Оператором персональных данных закон признает любое лицо или организацию, которая организует обработку персональных данных и определяет ее цели и способы. Проще говоря, если вы собираете, храните или используете личную информацию людей – вы оператор персональных данных, независимо от масштаба бизнеса. Это может быть государственный орган, большая компания, малое предприятие или индивидуальный предприниматель – ограничений нет. Даже самозанятые, обрабатывающие данные клиентов, формально являются операторами ПДн.
Важно понимать, что значение имеет факт обработки данных, а не наличие большого штата или сложной IT-инфраструктуры. Если предприниматель ведет базу клиентов, хранит контактные данные покупателей, собирает резюме соискателей при найме сотрудников – он однозначно подпадает под определение оператора ПДн. Закон распространяется на всех, чьи данные вы обрабатываете – клиентов, пользователей сайта, сотрудников (включая соискателей и бывших работников), партнеров или посетителей офиса. Таким образом, практически каждое лицо, занимающееся бизнесом и взаимодействующее с людьми, автоматически несет обязанности оператора персональных данных.

Миф о том, что ФЗ-152 касается только владельцев сайтов, ошибочен. На практике наличие веб-сайта вовсе не является обязательным условием для возникновения обязанностей по закону о персональных данных. Даже индивидуальный предприниматель без сайта может невольно нарушать 152-ФЗ, если в ходе своей деятельности работает с данными физических лиц. Рассмотрим типичные ситуации:

• Обслуживание клиентов офлайн. Предприниматель может собирать персональные данные при оказании услуг или продаже товаров – например, записывает в блокнот имена и телефонные номера заказчиков для обратной связи, оформляет доставку на адрес клиента, принимает оплату через банковский перевод (где фигурируют ФИО плательщика). Все эти сведения относятся к персональным данным, и их сбор/хранение – уже обработка ПДн.
  
• Ведение клиентской базы. Многие ИП хранят списки клиентов в таблицах, записных книжках или телефоне (ФИО, телефон, электронная почта и т.п.) для рекламы или повторных продаж. Такая клиентская база формально делает вас оператором ПДнc, даже если она не связана с сайтом.
  
• Наем сотрудников и работа с персоналом. Если вы нанимаете работников, то получаете от них резюме, копии паспортов, дипломов, медицинских справок и другие личные сведения. Даже один наем сотрудника означает обработку персональных данных (ФИО, паспортные данные, ИНН, сведения о семье, здоровье и т.д.), не говоря уже о том, что в процессе работы вы будете вести их личные дела. Такие данные работников и соискателей также защищены законом.
  
• Специфические услуги. В некоторых сферах бизнес получает особо чувствительные данные. Например, частный врач (медицинские услуги от ИП) узнаёт сведения о здоровье пациентов, результаты анализов, диагнозы – это специальные категории персональных данных, требующие особой защиты. Даже без сайта такой предприниматель подпадает под действие ФЗ-152 и обязан соблюдать все нормы.
  

Исключения из требований закона довольно узки. По сути, от обязательств операторов освобождаются лишь те случаи, когда ИП вообще не обрабатывает данные физлиц – например, работает без наемных работников и не имеет индивидуальных клиентов (продаёт только организациям и не хранит данные контактных лиц). Такой сценарий встречается крайне редко. В реальной практике у большинства предпринимателей так или иначе появляются персональные данные людей, с которыми они взаимодействуют. Если это ваш случай – будьте уверены, что закон «О персональных данных» на вас распространяется, даже если у вас нет интернет-сайта.

Многие нарушения происходят из-за непонимания, какие именно действия с информацией подпадают под понятие «обработка персональных данных». Закон определяет обработку ПДн очень широко – это любое действие или совокупность действий с персональными данными, совершаемое как с помощью автоматизации, так и без нее. К обработке относится практически всё, что можно делать с данными человека: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение данных.
Таким образом, любая работа с персональными данными является их обработкой. Например:

• Вы записали контакт клиента в телефон или CRM-систему – вы уже собрали и сохранили персональные данные.
  
• Вы отправили электронное письмо или СМС своему клиенту – вы используете и распространяете персональные данные (адрес, номер телефона).
  
• Вы сохранили копию паспорта сотрудника или клиента – это тоже хранение персональных данных.
  
• Вы проанализировали поведение пользователя (например, сколько времени он проводит в вашем приложении) – вы осуществили сбор и анализ персональных данных.
  

Даже просто хранение данных «в столе» на бумаге считается обработкой, если записи структурированы по конкретным людям. Закон распространяется не только на электронные базы, но и на бумажные архивы (при условии, что в них информация упорядочена по субъектам данных).
Осознание того, что практически любая работа с информацией о физических лицах подпадает под ФЗ-152, нередко приходит к бизнесу только во время проверки или инцидента. Поэтому очень важно заранее идентифицировать, какие персональные данные вы обрабатываете и какие операции совершаете – тогда будет понятно, какие требования закона к вам применимы.

