Оператор персональных данных

Операторами персональных данных являются компании, ИП, самозанятые, которые используют личные сведения физических лиц. Закон детально регламентирует работу с персональными данными, за нарушения предусмотрена административная ответственность. С 30 мая 2025 года санкции по многим основаниям были существенно увеличены, появились новые составы, а также оборотные штрафы. В нашей статье расскажем об основных обязанностях оператора персональных данных и о штрафах, которые грозят за их нарушение.

Над статьей работали:
Автор: Сыскова Юлия; редактор: Бурцева Алла

Содержание

1. Кто относится к операторам персональных данных
2. Обязанности операторов персональных данных
3. Является ли ИП оператором персональных данных
4. Является ли самозанятый оператором персональных данных
5. Является ли адвокат оператором персональных данных
6. Ответственность оператора персональных данных

Кто относится к операторам персональных данных

Оператор персональных данных – это организация или физлицо, муниципальный или госорган, который самостоятельно или совместно с другими лицами обрабатывает личные сведения граждан и (или) организует такую обработку (п. 2 ст. 3 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ). Оператор должен определять:
• цели, для достижения которых обрабатываются сведения;
• состав необходимой информации;
• действия (операции), которые он будет совершать с данными.

Под персональные данные подпадает любая информация, которая прямо или косвенно относится к определенному или определяемому физлицу (п. 1 ст. 3 Закона № 152-ФЗ).

При этом под обработкой понимается любое действие (операция) или совокупность действий (операций) с личными сведениями граждан, в частности (п. 3 ст. 3 Закона № 152-ФЗ):
• сбор;
• запись;
• систематизация;
• использование;
• уничтожение и так далее.

Такие действия могут совершаться, как с использованием средств автоматизации, так и без их использования.

Исходя из сказанного, оператором персональных данных будет, например, фирма, которая производит операции с личными сведениями сотрудников или собирает данные своих клиентов – физлиц.

Обязанности операторов персональных данных

Сдача уведомления в Роскомнадзор

По общему правилу до того, как начать обрабатывать личные сведения граждан оператор должен уведомить Роскомнадзор о таком своем намерении (ч. 1 ст. 22 Закона № 152-ФЗ). Исключение из этого правила составляет обработка сведений о физлицах (ч. 2 ст. 22 Закона № 152-ФЗ):
• без использования средств автоматизации;
• включенных в государственные информационные системы, которые созданы для защиты безопасности государства и общественного порядка;
• в случаях, которые предусмотрены законодательством РФ о транспортной безопасности.

Уведомление составляется по форме, которая приведена в Приложении № 1 к Приказу Роскомнадзора от 28.10.2022 № 180. Документ должно подписать уполномоченное лицо, например, генеральный директор фирмы (ч. 3 ст. 22 Закона № 152-ФЗ).

На основании уведомления Роскомнадзор включит оператора в специальный реестр. Его можно найти на официальном сайте ведомства (ч. 4, 4.1 ст. 22, п. 3 ч. 5 ст. 23 Закона № 152-ФЗ, п. п. 1, 5.2.4 Положения, утвержденного Постановлением Правительства РФ от 16.03.2009 № 228).

Формирование комплекта документов

Каждый оператор должен иметь определенный комплект документов, регулирующих порядок работы с личными сведениями. В первую очередь речь идет о Политике в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ). При ее составлении можно использовать Рекомендации, которые разработал Роскомнадзор.

К этому документу оператор обязан обеспечить неограниченный доступ. Если он собирает личные сведения граждан посредством своего сайта, то должен обеспечить доступ к Политике на всех страницах сайта, с помощью которых происходит такой сбор (ч. 2 ст. 18.1 Закона № 152-ФЗ).

Кроме Политики оператор должен разработать локальные нормативные акты, которые (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ):
• определяют категории и перечень обрабатываемых сведений для каждой из целей обработки;
• устанавливают категории физлиц, сведения о которых обрабатываются (работники, клиенты, исполнители и так далее);
• определяют способы, сроки обработки и хранения полученной информации;
• регулируют порядок уничтожения персональных данных, если цели их обработки достигнуты;
• устанавливают процедуры, которые направлены на выявление нарушений законодательства, устранение последствий таких нарушений, а также на предотвращение совершения таких нарушений в будущем.

Если оператор является юрлицом, то его генеральный директор своим приказом должен назначить работника, который будет отвечать за организацию обработки личных сведений граждан (ч. 1 ст. 22.1 Закона № 152-ФЗ). В его обязанности, в частности, входит (ч. 1, 4 ст. 22.1 Закона № 152-ФЗ):
• внутренний контроль за соблюдением организацией и ее работниками законодательства о персональных данных;
• доведение до сведения сотрудников положений законодательства и локальных нормативных актов организации по вопросам обработки и защиты личных сведений;
• организация приема и обработки обращений и запросов субъектов персональных данных или их представителей.

