Оператор персональных данных: кто это, обязанности и уведомление Роскомнадзора

Оператор персональных данных: кто это, обязанности и уведомление Роскомнадзора

Изображение: OpenAI

Персональные данные обрабатывает почти каждая организация и почти каждый предприниматель. Клиентская база в CRM, анкеты сотрудников, форма заявки на сайте, рассылка по электронной почте, журнал посетителей на охране — всё это обработка персональных данных, а значит, организация становится её оператором по закону о персональных данных. Статус оператора возникает сам по себе, а с ним и длинный список обязанностей, от уведомления Роскомнадзора до построения системы защиты данных. После реформы 2024–2025 годов цена невыполнения этих требований выросла до оборотных штрафов в сотни миллионов рублей и уголовной ответственности. В этом материале разберём по порядку, кто признаётся оператором, что он обязан сделать, как подать уведомление в Роскомнадзор и попасть в реестр операторов, как реально защитить данные по требованиям ФСТЭК России и ФСБ России и чем грозят нарушения. Материал будет полезен руководителям, юристам, специалистам по информационной безопасности, ответственным за обработку персональных данных и индивидуальным предпринимателям.

Содержание

  1. Кто такой оператор персональных данных
  2. Кто участвует в обработке данных
  3. Какие организации признаются операторами
  4. Обязанности оператора и комплект документов
  5. Согласие на обработку персональных данных
  6. Уведомление Роскомнадзора об обработке данных
  7. Реестр операторов персональных данных
  8. Как реально защитить персональные данные
  9. Трансграничная передача данных
  10. Права субъекта и обязанности оператора
  11. Ответственность оператора за нарушения
  12. Что изменилось в законе о персональных данных
  13. С чего начать оператору: пошаговый план
  14. Частые вопросы
  15. Коротко о главном

Кто такой оператор персональных данных

Понятие оператора закреплено в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных». По пункту 2 статьи 3 оператором признаётся «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными». Ключевое здесь не размер компании и не наличие сайта, а то, что организация сама решает, зачем и какие данные людей собирает.

Что закон считает обработкой

Персональные данные закон трактует предельно широко. К ним относится любая информация, прямо или косвенно относящаяся к человеку, то есть не только паспортные данные, но и фамилия с номером телефона, адрес электронной почты, сведения о доходах или геолокация. Обработкой считается практически любое действие с такими данными, от сбора и хранения до передачи и уничтожения, и список действий в законе открытый.

Важно, что обработка не сводится к компьютерам. Закон прямо различает автоматизированную обработку с помощью средств вычислительной техники и неавтоматизированную, то есть на бумаге. Бумажные анкеты, картотека личных дел, журнал посетителей на проходной, тетрадь записи клиентов — это тоже обработка персональных данных, и правила работы с такими носителями устанавливает отдельное постановление Правительства РФ от 15.09.2008 № 687. Поэтому компания без единой информационной системы всё равно остаётся оператором, если ведёт хотя бы бумажный учёт людей.

Обычные, специальные и биометрические данные

Не все данные одинаковы по чувствительности, и от их вида напрямую зависят требования к защите и размер ответственности. Закон делит данные на несколько категорий.

  • Иные (обычные) данные — фамилия, контакты, должность, основная масса сведений о клиентах и сотрудниках.
  • Специальные категории — по статье 10 закона № 152-ФЗ это сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни. Их обработка по общему правилу запрещена и допускается лишь в исключениях, например с согласия в письменной форме. Отдельно 152-ФЗ регулирует данные о судимости.
  • Биометрические данные — по статье 11 это сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность, например отпечатки пальцев или изображение лица. Их можно обрабатывать в основном только с письменного согласия.
  • Общедоступные данные, а также данные, которые субъект сам разрешил для распространения, — для последних особый порядок обработки задаёт статья 10.1 того же закона.

Кто участвует в обработке данных

Вокруг персональных данных складывается несколько ролей, и путать их нельзя, потому что у каждой свои права и своя ответственность. Помимо оператора и человека, чьи данные обрабатываются, в отношения вовлечены подрядчики и сразу три государственных регулятора.

