справочник 1 июня 2026 По состоянию на 1 июня 2026

Кто такой оператор персональных данных по ст. 3 152-ФЗ

Оператор персональных данных — юридическое или физическое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки ПДн (ст. 3 ФЗ-152).

Статус оператора возникает автоматически с момента сбора первых данных. Без уведомления РКН и без ОРД — штраф по ч. 10 ст. 13.11 КоАП до 300 000 ₽, а при утечке — до 15 000 000 ₽.

Если вы юрист и выстраиваете комплаенс по 152-ФЗ — ниже разбор всех ключевых определений, оснований и санкций. →

Понятие оператора — отправная точка всей системы 152-ФЗ. Ошибка в квалификации статуса ведёт к неверному набору обязательств: компания либо выполняет лишнее, либо пропускает критичное. Ниже — определения из ст. 3 ФЗ-152, принципы ст. 5, правовые основания ст. 6 и санкции ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024.

Что такое оператор персональных данных по ст. 3 ФЗ-152?

Оператором признаётся государственный орган, муниципальный орган, юридическое или физическое лицо, которое организует и (или) осуществляет обработку персональных данных и определяет цели обработки, состав обрабатываемых данных и действия с ними. Это определение закреплено в ст. 3 ФЗ-152.

«Ст. 3 ФЗ-152: оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.»

Ключевое слово — «определяет». Именно самостоятельное определение целей отличает оператора от лица, осуществляющего обработку по поручению. Подрядчик, которому компания передала базу на хранение по договору поручения (п. 3 ст. 6 ФЗ-152), не становится оператором: он действует строго в рамках инструкций заказчика. Оператор отвечает перед субъектом и РКН; обработчик-подрядчик — перед оператором.

На практике статус оператора приобретают: интернет-магазины (данные покупателей), работодатели (данные работников по ст. 86–88 ТК), клиники (данные пациентов по ст. 10 ФЗ-152), банки, школы, агрегаторы, SaaS-платформы и даже ИП, ведущий клиентскую базу в таблице.

Какие основные понятия нужно знать юристу для работы с 152-ФЗ?

Все ключевые термины закреплены в ст. 3 ФЗ-152. Без их точного понимания невозможно корректно квалифицировать обязательства и составить ОРД.

Персональные данные: Любая информация, прямо или косвенно относящаяся к определённому физическому лицу (субъекту). Имя, телефон, email, IP-адрес, идентификатор cookie — всё это ПДн при наличии возможности идентификации.
Обработка персональных данных: Любое действие или совокупность действий: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже хранение без использования — обработка.
Субъект персональных данных: Физическое лицо, чьи данные обрабатывает оператор. Имеет права по ст. 14–17 ФЗ-152: получить информацию, потребовать уточнения, заблокировать или уничтожить свои данные.
Специальные категории ПДн: Данные о расовой и национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни, судимости. Перечень закрытый — ст. 10 ФЗ-152. Обработка по общему правилу запрещена.
Биометрические персональные данные: Физиологические и биологические характеристики, позволяющие установить личность: изображение лица, голос, отпечатки пальцев, ДНК, радужная оболочка глаза. Обработка — только с письменного согласия (ст. 11 ФЗ-152).
Обезличивание: Действия, после которых данные невозможно соотнести с конкретным субъектом без дополнительных сведений. С 2025 года применяются пять методов по приказу РКН (введение идентификаторов, изменение состава/семантики, декомпозиция, перемешивание, обобщение).
Трансграничная передача: Передача ПДн на территорию иностранного государства. Перед передачей в страну без адекватной защиты оператор обязан уведомить РКН (ст. 12 ФЗ-152).
Лицо, осуществляющее обработку по поручению: Подрядчик или провайдер, обрабатывающий данные исключительно по инструкции оператора на основании договора поручения (п. 3 ст. 6 ФЗ-152). Не является оператором, но оператор остаётся ответственным за его действия перед РКН.

Выстраиваете комплаенс по 152-ФЗ с нуля?

