Вы — оператор персональных данных, даже если не знали об этом.

Это не юридическая абстракция, а юридический факт. Он возникает в тот момент, когда вы вносите в базу имя клиента, смотрите в CRM его e-mail или просто ведёте кадровый учёт.

В 2026 году статус оператора — одна из базовых юридических характеристик любого бизнеса. Разберём, кто признаётся оператором по 152-ФЗ и какие обязанности из этого следуют с учётом свежих разъяснений Роскомнадзора.

Что означает статус оператора

Оператор персональных данных — это государственный орган, компания или физическое лицо, которое самостоятельно или совместно с другими:

• определяет цели, состав и способы обработки персональных данных;
• организует и осуществляет такую обработку.

Статус возникает у любого, кто прямо или косвенно работает с личной информацией. Ключевой критерий — не масштаб бизнеса, а сам факт обработки.

Шесть критериев, по которым вы становитесь оператором

Вы оператор, если:

1. Собираете любую информацию, по которой можно идентифицировать человека: ФИО, телефон, e-mail, паспортные данные, IP-адрес, сведения о здоровье, биометрию, историю покупок.
2. У вас есть сайт с формой обратной связи, регистрации или заявок.
3. Используете CRM-систему, инструменты аналитики, отслеживаете поведение пользователей.
4. У вас есть программа лояльности или клиентская база.
5. Обрабатываете данные сотрудников — принимаете на работу, ведёте кадровый учёт, храните личные дела.
6. Ведёте учёт посещений или фиксируете вход в офис.

Кого коснулись новые требования: разъяснения РКН 2025–2026 гг.

По разъяснениям Роскомнадзора, обязанность соблюдать 152-ФЗ распространяется на всех, кто владеет и управляет персональными данными граждан. Это:

• крупные корпорации;
• небольшие интернет-магазины;
• ИП и самозанятые;
• физические лица, собирающие данные клиентов, сотрудников, посетителей, пользователей сайтов и приложений.

В 2025–2026 годах РКН особо подчеркнул: статус оператора не зависит от того, уведомили ли вы ведомство. Он возникает автоматически с момента начала обработки.

Что изменилось в 2025–2026 годах

1. Расширение круга операторов и обязательная регистрация.
Любое лицо, собирающее или обрабатывающее персональные данные, обязано подать уведомление в Роскомнадзор.

2. Новые правила получения согласия.
С 1 сентября 2025 года согласие на обработку ПДн оформляется как отдельный документ. Его нельзя включать в пользовательское соглашение или договор.

3. Принцип минимизации данных.
Разрешено собирать только те сведения, которые действительно необходимы для заявленной цели.

4. Усиление ответственности.
Штрафы выросли в десятки раз, а регистрация оператора перестала быть формальностью.

Что грозит за игнорирование статуса

В 2026 году последствия уже не ограничиваются предписаниями:

• административные штрафы за отсутствие регистрации, неправильные согласия, нарушения при хранении данных;
• блокировка сайта или интернет-ресурса при систематических нарушениях;
• включение в план проверок Роскомнадзора с высоким риском выездных мероприятий.

Тест: оператор вы или нет

Ответьте «да» или «нет» на каждый пункт.

1. Храните ли вы имена и контакты клиентов в какой-либо форме (база, таблица, CRM)?
2. Есть ли у вас сайт с формой обратной связи, регистрации или заявок?
3. Используете ли вы инструменты веб-аналитики на сайте (Яндекс.Метрика, Google Analytics)?
4. Есть ли у вас программа лояльности с идентификацией клиентов?
5. Работаете ли вы с CRM-системой для учёта клиентов?
6. Нанимаете ли вы сотрудников или работаете с физлицами по договорам?
7. Храните ли вы копии паспортов, СНИЛС, ИНН или других документов сотрудников/контрагентов?
8. Отправляете ли вы коммерческие или информационные рассылки (e-mail, SMS, мессенджеры)?
9. Используете ли вы информацию о посетителях для контроля доступа (пропуски, журналы)?
10. Собираете ли вы cookie-файлы, IP-адреса или данные о поведении пользователей на сайте?

Результат:

• Если вы ответили «да» хотя бы на один вопрос → вы оператор и обязаны соблюдать 152-ФЗ.
• При трёх и более «да» → вы подпадаете под усиленный контроль. Нужно срочно привести документацию и процессы в порядок.

Для медицинских организаций: дополнительный тест

На нашем сайте есть отдельный углублённый тест для клиник, стоматологий, лабораторий и врачебных кабинетов. Он учитывает специальный режим работы с медицинскими данными и ответственность за утечки в 2026 году.

Как пройти тест:

Шаг 1. Перейдите по ссылке:
https://synlawtech.ru/security/pd-test

Шаг 2. Ответьте на 12 вопросов — это займёт не больше 3 минут.

Шаг 3. Получите результат и персональные рекомендации.

Шаг 4. Оставьте заявку на бесплатную консультацию.

Подписывайтесь на канал «Синтез закона и технологий»

В следующих статьях цикла «Персональные данные на практике: от хаоса к системе»:

• три обязательных документа оператора: Политика конфиденциальности, Перечень ПДн, Согласие на обработку;
• как подать уведомление в Роскомнадзор и не получить отказ;
• медицинские данные: особый режим и врачебная тайна;
• алгоритм действий при утечке — 24 часа на спасение;
• чек-листы, шаблоны и дорожные карты для малого бизнеса.

Подпишитесь, чтобы не пропустить практические материалы. Если остались вопросы — задавайте в комментариях.

Изображение сгенерировано ИИ