  • Субъект персональных данных — человек, к которому относятся сведения, и именно его права защищает закон.
  • Оператор — тот, кто определяет цели обработки и отвечает за неё перед субъектом и государством.
  • Лицо, обрабатывающее данные по поручению оператора, например облачный сервис, колл-центр или подрядчик по рассылкам.
  • Третьи лица, которым оператор передаёт данные, например банк, страховая компания или партнёр.
  • Роскомнадзор — уполномоченный орган по защите прав субъектов, ведёт реестр операторов, принимает уведомления и проводит проверки.
  • ФСТЭК России — устанавливает технические и организационные меры защиты данных и контролирует их.
  • ФСБ России — отвечает за криптографическую защиту и за реагирование на компьютерные атаки через ГосСОПКА (государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак).
Схема участников обработки персональных данных: субъект, оператор, обработчик по поручению, третьи лица, Роскомнадзор, ФСТЭК России и ФСБ России
Кто участвует в обработке персональных данных. Источник: 152-ФЗ

Поручение обработки и передача третьим лицам

Эти два механизма часто смешивают, хотя они различаются принципиально. При поручении обработки по части 3 статьи 6 закона о персональных данных подрядчик действует от имени оператора и строго по его инструкции, не определяя собственных целей. Поручить обработку можно по общему правилу с согласия субъекта, если иное не предусмотрено законом, и обязательно на основании договора, где закреплены перечень действий, цели, требование соблюдать конфиденциальность и защищать данные. Ответственность перед субъектом по части 5 той же статьи всё равно несёт сам оператор, а подрядчик отвечает уже перед оператором.

Передача данных третьему лицу устроена принципиально иначе. Здесь данные раскрываются стороне, которая распоряжается ими в своих целях и сама становится оператором. Для такой передачи у оператора должно быть самостоятельное правовое основание, чаще всего согласие субъекта именно на передачу конкретному получателю, либо прямое требование закона. Поэтому фраза «мы передаём данные партнёрам» без отдельного основания и информирования субъекта — это нарушение, а не деталь договора.

Какие организации признаются операторами

Размер бизнеса для закона роли не играет. Оператором становится тот, кто определяет цели и состав обрабатываемых данных, независимо от формы и оборота. На практике под это определение попадает почти любая организация или предприниматель, работающие с данными клиентов или сотрудников, и о своём статусе многие узнают только при проверке.

Бизнес, ИП и работодатели

Компания, которая ведёт базу клиентов, интернет-магазин с доставкой или салон с записью по телефону, обрабатывает персональные данные и является оператором. Индивидуальный предприниматель в этом смысле ничем не отличается от крупной фирмы. Если ИП собирает контакты заказчиков или данные для договоров, он становится оператором со всеми вытекающими обязанностями, включая уведомление Роскомнадзора. Отдельно стоит помнить про роль работодателя. Любая организация с сотрудниками автоматически оператор, потому что обрабатывает данные работников, от анкет при приёме до сведений о доходах и здоровье.

Государственные и муниципальные органы

Государственные и муниципальные органы прямо названы операторами в определении закона. Для них действуют дополнительные требования, в частности Правительство РФ устанавливает отдельный перечень мер для государственных и муниципальных операторов по части 3 статьи 18.1 закона о персональных данных. Их информационные системы чаще оказываются государственными информационными системами, а значит, к защите данных применяются более строгие правила, о которых речь пойдёт ниже.

Обязанности оператора и комплект документов

Обязанности оператора сосредоточены в статье 18.1 закона № 152-ФЗ, которая требует принимать меры, необходимые и достаточные для соблюдения закона. Оператор сам определяет состав мер, но закон называет обязательный минимум.

  • Назначить ответственного за организацию обработки персональных данных, если оператор — юридическое лицо (статья 22.1 152-ФЗ).
  • Издать политику в отношении обработки персональных данных и локальные акты по вопросам обработки.
  • Применять правовые, организационные и технические меры безопасности по статье 19 152-ФЗ.
  • Проводить внутренний контроль и аудит соответствия обработки закону.
  • Оценивать вред, который может быть причинён субъектам при нарушении закона.
  • Знакомить и обучать работников, которые непосредственно обрабатывают персональные данные.

Какие документы реально нужны

На практике обязанности превращаются в комплект организационно-распорядительных документов, и одной политикой он не ограничивается. Точный состав закон не закрепляет, он зависит от масштаба и того, какие данные обрабатываются, но базовый набор у большинства операторов выглядит так.

  • Политика в отношении обработки персональных данных, которую по части 2 статьи 18.1 нужно опубликовать в открытом доступе, а при сборе данных через сайт — разместить прямо на нём.
  • Положение об обработке и защите персональных данных и другие локальные акты, описывающие внутренние процедуры.
  • Приказы о назначении ответственного за организацию обработки и ответственного за безопасность данных в информационных системах.
  • Перечни обрабатываемых данных, информационных систем, помещений и сотрудников, допущенных к обработке.
  • Инструкции администратора безопасности и пользователя, регламенты реагирования на инциденты, учёта носителей и рассмотрения обращений субъектов.
  • Формы согласий, обязательства о неразглашении, договоры поручения с подрядчиками.
  • Порядок уничтожения данных и акт об уничтожении, подтверждающий выполнение требований приказа Роскомнадзора от 28.10.2022 № 179.
  • Журналы учёта носителей, обращений субъектов, инструктажей и уничтожения данных.