Одного понимания своих обязанностей недостаточно – закон требует, чтобы оператор персональных данных оформил ряд документов и процедур. Регулятор (Роскомнадзор) при проверке первым делом запросит документацию, подтверждающую законность и организацию обработки данных. В 2025 году перечень необходимых документов очень обширный – эксперты насчитывают более 60 позиций для полного соответствия требованиям. Однако малому и среднему бизнесу в первую очередь нужно позаботиться о ключевых из них:

• Политика конфиденциальности (политика в отношении обработки персональных данных). Этот документ обязателен для каждого оператора согласно п. 2 ст. 18.1 ФЗ-152. Политика описывает, какие данные вы собираете, с какой целью, как их храните, кому передаете, какие меры защиты применяете и т.д. Она должна быть доступна субъектам данных – обычно ее размещают на сайте компании или выдают по запросу на бумаге. Отсутствие опубликованной политики – правонарушение, за которое предусмотрен штраф до 30 000 руб. для ИП.
  
• Согласия на обработку персональных данных. В большинстве случаев оператор не имеет права обрабатывать данные людей без их явного согласия (исключения есть, но их лучше определять с юристом). Необходимо разработать формы согласия для разных ситуаций: на обработку персональных данных, на передачу данных третьим лицам, на рассылку рекламных материалов, на публикацию отзывов и т.д. Согласие должно содержать цель обработки, перечень собираемых данных, срок и способ обработки, а также подпись (или иную отметку) субъекта, подтверждающую волеизъявление. Имейте в виду: с 2025 года требования к форме согласия ужесточились – цели должны быть сформулированы четко и конкретно, расплывчатые формулировки недопустимы. Отсутствие необходимых согласий грозит штрафами до 300 000 руб. для должностных лиц (в случае ИП приравнивается к должностному) и до 700 000 руб. для организацийc.
  
• Внутренние инструкции и приказы. Если у вас есть сотрудники, допущенные к работе с персональными данными, должны быть изданы приказы о назначении ответственного за защиту персональных данных и разработаны инструкции для работников. Например, инструкция может описывать порядок обращения с персональными данными клиентов, правила использования паролей, запрет на хранение клиентской базы на личных устройствах и т.п. Сотрудники должны быть ознакомлены с такими инструкциями под подпись. Отсутствие необходимых локальных актов – одно из частых нарушений, выявляемых у малого бизнеса.
  
• Договоры с контрагентами (третьими лицами). Если вы передаете персональные данные сторонним организациям – курьерским службам для доставки, облачным сервисам для хранения данных, маркетинговым агентствам для рассылок – необходимы соглашения о поручении обработки персональных данных. В таких договорах прописываются обязательства сторон соблюдать закон о ПДн, цели и объем передаваемых данных, меры конфиденциальности и ответственность за нарушения. Например, если вы пользуетесь облачной CRM или почтовым сервисом, убедитесь, что в их условиях предусмотрено соблюдение российского законодательства о данных и серверы находятся на территории РФ.
  
• Журнал учета обращений субъектов. Новое требование – вести журнал запросов от граждан, чьи данные вы обрабатываете (например, запрос на удаление данных, на предоставление копии всех данных и пр.). В журнале фиксируется, кто и когда обратился, с каким требованием и как оно выполнено. По рекомендациям Роскомнадзора, такие записи нужно хранить не менее 3 лет.
  
• План действий при утечке данных. В 2025 году особое внимание уделяется готовности организации к инцидентам. У вас должен быть документированный алгоритм на случай утечки персональных данных: кого из руководства оповестить, как уведомлять Роскомнадзор и самих клиентов, какие меры предпринять для устранения последствий. Отсутствие такого плана напрямую не штрафуется, но при проверке регулятор может расценить его отсутствие как несоблюдение организационных мер защиты, что повышает риски санкций.
  

Конечно, это не исчерпывающий список документов – требования ФЗ-152 комплексные. Также необходимо соблюдать технические меры защиты данных (шифрование, антивирусы, брандмауэры, резервное копирование и т.д.), проводить обучение персонала, актуализировать документы при изменении законодательства. Однако перечисленные выше пункты – минимальный “набор выживания” оператора ПДн. Их отсутствие уже само по себе является нарушением, которое легко выявляется и карается штрафами.