Корректная квалификация статуса оператора — первый шаг. Дальше следуют уведомление РКН, разработка ОРД и назначение ответственного. Без системного подхода каждый из этих этапов становится самостоятельным основанием для штрафа. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие принципы обработки ПДн обязан соблюдать оператор?

Статья 5 ФЗ-152 устанавливает семь принципов. Их нарушение — самостоятельное основание для привлечения по ч. 1 ст. 13.11 КоАП (штраф для юрлица 150 000–300 000 ₽).

Законность и справедливость. Обработка допустима только при наличии правового основания из ст. 6 ФЗ-152.
Конкретность целей. Цели определяются до начала обработки и фиксируются в политике и уведомлении РКН.
Несовместимость баз. Нельзя объединять базы, собранные для несовместимых целей.
Соответствие объёма. Собирать допустимо только те данные, которые необходимы для заявленных целей.
Точность и достаточность. Оператор обязан обеспечить актуальность данных.
Срочность хранения. Хранить данные можно не дольше, чем требует цель обработки.
Уничтожение при достижении цели. После достижения цели или истечения срока — данные уничтожаются или обезличиваются.

На каких правовых основаниях можно обрабатывать ПДн?

Статья 6 ФЗ-152 содержит одиннадцать оснований. Использовать согласие как единственное основание — распространённая ошибка: при отзыве согласия оператор обязан прекратить обработку, даже если данные нужны для договора.

Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152). С 01.09.2025 — только отдельный документ (ФЗ-156 от 24.06.2025). Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень данных, перечень действий, срок, способ отзыва.
Исполнение договора с субъектом (п. 5 ч. 1 ст. 6 ФЗ-152). Не требует согласия, если данные нужны именно для исполнения, заключения или изменения договора, стороной которого является субъект.
Исполнение возложенных обязанностей (п. 2 ч. 1 ст. 6 ФЗ-152). Для государственных органов — исполнение функций по законодательству.
Защита жизни и здоровья (п. 7 ч. 1 ст. 6 ФЗ-152). Применимо, если получение согласия физически невозможно.
Осуществление прав и законных интересов оператора или третьих лиц (п. 7 ч. 1 ст. 6 ФЗ-152). При условии, что права субъекта не нарушаются.

Для специальных категорий (ст. 10 ФЗ-152) и биометрических данных (ст. 11 ФЗ-152) перечень оснований уже: как правило, требуется письменное согласие либо прямое указание федерального закона.

Что подготовить юристу для базового комплаенса

Уведомление о намерении обрабатывать ПДн — подать в РКН через pd.rkn.gov.ru до начала обработки (ст. 22 ФЗ-152; штраф за неуведомление — до 300 000 ₽ по ч. 10 ст. 13.11 КоАП).
Политика обработки ПДн — опубликовать на сайте и разместить в доступном месте (ч. 2 ст. 18.1 ФЗ-152; штраф за отсутствие — до 60 000 ₽ по ч. 3 ст. 13.11).
Согласия субъектов — отдельный документ по каждой цели с 01.09.2025 (ФЗ-156; штраф за нарушение — до 700 000 ₽ по ч. 2 ст. 13.11).
Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152).
Договоры поручения обработки с подрядчиками, имеющими доступ к ПДн (п. 3 ст. 6 ФЗ-152).

Как квалифицировать ситуацию: оператор или обработчик?

На практике статус определяется через два вопроса. Первый: кто решает, зачем обрабатываются данные? Второй: кто решает, как именно это делается? Если ответ на оба вопроса — одно лицо, оно является оператором.

Ситуация 1. Компания передаёт CRM-базу маркетинговому агентству для рассылки. Агентство действует по инструкции компании: список, шаблон, дата. Агентство — обработчик по поручению. Оператор — компания. Ответственность перед РКН при утечке через агентство несёт компания-оператор (принцип, подтверждённый практикой ВС РФ). Агентство отвечает перед компанией по договору.

Ситуация 2. HR-платформа собирает резюме соискателей и самостоятельно формирует профили, присваивает теги, ранжирует кандидатов. Платформа сама определяет состав обрабатываемых данных и алгоритм работы с ними — она оператор, а не обработчик. Работодатель, получающий данные через платформу, также становится оператором в части своей обработки.

Ситуация 3. Юрист получает запрос РКН о предоставлении документов. Проверка начата — срок на предоставление ответа ограничен. Если уведомление о намерении обрабатывать подавалось, но реестровые сведения устарели (фактическая обработка шире заявленной), РКН квалифицирует это как нарушение по ч. 1 ст. 13.11 КоАП. Штраф — 150 000–300 000 ₽; при повторности по ч. 1.1 — 300 000–500 000 ₽.

Если вы юрист и готовите компанию к проверке РКН — несоответствие реестровых сведений фактической обработке выявляется в первые часы. Исправить до проверки занимает несколько дней; после — штраф неизбежен.

Заказать аудит 152-ФЗ

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработкой считается любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Перечень закреплён в ст. 3 ФЗ-152 и является открытым по форме — любое иное действие с данными также охватывается понятием обработки. Даже хранение бумажного личного дела без каких-либо иных действий признаётся обработкой.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 устанавливает одиннадцать правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанностей, возложенных законодательством (п. 2). Для специальных категорий (ст. 10) и биометрии (ст. 11) перечень оснований уже — как правило, требуется письменное согласие. Важно: отсутствие основания или его несоответствие фактической обработке — нарушение по ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000–300 000 ₽.

3. Что грозит за нарушение 152-ФЗ?

Санкции зависят от состава. Административная ответственность — ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (действует с 30.05.2025): от 30 000 ₽ за отсутствие политики (ч. 3) до 15 000 000 ₽ за утечку более 100 000 субъектов (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 ₽ и не более 500 000 000 ₽. С 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421): незаконные сбор, хранение или передача ПДн с использованием компьютерных средств — до 10 лет лишения свободы (ч. 5, тяжкие последствия).

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если только обработка не подпадает под исключения ч. 2 ст. 22 ФЗ-152. Исключения узкие: например, обработка данных, полученных оператором в связи с заключением и исполнением договора с субъектом, при условии непередачи третьим лицам без согласия и использования исключительно для исполнения этого договора. На практике большинство малых компаний уведомление подавать обязаны. Штраф за неуведомление — по ч. 10 ст. 13.11 КоАП: 100 000–300 000 ₽ для юрлица.

5. С какого возраста нужно согласие на ПДн?

По общему правилу согласие вправе давать лицо, достигшее 14 лет (дееспособность в части распоряжения данными). До 14 лет согласие даёт законный представитель (родитель, усыновитель, опекун). Для информационного общества (ИС, сервисы детям) и образовательных организаций требования строже: ряд подзаконных актов устанавливает особые условия обработки ПДн несовершеннолетних. Оператор обязан принять меры для проверки возраста субъекта и получения согласия от представителя при обработке данных детей до 14 лет.

Итог

Статус оператора персональных данных возникает в момент, когда лицо начинает определять цели и способы обработки ПДн, — вне зависимости от того, зарегистрировано ли оно в реестре РКН. Из этого статуса вытекают обязательства по семи принципам ст. 5, правовым основаниям ст. 6, уведомлению по ст. 22, ОРД по ст. 18.1 и соблюдению прав субъектов по ст. 14–17 ФЗ-152. В редакции ФЗ-420 от 30.11.2024 нарушение любого из этих блоков образует самостоятельный состав по одной из 18 частей ст. 13.11 КоАП.

DATUM сопровождает операторов по всем стадиям комплаенса: от первичного аудита и разработки ОРД до защиты в арбитраже при получении протокола РКН. Практика по 152-ФЗ с 2014 года.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всех обязательств оператора по чек-листу 38 пунктов
Комплект ОРД под ключ — политика, согласия, приказы, регламенты в едином пакете
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

1 июня 2026 года