Отдельно стоит развести две разные роли. Ответственный за организацию обработки персональных данных по статье 22.1 152-ФЗ (в международной практике эту роль называют DPO) отвечает за соблюдение правил и работу с обращениями субъектов, его контакты входят в уведомление Роскомнадзору, и эту функцию закрепляют за юристом или специалистом по комплаенсу. А вот построением реальной защиты данных занимается специалист по информационной безопасности или служба ИБ, и именно на нём лежат модель угроз, выбор средств защиты и настройка системы. Подменять ИБ-специалиста юристом — типичная ошибка, из-за которой бумаги в порядке, а данные не защищены.

Подробнее о том, какие меры безопасности требует закон, читайте в статье «Изменения в законе 152-ФЗ о персональных данных и обязательные меры безопасности».

Согласие на обработку персональных данных

Согласие субъекта — одно из главных оснований обработки, хотя и не единственное. Статья 6 закона о персональных данных разрешает обрабатывать данные и без согласия, например для исполнения договора с человеком или для выполнения обязанностей, возложенных на оператора законом. Но когда другого основания нет, без согласия обрабатывать данные нельзя, и доказывать факт его получения обязан именно оператор. Как оформить согласие правильно, в какой форме его брать, что включить в текст и как его отозвать, мы подробно разобрали в отдельной статье «Согласие на обработку персональных данных: когда нужно и как правильно оформить».

Каким должно быть согласие и его виды

По статье 9 закона о персональных данных согласие должно быть «конкретным, предметным, информированным, сознательным и однозначным». Человек должен понимать, кто обрабатывает его данные, какие именно, с какой целью и какими способами. Согласие можно отозвать, и после отзыва оператор обязан прекратить обработку, если у него не осталось другого законного основания. Видов согласия несколько, и важно не путать их между собой.

  • Обычное согласие в любой подтверждаемой форме, например галочка при отправке формы на сайте.
  • Согласие в письменной форме с обязательным набором сведений, которое требуется в случаях, прямо названных законом.
  • Отдельное согласие на обработку специальных категорий и биометрических данных.
  • Согласие на распространение данных, форму которого устанавливает Роскомнадзор.

Письменное согласие по части 4 статьи 9 должно содержать, в частности, данные и реквизиты документа субъекта, наименование и адрес оператора, цель обработки, перечень данных и действий с ними, сведения о подрядчике-обработчике, срок действия согласия, способ его отзыва и подпись субъекта.

Отдельный документ с 1 сентября 2025 года

С 1 сентября 2025 года действует важное уточнение, внесённое Федеральным законом от 24.06.2025 № 156-ФЗ. Согласие на обработку персональных данных должно быть оформлено отдельно от иных документов, которые подписывает человек. До этого согласие нередко включали отдельным пунктом в договор или пользовательское соглашение, что теперь недопустимо. Согласие оформляется самостоятельным документом или отдельной галочкой, не объединённой с офертой и принятием других условий. Галочка остаётся допустимой формой, но она должна относиться только к согласию и не быть проставлена заранее. Отдельно стоит помнить, что согласие на рекламную рассылку — это самостоятельное согласие по статье 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе», и за рассылку без него штрафует ФАС России, поэтому совмещать его с согласием на обработку нельзя. Эти изменения прямо влияют на формы на сайтах, анкеты и договоры, которые многим операторам придётся переделать.

Уведомление Роскомнадзора об обработке данных

Прежде чем начать обработку, оператор обязан сообщить о своём намерении Роскомнадзору. Такое сообщение и называется уведомлением об обработке персональных данных, на основании которого организацию вносят в реестр операторов. До 2022 года компании широко пользовались исключениями и не подавали уведомление, но эти послабления остались в прошлом.

Пошаговый путь оператора персональных данных к соответствию 152-ФЗ
Путь оператора к соответствию требованиям закона. Источник: 152-ФЗ

Срок, форма и способ подачи

По части 1 статьи 22 закона о персональных данных оператор обязан уведомить Роскомнадзор до начала обработки персональных данных. Форму уведомления утверждает приказ Роскомнадзора от 28.10.2022 № 180, который устанавливает три бланка, а именно о намерении обрабатывать данные, об изменении сведений и о прекращении обработки. Удобнее всего подать уведомление в электронном виде через портал персональных данных pd.rkn.gov.ru. Сделать это можно через подтверждённую учётную запись организации на Госуслугах либо подписав документ усиленной квалифицированной электронной подписью, а при желании форму можно заполнить, распечатать и отправить на бумаге в территориальный орган. Рассмотрение и внесение в реестр для оператора бесплатны.

