Понятие «оператор персональных данных» является ключевым в системе 152-ФЗ. Оператором признаётся государственный или муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и/или осуществляет обработку персональных данных, а также определяет цели и состав обрабатываемых данных. На практике это означает, что любой владелец сайта с формой обратной связи, любой интернет-магазин, любой работодатель является оператором.
Обязанности оператора персональных данных
Обязанности перед субъектами данных
- Предоставить субъекту информацию об обработке его данных по запросу.
- Исправить неточные данные в течение 7 рабочих дней.
- Уничтожить данные по требованию субъекта в течение 30 дней.
- Прекратить обработку данных в рекламных целях по требованию субъекта.
- Обеспечить возможность реализации всех прав субъекта (ст. 14–17 152-ФЗ).
Обязанности перед регулятором
- Уведомить Роскомнадзор до начала обработки данных (ст. 22 152-ФЗ).
- Уведомить об утечках данных в течение 24/72 часов (ст. 21 152-ФЗ).
- Предоставлять сведения по запросу РКН.
- Допускать к проверкам уполномоченных инспекторов.
Организационные обязанности
- Назначить ответственного за обработку персональных данных.
- Разработать и ввести в действие локальные нормативные акты.
- Обучить сотрудников, имеющих доступ к ПД.
- Разработать модель угроз безопасности.
Технические обязанности
- Обеспечить уровень защищённости ИСПДн в соответствии с Приказом ФСТЭК № 21.
- Использовать средства защиты информации.
- Хранить данные граждан РФ на российских серверах.
- Обеспечить шифрование каналов передачи данных.
Виды ответственности оператора
Административная ответственность
Статья 13.11 КоАП РФ предусматривает различные составы нарушений при обработке ПД с размером штрафов от 1 000 до 18 000 000 рублей. Наиболее крупные штрафы установлены за нелокализованные базы данных и утечки данных.
Гражданско-правовая ответственность
Субъект персональных данных вправе взыскать с оператора убытки и компенсацию морального вреда (ст. 24 152-ФЗ). Судебная практика 2024–2025 годов показывает, что размеры компенсаций растут: средняя выплата за утечку данных составляет 10 000–50 000 рублей за пострадавшего субъекта.
Уголовная ответственность
Статья 137 УК РФ «Нарушение неприкосновенности частной жизни» предусматривает наказание до 5 лет лишения свободы за незаконное распространение данных о частной жизни лица с использованием служебного положения.
Тенденция 2025–2026: РКН переходит к персональной ответственности руководителей. Должностные лица компаний-нарушителей привлекаются к административной ответственности наряду с организацией.
Разграничение оператора и поручителя
Оператор вправе поручить обработку данных третьему лицу (поручителю по обработке) на основании договора. В этом случае оператор несёт ответственность за действия поручителя перед субъектами данных. Договор с поручителем должен содержать перечень операций, цели обработки, обязательство по конфиденциальности и соблюдению требований 152-ФЗ.
Связанные статьи
Подробнее о штрафах за нарушения 152-ФЗ читайте в статье Штрафы за нарушение 152-ФЗ в 2026 году: полная таблица. О порядке уведомления РКН — в материале Уведомление Роскомнадзора об обработке персональных данных.
Итог
Статус оператора персональных данных несёт значительную правовую нагрузку. Понимание своих обязанностей и их своевременное выполнение — залог защиты от регуляторных санкций и судебных исков. Оцените уровень соответствия вашей компании требованиям 152-ФЗ с помощью автоматического аудита на help152.ru.