Также руководитель фирмы своим приказом должен утвердить перечень сотрудников, которые имеют право обрабатывать личные сведения граждан. С каждого из них нужно взять письменное обязательство о неразглашении персональных данных.

Защита данных

Организация защиты личных сведений граждан зависит от того, в каком виде они хранятся. Если на бумаге, то для обеспечения безопасности нужно:
• определить помещения, в которых будет храниться документация;
• организовать охрану таких помещений, например, установить замки, решетки на окнах, поставить сигнализацию и видеонаблюдение;
• организовать особый режим доступа в такие помещения, в частности, определить круг лиц, которые могут в них заходить;
• установить конкретные места хранения сведений, например сейфы, железные шкафы.

Если оператор обрабатывает личные сведения с помощью информационной системы (ИС), то для организации защиты он может привлечь специализированную организацию или предпринимателя. Они должны иметь лицензию на деятельность по технической защите конфиденциальной информации (п. 2 Состава и содержания организационных и технических мер, утвержденных Приказом ФСТЭК России от 18.02.2013 № 21).

Состав и содержание мер по обеспечению безопасности персональных данных зависит от уровня их защищенности. Всего существует 4 уровня защиты. Чтобы выбрать нужный, необходимо определить тип угрозы безопасности сведений (п.п. 7, 8 Требований, утвержденных Постановлением Правительства РФ от 01.11.2012 № 1119). Это делается с учетом оценки возможного вреда, проведенной в соответствии с Требованиями, утвержденными Приказом Роскомнадзора от 27.10.2022 № 178.

Если оператору достаточно обеспечить минимальный (четвертый) уровень защищенности сведений, то он должен (п. 13 Требований № 1119):
• обеспечить безопасность помещений, в которых размещена ИС, от неконтролируемого проникновения или неправомерного доступа, а также от пребывания в них лиц, которые не имеют на это право;
• обеспечить сохранность носителей личных сведений граждан;
• утвердить перечень сотрудников, которые для исполнения своих трудовых обязанностей имеют доступ к персональным данным, обрабатываемым в ИС;
• при необходимости использовать средства защиты, прошедшие процедуру оценки соответствия требованиям законодательства в области обеспечения безопасности информации.

По общему правилу при сборе личных сведений граждан РФ, в том числе через Интернет, оператор должен обеспечить их хранение и обработку, используя базы данных, расположенные исключительно в России (ч. 5 ст. 18 Закона № 152-ФЗ).

Получение согласия на обработку данных

По общему правилу на сбор и обработку личных сведений гражданина от него нужно получить согласие (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Оно должно отвечать таким требованиям, как (ч. 1 ст. 9 Закона № 152-ФЗ):
• конкретность;
• информированность;
• сознательность;
• предметность;
• однозначность.

Бланк согласия не утвержден, поэтому документ составляют произвольно. В него необходимо включить информацию, указанную в ч. 4 ст. 9 Закона № 152-ФЗ.
Согласие на обработку личных сведений не требуется в случаях, которые описаны в п. п. 2 — 11 ч. 1 ст. 6 Закона № 152-ФЗ.

Отдельно от других согласий оформляется согласие гражданина на обработку персональных данных, разрешенных для распространения (ч. 1 ст. 10.1 Закона № 152-ФЗ).

Требования к содержанию данного документа утверждены Приказом Роскомнадзора от 24.02.2021 № 18.

Прекращение обработки данных

Оператор должен прекратить обрабатывать личные данные или обеспечить прекращение такой деятельности лицом, действующим по его поручению, если выявлено, что обработка сведений производится неправомерно. Сделать это нужно в течение 3 рабочих дней с момента выявления нарушения (ч. 3 ст. 21 Закона № 152-ФЗ).

Если от гражданина поступит соответствующее требование, оператор должен немедленно прекратить обрабатывать его данные, если он делал это для продвижения своей продукции на рынке путем прямых контактов с потенциальным потребителем с помощью средств связи (ч. 2 ст. 15 Закона № 152-ФЗ).

Если невозможно обеспечить правомерность обработки личных данных гражданина, то в течение 10 рабочих дней с момента выявления неправомерности их обработки, такие данные нужно уничтожить (ч. 3 ст. 21 Закона № 152-ФЗ).

Оператор должен уведомить физлицо о том, что нарушения устранены или о том, что его личная информация была уничтожена. Уведомление необходимо направить и в Роскомнадзор, если соответствующее обращение поступило от него (ч. 3 ст. 21 Закона № 152-ФЗ).

