Понятие «оператор персональных данных» – ключевое в 152-ФЗ. От того, попадает ли владелец сайта под определение оператора, зависит весь объём обязанностей: уведомление Роскомнадзора, политика, согласия, защита, локализация. Разбираем тему «сроки обработки пдн: как определить и зафиксировать в политике» с опорой на актуальные нормы 2026 года.
Базовое определение
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие или осуществляющие обработку ПДн, а также определяющие цели и состав обрабатываемых данных. Простыми словами: если вы решаете, какие данные собирать на сайте и зачем – вы оператор. Это касается ИП с сайтом, самозанятых, ООО любого размера, бюджетных учреждений и физических лиц, ведущих профессиональную деятельность через интернет.
Когда сайт-визитка становится оператором
Сайт-визитка попадает под закон, если на нём есть хотя бы один из элементов: форма обратной связи (имя + телефон/email), форма заявки, подписка на рассылку, кнопка обратного звонка, виджет онлайн-чата, регистрация. Также – если сайт использует Яндекс.Метрику, Google Analytics или другой счётчик аналитики. Даже передача ФИО и телефона через WhatsApp-кнопку с сайта формально считается сбором ПДн.
Правовые основания обработки
Статья 6 152-ФЗ перечисляет основания, при которых обработка ПДн законна:
- согласие субъекта ПДн (самое частое основание для сайтов);
- исполнение договора, стороной которого является субъект ПДн (например, оформление заказа);
- исполнение полномочий, возложенных законодательством;
- осуществление прав и законных интересов оператора;
- в целях, связанных с журналистской деятельностью, научными или статистическими исследованиями.
Любое из этих оснований должно быть зафиксировано документально – иначе при проверке Роскомнадзора оснований «не было».
Принципы обработки
Семь принципов из статьи 5 152-ФЗ, которые должен соблюдать каждый оператор:
- законность и справедливость;
- конкретность и заранее определённые цели;
- соответствие объёма данных целям обработки (избыточные данные собирать нельзя);
- точность и актуальность;
- хранение в форме, позволяющей идентификацию, не дольше требуется для целей;
- уничтожение или обезличивание после достижения целей;
- обеспечение конфиденциальности и защиты.
Базовый комплект обязанностей
Минимальный набор действий оператора-сайта:
- подать уведомление в Роскомнадзор и попасть в реестр операторов;
- опубликовать на сайте политику обработки ПДн (ст. 18.1) – в видимой части;
- собирать согласия пользователей на каждое целевое действие;
- обеспечить локализацию баз с ПДн граждан РФ на территории России;
- принять организационные и технические меры защиты по приказам ФСТЭК и ФСБ;
- назначить ответственного за обработку ПДн внутри организации;
- уведомлять субъектов и Роскомнадзор об инцидентах в установленные сроки.
За неуведомление Роскомнадзора о начале обработки ПДн (ч. 10 ст. 13.11 КоАП) штраф для юрлица – 100–300 тыс ₽. Отсутствие политики обработки ПДн на сайте (ч. 3 ст. 13.11 КоАП) карается штрафом 30–60 тыс ₽ для юрлица. Поэтому даже минимальный комплект – обязателен.
Готовый комплект документов за 2 минуты
Не хотите собирать документы вручную – сервис help152.ru/generator формирует полный комплект из 57 документов за 1–2 минуты. Достаточно ввести ИНН компании или ИП – реквизиты, ОГРН, юридический адрес, ФИО руководителя подтянутся автоматически. Стоимость пакета – 2 500 ₽, без подписок и доплат.
- Политика обработки ПДн, политика конфиденциальности, политика куки.
- Согласия на обработку ПДн под все типовые сценарии: форма заявки, рассылка, обратная связь, личный кабинет.
- Внутренние документы оператора: приказы, регламенты, журналы, перечень обрабатываемых данных.
- Шаблоны ответов субъекту ПДн и Роскомнадзору.
Все документы соответствуют поправкам 420-ФЗ, требованиям приказа Роскомнадзора № 178 и актуальной судебной практике. Сформировать комплект документов или запустить бесплатную экспресс-проверку – узнать, чего не хватает на сайте.