справочник 19 июля 2026 По состоянию на 19 июля 2026

Чем оператор отличается от обработчика ПДн по ст. 6

Оператор — лицо, которое самостоятельно определяет цели и состав обработки персональных данных. Обработчик — действует исключительно по поручению оператора и не вправе определять цели обработки.

Смешение этих ролей — одна из самых частых ошибок в договорной практике. Она меняет, кто отвечает перед РКН и субъектом, кто обязан уведомить регулятора и кто получит штраф по ст. 13.11 КоАП.

Если вы юрист и сейчас квалифицируете роли контрагентов — разграничение по ст. 3 и п. 3 ст. 6 152-ФЗ критично для оценки рисков → ниже полный разбор.

Два термина — оператор и обработчик — в обиходе нередко используют как синонимы. На практике это разные правовые роли с разным объёмом ответственности, разными обязательными документами и разными последствиями при проверке Роскомнадзора. Ниже — структурированный разбор по нормам 152-ФЗ и практике РКН 2025–2026.

Что такое оператор персональных данных?

Определение закреплено в ст. 3 152-ФЗ. Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели такой обработки, её состав и совершаемые с данными действия.

Ключевых признака два:

Определяет цели. Оператор сам решает, зачем собираются ПДн: для исполнения договора, маркетинговой рассылки, кадрового учёта и т. д.
Организует или осуществляет обработку. Он может делать это лично, через сотрудников или через стороннее лицо по поручению — но ответственность за выбор способа и за соответствие закону остаётся за ним.

Оператор обязан уведомить РКН о намерении обрабатывать ПДн по ст. 22 152-ФЗ (до начала обработки), назначить ответственного по ст. 22.1, опубликовать политику по ст. 18.1, получить основание обработки (ст. 6), а при согласии — оформить его по ст. 9.

«Ст. 3 152-ФЗ — оператор самостоятельно или совместно с другими определяет цели, состав и действия при обработке персональных данных.»

Что такое обработчик персональных данных?

Обработчик персональных данных в 152-ФЗ отдельным термином не выделен, однако его правовой статус описан в п. 3 ст. 6 и ст. 6 в целом. Это лицо, которое обрабатывает ПДн по поручению оператора, на основании заключённого с ним договора или иного юридически обязывающего документа.

Обработчик:

не определяет цели обработки — цели задаёт оператор в поручении;
не вправе использовать ПДн в собственных интересах, выходящих за рамки поручения;
обязан соблюдать конфиденциальность и принимать меры защиты по ст. 19 152-ФЗ;
не уведомляет РКН о своей деятельности — это обязанность оператора.

Типичные примеры обработчиков: облачный провайдер, которому оператор передал хранение базы; колл-центр на аутсорсе, обрабатывающий обращения клиентов; HR-платформа, ведущая кадровый учёт по договору с работодателем.

«П. 3 ст. 6 152-ФЗ — оператор вправе поручить обработку ПДн другому лицу на основании договора. Это лицо обязано соблюдать принципы и правила 152-ФЗ, заданные оператором.»

Нужно квалифицировать роли в договоре с контрагентом?

Если вы юрист и проверяете комплаенс компании — ошибка в разграничении ролей оператора и обработчика меняет весь объём ОРД и зону ответственности. Аудит по чек-листу из 38 пунктов покажет, правильно ли оформлены поручения, есть ли необходимые условия в договорах и соответствует ли документация ст. 6 и ст. 18.1 152-ФЗ.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

В чём принципиальная разница между ролями?

Практически значимые различия сведены ниже. Они прямо влияют на объём ОРД, порядок взаимодействия с РКН и риски по ст. 13.11 КоАП.

Определение целей. Оператор — да (самостоятельно). Обработчик — нет (получает цели из поручения).
Уведомление РКН (ст. 22 152-ФЗ). Оператор — обязан до начала обработки. Обработчик — не уведомляет, он не является оператором по смыслу закона.
Правовое основание обработки (ст. 6 152-ФЗ). Оператор — выбирает из 11 оснований. Обработчик — основанием служит поручение оператора (п. 3 ст. 6).
Согласие субъекта (ст. 9 152-ФЗ). Получает оператор. Обработчик не вправе собирать отдельные согласия на собственную обработку в рамках поручения.
Политика обработки ПДн (ст. 18.1 152-ФЗ). Публикует оператор. Обработчик не обязан иметь публичную политику в части переданных ему ПДн — достаточно договорных условий конфиденциальности.
Ответственность за выбор обработчика. Оператор несёт её в полном объёме: если обработчик допустит утечку, претензии РКН предъявляются оператору. Ответственность обработчика перед субъектами регулируется договором и нормами ст. 13.11 КоАП напрямую — в части технических мер по ст. 19 152-ФЗ.
Обязательные условия договора. В поручении (договоре) по п. 3 ст. 6 должны быть: перечень действий с ПДн, цель обработки, обязанность соблюдать конфиденциальность, меры защиты, запрет передачи третьим лицам без согласия оператора.

Что грозит за ошибку в квалификации ролей?

Неправильная квалификация — не просто теоретический просчёт. Она порождает конкретные нарушения.

Сценарий 1. Компания передаёт обработку ПДн клиентов сервис-провайдеру без письменного поручения по п. 3 ст. 6. Провайдер де-факто действует как самостоятельный оператор. При проверке РКН квалифицирует это как обработку ПДн без законного основания — состав по ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000–300 000 ₽. При повторности — ч. 1.1, до 500 000 ₽.

Сценарий 2. Обработчик (HR-платформа) начинает использовать переданные ей кадровые ПДн для собственного профилирования соискателей. Он вышел за рамки поручения и стал самостоятельным оператором — без уведомления РКН и без законных оснований обработки. Штраф по ч. 1 ст. 13.11 + нарушение ч. 2 ст. 9, если собственного согласия субъектов нет (ч. 2 ст. 13.11 — 300 000–700 000 ₽).

Сценарий 3. Договор с обработчиком есть, но в нём не прописаны перечень действий, меры защиты и запрет передачи третьим лицам. Обработчик допускает утечку. Оператор не может сослаться на надлежащее поручение и несёт ответственность в полном объёме по ч. 12–14 ст. 13.11 КоАП (от 3 до 15 млн ₽ в зависимости от числа субъектов) и по ч. 15 при повторности (оборотный штраф 1–3% выручки, не менее 20 млн ₽).

Что проверить в договоре с обработчиком (п. 3 ст. 6 152-ФЗ)

Явное указание: контрагент действует по поручению оператора, а не самостоятельно.
Исчерпывающий перечень действий с ПДн и цель обработки.
Обязанность соблюдать конфиденциальность и меры защиты по ст. 19 152-ФЗ.
Запрет передачи ПДн третьим лицам без письменного согласия оператора.
Обязанность обработчика уведомить оператора об инциденте немедленно (для соблюдения 24-часового срока по ч. 3.1 ст. 21 152-ФЗ).

Если в договорах с подрядчиками нет поручения по п. 3 ст. 6 — при утечке через них ответственность полностью остаётся на операторе. Штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11. Юристы DATUM собирают ОРД под ключ, включая поручения обработчикам.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Юридический департамент производственной компании (Уральский ФО, весна 2026) обнаружил при плановом комплаенс-аудите, что договор с облачным провайдером не содержал поручения по п. 3 ст. 6: провайдер хранил клиентскую базу, но без явного запрета использовать её в собственных целях. До проверки РКН пакет ОРД был приведён в соответствие — дополнительные соглашения к договорам, поручения с перечнями действий, условия конфиденциальности. При последующей внеплановой проверке РКН нарушений в части передачи данных обработчику не зафиксировал.

Кейс 2. В деле, рассмотренном арбитражным судом в начале 2026 года, оператор настаивал, что ответственность за утечку лежит на подрядчике-обработчике. Суд применил сложившийся принцип: оператор отвечает за выбор обработчика и надлежащее содержание поручения. Поскольку в договоре отсутствовали обязательные условия по п. 3 ст. 6, штраф по ч. 12 ст. 13.11 КоАП был назначен оператору.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка ролей, договоров с обработчиками, полноты ОРД
Комплект ОРД под ключ — поручения обработчикам, политика, согласия, приказы
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 на абонентской основе

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 152-ФЗ обработка — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже простое хранение файла с именем и телефоном клиента — уже обработка ПДн, требующая законного основания по ст. 6.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 152-ФЗ устанавливает 11 оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанности оператора по закону (п. 2), защита жизни и здоровья (п. 7). Поручение обработчику — самостоятельное основание по п. 3 ст. 6, но оно не снимает с оператора обязанность иметь собственное основание в отношении субъекта.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП (в редакции с 30.05.2025) — от 30 000 ₽ за отсутствие политики (ч. 3) до 15 млн ₽ за крупную утечку (ч. 14) и оборотного штрафа до 500 млн ₽ при повторной утечке (ч. 15). С 11.12.2024 действует ст. 272.1 УК РФ — уголовная ответственность за незаконное использование компьютерной информации с ПДн, до 10 лет лишения свободы по ч. 5.

4. Нужно ли уведомлять РКН малому бизнесу?

Уведомление обязательно для всех операторов, кроме случаев, прямо перечисленных в ч. 2 ст. 22 152-ФЗ: обработка в рамках трудовых отношений, обработка для исполнения договора с субъектом без передачи третьим лицам и ряд других. Малый бизнес не освобождён от уведомления автоматически. Если исключение не применимо — уведомление подаётся через pd.rkn.gov.ru до начала обработки; за нарушение — ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽.

5. С какого возраста нужно согласие на ПДн?

По ст. 9 152-ФЗ согласие на обработку ПДн несовершеннолетнего до 14 лет даёт его законный представитель (родитель, усыновитель, опекун). С 14 лет субъект вправе давать согласие самостоятельно. При обработке ПДн детей до 18 лет в сфере образования и здравоохранения применяются дополнительные требования — согласие родителей обязательно независимо от возраста ребёнка.

Итог

Оператор определяет цели и несёт ответственность перед субъектами и РКН. Обработчик действует строго в рамках поручения по п. 3 ст. 6 152-ФЗ — без права устанавливать собственные цели. Правильное разграничение ролей задаёт весь объём ОРД, определяет, кто уведомляет РКН, и влияет на квалификацию нарушений по ст. 13.11 КоАП.

Практика DATUM включает аудит договоров с обработчиками и формирование пакета ОРД с поручениями по п. 3 ст. 6. Типичные слабые места: отсутствие поручения, неполный перечень действий, нет условия об уведомлении оператора при инциденте в течение суток.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ, обработка через КЭДО, биометрия в СКУД, передача ПДн в зарплатных проектах, проверки РКН в HR-департаментах.

19 июля 2026 года