Если оператор достиг цели обработки персональных данных, то по общему правилу он должен прекратить их обработку и уничтожить такие данные. Это нужно сделать в течение 30 дней с момента, когда цели обработки сведений были достигнуты (ч. 4 ст. 21 Закона № 152-ФЗ).

По общему правилу оператор должен перестать обрабатывать личные данные, если физлицо отозвало согласие на их обработку. Если при этом сохранение такой информации больше не нужно для целей обработки, то ее нужно уничтожить. Срок – не более 30 дней с даты поступления отзыва (ч. 5 ст. 21 Закона № 152-ФЗ).

Если гражданин обратился с требованием о прекращении обработки персональных данных, оператор в течение 10 рабочих дней с момента получения требования должен прекратить ее. Исключение составляют ситуации, указанные в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ. Десятидневный срок может быть продлен еще до 5 рабочих дней. В этом случае оператор должен направить гражданину мотивированное уведомление, в котором должен указать причины такого продления (ч. 5.1 ст. 21 Закона № 152-ФЗ).

Является ли ИП оператором персональных данных

Индивидуальный предприниматель признается оператором персональных данных, если он ведет обработку личных сведений граждан. Это происходит, например, когда ИП запрашивает личные данные:
• своих штатных сотрудников;
• исполнителей (подрядчиков), если они самозанятые;
• клиентов – физических лиц.

Если предприниматель не работает с личными сведениями граждан, в частности, у него нет сотрудников, он не сотрудничает с самозанятыми, не запрашивает личные сведения клиентов-физлиц, то он не будет оператором персональных данных (п. 2 ст. 3 Закона № 152-ФЗ).

Является ли самозанятый оператором персональных данных

Лица, уплачивающие налог на профессиональный доход, не могут иметь работников, поэтому они не выступают оператором персональных данных по данному основанию (ч. 7 ст. 2, п. 4 ч. 2 ст. 4 Закона «О проведении эксперимента по установлению специального налогового режима «Налог на профессиональный доход» от 27.11.2018 № 422-ФЗ).

Если же самозанятый в ходе осуществления своей деятельности, например, запрашивает личные сведения клиентов-физлиц, то в отношении них он будет выступать в качестве оператора персданных.

Является ли адвокат оператором персональных данных

Если адвокат осуществляет свою деятельность, учредив коллегию адвокатов или адвокатское бюро, либо, работая в юридической консультации, то он не будет оператором персональных данных. В этом случае в качестве оператора будет выступать коллегия, бюро или юридическая консультация, являющиеся юрлицами. Они будут обрабатывать, в том числе, и личные сведения самого адвоката.

Адвокат, который осуществляет свою деятельность в форме адвокатского кабинета, являясь просто физлицом, будет оператором персональных данных. Он, в частности:
• собирает личные сведения своего доверителя (ФИО, паспортные данные, дата рождения, место регистрации);
• прописывает их в соглашение об оказании правой помощи и в других документах;
• накапливает и хранит личные данные своих клиентов.

Он также может обрабатывать данные и других физлиц, например, самозанятого, который по договору поставляет питьевую воду.

Адвокат, как любой другой оператор может обрабатывать персональные данные, не подавая соответствующее уведомление в Роскомнадзор, если делает это исключительно без использования средств автоматизации (п. 7 ч. 2 ст. 22 Закона № 152-ФЗ).

Ответственность оператора персональных данных

Если оператор не уведомит Роскомнадзор о своем намерении обрабатывать личные сведения граждан или сделает это несвоевременно, то ему грозит административная ответственность по ч. 10 ст. 13.11 КоАП РФ. Штраф в этом случае составит:
• для граждан – от 5 до 10 тыс. рублей;
• для должностных лиц – от 30 до 50 тыс. рублей;
• для организаций – от 100 до 300 тыс. рублей.

По этому основанию к ответственности привлекают должностное лицо государственного (муниципального) органа или НКО. При этом сами такие органы и НКО к ответственности по ч. 10 ст. 13.11 КоАП РФ не привлекают (примечания 2, 3 к ст. 13.11 КоАП РФ).

Существуют и другие виды правонарушений, которые оператор может совершить, взаимодействуя с Роскомнадзором. Могут привлечь к административной ответственности, в частности, за:
• уклонение от проверки либо за препятствование ее проведению (ч. 1 ст. 19.4.1 КоАП РФ);
• невыполнение в срок законного предписания Роскомнадзора об устранении нарушений (ч. 1 ст. 19.5 КоАП РФ);
• непредставление ему информации, запрошенной в порядке ч. 3 ст. 23 Закона № 152-ФЗ (ст. 19.7 КоАП РФ);
• невыполнение требования Роскомнадзора об уточнении, блокировании или уничтожении личных сведений граждан, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).