Одной из первых обязанностей оператора персональных данных является уведомление Роскомнадзора о начале обработки. По закону, прежде чем собрать первую анкету или внести первый контакт в базу, вы должны подать уведомление (заявление) в регулятор. На практике многие малые компании и ИП пренебрегают этой нормой: кто-то не знает о ней, кто-то считает, что “сначала начну бизнес, а там посмотрим”. В результате бизнес работает вне реестра операторов, то есть де-факто незаконно обрабатывает персональные данные.
До недавнего времени отсутствие регистрации часто сходило с рук – Роскомнадзор мог не знать о вас, пока не поступит жалоба. Но с 2025 года правила ужесточились. Во-первых, подавать уведомление теперь нужно до начала обработки (раньше допускалось подать одновременно с началом работы). Во-вторых, введена прямая административная ответственность за неподачу уведомления. Если компания или ИП начали собирать персональные данные, не встав на учет в Роскомнадзоре, им грозит штраф. С 30 мая 2025 года за нарушение обязанности уведомить о намерении обрабатывать персональные данные предусмотрен штраф от 100 000 до 300 000 рублей для коммерческих организаций и индивидуальных предпринимателей.
Это означает, что даже без иных нарушений сам факт неуведомления теперь наказывается шестизначной суммой. Для малого бизнеса штраф в 100–300 тыс. руб. весьма ощутим. Более того, проверяя регистрационные вопросы, инспекторы Роскомнадзора могут выявить и сопутствующие нарушения – отсутствие документов, согласий, политики – что повлечет дополнительные штрафы по каждой статье.
Учтите, что уведомлять Роскомнадзор нужно не только о начале работы с персональными данными, но и о внесении изменений. Например, вы сначала заявили обработку только ФИО и телефона, а спустя время начали собирать еще и email – формально об этом расширении перечня данных нужно подать дополнительное уведомление в Роскомнадзор. Также сообщать следует об изменении адреса хранения баз данных, смене ответственного лица, изменении наименования организации или фамилии ИП и т.п. Непредоставление актуальной информации в реестр тоже может трактоваться как нарушение порядка обработки.
Наконец, есть еще одна связанная обязанность: уведомление об утечке данных. Если произошел инцидент (персональные данные были скомпрометированы – например, хакерская атака, потеря ноутбука с базой, публикация данных в открытом доступе), оператор обязан уведомить Роскомнадзор в течение 24 часов и затем в 72 часа предоставить отчет о принятых мерах. За сокрытие факта утечки или несвоевременное сообщение тоже введены строгие санкции – штраф до 3 млн руб.. Таким образом, прозрачность перед регулятором теперь не рекомендация, а требование: нет уведомления – будет ответственность.
Вывод: Регистрация в Роскомнадзоре – это первый и обязательный шаг для любого оператора ПДн. Если вы до сих пор этого не сделали, самое время подать уведомление, чтобы избежать серьезных проблем и штрафов.

Весной 2025 года в силу вступили крупнейшие за последние десятилетия поправки к закону о персональных данных. Они значительно повышают ответственность бизнеса и вводят дополнительные правила обработки информации о гражданах. Вот ключевые изменения, о которых должен знать каждый руководитель малого или среднего бизнеса:

• Резкое увеличение штрафов. С 30 мая ужесточена система административной ответственности за нарушения в сфере ПДн. Теперь штрафы дифференцируются в зависимости от характера нарушения и последствий для граждан. Например, отсутствие согласия на обработку данных потребителя может стоить компании до 700 тыс. руб., неправильное хранение данных (например, без предусмотренных мер защиты) – до 6 млн руб. За утечку персональных данных наказывается еще строже: утечка свыше 10 тысяч записей обойдется в 5–10 млн руб. для организации, а утечка свыше 100 тысяч записей – до 15 млн руб. Появились и «оборотные штрафы» за повторные утечки: при рецидиве сумма может составить до 3% годового оборота компании, но не менее 20 млн руб. Максимальный размер штрафа за повторное грубое нарушение сейчас установлен астрономический – 500 млн руб. Иными словами, закон о персональных данных из разряда «нестрашных» превратился в нормативный акт с очень серьезными санкциями.
  
• Обязательное хранение данных в России. Закон требовал локализации персональных данных российских граждан на серверах в РФ и ранее (с 2015 года), но теперь за несоблюдение этого требования взялись всерьез. Подчеркнуто, что все данные российских пользователей должны храниться и обрабатываться только на территории России. Использование иностранных сервисов для хранения или аналитики без специального разрешения теперь прямо рассматривается как нарушение. Это касается популярных инструментов, которыми пользуются даже малые компании: Google Analytics, Google Disk, Dropbox, Microsoft OneDrive, WhatsApp, Mailchimp и т.д. – если они хранят или передают данные за границу. Роскомнадзор прямо указывает, что применение сервисов вроде Google Analytics, Meta (Facebook) Pixel, Hotjar и аналогичных нарушает закон. Бизнесу рекомендуется оперативно перейти на проверенные отечественные или сертифицированные решения, размещенные на серверах в РФ. Например, вместо Google Analytics – пользоваться российскими системами веб-аналитики, вместо зарубежных облаков – отечественными дата-центрами. Сам факт хранения клиентских данных на зарубежном сервере теперь грозит штрафами до 1 млн руб. (для первого случая) и до 18 млн руб. при повторном выявлении.
  
