Самый частый и опасный миф: «Я маленький ИП / фрилансер / блогер, закон о персональных данных меня не касается». С 30 мая 2025 года этот миф может стоить вам сотни тысяч рублей. Давайте начистоту: если у вас есть хотя бы телефон клиента в мессенджере или его email в почте — вы, с вероятностью 99%, оператор ПДн.
Реальный кейс: К нам обратилась самозанятая швея. Она принимала заказы через Instagram Direct, сохраняя имена и номера телефонов клиентов в заметках на телефоне. После жалобы клиента Роскомнадзор оштрафовал ее на 20 000 рублей (по старой шкале) за обработку без уведомления. Для микробизнеса это ощутимая сумма. Теперь штрафы для ИП и самозанятых выросли до 100 000 рублей.
Оператор ПДн – 2025: окончательное определение
Оператор — это государственный или муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими организуют и (или) осуществляют обработку персональных данных, а также определяет цели и содержание обработки.
Простыми словами, вы оператор, если:
-
Вы определяете, зачем вам нужны данные клиента (чтобы доставить заказ, отправить уведомление).
-
Вы решаете, какие именно данные запросить (достаточно телефона или нужен еще паспорт).
-
Вы совершаете действия с этими данными (заносите в таблицу, сохраняете в CRM, отправляете смс).
Таблица: Являетесь ли вы оператором? (Практический тест)
| Ваш статус и деятельность | Вероятность быть оператором | Примеры |
|---|---|---|
| Индивидуальный предприниматель (ИП) | 99.9% | Фотограф, сохраняющий имена и телефоны клиентов; репетитор, ведущий запись учеников; коуч, работающий через Telegram. |
| Самозанятый | 99.9% | Та же швея, кондитер на дому, мастер по ремонту техники. |
| Фрилансер (без статуса) | Высокая, как физлицо | Дизайнер, копирайтер, программист, получающий данные заказчика для договора ГПХ. |
| ООО/АО (любая форма) | 100% | Интернет-магазин, салон красоты, строительная компания, любая организация с сотрудниками. |
| Блогер/Инфобизнес | Очень высокая | Сбор email для рассылки, проведение платных вебинаров, требующих регистрации. |
| СНТ, ТСЖ | 100% | Обработка данных собственников помещений для ведения реестра, рассылки квитанций. |
Важный нюанс: Если вы являетесь субъектом ПДн (например, передали свой паспорт работодателю), это не делает вас оператором. Оператор — тот, кто обрабатывает данные других людей.
Обязанности оператора ПДн в 2025 году: полный чек-лист
Если вы по таблице выше отнесли себя к операторам, вот что вы обязаны сделать по закону:
-
Уведомить Роскомнадзор. Подать заявление в реестр операторов через Портал ПДн (кроме случаев, когда есть исключение).
-
Получить согласие субъекта. В установленной форме, за некоторыми исключениями (трудовой договор, договор с клиентом).
-
Обеспечить безопасность данных. Принять меры, соответствующие угрозам. На практике это значит: пароли на компьютерах, антивирусы, регламент доступа.
-
Опубликовать Политику конфиденциальности. Разместить на сайте и/или в офисе документ, объясняющий, как вы обрабатываете данные.
-
Выполнять требования субъектов. По запросу субъекта вы обязаны предоставить ему его данные, уточнить их, обезличить или уничтожить.
-
Локализовать базы на территории РФ. Если вы систематически обрабатываете данные (например, в CRM), ее база должна храниться в России.
-
Заключать договоры с подрядчиками. Если вы передаете данные для обработки бухгалтеру, колл-центру, CRM-системе, требуется договор с пунктом о поручении обработки ПДн.
-
Хранить доказательства получения согласий. Вы должны быть готовы доказать, что согласие было получено законным путем.
FAQ: Сложные случаи на практике
Вопрос: Я фрилансер, работаю по договорам ГПХ. Я оператор?
Ответ: Да. Вы обрабатываете данные заказчика (ФИО, реквизиты для оплаты) для заключения и исполнения договора. Вы определяете цели и состав этих данных. Вы — оператор.
Вопрос: У меня сайт-визитка с формой «Заказать звонок», которая присылает заявку на почту. Это делает меня оператором?
Ответ: Однозначно, да. Вы собираете имя и телефон, определяя цель этой обработки — «для обратной связи». Вы обязаны иметь политику конфиденциальности на сайте и, скорее всего, подать уведомление в РКН.
Вопрос: Я обрабатываю данные только сотрудников по трудовому договору. Нужно ли уведомлять РКН?
Ответ: Нет, это одно из исключений. Но это НЕ снимает с вас все остальные обязанности оператора (обеспечение безопасности, политика, выполнение требований субъектов).
Что будет, если игнорировать статус оператора?
До 30 мая 2025 года — относительно небольшие штрафы. После — по новым ставкам КоАП:
-
За обработку без уведомления РКН: для ИП — до 50 000 руб., для ООО — до 300 000 руб.
-
За отсутствие политики конфиденциальности: для ИП — до 100 000 руб., для ООО — до 1 000 000 руб.
-
За отсутствие согласия: для ИП — до 100 000 руб., для ООО — до 500 000 руб.
Наша услуга «Определение статуса и аудит рисков» помогает понять, касается ли вас закон в принципе, и какие именно шаги нужно сделать в первую очередь. Мы экономим ваше время и деньги, помогая сфокусироваться на критически важных моментах, а не пытаться соблюсти все и сразу.
Не гадайте на кофейной гуще. Знание своего статуса — это первый шаг к защите бизнеса от миллионных штрафов.
