152ФЗ о персданных
Все статьи
Другое152-ФЗоператор ПДнбаза знаний

Что такое «оператор персональных данных» и почему вы, скорее всего, уже им являетесь

Если у вас есть сайт с формой заявки, база клиентов в CRM или штатные сотрудники — закон уже считает вас оператором персональных данных. Разбираемся, кто попадает под 152-ФЗ, что закон называет «обработкой» и какие штрафы грозят за бездействие в 2025–2026 годах.

22 мая 2026·7 мин чтения

Если у вас есть сайт с формой обратной связи, база клиентов в CRM, штатные сотрудники или просто Excel-файл с телефонами заказчиков — закон уже считает вас оператором персональных данных. Это означает, что на вас распространяются Федеральный закон №152-ФЗ, требования Роскомнадзора и (для ряда случаев) приказы ФСТЭК России. Разбираемся, что это значит на практике и почему фраза «нас это не касается» — самая частая и самая дорогая ошибка.

Кто такой оператор персональных данных

Формулировка из закона короткая: оператор — это любое лицо, которое организует или осуществляет обработку персональных данных, а также определяет цели и состав этих данных. Под определение попадают:

  • юридические лица — от ООО на двух человек до крупных компаний;
  • индивидуальные предприниматели;
  • государственные и муниципальные органы;
  • в отдельных случаях — физические лица, если они ведут коммерческую базу контактов.

Ключевое слово — «определяете цели». Если вы решили, зачем собираете телефон клиента (для подтверждения заказа, рассылки, аналитики) — вы оператор. Если вы лишь технически обрабатываете данные по поручению другого — вы выступаете в роли обработчика, и требования к вам несколько мягче. Но об этом ниже.

Что считается персональными данными

Закон определяет ПДн как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу. На практике это намного шире, чем кажется. К персональным данным относятся:

  • ФИО, дата и место рождения;
  • паспортные данные, ИНН, СНИЛС;
  • адрес проживания и регистрации;
  • номер мобильного телефона;
  • личный e-mail, в том числе корпоративный вида ivanov@company.ru;
  • фотография, включая кадр с камеры видеонаблюдения;
  • IP-адрес и cookies в связке с другими данными о пользователе;
  • биометрия — отпечатки, голос, изображение лица.

Отдельно закон выделяет специальные категории — данные о здоровье, национальности, политических взглядах, судимости и интимной жизни. Их обработка требует более строгого режима: отдельного письменного согласия и повышенного уровня защищённости информационной системы.

Что закон называет обработкой

Самая частая ошибка — считать, что «обработка» — это что-то техническое и сложное. На самом деле в перечень из закона входит почти всё, что можно сделать с данными:

  • сбор (когда клиент заполняет форму на сайте);
  • запись и хранение (Excel-файл, CRM, бухгалтерская программа);
  • систематизация (сортировка клиентов по сегментам);
  • уточнение и изменение (обновление телефона);
  • использование (звонок клиенту, email-рассылка);
  • передача третьим лицам (отправка СМС через сервис рассылок, передача в курьерскую службу);
  • обезличивание, блокирование, удаление.

Даже простое хранение уже является обработкой. Поэтому довод «мы данные не используем, они просто лежат в архиве» закон не учитывает.

Семь ситуаций, когда вы — оператор, даже если не знали

1. На сайте есть форма заявки или обратной связи

Любое поле «имя» и «телефон» — это сбор ПДн. С момента, когда пользователь нажал «отправить», вы становитесь оператором, и сайт должен соответствовать целому списку требований: политика обработки в подвале, чекбокс согласия рядом с кнопкой, корректные cookie-уведомления.

2. У вас есть штатные сотрудники

Кадровый учёт — это обработка ПДн в самом строгом из бытовых форматов. Паспорт, СНИЛС, трудовая, фото на пропуск, медицинские справки — всё подпадает под 152-ФЗ и требует своих согласий и положений.

3. Вы выдаёте дисконтные карты или ведёте программу лояльности

Привязка телефона к карте, накопление истории покупок, рассылка спецпредложений — типичная ситуация, в которой оператор уверен, что «это просто маркетинг», и не оформляет ни одного документа.

4. В офисе или магазине стоит видеонаблюдение

Изображение человека — это персональные данные, а в ряде случаев — биометрия. Камеры требуют отдельного положения о видеонаблюдении, информационных табличек на входе и установленного режима хранения записей.

5. Вы пользуетесь облачной CRM, сервисом рассылок или сторонней бухгалтерией

Если данные клиентов попадают в Bitrix24, amoCRM, 1С:Облако, сервис email-рассылок или внешнюю IP-телефонию — вы не перестаёте быть оператором, а становитесь оператором, который привлёк обработчика. Для этого нужен договор с конкретными условиями обработки, иначе ответственность за нарушение остаётся на вас.

6. У вас интернет-магазин, который принимает оплату

Связка «ФИО + адрес доставки + номер телефона + история заказов» — это полный профиль клиента. Плюс согласие на использование cookies для аналитики и ретаргетинга, которое сейчас оформляется отдельным баннером.

7. Вы оказываете медицинские, образовательные или психологические услуги

Здесь вы обрабатываете специальные категории ПДн. Требования к таким операторам строже даже к виду согласия — оно должно быть оформлено в письменной форме на бумаге или в виде электронного документа, подписанного усиленной электронной подписью.

Что обязан делать оператор

Если коротко — выстроить три уровня защиты: организационный, правовой и технический. На практике это означает примерно следующий минимум:

  • Уведомить Роскомнадзор о намерении обрабатывать ПДн. С 1 сентября 2022 года это обязательно почти для всех, исключений осталось крайне мало. Подаётся через личный кабинет на сайте РКН, бесплатно.
  • Назначить ответственного за организацию обработки ПДн — отдельным приказом по компании.
  • Подготовить пакет внутренних документов: политику обработки ПДн, положения, согласия, инструкции для сотрудников. Минимально — 15–20 документов; для компании с информационной системой — до 40, в зависимости от уровня защищённости.
  • Опубликовать политику обработки ПДн на сайте — в подвале, на отдельной странице, в открытом доступе без регистрации.
  • Собирать согласия с клиентов и сотрудников в той форме, которую требует закон для конкретного случая: галочка под формой — для обычных ПДн, отдельный документ — для специальных категорий и биометрии.
  • Защищать информационную систему, в которой хранятся ПДн. Для большинства малых компаний достаточно базового набора мер: пароли, антивирус, разграничение доступа, резервное копирование. Для специальных категорий и крупных систем — требования ФСТЭК России по приказу №21 (определённый уровень защищённости, аттестованные средства защиты, модель угроз).
  • Уведомлять об инцидентах. Утечка ПДн — отдельный состав: оператор обязан сообщить в Роскомнадзор в течение 24 часов с момента обнаружения и представить результаты внутреннего расследования в течение 72 часов.

Что бывает, если ничего не делать

Штрафы по 152-ФЗ выросли в несколько раз — закон в нынешней редакции работает с 30 мая 2025 года. По статье 13.11 КоАП РФ сейчас предусмотрено:

  • до 700 тысяч рублей — за обработку ПДн без согласия;
  • до 6 миллионов рублей — за неуведомление Роскомнадзора об утечке;
  • до 15 миллионов рублей — за саму утечку, в зависимости от объёма пострадавших;
  • оборотные штрафы до 3% годовой выручки — за повторные нарушения с массовыми утечками.

К этому добавляются репутационные риски: реестр операторов, допустивших утечки, публичный, информация о крупных инцидентах попадает в СМИ и индексируется поисковиками на годы вперёд.

С чего начать сегодня

Если вы дочитали до этого места и поняли, что попадаете под несколько пунктов из списка выше — порядок действий примерно такой:

  1. Проверьте, числитесь ли вы в реестре операторов Роскомнадзора. Это можно сделать бесплатно на сайте РКН — поиск по ИНН.
  2. Если в реестре вас нет, а данные вы фактически обрабатываете — подайте уведомление. Это самый частый повод для проверки: РКН в первую очередь смотрит тех, кого в реестре нет, но кто очевидно ведёт деятельность (есть сайт, юрлицо, договоры с клиентами).
  3. Подготовьте пакет внутренних документов. Для малой компании это занимает 1–2 рабочих дня по готовым шаблонам и 2–3 недели, если делать с нуля.
  4. Разместите политику обработки ПДн на сайте и форму согласия там, где собираете данные.
  5. Назначьте ответственного и проведите для сотрудников хотя бы короткий инструктаж — кому можно показывать клиентскую базу, а кому нельзя.

Это не разовая задача, а постоянный режим: документы пересматриваются раз в год, при смене процессов или после любого инцидента. Но базовый комплект, поданный однажды, закрывает большую часть рисков, с которыми сталкивается малый и средний бизнес.

Сервис 152form собирает полный пакет документов под ваши процессы автоматически: за 15–20 минут опросника вы получаете готовую папку, с которой можно идти к юристу, в РКН или на проверку. Если нужно — поможем подать уведомление в Роскомнадзор и пройти первый контакт с регулятором.