действия с такими данными, поэтому считается последним рубежом защиты.

Используйте отечественную сертифицированную ФСТЭК России DLP-систему Solar Dozor и контролируйте все действия с персональными данными

Получить консультацию

Штрафы для операторов персональных данных в 2026 году

В 2026 году ужесточился контроль за соблюдением требований к обработке личной информации. За несоблюдение законодательства предусмотрена административная ответственность. Размеры штрафов зависят от категории оператора, характера нарушения и того, первый это случай или повторный. Актуальные суммы за некоторые нарушения:

Помимо подобных штрафов, нарушения влекут за собой и другие риски — утечки информации (за которые ответственность гораздо строже, вплоть до оборотных штрафов), подрыв репутации и доверия клиентов. За неправомерные сбор и использование сведений, касающихся личной жизни, может последовать и уголовная ответственность.

Устранение негативных последствий иногда обходится бизнесу дороже, чем изначальное внедрение грамотных мер по организации хранения и обработки персональных данных. Кроме того, после выявления нарушений операторы ПДн сталкиваются с повышенным вниманием контролирующих органов — постоянными проверками и более строгими требованиями к внутренним процессам. Чтобы этого избежать, нужно сразу выстраивать прозрачную работу с персональными сведениями.

Утечка персональных данных

Утечка — попадание чувствительной информации к третьим лицам, которым она не предназначена. К этому типу инцидентов ИБ относятся потеря, раскрытие и кража данных, несанкционированный доступ.

Утечки не всегда происходят из-за хакерских атак — часто причина в человеческом факторе, некомпетентности или злом умысле сотрудников. Такие инциденты называются внутренними. Примеры:

• Отправка служебных файлов не тому адресату, на личную почту вместо рабочей.
• Загрузка чувствительных сведений в общедоступное хранилище.
• Использование незащищенных каналов связи.
• Предоставление подрядчику неограниченного доступа к персональным данным.
• Печать документов без соответствующего разрешения.

Эти нарушения могут быть как случайными, так и умышленными. В любом случае отвечать за утечку придется оператору персональных данных, поскольку именно он должен обеспечивать защиту, следить за действиями сотрудников и подрядчиков.

Для предотвращения случайных и намеренных утечек в моменте можно использовать DLP-систему. Она подойдет для крупных компаний, где физически невозможно отследить все нарушения.

Как DLP-система помогает оператору защищать ПДн

DLP-системаDLP-система — система для контроля корпоративных коммуникаций и предотвращения утечек., например Solar Dozor, помогает операторам бороться с внутренними нарушениями, которые могут повлечь за собой утечку персональных и других чувствительных данных. Она позволяет установить, кто из сотрудников нарушает политики ИБ, по каким каналам утекает информация. Основные возможности:

• Выявление ПДн в потоке данных. DLP-система анализирует информацию с учетом контекста и распознает несанкционированную передачу чувствительных сведений.
• Отслеживание различных каналов связи. DLP-система контролирует электронную почту, мессенджеры, корпоративные сервисы, USB-устройства и печать.
• Контроль действий сотрудников. DLP-система позволяет видеть, кто передает, копирует, выгружает и отправляет на печать конфиденциальную информацию.

DLP-система Solar Dozor защищает персональные данные в несколько этапов. Она выявляет ПДн в общей массе с помощью шаблонов, контекстного анализа, ключевых слов, цифровых отпечатков и других технологий. На рабочих станциях система отслеживает сетевой трафик и действия пользователей, которые взаимодействуют с этими данными. Если Solar Dozor отмечает подозрительную операцию, то в зависимости от настроек блокирует ее, отправляет уведомления ответственным лицам или сохраняет доказательства. Также система фиксирует события, связанные с ПДн, и накапливает их в централизованном архиве. Сохраненные сведения облегчают проведение аудита и расследований.

Скачать презентацию

Solar Dozor выделяется на рынке уникальной функцией — UBA (User Behaviour Analytics). В системе есть специальный модуль, который позволяет по 20+ паттернам оценивать действия сотрудников и строить поведенческие профили. Таким образом, можно выявить потенциальных инсайдеров до того, как они принесут компании вред.

От теории к соблюдению требований

Каждый оператор персональных данных должен досконально знать требования законодательства и работать в строгом соответствии с ними. Во избежание утечек нужно использовать сертифицированные средства защиты и контролировать процессы передачи информации, например, с помощью системы Solar Dozor.

Начните контролировать потенциальные каналы утечек и на старте пресекайте внутренние нарушения благодаря высокопроизводительной DLP-системе. Безопасность вашего бизнеса — за нами!

Запросить демонстрацию

FAQ