• Строгие правила трансграничной передачи данных. Если вашему бизнесу необходимо передавать персональные данные за пределы России (например, вы пользуетесь зарубежным CRM-сервисом, переводите данные филиалу за границей или отправляете email-рассылку через иностранную платформу), теперь нужно пройти отдельную процедуру. Передача данных за рубеж возможна только с разрешения Роскомнадзора и при внесении сведений в специальный Реестр трансграничных передач. Сначала оператор подает в РКН уведомление с обоснованием необходимости трансграничной передачи, указывает страну и получателя. Роскомнадзор в течение до 10 рабочих дней рассматривает обращение и выдает разрешение либо отказ. Без такого одобрения любая трансграничная пересылка персональных данных считается нарушением. Кроме того, оператор должен убедиться, что в стране получателя обеспечивается адекватная защита прав субъектов ПДн. Практически это нововведение означает: если вы раньше использовали зарубежные сервисы “без лишних формальностей”, теперь придется либо локализовать данные, либо пройти бюрократическую процедуру, либо отказаться от передачи вовсе. Для многих небольших компаний это вызов, ведь популярные инструменты маркетинга и коммуникаций часто иностранные. Но игнорировать требование нельзя – штрафы за несанкционированную трансграничную передачу для фирмы или ИП достигают 3–5 млн руб..
  
• Cookie и аналитика приравнены к персональным данным. Существенное новшество – файлы cookie с уникальными идентификаторами пользователей теперь однозначно считаются персональными данными с точки зрения Роскомнадзора. Раньше многие спорили, считать ли cookie и IP-адреса персональными данными. Теперь позиция регулятора ясна: если на вашем сайте используются инструменты веб-аналитики (Google Analytics, Яндекс.Метрика и др.) или рекламные пиксели (например, ВКонтакте Pixel, Facebook Pixel), вы собираете персональные данные пользователей. Соответственно, нужно выполнять все требования ФЗ-152, как и при сборе ФИО или телефона. В частности, требуется:
  • Предварительно уведомить Роскомнадзор, что вы используете метрические/аналитические системы на сайте.
    
  • Получить согласие пользователя на обработку его данных через cookie. Реализуйте на сайте понятное уведомление и форму согласия на использование cookie-файлов в аналитических и рекламных целях.
    
  • Если используете иностранные системы аналитики (тот же Google Analytics), нужно дополнительно получить разрешение Роскомнадзора на их использование, поскольку данные через них уходят за рубеж. Проще говоря, без разрешения теперь нельзя просто так вставить на сайт код GA.
    
  • Хранить данные аналитики только на российских серверах. Это означает, что либо сам сервис должен физически размещать данные в РФ, либо вам следует перейти на решения, которые работают внутри страны.
    
• Малый бизнес, у которого сайт сделан "на коленке" и раньше не имел никакой системы получения согласия, должен срочно доработать этот момент. Баннер о cookie и возможность выбрать, какие данные пользователь разрешает собирать – теперь не рекомендация, а обязанность. Иначе сбор данных о поведении клиентов будет незаконным.
  
• Дополнительные организационные меры. Поправки 2025 года также уточнили ряд внутренних процедур для операторов ПДн. Теперь прямо предписано назначить ответственного за организацию обработки персональных данных – сотрудника или самого руководителя, который будет следить за соблюдением законодательства в компании. Для крупных операторов (обрабатывающих свыше 1 млн записей в год) вводится требование проходить обязательную сертификацию систем защиты в аккредитованных центрах. Кроме того, операторам, которые ранее уже вставали на учет, рекомендуется обновить сведения: Роскомнадзор утвердил новую форму уведомления, и если вы подавали уведомление давно (до 2022 года), его лучше переподать по обновленной форме. Всё это направлено на то, чтобы данные граждан обрабатывались более прозрачно и под контролем государства.
  

Итог: с конца мая 2025 года работать “по-старому” уже не получится. Даже малому бизнесу придется скорректировать свои процессы работы с данными – от политики на сайте до внутренних регламентов – чтобы не нарваться на огромные штрафы. Если раньше многие требования были полуформальными, то теперь за их отсутствие предусмотрена реальная ответственность. Бизнесу важно провести аудит: зарегистрированы ли вы в РКН, собраны ли нужные согласия, не используются ли нелегально иностранные сервисы, настроена ли защита данных. Этот “домашний анализ” сейчас лучше сделать самим, чем ждать, когда его проведет инспектор.