Оператор персональных данных: навигатор по законодательству и практической защите в 2025 году
Быть оператором персональных данных — это не формальность, а зона повышенного риска. Закон с 30 мая 2025 года ужесточил штрафы и ввёл оборотные санкции до 3% выручки. В статье — понятные определения, примеры, чек-листы и готовые шаблоны, которые помогут бизнесу законно собирать, хранить и передавать данные.
Оператор персональных данных — это юридическое либо физическое лицо, которое само определяет цели и способы обработки любой информации, позволяющей идентифицировать человека. Почти любая компания, ИП или сайт становятся операторами, как только собирают имя, e-mail или телефон клиентов. С 30 мая 2025 года вступили в силу жёсткие штрафы до 15 млн руб. за утечку и оборотные санкции до 3% годовой выручки за повторные нарушения. Следовательно, бизнесу важно выстроить процесс обработки данных «под ключ» — от уведомления Роскомнадзора до технической защиты серверов.
Оператор персональных данных — это кто?
По п. 2 ст. 3 152-ФЗ оператор персональных данных — государственный или муниципальный орган, юрлицо либо физлицо, которое организует и / или осуществляет обработку ПДн и определяет цели, состав и действия с данными.
| Ключевое слово | Смысловое раскрытие (кратко) |
| оператор персональных данных определение | субъект, который сам решает, зачем и как обрабатывать данные |
| что значит оператор персональных данных | лицо, обязанное соблюдать 152-ФЗ и гарантировать безопасность ПДн |
| оператор персональных данных это кто примеры | интернет-магазин, банк, кадровое агентство, фитнес-клуб |
Примеры оператора в реальном бизнесе
- Интернет-магазин, собирающий ФИО и номер телефона в корзине заказа — оператор сбора персональных данных.
- Финтех-стартап, хранящий номера паспортов клиентов на своём сервере в Москве — оператор хранения персональных данных.
- HR-агентство, пересылающее резюме работодателям — оператор передачи персональных данных.
- SaaS-платформа, анализирующая Big Data клиентов на аутсорсе, но сохраняющая контроль над целями и средствами — оператор обработки персональных данных.
Ключевая мысль: если компания хотя бы раз записала данные человека в CRM, она автоматически стала оператором ПДн вне зависимости от регистрации в реестре.
Нормативная база: 152-ФЗ и обновления 2025 года
- Федеральный закон №152-ФЗ от 27.07.2006 г. «О персональных данных» — базовый акт.
- Приказ Роскомнадзора №180 от 28.10.2022 г. — утверждённые формы уведомлений.
- Федеральный закон №420-ФЗ от 30.11.2024 г. — новые составы и размеры штрафов.
- Федеральный закон №421-ФЗ от 30.11.2024 г. — уголовная ответственность за незаконный оборот ПДн.
Новая шкала штрафов для операторов персональных данных с 30 мая 2025 года
| Нарушение | Физлица | Должностные лица | Юрлица/ИП |
| Неуведомление о начале обработки ПДн | 5,000-10,000 руб. | 30,000-50,000 руб. | 100,000-300,000 руб. |
| Утечка 1,000-10,000 субъектов | 100,000-200,000 руб. | 200,000-400,000 руб. | 3-5 млн руб. |
| Утечка 10,000-100,000 субъектов | 200,000-300,000 руб. | 300,000-500,000 руб. | 5-10 млн руб. |
| Утечка >100,000 субъектов | 300,000-400,000 руб. | 400,000-600,000 руб. | 10-15 млн руб. |
| Повторная утечка | 400,000-800,000 руб. | 1-2 млн руб. | 1-3% выручки, минимум 20 млн, максимум 500 млн руб. |
Права и обязанности оператора
- Назначить ответственного за ПДн внутри компании.
- Принять локальные акты: политика, регламенты, инструкции.
- Применять технические меры (шифрование, DLP, сегментация сети).
- Вести внутренний аудит и оценку ущерба субъектам.
- Уведомлять Роскомнадзор о начале обработки и об утечках.
- Отвечать субъекту за 30 дней и обновлять/уничтожать данные по запросу.
Права
- Собирать, хранить, систематизировать, обезличивать и уничтожать ПДн в пределах обозначенных целей.
- Передавать обработку третьим лицам по договору, сохраняя ответственность.
Жизненный цикл обработки данных
Сбор: как сделать законно
- Минимизируйте набор полей формы (только необходимые данные).
- Разместите чек-бокс «Согласен на обработку…» рядом с кнопкой отправки.
- Храните логи согласий: хеш-ID пользователя, дата / время, IP.
Хранение: локальное и облако
- Базы данных должны физически находиться на территории РФ (ст. 18.1 п. 5 152-ФЗ).
- При хранении на стороннем дата-центре проверьте FSTEC-сертификацию и зафиксируйте SLA по безопасности.
Передача и трансграничный вывод
- Убедитесь, что страна-получатель обеспечивает адекватную защиту, иначе берите письменное согласие или используйте исключения ст. 12 152-ФЗ.
- За каждую передачу фиксируйте основание и объём данных в журнале учёта.
Уничтожение или блокировка
- После достижения целей оператор обязан уничтожить ПДн в 30-дневный срок.
- Создайте акт об уничтожении и храните его 3 года для проверок.
Практические рекомендации для бизнеса
- Проведите реестр процессов: опишите все точки, где компания собирает ПДн — сайт, касса, HR-отдел.
- Заполните уведомление №180 онлайн через ЕСИА до начала обработки.
- Разработайте политику и опубликуйте её на сайте оператор персональных данных.
- Обучите сотрудников: тест на знание 152-ФЗ и инструкций два раза в год.
- Внедрите SIEM/DLP — это снижает санкцию до 1 / 10 минимального штрафа, если инвестиции ≥0.1% выручки.
- Проводите Пентест не реже одного раза в 12 месяцев и храните отчёт для Роскомнадзора.
- Отработайте сценарий утечки: шаблон уведомления, ролевая карта, 24-часовой таймер.
Чек-лист оператора, осуществляющего обработку персональных данных
| Этап | Ключевое действие | Документ/артефакт |
| Легитимация | Подать уведомление в РКН | Форма №180-У |
| Организация | Назначить ответственного | Приказ о назначении |
| Политика | Опубликовать на сайте оператор персональных данных | Политика ПДн |
| Сбор | Получить конкретное согласие | Согласие субъекта |
| Хранение | Разместить БД на сервере в РФ | Договор хостинга, акт размещения |
| Передача | Оформить договор поручения | ДПО с обработчиком |
| Безопасность | Реализовать ИБ-меры | Аттестационный отчёт ФСТЭК |
| Контроль | Проводить внутренний аудит | Журнал проверок |
| Реакция | Сообщить об утечке ≤24 ч | Уведомление РКН |
| Завершение | Уничтожить достигшие цели данные | Акт уничтожения |
Оператор персональных данных — фундаментальная роль для любого современного бизнеса, от интернет-магазина до небольшого сайта-визитки. С 30 мая 2025 года законодатель усилил ответственность: штрафы выросли в разы, а повторная утечка грозит до 3% оборота. Чтобы избежать рисков, компаниям важно пройти полный цикл: зарегистрироваться в реестре, внедрить политику, обучить сотрудников и выстроить техническую защиту. Такой подход не только убережёт от проверок и санкций, но и повысит доверие клиентов, для которых безопасность данных становится критерием выбора продукта.
Автоматизация под ключ
— экономьте время и ресурсы
Подберем CRM, ERP или систему электронного документооборота под ваши задачи.
Оставьте заявку — расскажем о решениях, которые окупятся в первые месяцы использования.