menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Является ли ваша организация оператором персональных данных, и что из этого следует

лонгриды
13.01.2023
18/08/25
Б-152
Лонгриды
События /
Является ли ваша организация оператором персональных данных, и что из этого следует
Закон о персональных данных действует не избирательно. Он не ограничен пределами государственных корпораций или гигантских холдингов. На практике он применяется повсеместно, в том числе в отношении малого бизнеса, интернет-магазинов, образовательных проектов, сервисов, оказывающих услуги физическим лицам. Достаточно начать приём заявок на сайте, сохранить в таблице список клиентов или подписать трудовой договор с сотрудником, чтобы попасть под его регулирование. И, следовательно, — оператором персональных данных.
Важно понимать: статус оператора — не технический ярлык и не формальность, а юридическая роль, которая порождает конкретные обязательства, ответственность и риски. Это не вопрос формального уведомления в Роскомнадзор, а правовая конструкция, из которой вытекают последствия: от административной и договорной ответственности до ограничений в работе с контрагентами.
Если вы занимаете руководящую позицию, управляете компанией, работаете в HR или юридическом отделе, являетесь DPO, то вам необходимо понимать, где проходит граница между законной и неправомерной обработкой, и как вовремя отреагировать на риски. Ниже мы разберём, кто считается оператором, какие действия влекут за собой этот статус, и что нужно сделать, чтобы избежать типичных ошибок и последствий.
Кто является оператором персональных данных
Примеры действий, которые формируют статус оператора
Содержание
Частое заблуждение: «все делает подрядчик, мы ни при чем»
Как быстро понять, что вы оператор
Что будет, если игнорировать статус оператора
Что делать, если вы оператор
Вывод
Вывод
Что делать, если вы оператор
Что будет, если игнорировать статус оператора
Как быстро понять, что вы оператор
Частое заблуждение: «все делает подрядчик, мы ни при чем»
Содержание
Примеры действий, которые формируют статус оператора
Кто является оператором персональных данных

Кто является оператором персональных данных

В соответствии со статьей 3 Федерального закона № 152-ФЗ, оператором признаётся лицо (в том числе организация или ИП), которое либо самостоятельно, либо с привлечением подрядчиков организует или осуществляет обработку персональных данных, при этом определяет цели и способы такой обработки.
По сути, оператор — это субъект, который принимает ключевые решения: зачем обрабатываются данные, какие конкретно сведения собираются и какие действия с ними совершаются, будь то хранение, передача, систематизация или удаление. Неважно, реализует ли он всё это силами собственных сотрудников или через внешних подрядчиков. Ключевым остаётся не исполнение, а управление — инициатива и контроль.
К примеру, если компания разместила на своём сайте форму для приёма заявок, спроектировала структуру анкеты, определила, какие поля обязательны, и для чего данные будут использоваться, она уже формирует процесс обработки. Даже если дальше этим займётся подрядчик (например, колл-центр, рекрутинговое агентство или IT-компания), именно заказчик будет признан оператором. Потому что он определил цели, состав данных и способ обработки.

Примеры действий, которые формируют статус оператора

Любое регулярное взаимодействие с персональными данными уже формирует признаки оператора. Наиболее очевидные сценарии:
— Приём сотрудников. В процессе оформления трудовых отношений обрабатываются резюме, паспорта, ИНН, СНИЛС, фотографии. Это не просто контакт, а полноценная обработка персональных данных.
— Работа с клиентами-физлицами. При оформлении заказов, регистрации, предоставлении услуг фиксируются имена, номера телефонов, адреса доставки, адреса электронной почты, платёжные данные. Даже если это происходит через маркетплейс или сервис доставки, инициатором процесса остаётся оператор.
— Контракты с ИП и другими контрагентами. Если в договоре указаны паспортные данные, реквизиты счёта или адрес проживания индивидуального предпринимателя — это ПДн, и их обработка подпадает под требования закона.
— Использование подрядчиков. Передача персональных данных, даже в рамках договора, всё равно квалифицируется как их обработка. А если заказчик контролирует, какие именно данные передаются, и зачем, то он сохраняет за собой статус оператора.
— Обычные бизнес-процессы. Учёт, отчётность, CRM, рассылки, работа в мессенджерах, анкетирование, хранение документов, HR-операции — всё, где фигурируют данные людей, автоматически подпадает под сферу регулирования.
Иными словами, если организация управляет хотя бы одним этапом цикла обработки персональных данных (от момента сбора до их удаления), она не может быть никем иным, кроме как оператором.

Частое заблуждение: «все делает подрядчик, мы ни при чем»

На практике это один из самых распространённых мифов. Руководители компаний нередко полагают, что ответственность несёт бухгалтерская фирма, подрядчик на аутсорсе или IT-интегратор, поскольку именно они обрабатывают данные. Однако закон исходит из другого подхода.
Оператор — это тот, кто определяет цели и содержание обработки, а не тот, кто просто нажимает кнопки. Если вы решили, что нужно собрать паспортные данные клиента, разработали форму, выбрали сервис, настроили сбор данных и передали задачу подрядчику — вы остаётесь тем, кто несёт юридическую ответственность. Подрядчик лишь действует по вашему поручению и в ваших интересах. Это означает, что даже если технические действия совершает третье лицо, статус оператора сохраняется за вами.

Как быстро понять, что вы оператор

Ответ на вопрос «являетесь ли вы оператором» в большинстве случаев будет утвердительным.
Разобраться, являетесь ли вы оператором, можно, не вдаваясь в сложные юридические категории. Достаточно посмотреть на свою деятельность с точки зрения обработки данных:
  • Если вы нанимаете сотрудников — вы обрабатываете их персональные данные.
  • Если у вас есть клиенты-физлица — вы получаете и храните их контактную и платёжную информацию.
  • Если вы заключаете договоры с ИП или включаете в них сведения о представителях юридических лиц — вы используете персональные данные.
  • Если вы передаёте данные бухгалтеру, юристу, логисту, айтишнику на аутсорсе — вы не просто делитесь информацией, вы организуете процесс передачи, а значит, выступаете оператором.
  • Если вы ведёте маркетинг, аналитику, CRM, рассылки или хранящиеся в мессенджерах переписки с клиентами — всё это признается обработкой ПДн.

Что будет, если игнорировать статус оператора

Признание статуса оператора и выполнение соответствующих обязанностей — вопрос не только законопослушности, но и защиты бизнеса от финансовых и репутационных потерь. Невыполнение требований может привести к серьезным последствиям:
— Назначение административного наказания. В зависимости от состава правонарушения — штраф от десятков тысяч до 20 миллионов рублей. При повторных нарушениях возможны оборотные штрафы — до 3% от годовой выручки компании.
— Проверка со стороны Роскомнадзора. Основанием может послужить жалоба клиента, сотрудника, случайная утечка или упоминание в СМИ.
И что особенно важно: ответственность не может быть переложена на подрядчика. Она всегда остаётся за тем, кто контролирует цели, состав и способы обработки. То есть за оператором.

Что делать, если вы оператор

Если вы осознали, что выполняете функции оператора персональных данных, необходимо предпринять минимально необходимый набор шагов:
  1. Подача уведомления в Роскомнадзор. Это обязанность большинства операторов. Исключения существуют, но они редки и строго ограничены.
  2. Инвентаризация данных. Нужно чётко понимать, какие персональные данные вы обрабатываете, где они хранятся, кто имеет к ним доступ, в каких системах и на каких основаниях.
  3. Оценка рисков и соответствия. Есть ли согласия от субъектов? Какие документы регулируют обработку? Заключены ли договоры с подрядчиками? Передаются ли данные за рубеж?
  4. Юридическое сопровождение. На этапе построения системы обработки персональных данных необходимо подключить профильного специалиста — юриста или DPO. Он поможет сформировать правовую позицию, подготовить политику, регламенты, согласия, инструкции и иные документы.

Вывод

Статус оператора персональных данных — это не про величину бизнеса, а про факт управления информацией о людях. ИП, небольшая компания, отдел в госучреждении, франшиза, стартап — если вы определяете, зачем и как использовать персональные данные, вы являетесь оператором и обязаны соблюдать требования закона.
Способность признать этот статус и выстроить грамотную систему — залог не только юридической чистоты, но и устойчивости бизнеса в глазах клиентов, партнёров и проверяющих органов.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме