Обязанности оператора ПДн в 2025 году | Полный перечень по 152-ФЗ | Меры по ст. 18.1 и 19

📅 Опубликовано:
⏱ Время чтения: 1 мин
👁 Просмотров: 68
Обязанности оператора ПДн в 2025 году | Полный перечень по 152-ФЗ | Меры по ст. 18.1 и 19

Исчерпывающий список обязанностей оператора персональных данных по 152-ФЗ в 2025 году. Меры по защите, требования к документам, работа с субъектами. Готовые шаблоны и чек-листы для выполнения.

Статус оператора — это не просто запись в реестре Роскомнадзора. Это десятки конкретных обязанностей, за невыполнение которых с 30 мая 2025 года бизнес ждут многомиллионные штрафы. Мы систематизировали все требования закона в понятный чек-лист. Пройдитесь по нему и проверьте, что вы уже сделали, а что упустили.

Реальный пример: Владелец небольшого маркетплейса был уверен, что у него все в порядке: есть политика, подано уведомление в РКН. При проверке выяснилось, что он не заключил договоры с курьерскими службами, которым передаются данные клиентов (адреса, телефоны). Результат — штраф по ч. 5 ст. 13.11 КоАП. До мая 2025 года — 75 000 руб., после — до 1 000 000 руб.

Блок 1: Обязательные документы и политики (Статья 18.1 152-ФЗ)

  • Политика в отношении обработки ПДн. Документ должен быть публичным, размещаться на сайте и содержать полную информацию, в том числе сведения о реализуемых требованиях к защите данных.

  • Локальный акт о порядке обработки ПДн сотрудников. Обязателен для всех работодателей. С ним каждый сотрудник должен быть ознакомлен под подпись.

  • Формы согласий на обработку ПДн. Для разных целей (рассылка, заключение договора, участие в акции) должны быть разные формы согласий, содержащие все обязательные реквизиты.

  • Форма заявления субъекта на отзыв согласия. Упростите клиенту жизнь — дайте ему готовый шаблон.

  • Реестр/журнал обращений субъектов ПДн. Вы обязаны фиксировать все запросы от граждан на предоставление, уточнение, удаление их данных и регистрировать ваши ответы на них.

Блок 2: Организационные и технические меры защиты (Статья 19 152-ФЗ)

  • Назначение ответственного за обработку ПДн. Это может быть штатный сотрудник (например, руководитель отдела кадров) или внешний консультант. Факт назначения должен быть оформлен приказом.

  • Принятие мер по защите данных. Минимум для малого бизнеса:

    • Парольная защита компьютеров и гаджетов.

    • Антивирусное ПО.

    • Регламент разграничения прав доступа (бухгалтер не должен видеть данные отдела маркетинга).

    • Использование лицензионного ПО.

  • Локализация баз данных на территории РФ. Критически важно, если вы используете облачные сервисы (CRM, почта, хостинг). Уточните у поставщика, где физически расположены сервера.

  • Установление порядка уничтожения данных. Пропишите, как и при каких условиях данные, срок обработки которых истек, подлежат уничтожению.

Блок 3: Работа с субъектами и контрагентами

  • Заключение договоров с обработчиками. Если вы передаете данные любой третьей стороне (бухгалтер на аутсорсе, call-центр, CRM-система, хостинг-провайдер), в договоре должен быть отдельный раздел или приложение, регламентирующее обработку ПДн по вашему поручению.

  • Обеспечение прав субъектов. Вы обязаны исполнять законные требования граждан на:

    • Доступ к их данным.

    • Уточнение данных.

    • Удаление данных.

    • Отзыв согласия на обработку.

  • Уведомление об утечке персональных данных. При любой подозрительной ситуации (взлом почты, утеря флешки с данными, жалоба клиента на спам) вы обязаны в течение 24 часов направить уведомление в Роскомнадзор и при необходимости в правоохранительные органы.

Сравнительная таблица: Обязанности для разных типов операторов

 
 
Обязанность Интернет-магазин (ООО) Фрилансер (ИП) Работодатель (ООО)
Подача уведомления в РКН ✅ Обязательно ✅ Обязательно ❌ Освобождены (но есть другие обязанности!)
Политика конфиденциальности на сайте ✅ Обязательно ✅ Обязательно ⚠️ Если сайт есть и собирает данные
Локальный акт для сотрудников ✅ Обязательно ❌ (нет наемных работников) ✅ Обязательно
Договоры с CRM/подрядчиками ✅ Обязательно ✅ (с хостингом, почтой) ✅ (с биллингом, системами контроля)
Локализация данных в РФ ✅ Обязательно ⚠️ Желательно ✅ Обязательно

FAQ: Сложные моменты в выполнении обязанностей

Вопрос: Мы маленькое ООО, у нас нет денег на дорогие средства защиты. Что делать?
Ответ: Закон требует принимать меры, соответствующие характеру данных и угрозам. Если вы не обрабатываете паспортные данные и биометрию, а только ФИО и телефоны, вашим минимумом будет парольная защита, антивирус и договор с хостинг-провайдером. Главное — формализовать эти меры во внутренних документах.

Вопрос: Нужно ли получать согласие на обработку данных от клиента, если он уже заключил со мной договор?
Ответ: Нет, для исполнения договора согласие не требуется. Но это основание распространяется только на данные, необходимые для исполнения именно этого договора. Если вы хотите использовать его email для рекламной рассылки — потребуется отдельное, явное согласие.

Вопрос: Как доказать Роскомнадзору, что я исполнил обязанность по уничтожению данных?
Ответ: Нужен документ, фиксирующий факт уничтожения. Это может быть:

  • Акт об уничтожении бумажных носителей (с подписями комиссии).

  • Скриншот из CRM/базы данных с отметкой об удалении записи.

  • Справка от IT-специалиста о затирании данных с электронного носителя.

Услуга «Комплексное сопровождение по 152-ФЗ»

Если список обязанностей вызывает панику, мы готовы взять их выполнение на себя.

  • Что входит:

    • Разработка полного пакета документов «под ключ» (политики, положения, формы согласий).

    • Аудит ваших процессов и договоров с контрагентами.

    • Помощь в назначении ответственного и разработке регламентов.

    • Консультационная поддержка при проверках и утечках.

Невыполнение обязанностей оператора — самый частый и дорогой источник штрафов. Приведите свои процессы в порядок, пока это не сделал за вас Роскомнадзор с протоколом об административном правонарушении.

← Вернуться к статьям