Оператор и обработчик персональных данных: кто за что отвечает

Иван Корнев·03.05.2026·5 мин

Процессор (в российском законодательстве — обработчик) персональных данных — это компания или ИП, которые обрабатывают данные строго по поручению и инструкциям другого лица. Оператор — это тот, кто самостоятельно решает, зачем и как собирать информацию о людях.

Главное отличие: оператор принимает решения и несет основную ответственность перед законом и субъектами данных, а процессор лишь технически выполняет работу (хранит, систематизирует, передает) в рамках договора. Если вы владелец интернет-магазина, вы — оператор. Если вы используете облачный сервис для хранения базы клиентов, этот сервис — ваш обработчик.

Разберемся подробно, как разграничить эти роли, чтобы не получить штраф от Роскомнадзора.

Важно: В тексте 152-ФЗ используется термин «лицо, осуществляющее обработку по поручению оператора». Термин «процессор» пришел из европейского регламента GDPR, но в бизнес-среде РФ его часто используют как синоним обработчика для удобства. В этой статье мы будем использовать оба термина как равнозначные.

Кто такой оператор персональных данных

Оператор — это «мозг» процесса. Это государственная организация, юридическое лицо, индивидуальный предприниматель или физическое лицо, которые:

  1. Самостоятельно определяют цели обработки. Например: «Мы собираем телефоны, чтобы звонить клиентам с предложениями».
  2. Определяют состав данных. Решают, какие именно сведения нужны: ФИО, паспортные данные, история покупок или геолокация.
  3. Выбирают способы обработки. Решают, будут ли данные автоматизированы, где они будут храниться и кто получит к ним доступ.

Оператор взаимодействует непосредственно с субъектом персональных данных (человеком). Именно оператор публикует Политику конфиденциальности на сайте и получает согласие на обработку.

Примеры операторов:

  • Банк, выдающий кредит.
  • Работодатель, ведущий кадровый учет.
  • Владелец сайта, собирающий заявки через форму обратной связи.

Кто такой процессор (обработчик) персональных данных

Обработчик — это «руки» процесса. Он не имеет права решать, зачем ему данные. Его задача — выполнить конкретное техническое или организационное действие по заданию оператора.

Обработчик работает только на основании договора с оператором. В этом документе строго прописано:

  • Какие действия можно совершать с данными.
  • Какие меры безопасности необходимо применять.
  • Обязанность уничтожить данные после окончания работ.

Обработчик не имеет права передавать данные третьим лицам без прямого разрешения оператора.

Примеры обработчиков:

  • Хостинг-провайдер, на серверах которого лежит база данных сайта.
  • Колл-центр, нанятый для обзвона клиентов по списку заказчика.
  • Курьерская служба, доставляющая товары и получающая ФИО и адрес получателя.
  • Бухгалтерский аутсорсер, рассчитывающий зарплату сотрудникам компании-заказчика.

Главные отличия: таблица сравнения

Чтобы быстро определить свою роль, используйте эту шпаргалку.

КритерийОператор ПДнПроцессор (Обработчик) ПДн
Принятие решенийСам определяет цели и способы обработкиДействует строго по инструкции оператора
Взаимодействие с людьмиПолучает согласия, отвечает на запросы субъектовОбычно не контактирует с субъектами напрямую
ОтветственностьНесет полную ответственность перед законом и гражданамиНесет ответственность перед оператором по договору
ДокументооборотПубликует политику конфиденциальности, ведет реестр операцийПодписывает договор поручения обработки с оператором
Риск штрафовШтрафы за незаконный сбор, отсутствие согласийШтрафы за утечку данных, нарушение условий договора

Лайфхак для проверки: Спросите себя: «Если бы этого подрядчика не было, я бы все равно собирал эти данные?». Если да — вы оператор. Подрядчик лишь помогает вам их хранить или использовать.

Частые ошибки при разграничении ролей

Многие компании путаются в статусах, что приводит к нарушениям 152-ФЗ. Вот самые распространенные ловушки:

  1. «Мы просто храним данные, мы не оператор» Часто владельцы сайтов считают, что если они не продают данные, то они не операторы. Это ошибка. Сам факт сбора ФИО и email через форму на сайте делает вас оператором. Хостинг-провайдер в этой схеме — ваш обработчик.

  2. Отсутствие письменного договора с обработчиком По закону (ст. 6 152-ФЗ), отношения между оператором и лицом, действующим по поручению, должны быть оформлены договором. Устные договоренности или общие условия оферты не всегда достаточно детализируют требования к безопасности ПДн.

  3. Перекладывание всей ответственности на подрядчика Оператор обязан выбирать надежных обработчиков. Если курьерская служба сольет базу адресов ваших клиентов, Роскомнадзор придет с вопросом прежде всего к вам (оператору), так как вы выбрали ненадежного партнера и не проконтролировали его.

  4. Использование зарубежных сервисов без проверки Использование иностранных CRM или облачных хранилищ может требовать дополнительных проверок на соответствие требованиям локализации баз данных (хранение первичной базы на серверах в РФ).

Практические шаги: как оформить отношения правильно

Если вы определили, что выступаете в роли оператора, а часть функций передаете подрядчикам, сделайте следующее:

  1. Заключите договор поручения обработки. В нем обязательно пропишите:

    • Перечень конкретных действий с данными.
    • Обязанность соблюдать конфиденциальность и безопасность.
    • Требование использовать только защищенные каналы связи.
    • Порядок уничтожения данных после завершения работ.

  2. Проверьте надежность обработчика. Запросите у подрядчика информацию о том, как он защищает данные (сертификаты ФСТЭК, ФСБ, наличие аттестата соответствия).

  3. Укажите обработчиков в своей Политике конфиденциальности. Вы обязаны уведомить пользователей, кому вы передаете их данные. Например: «Для доставки товара мы передаем ваши данные партнерской курьерской службе ООО "Логистика"».

  4. Ведите Реестр операций обработки (РОП). Оператор обязан вести внутренний документ, где указано, какие данные, кем и зачем обрабатываются. Внесите туда всех своих подрядчиков-обработчиков.

Часто задаваемые вопросы (FAQ)

Может ли одна компания быть и оператором, и обработчиком? Да. Например, банк является оператором данных своих вкладчиков. Но если этот же банк предоставляет облачные услуги другой компании и хранит ее клиентскую базу на своих серверах, то в отношении этой второй компании банк выступает как обработчик. Роли зависят от конкретной ситуации и договора.

Нужно ли получать отдельное согласие клиента на передачу данных обработчику? Как правило, нет, если передача необходима для исполнения договора с самим клиентом (например, доставка товара). Однако в Политике конфиденциальности вы должны честно указать, кому и зачем передаете данные. Если данные передаются для сторонних целей (например, маркетинга партнера), тогда отдельное согласие нужно.

Что будет, если не заключить договор с обработчиком? Это нарушение ч. 2 ст. 18.1 152-ФЗ. Штрафы для юридических лиц могут составлять до 100–200 тысяч рублей, а при повторных нарушениях или серьезных утечках — значительно выше. Кроме того, без договора сложно доказать, что утечка произошла по вине подрядчика, а не по вашей халатности.

Я фрилансер и делаю рассылку для заказчика. Я обработчик? Да. Если заказчик дает вам базу email-адресов и просит сделать рассылку через свой или ваш аккаунт, вы действуете по его поручению. Заказчик — оператор, вы — обработчик. Ему стоит иметь с вами договор, даже если вы самозанятый или ИП.