Как выбрать стиль руководства: обзор и примеры

Как определить: является ли компания оператором персональных данных

  1. Главная
  2. Блог
  3. Как определить: является ли компания оператором персональных данных

Как определить: является ли компания оператором персональных данных

09.07.2025

9 июля 2025
827

Если компания собирает, хранит или использует персональные данные (ПДн), она может считаться оператором — а это налагает ряд обязанностей. За игнорирование этих требований Роскомнадзор может наложить штраф (до 100 тыс. руб. по ст. 13.11 КоАП РФ), заблокировать сайт или даже инициировать уголовное преследование (если речь о нарушении прав субъекта данных).

Например: в 2023 году интернет-магазин получил штраф за то, что не уведомил Роскомнадзор об обработке ПДн, хотя просто собирал заявки с сайта. Формально — он уже был оператором, но этого не осознавал.

Оглавление:

  1. Кто такой оператор по закону
  2. Что считается обработкой персональных данных
  3. Примеры ситуаций, когда бизнес становится оператором
  4. Когда вы не оператор
  5. Как понять, что вы — оператор: практический чек‑лист
  6. Что обязан делать оператор ПДн
  7. Разбор типичных ситуаций: вы оператор или нет
  8. А как быть с куки и IP-адресами
  9. Итоги: как действовать бизнесу
  10. Последнее уточнение

Кто такой оператор по закону

Оператором называют организацию или индивидуального предпринимателя, который не просто работает с персональными данными, а сам решает, зачем они ему нужны и как именно с ними обращаться. То есть он самостоятельно устанавливает цели — будь то кадровый учет, маркетинг, работа с клиентами.

Также выбирает, где и как хранить данные: в бумажных анкетах, Excel-таблицах, CRM и так далее, действует от своего имени, а не выполняет чужой заказ по обработке информации.

Если вы собираете персональные данные и сами решаете, что с ними делать, — вы, скорее всего, уже оператор. Даже если у вас маленький бизнес без юриста.

Что считается обработкой персональных данных

персоналка.jpg

По закону п. 2 ст. 3 ФЗ-152, обработка — это любое действие с персональной информацией. Не только передача или хранение, но и простейшие вещи:

  • записали имя и телефон клиента в блокнот — уже обработка;

  • внесли почту в таблицу для рассылки — тоже обработка;

  • исправили дату рождения в анкете — обработка;

  • удалили старый список клиентов — и это обработка.

Закон охватывает весь цикл: от момента, когда вы впервые увидели данные, до момента, когда решили от них избавиться.

Примеры ситуаций, когда бизнес становится оператором

Ситуация

Описание

Подбор сотрудников

Резюме, анкеты, копии паспортов, фото

Ведение кадрового учета

Трудовые договоры, СНИЛС, ИНН, семейное положение, медсправки

Работа с клиентами

Контактные данные, заказы, история покупок

Сайт с формой обратной связи

Имя, телефон, e-mail отправителя

Маркетинговая рассылка

Хранение и использование e-mail и телефонов

Системы видеонаблюдения

Изображения, распознавание лиц

Использование CRM или HelpDesk

Хранение истории взаимодействия, имен, IP, комментариев

Интеграции с 1С, онлайн‑кассами, маркетплейсами

Автоматическая обработка заказов с персональными данными

Когда вы не оператор

Важно понимать, что не каждый случай обращения с данными автоматически делает вас оператором. Вот исключения:

  1. Вы обрабатываете данные только для личных/семейных нужд
    • Например, ведете адресную книгу для собственных целей.
    • Подтверждено в п. 2 ст. 1 ФЗ‑152: закон не распространяется на личное использование.
  2. Вы не можете идентифицировать субъект
    • Например, храните статистику сайта без IP и cookies (редко, но возможно).
  3. Вы — не оператор, а обработчик
    • Это означает, что другой бизнес поручил вам работать с ПДн по договору. В таком случае именно он — оператор, а вы — технический исполнитель (подрядчик). Однако даже в этом случае на вас распространяются правила по ст. 6 ФЗ-152, включая обязательства соблюдать безопасность и не использовать данные для своих целей.

Как понять, что вы — оператор: практический чек‑лист

Чтобы избежать ошибок, проверьте каждый из следующих пунктов. Если на один или более вы отвечаете «да», то почти наверняка вы — оператор персональных данных.

Вопрос

Комментарий

У вас есть сотрудники?

По Трудовому кодексу вы обязаны вести кадровый учет — это уже обработка ПДн (ФИО, паспортные данные, адрес, СНИЛС и т.д.).

Вы собираете заявки через сайт?

Даже простая форма «оставить имя и телефон» делает вас оператором (обработка — ст. 3 ФЗ-152).

Вы храните информацию о клиентах/контрагентах-физлицах?

Таблица с заказами, адресами, контактами — это тоже ПДн.

У вас есть видеонаблюдение?

Если камеры могут идентифицировать лицо (и особенно если записи хранятся), это попадает под ФЗ‑152 (Письмо Роскомнадзора № 08‑55373 от 24.11.2014).

Вы используете email-рассылку по базе клиентов?

Даже если база собрана «добровольно» — обработка налицо. Нужно согласие, политика и т.п.

Вы ведете учет клиентов в CRM?

CRM = систематизация и хранение. Вы — оператор.

Примечание: отсутствие сайта или большого бизнеса — не аргумент. Даже ИП без сотрудников, ведущий рассылку, может подпадать под статус оператора.

Чтобы обрабатывать данные безопасно, важно не только формализовать процессы, но и контролировать движение денег. Мы объяснили, как использовать БДДС для управления потоками.

Читать

Что обязан делать оператор ПДн

Если хотя бы один пункт из чек-листа — про вас, значит, вам нужно соблюдать обязанности оператора, перечисленные в законе. Иначе — административная ответственность по ст. 13.11 КоАП РФ.

1. Уведомить Роскомнадзор

Подать уведомление о начале обработки ПДн (в электронном виде через pd.rkn.gov.ru).
 Исключение — только если вы обрабатываете ПДн исключительно в рамках трудовых отношений или по прямому закону (п. 2 ст. 22 ФЗ‑152).

2. Разработать политику обработки ПДн

Политика должна быть опубликована в открытом доступе.
 Содержит цели, категории ПДн, меры защиты, права субъектов — по ст. 18.1 ФЗ-152.

3. Получать согласия субъектов

Если обработка основана не на законе или договоре, требуется добровольное информированное согласие.
 Обязательно указывается цель, объем данных и право на отзыв (ст. 9 ФЗ‑152).

4. Назначить ответственного по ПДн

Это может быть сотрудник или сам руководитель. Обязан вести документацию, проверять соблюдение режима защиты и взаимодействовать с Роскомнадзором.

5. Обеспечивать защиту персональных данных

Включает:

  •  технические меры (SSL, пароли, антивирус);
  •  организационные (ограничение доступа, обучение сотрудников);
  •  обработка рисков утечек (инструкции, протоколы реагирования).
  См. ст. 19 ФЗ-152.

Разбор типичных ситуаций: вы оператор или нет?

У компании сайт с формой обратной связи

Собираются ФИО, e-mail, телефон.
  Даже если вы не храните их «в системе», факт приема = сбор.
  Вы — оператор. Требуется политика, согласие, защита.
  См. ст. 5 ФЗ‑152

принципы.jpg

Компания использует подрядчика (например, колл-центр или маркетологов)

Они получают данные ваших клиентов.
 Вы — оператор. Они — обработчики (ст. 6 ФЗ‑152).
 Требуется письменный договор с обязанностями обработчика:

  • не использовать ПДн в своих целях,

  • соблюдать режим конфиденциальности,

  • обеспечивать защиту.
     Образец см. в письме Роскомнадзора от 11.11.2013 № 08-9256.

Вы используете SaaS (например, CRM типа amoCRM, Tilda или Google Forms)

Если вы решаете, какие данные собирать, зачем и что с ними делать — вы оператор.
  Платформа (Tilda, Notion и т. д.) — обработчик.
  Вам необходимо:

  • заключить соглашение с платформой;

  • удостовериться, что данные не выходят за пределы РФ (иначе — трансграничная передача по ст. 12 ФЗ‑152).

У вас в компании только бухучет и внутренние таблицы

Даже если вы не взаимодействуете с клиентами, но храните ПДн сотрудников (ФИО, СНИЛС, паспортные данные, адрес проживания) — вы оператор.
См. разъяснение Минцифры № МП-П15‑007‑19883 от 14.07.2021.

А как быть с куки и IP-адресами?

Согласно позиции Роскомнадзора, куки, IP, MAC-адрес, геолокация и поведенческие данные также могут быть признаны персональными, если позволяют идентифицировать человека — напрямую или опосредованно.

Поэтому если ваш сайт ведет аналитическую обработку, собирает cookies и метки UTM, показывает таргетированную рекламу — вы должны уведомлять пользователя об этом и запрашивать согласие.

См. Постановление Конституционного суда № 8-П от 17.07.2020.

Итоги: как действовать бизнесу

  1. Проведите аудит обработки ПДн
      Проверьте, какие данные собираются, кто имеет к ним доступ, какие есть риски.
      Сформируйте карту обработки: источники, цели, правовые основания.

  2. Закрепите ответственность
      Назначьте сотрудника (или себя) ответственным за работу с ПДн. Фиксируйте это в приказе.

  3. Уведомите Роскомнадзор
      Даже если вы микробизнес с 1 сайтом — уведомление потребуется, если вы работаете с клиентами, подписчиками или заявками.

  4. Разработайте документы
      — Политика обработки персональных данных
      — Согласия (на сайте, в договорах)
      — Договоры с обработчиками (подрядчиками)
      — Журнал обработки/учета запросов

  5. Обеспечьте безопасность
     Установите пароли, ограничьте доступ, шифруйте каналы (HTTPS), обучите сотрудников.

Последнее уточнение

Законодательство в сфере ПДн развивается: особенно в свете импортозамещения, роста цифровизации и внедрения искусственного интеллекта.
 Поэтому даже если вы уверены, что «ничего серьезного не делаете», лучше провести базовую проверку и формализовать процессы. Это убережет от штрафов и укрепит доверие клиентов.

Только запускаете бизнес и планируете работать с персональными данными? Поможем зарегистрировать компанию и подготовить стартовый комплект документов — без рисков и лишних затрат.

Подробнее об услуге

Похожие статьи

Как грамотно разрабатывать тарифы на услуги
30 декабря 2024
Тема ценообразования всегда вызывает много вопросов у бизнеса. Слишком низкая цена приведет к убыткам и нестабильности в оборотном капитале, слишком высокая – к потере клиентов. На стоимость влияет множество факторов: от сезонности до рыночной ситуации. Как же быть? Читайте в этом материале.
Какую систему налогообложения выбрать поставщику маркетплейса
27 декабря 2024
Очень легко разобраться в налогах тем, кто на маркетплейсе уже работает. А новички по неопытности могут забыть подать заявления о выборе налогового режима и платить по ОСН по полной. Хотя могли бы и упростить размер отчислений в бюджет, зная изначально о выгоде.
Что такое НДФЛ
25 декабря 2024
Каждый из нас, получая зарплату, фактически платит государству налог. Это так называемый НДФЛ – налог на доходы физических лиц. Компании, где мы работаем, помогают государству собирать этот налог: они вычитают часть нашей зарплаты и перечисляют ее в бюджет. Давайте разберемся, как это работает, какие ставки действуют сейчас и есть ли льготы.
Новые правила по НДС для УСН: кому добавят налоговую нагрузку и какие льготы останутся
23 декабря 2024
УСН — упрощенная система налогообложения — с 1 января 2025 года становится уже не такой простой. Для ИП и предприятий на этом спецрежиме включается НДС. Но не для всех. И не такой, как для ОСНО. Разберемся, кто и сколько должен платить в 2025 году и далее.
Оформляем договор с НДС при УСН: главные моменты и подводные камни
20 декабря 2024
Наступающий 2025 год принесет важные изменения предприятиям и ИП на УСН. Все они станут плательщиками НДС. А это значит, что НДС так или иначе будет упоминаться во всех документах. О нюансах оформления бумаг поговорим в нашем материале.
15 эффективных способов преодоления кассового разрыва для российского бизнеса
17 декабря 2024
Ситуация, когда у бизнеса нет денег на текущие расходы, не сулит ничего хорошего. Но если разработаете план и предпримите конкретные действия, решите проблему с минимальными потерями.
О компании
Бухгалтерские услуги
Бухгалтерское сопровождение
Консалтинг
Юридические услуги
Услуги по отраслям
+7 (499) 490-20-13
Мы обрабатываем данные посетителей и используем cookie согласно политике.