Что указать в уведомлении

Состав сведений определён частью 3 статьи 22, и форма повторяет его разделами. По каждой цели обработки оператор отдельно описывает категории данных и субъектов, правовое основание и перечень действий. В уведомление входят следующие основные блоки сведений.

  • Наименование, адрес, ИНН и ОГРН оператора.
  • Цели обработки персональных данных.
  • Категории данных и категории субъектов.
  • Правовое основание и перечень действий с данными.
  • Описание мер защиты по статьям 18.1 и 19 152-ФЗ.
  • Данные ответственного за организацию обработки и его контакты.
  • Сведения о трансграничной передаче и о месте нахождения базы данных граждан России.

После отправки на электронную почту оператора приходит подтверждение о принятии заявления, а сведения вносят в реестр в течение тридцати дней. Если сведения позже изменятся, уточнённое уведомление подаётся не позднее 15-го числа месяца, следующего за месяцем изменений, а при полном прекращении обработки об этом нужно сообщить в течение десяти рабочих дней.

Типичные ошибки при заполнении

Роскомнадзор регулярно возвращает уведомления из-за одних и тех же недочётов, и знание их экономит время. Чаще всего операторы спотыкаются на следующем.

  • Наименование и адрес не совпадают с данными из ЕГРЮЛ или ЕГРИП.
  • Категории данных и субъектов описаны размыто, со словами «и другие» вместо исчерпывающего перечня.
  • В правовом основании указан только сам закон, без конкретных норм, устава, лицензий и приказов.
  • Заявлены завышенные меры из шаблона, например шифрование, которого на деле нет.
  • Уведомление подписано неуполномоченным лицом или без контактов ответственного исполнителя.

Когда уведомлять не нужно

Действующих исключений из этой обязанности почти не осталось. Широкие послабления, которые раньше позволяли не уведомлять регулятора при обработке данных работников или по договору, утратили силу с 1 сентября 2022 года по Федеральному закону от 14.07.2022 № 266-ФЗ. Сейчас по части 2 статьи 22 закона о персональных данных без уведомления можно обрабатывать данные лишь в трёх случаях, и обычного бизнеса они почти не касаются.

  • Данные включены в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка.
  • Обработка ведётся исключительно без средств автоматизации, то есть только на бумаге.
  • Данные обрабатываются в целях транспортной безопасности от актов незаконного вмешательства.

Реестр операторов персональных данных

Реестр операторов — публичный перечень, который ведёт Роскомнадзор на основании поданных уведомлений. По нему видно, кто, с какой целью и какие категории данных обрабатывает. Сведения реестра общедоступны, за исключением информации о средствах обеспечения безопасности, поэтому любой человек может проверить, состоит ли в нём конкретная организация.

Проверить наличие организации в реестре операторов на портале Роскомнадзора можно по поиску по ИНН или наименованию. Это полезно и для самопроверки, и при выборе подрядчика, которому передаются данные, ведь обработчик, который подаёт собственное уведомление, тоже состоит в реестре. Если компания обрабатывает данные, но в реестре её нет, это прямой признак нарушения, за которое при проверке грозит штраф. Роскомнадзор давно перешёл к массовым автоматическим проверкам сайтов, поэтому затягивать с уведомлением рискованно. Подробнее об этом читайте в статье «Роскомнадзор массово проверяет сайты на соответствие 152-ФЗ».

Как реально защитить персональные данные

Уведомить Роскомнадзор и опубликовать политику недостаточно. Статья 19 закона о персональных данных обязывает оператора принимать правовые, организационные и технические меры, чтобы защитить данные от неправомерного доступа, уничтожения, изменения, копирования и распространения. На практике это не разовое действие, а проект из нескольких этапов, и пропуск любого из них оставляет дыру, которую найдёт либо проверка, либо злоумышленник.

Этапы построения защиты

  1. Обследование. Инвентаризация информационных систем, процессов, категорий данных и числа субъектов.
  2. Определение уровня защищённости информационной системы по постановлению Правительства РФ от 01.11.2012 № 1119, результат закрепляется актом.
  3. Разработка модели угроз безопасности по методике ФСТЭК России 2021 года с опорой на банк данных угроз ФСТЭК России.
  4. Проектирование системы защиты, подготовка технического задания и выбор мер по приказу ФСТЭК России от 18.02.2013 № 21.
  5. Внедрение и настройка средств защиты информации, при необходимости криптографических средств.
  6. Оценка эффективности принятых мер, а для государственных систем — аттестация.
  7. Эксплуатация, контроль защищённости и реагирование на инциденты.