Если оператор не опубликует политику в отношении обработки персональных данных, то штраф может составить (ч. 3 ст. 13.11 КоАП РФ):
• для граждан – от 1,5 до 3 тыс. рублей;
• для должностных лиц — от 6 до 12 тыс. рублей;
• для ИП – от 10 до 20 тыс. рублей;
• для юрлиц – от 30 до 60 тыс. рублей.

За обработку личных сведений граждан в случаях, не предусмотренных законодательством, а также за их обработку, несовместимую с целями сбора, штраф составляет (ч. 1 ст. 13.11 КоАП РФ):
• для граждан – от 10 до 15 тыс. рублей;
• для должностных лиц — от 50 до 100 тыс. рублей;
• для организаций – от 150 до 300 тыс. рублей.

За повторное нарушение грозит штраф (ч. 1.1 ст. 13.11 КоАП РФ):
• для граждан – от 15 до 30 тыс. рублей;
• для должностных лиц – от 100 до 200 тыс. рублей;
• для организаций – от 300 до 500 тыс. рублей.

Если для хранения и обработки личных сведений граждан РФ оператор не использует базы данных, которые расположены исключительно в России, то при первом нарушении штраф составит (ч. 8 ст. 13.11 КоАП РФ):
• для граждан – от 30 до 50 тыс. рублей;
• для должностных лиц – от 100 до 200 тыс. рублей;
• для организаций – от 1 до 6 млн рублей.

При повторном (ч. 9 ст. 13.11 КоАП РФ):
• для граждан – от 50 до 100 тыс. рублей;
• для должностных лиц – от 500 до 800 тыс. рублей;
• для юрлиц – от 6 до 18 млн рублей.

За обработку личных сведений без письменного согласия субъекта на их обработку в случаях, когда такое согласие должно быть получено в соответствии с законом, за исключением случаев, предусмотренных ст. 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния, штраф установлен в размере (ч. 2 ст. 13.11 КоАП РФ):
• от 10 до 15 тыс. рублей – для граждан;
• от 100 до 300 тыс. рублей – для должностных лиц;
• от 300 до 700 тыс. рублей – для компаний.

За повторное нарушение штраф будет больше (ч. 2.1 ст. 13.11 КоАП РФ):
• от 15 до 30 тыс. рублей – для граждан;
• от 300 до 500 тыс. рублей – для должностных лиц;
• от 500 до 1 млн рублей – для ИП;
• от 1 до 1,5 млн рублей – для компаний.

За невыполнение законного требования об уточнении персональных данных, их блокировании или уничтожении в случае, если такие данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, установлен штраф в размере (ч. 5 ст. 13.11 КоАП РФ):
• для граждан – от 2 до 4 тыс. рублей;
• для должностных лиц — от 8 до 20 тыс. рублей;
• для ИП — от 20 до 40 тыс. рублей;
• для компаний — от 50 до 90 тыс. рублей.

Если оператор, обрабатывающий личные данные без использования средств автоматизации, не обеспечит их сохранность и это повлечет неправомерный или случайный доступ к таким данным, их уничтожение, изменение или распространение, то ему грозит штраф в размере (ч. 6 ст. 13.11 КоАП РФ):
• от 1,5 до 4 тыс. рублей – для граждан;
• от 8 до 25 тыс. рублей – для должностных лиц;
• от 20 до 40 тыс. рублей – для ИП;
• от 50 до 100 тыс.– для фирм.

При совершении оператором действий, которые повлекли неправомерную передачу личных сведений граждан, размер штрафа зависит, в том числе от размера утечки. Для удобства приведем данные в виде таблицы. Отметим, что под идентификатором понимается уникальное обозначение сведений о физлице, содержащееся в ИС персональных данных оператора и относящееся к такому лицу (Примечание 4 к ст. 13.11 КоАП РФ).

За утечку персональных данных к ответственности привлекают должностное лицо государственного (муниципального) органа или НКО. При этом сами такие органы и НКО к ответственности по ч. 12 – 18 ст. 13.11 КоАП РФ не привлекают (примечания 2, 3 к ст. 13.11 КоАП РФ).

Наказание за повторную утечку сведений при соблюдении определенных условий может быть назначено в размере 1/10 минимального штрафа, но не менее 15 млн рублей и не более 50 млн рублей (ч. 3.4-2 ст. 4.1 КоАП РФ).

С другой стороны, в примечании 5 к ст. 13.11 КоАП РФ установлены обстоятельства, отягчающие ответственность за такие правонарушения.