Кто такой оператор персональных данных — по 152-ФЗ в 2026 году
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». Каждую неделю слышу одно: «Я ИП, у меня нет базы — 152-ФЗ не про меня».
А потом — штраф от Роскомнадзора.
В этой статье — только практика: кто такой оператор ПДн, почему вы им уже стали, и что с этим делать.
Что говорит закон?
Согласно статье 3 ФЗ-152, оператор персональных данных — это:
«Организация или индивидуальный предприниматель, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки и состав ПДн».
Ключевые слова:
• Организует и осуществляет
• Определяет цели и состав
Мой комментарий: если вы сами решаете, зачем собирать данные — вы оператор. Точка.
Кто автоматически считается оператором?
Вот реальные примеры из практики:
Кто? Оператор? Почему?
ИП, принимающий заказы по телефону Да Собирает ФИО, телефон, адрес — и использует для доставки
ООО с сайтом и формой обратной связи Да Даже если данные ведутся в Google Таблицах
Фрилансер, ведущий учёт клиентов в Excel Да Обрабатывает ФИО, email, реквизиты
Школа танцев с базой учеников Да Хранит ФИО, телефоны, паспортные данные (для договора)
Онлайн-курсы с рассылкой Да Использует email для маркетинга — нужен отдельный согласие
Я вижу это каждый день: человек думает, что «это же мелочь», а потом — штраф 75 000 ₽.
А кто — не оператор?
Есть тонкая грань. Вот кто не считается оператором:
• Сотрудник, вводящий данные по указанию работодателя (он — не определяет цели).
• Курьерская служба, получающая ФИО и адрес только для доставки (если не хранит).
• Платёжная система, обрабатывающая данные по договору (она — лицо, привлекаемое оператором).
Важно: если вы передаёте данные третьим лицам — вы всё равно оператор. А они — обработчики. Разница есть.
Чем грозит отсутствие статуса оператора?
Если вы им являетесь, но не выполняете обязанности — штрафы по статье 13.11 КоАП РФ:
• ИП — от 1 000 до 75 000 ₽
• ООО — от 10 000 до 1 млн ₽
• Повторное нарушение — до 6 млн ₽
Пример из практики: в 2025 году ИП на УСН не вёл политику ПДн. Роскомнадзор проверил сайт — нашёл форму с именем и телефоном. Штраф — 50 000 ₽. Суд поддержал.
Что должен делать оператор?
Если вы им стали — обязаны:
1. Принять политику обработки ПДн (актуальную, с 9 пунктами).
2. Оформить согласие субъекта — отдельно, с галочкой.
3. Обеспечить защиту — хотя бы шифрование и резервное копирование.
4. Хранить подтверждения — кто, когда и как давал согласие.
5. Разместить политику — на сайте, в приложении, в договоре.
Мой совет: не ждите проверки. Сделайте это сегодня. Это не сложнее, чем добавить страницу в Tilda.
Заключение
Оператором ПДн быть — это не престиж, а ответственность.
Но если вы:
• Собираете ФИО, телефон, email,
• Используете их для работы,
• Храните в любой форме — даже в блокноте,
— вы уже оператор.
Сделайте это сейчас:
1. Откройте сайт или базу
2. Проверьте, есть ли политика и согласие
3. Если нет — создайте
А если сомневаетесь — мы в «ЛЕГАС» помогаем с оформлением, аудитом и защитой при проверках. Без лишних слов — только результат.
• Скачайте чек-лист: “Оператор ПДн — это вы?” (5 вопросов)” (PDF)
• Поделитесь статьёй с тем, кто думает, что 152-ФЗ — не про него
• Подпишитесь на legascom.ru — юристы объясняют сложное просто