Этим занимается не юрист, а специалист по информационной безопасности либо привлечённый лицензиат ФСТЭК России. Подобрать сертифицированные средства защиты можно в каталоге продуктов CISOCLUB.

Уровни защищённости и от чего они зависят

Постановление № 1119 вводит четыре уровня защищённости информационных систем персональных данных (ИСПДн), где первый самый высокий, а четвёртый самый низкий. Уровень определяется тремя параметрами, а именно категорией обрабатываемых данных, числом субъектов и типом актуальных угроз. Тип угроз, в свою очередь, зависит от того, связаны ли угрозы с недекларированными возможностями в системном программном обеспечении (первый тип), в прикладном (второй тип) или не связаны с ними вовсе (третий тип, типичный для большинства коммерческих систем). На итоговый уровень влияют ещё два фактора, которые сдвигают его внутри таблицы, а именно больше или меньше 100 тысяч субъектов в системе и обрабатываются ли данные только сотрудников оператора или сторонних людей. Логика здесь простая, чем чувствительнее данные, чем глубже возможная угроза и чем больше людей затронуто, тем выше требуемый уровень.

Тип актуальных угрозСпециальные данныеБиометрияИные данныеОбщедоступные
1-й тип (системное ПО)УЗ1УЗ1УЗ1УЗ2
2-й тип (прикладное ПО)УЗ1 или УЗ2УЗ2УЗ2 или УЗ3УЗ2 или УЗ3
3-й тип (без НДВ)УЗ2 или УЗ3УЗ3УЗ3 или УЗ4УЗ4
Как определяется уровень защищённости ИСПДн. Источник: ПП РФ № 1119. Внутри ячеек уровень уточняется числом субъектов и тем, сотрудники это или нет

Меры защиты по приказу ФСТЭК России № 21

Конкретные меры задаёт приказ ФСТЭК России от 18.02.2013 № 21. Они сгруппированы по направлениям, и для каждого уровня защищённости закон определяет базовый набор, который оператор затем адаптирует под свою систему и уточняет по модели угроз. Чем выше уровень, тем больше мер обязательно. Среди основных групп — идентификация и аутентификация, управление доступом, регистрация событий безопасности, антивирусная защита, обнаружение вторжений, контроль защищённости, защита машинных носителей, обеспечение целостности и доступности, защита среды виртуализации, выявление инцидентов и управление конфигурацией, и это далеко не полный перечень.

Если по модели угроз данные нужно защищать криптографически, например при передаче через интернет, подключаются средства криптографической защиты, требования к которым устанавливает ФСБ России приказом от 10.07.2014 № 378. Класс таких средств (КС1, КС2, КС3, КВ, КА) выбирается по модели нарушителя и уровню защищённости. Для большинства коммерческих систем с угрозами третьего типа достаточно класса КС1 и выше.

Развилка по статусу системы

Набор требований зависит от того, что представляет собой система. Это ключевая развилка, которую операторы часто упускают.

  • Обычная информационная система персональных данных. Применяются постановление № 1119 и приказ ФСТЭК России № 21, аттестация не обязательна, достаточно оценки эффективности мер не реже одного раза в три года.
  • Система в составе государственной информационной системы (ГИС). Добавляются требования приказа ФСТЭК России № 17, а с 1 марта 2026 года пришедшего ему на смену приказа ФСТЭК России № 117, с классом защищённости от К1 до К3 и обязательной аттестацией. Класс защищённости ГИС при этом перекрывает уровень защищённости данных, например класс К1 обеспечивает первый уровень и ниже.
  • Объект критической информационной инфраструктуры (КИИ). Применяются Федеральный закон от 26.07.2017 № 187-ФЗ и приказ ФСТЭК России № 239 с категорией значимости. Если такой объект одновременно является системой персональных данных, это два разных режима на одной системе, и требования приказов ФСТЭК России № 239 и № 21 применяются совместно.
  • Финансовый сектор. Дополнительно действуют ГОСТ Р 57580 и положения Банка России, прежде всего № 851-П для банков, заменившее с 29 марта 2025 года прежнее № 683-П, и № 757-П для некредитных финансовых организаций.

Когда одна система подпадает сразу под несколько режимов, требования суммируются, а более строгий перекрывает менее строгий. Поэтому защиту проектируют, отталкиваясь не только от категории данных, но и от статуса самой системы.

Трансграничная передача данных

Если оператор передаёт персональные данные в другую страну, например пользуется иностранным облаком, сервисом рассылок или ведёт электронный документооборот с зарубежным контрагентом, действует отдельный режим трансграничной передачи по статье 12 закона о персональных данных. Порядок здесь уведомительный, а не разрешительный. До начала передачи оператор подаёт в Роскомнадзор отдельное уведомление о намерении её осуществлять, помимо обычного уведомления об обработке, и по итогам рассмотрения Роскомнадзор вправе запретить или ограничить передачу для защиты прав граждан.

Страны делятся на обеспечивающие адекватную защиту прав субъектов и все остальные. Перечень государств с адекватной защитой утверждает Роскомнадзор, и в него входят страны, присоединившиеся к профильной конвенции Совета Европы, а также отдельные страны, чьё регулирование ей соответствует. При передаче в государства из перечня режим мягче, а при передаче в остальные страны оператор обязан заранее получить от получателя сведения о мерах защиты данных и об условиях прекращения их обработки. С учётом санкционных ограничений выбор зарубежной инфраструктуры нужно сверять с этими требованиями отдельно.

Права субъекта и обязанности оператора

Обязанности оператора зеркально отражают права человека, чьи данные обрабатываются. Закон даёт субъекту персональных данных несколько ключевых возможностей.

  • Знать, кто, с какой целью и какие именно его данные обрабатывает, и получать к ним доступ.
  • Требовать уточнения, блокирования или уничтожения данных, если они неполны, устарели или получены незаконно.
  • Отозвать согласие на обработку и возразить против неё.
  • Обжаловать действия оператора в Роскомнадзор или в суд и требовать возмещения убытков и морального вреда.

На стороне оператора этим правам соответствуют обязанности с конкретными сроками. По статье 21 закона о персональных данных неточные данные нужно уточнить в течение семи рабочих дней, прекратить обработку по требованию субъекта — в течение десяти рабочих дней, а при отзыве согласия или достижении цели обработки уничтожить данные в срок до тридцати дней, если нет иного законного основания их хранить. Все эти действия оператор выполняет бесплатно. Игнорирование запроса субъекта или отказ уточнить данные образуют отдельный состав нарушения по статье 13.11 КоАП РФ, поэтому работающий процесс приёма обращений так же важен, как технические средства защиты, и его лучше описать в локальных актах заранее.

Ответственность оператора за нарушения

За нарушения в работе с персональными данными отвечают сразу по нескольким направлениям. Чаще всего дело ограничивается административным штрафом по статье 13.11 КоАП РФ, но при утечке данных или их незаконном обороте речь идёт уже о суммах в миллионы рублей и об уголовной статье. После реформы 2024–2025 годов цена ошибки выросла многократно, поэтому ответственность разберём по уровням.

Административная ответственность по статье 13.11 КоАП РФ

Статья 13.11 КоАП РФ охватывает почти весь спектр нарушений, от обработки данных без правового основания до неопубликованной политики, и разные составы наказываются по-разному. Самостоятельный штраф возникает, например, если оператор не уведомил Роскомнадзор о намерении обрабатывать данные. По части 10 этой статьи за неуведомление юридическому лицу грозит штраф от 100 до 300 тысяч рублей (суммы приведены на дату публикации, перед применением их стоит сверить). При этом в частях 10–18 под должностным лицом закон понимает должностное лицо государственного или муниципального органа либо некоммерческой организации, поэтому для обычной коммерческой компании ответственность ложится на неё как на юридическое лицо, а индивидуальные предприниматели по этим частям отвечают наравне с юридическими лицами.

Отдельный штраф предусмотрен за молчание после инцидента. По части 3.1 статьи 21 закона № 152-ФЗ при факте неправомерной или случайной передачи данных оператор обязан уведомить Роскомнадзор в течение двадцати четырёх часов о самом инциденте и в течение семидесяти двух часов о результатах внутреннего расследования. Если оператор этого не сделал, по части 11 статьи 13.11 КоАП РФ юридическому лицу грозит штраф от 1 до 3 миллионов рублей. Логика закона здесь прямолинейна, ведь скрытая утечка опаснее открытой, субъекты не успевают защититься, и государство наказывает именно за сокрытие.

Оборотные штрафы за утечки данных

Самое серьёзное изменение последних лет — оборотные штрафы за утечки. Федеральный закон от 30.11.2024 № 420-ФЗ дополнил статью 13.11 КоАП РФ частями 12–18, и они вступили в силу 30 мая 2025 года. Теперь размер штрафа зависит от масштаба утечки, то есть от числа пострадавших субъектов и скомпрометированных идентификаторов, а также от категории данных. Поводов для таких штрафов в стране более чем достаточно. Подробнее о масштабе утечек читайте в материале «За три года в России утекло 4,5 млрд записей персональных данных».

Часть ст. 13.11 КоАП РФСоставШтраф для юридических лиц
Часть 12Утечка данных 1–10 тыс. субъектов либо 10–100 тыс. идентификаторовот 3 до 5 млн рублей
Часть 13Утечка 10–100 тыс. субъектов либо 100 тыс.–1 млн идентификаторовот 5 до 10 млн рублей
Часть 14Утечка более 100 тыс. субъектов либо более 1 млн идентификаторовот 10 до 15 млн рублей
Часть 16Утечка специальных категорий данныхот 10 до 15 млн рублей
Часть 17Утечка биометрических данныхот 15 до 20 млн рублей
Часть 15Повторная утечка обычных данныхот 1 до 3% годовой выручки, не менее 20 млн и не более 500 млн рублей
Часть 18Повторная утечка специальных или биометрических данныхот 1 до 3% годовой выручки, не менее 25 млн и не более 500 млн рублей
Штрафы за утечки персональных данных по ст. 13.11 КоАП РФ на дату публикации, юридические лица. Порог срабатывает по числу субъектов либо по числу идентификаторов

Пороги закон считает по числу пострадавших субъектов либо по числу скомпрометированных идентификаторов, то есть уникальных обозначений человека в информационной системе оператора. Повторная утечка считается отдельно и бьёт сильнее всего. По части 15 статьи 13.11 КоАП РФ повторная утечка обычных данных карается штрафом от 1 до 3% совокупной выручки за предшествующий год, но не менее 20 миллионов и не более 500 миллионов рублей, а по части 18 за повторную утечку специальных категорий или биометрии нижний порог поднимается до 25 миллионов. Для крупного бизнеса это означает, что вторая утечка подряд способна стоить сотни миллионов, и формального подхода здесь уже недостаточно. Подробнее о том, как штрафы за утечки меняют поведение бизнеса, читайте в статье «152-ФЗ для малого бизнеса: как не попасть на штраф до 15 млн рублей».

Уголовная ответственность по статье 272.1 УК РФ

С конца 2024 года за незаконный оборот персональных данных отвечают и по Уголовному кодексу. Статью 272.1 УК РФ ввёл Федеральный закон от 30.11.2024 № 421-ФЗ. Она применяется именно к персональным данным и карает их незаконные использование, передачу, сбор и хранение, если данные получены неправомерным путём, а также создание ресурсов для незаконного оборота таких данных. Под удар попадают прежде всего инсайдеры, которые сливают клиентские базы, поэтому статья касается не только внешних злоумышленников, но и собственных сотрудников оператора.

Часть ст. 272.1 УК РФДеяниеМаксимальное лишение свободы
Часть 1Незаконный оборот компьютерной информации с персональными даннымидо 4 лет
Часть 2Те же деяния с данными несовершеннолетних, специальными категориями или биометриейдо 5 лет
Часть 3Из корыстной заинтересованности, с крупным ущербом, группой или с использованием служебного положениядо 6 лет
Часть 4С трансграничной передачей данныхдо 8 лет
Часть 5Повлёкшие тяжкие последствия или совершённые организованной группойдо 10 лет
Часть 6Создание и обеспечение работы ресурса для незаконного оборота данныхдо 5 лет
Уголовная ответственность за незаконный оборот персональных данных по ст. 272.1 УК РФ

Эти два режима ответственности работают независимо друг от друга. Административные штрафы по статье 13.11 КоАП РФ ложатся на саму организацию как на оператора, а уголовная статья 272.1 УК РФ применяется к конкретному человеку, который незаконно работал с данными. На практике после крупной утечки обычно возбуждают и то, и другое. О том, как организации реагируют на инциденты и кого уведомлять по закону, читайте в статье «Инцидент ИБ: что это, как реагировать и кого уведомлять по закону».

Что изменилось в законе о персональных данных

Последние годы полностью изменили цену вопроса для операторов. Если раньше работа с данными велась по остаточному принципу, то теперь невыполнение требований напрямую бьёт по бюджету и репутации. Ключевые изменения последних лет собраны в таблице ниже.

Что изменилосьНормаС какой даты
Отменены прежние исключения для уведомления РоскомнадзораФЗ № 266-ФЗс 1 сентября 2022
Уведомление об утечке за 24 и 72 часаФЗ № 266-ФЗ, ст. 21 152-ФЗс 1 сентября 2022
Уголовная ответственность за незаконный оборот данныхФЗ № 421-ФЗ, ст. 272.1 УК РФс декабря 2024
Оборотные штрафы за утечки данныхФЗ № 420-ФЗ, ст. 13.11 КоАП РФс 30 мая 2025
Согласие оформляется отдельным документомФЗ № 156-ФЗ, ст. 9 152-ФЗс 1 сентября 2025
Ключевые изменения в регулировании персональных данных. Источник: 152-ФЗ, КоАП РФ, УК РФ

Вывод из этих изменений довольно прост. Государство перешло от формальных требований к ощутимым санкциям, а сама утечка данных теперь образует законченный состав, за который штрафуют без долгих разбирательств. Для бизнеса это означает, что соответствие закону превратилось из бумажной формальности в реальную задачу по управлению рисками.

С чего начать оператору: пошаговый план

Если компания только приводит работу с данными в порядок, удобно двигаться по понятной последовательности, где организационная и техническая части идут параллельно. Каждый шаг закрывает конкретную обязанность и снижает риск штрафа.

  1. Провести обследование: определить, какие данные, чьи и с какой целью обрабатывает компания, и убедиться, что у каждой обработки есть правовое основание.
  2. Назначить ответственного за организацию обработки и ответственного за безопасность данных.
  3. Подготовить комплект документов: политику, положения, перечни, инструкции, формы согласий, и опубликовать политику на сайте.
  4. Привести формы согласий в порядок и оформить их отдельными документами.
  5. Определить уровень защищённости, разработать модель угроз и построить систему защиты по приказу ФСТЭК России № 21, при необходимости с криптографией.
  6. Подать уведомление в Роскомнадзор до начала обработки, не дожидаясь завершения технических работ, и убедиться, что компания внесена в реестр операторов.
  7. Провести оценку эффективности мер, а для государственной системы — аттестацию.
  8. Наладить процессы реагирования на инциденты, работы с обращениями субъектов и регулярного контроля защищённости.

Частые вопросы

Нужно ли индивидуальному предпринимателю уведомлять Роскомнадзор?

Да, если ИП обрабатывает персональные данные клиентов, заказчиков или работников с использованием средств автоматизации. Прежние исключения отменены с 1 сентября 2022 года, и размер бизнеса значения не имеет. Уведомление подаётся до начала обработки и бесплатно.

Достаточно ли подать уведомление и опубликовать политику?

Одного этого недостаточно, потому что уведомление и политика закрывают только организационную часть. Параллельно нужно построить реальную защиту персональных данных, то есть определить уровень защищённости, разработать модель угроз и внедрить меры по приказу ФСТЭК России № 21. Бумаги без работающей защиты не спасут ни от утечки, ни от штрафа.

Нужно ли отдельное согласие на обработку данных?

С 1 сентября 2025 года согласие должно быть оформлено отдельно от других документов, которые подписывает человек. Включать его пунктом в договор или пользовательское соглашение больше нельзя. При этом не для всякой обработки нужно согласие, иногда основанием служит договор или требование закона.

Где должна храниться база персональных данных?

Запись, систематизация, накопление и хранение персональных данных граждан России должны вестись в базах данных, расположенных на территории России. Это требование локализации действует с 2015 года, а сведения о месте нахождения базы оператор указывает в уведомлении Роскомнадзору.

Кто должен заниматься защитой данных в компании?

Организационную часть, то есть политику, согласия и уведомление Роскомнадзору, обычно ведёт юрист или ответственный за организацию обработки. А техническую защиту, то есть модель угроз, выбор и настройку средств защиты, строит специалист по информационной безопасности или привлечённый лицензиат ФСТЭК России. Это разные роли, и подменять одну другой нельзя.

Коротко о главном

Оператором персональных данных становится почти любая организация или предприниматель, который определяет, зачем и какие данные людей собирает, причём обработкой считается работа с данными и в компьютере, и на бумаге. Статус возникает автоматически, и вместе с ним приходят обязанности назначить ответственных, подготовить комплект документов, получить корректные согласия, построить реальную защиту данных по требованиям ФСТЭК России и уведомить Роскомнадзор до начала обработки, попав в реестр операторов.

За последние годы требования закона подкрепили серьёзными санкциями — от оборотных штрафов в сотни миллионов рублей за повторную утечку до уголовной ответственности сроком до 10 лет. Защита данных перестала быть формальностью и превратилась в управление реальным риском, где одинаково важны и правильно оформленные документы, и работающая техническая защита. Тем, кто ещё не привёл процессы в порядок, разумно пройти базовые шаги уже сейчас, пока внимание Роскомнадзора не обернулось проверкой и штрафом.

Игорь
Автор: Игорь
Представитель редакции CISOCLUB. Пишу статьи по ИБ, ИТ.
Комментарии: