Навигатор тем:
Войти или зарегистрироваться
Навигатор тем:
  1. Главная
  2. Кадровая служба
  3. Кадровая служба с нуля

Топ-10 обязанностей операторов персональных данных

0
Журнал «Кадровая служба и управление персоналом предприятия» № 10 / 2025
Алина Мартянова
ведущий юрист Правовой фирмы «ВЕД»
Новые положения об административной ответственности в сфере обработки персональных данных действуют уже более 4 месяцев. Увеличенные размеры штрафов напугали предпринимателей, многие задумались о своих обязанностях, перечень которых, кстати, не изменился. В статье последовательно разбираем основные обязанности, которые есть у каждого оператора персональных данных, с учетом уже сложившейся правоприменительной практики. В частности, касаемся назначения ответственного лица, разработки специальных ЛНА, внутреннего контроля, обучения работников, оценки вреда, утверждения перечня лиц, которые имеют доступ к персональным данным, и пр.

Теория и практика

Связанный материал
Какие данные являются персональными: позиция суда
№ 05 / 2021

В каких случаях сведения о зарплате и условия о выполнении работы могут быть отнесены к персональным данным, читайте в статье «Какие данные являются персональными: позиция суда» в № 5’ 2021

Для начала напомним основные понятия.

Оператор персональных данных (оператор) – государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющее обработку персональных данных, а также определяющее:

– цели обработки;

– состав персональных данных, подлежащих обработке;

– действия (операции), совершаемые с персональными данными 1.

Другими словами, оператор персональных данных – это фактически любое лицо, включая ООО с одним директором и нулевой отчетностью, самозанятого, ИП без работников и т. п.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) 2. Персональными данными фактически может быть признана любая информация о человеке, включая Ф.И.О., данные паспорта и иных документов, адрес электронной почты, номер телефона, данные о заработной плате, банковские реквизиты, файлы cookie и др.

К принципам обработки персональных данных относятся:

  1. законность. Сбор персональных данных, их последующее хранение и иная обработка должны осуществляться в рамках ограничений закона. Вы всегда должны иметь возможность подтвердить, что обработка вами персональных данных основана на законе;
  2. целевой характер. Вы определяете для себя необходимый вам перечень законных целей обработки персональных данных и действуете только в их рамках. Если вы получили персданные для определенной цели, вы не можете обрабатывать их для других целей. При достижении цели их обработки работа с ними должна быть прекращена, а персданные подлежат уничтожению или обезличиванию;
  3. недопустимость избыточной обработки персональных данных. Вы можете собирать и обрабатывать только те персональные данные, которые необходимы вам для достижения цели их обработки;
  4. обеспечение точности, достаточности, актуальности персональных данных. Имеющиеся у вас данные не должны быть неточными или недостоверными. Вы должны иметь возможность идентифицировать лицо, к которому относятся персональные данные. Если данные являются неполными или неточными, вы должны обеспечить их уточнение или уничтожение;
  5. недопустимость смешения персональных данных для разных целей. У вас должны быть созданы отдельные базы для персональных данных, обработка которых осуществляется в целях, не совместимых между собой. Например, база данных работников и база данных клиентов, а также база данных для рекламных рассылок должны быть разделены.

Нарушение указанных принципов может повлечь административную ответственность, например, за нецелевую обработку персональных данных. По ч. 1 ст. 13.11 КоАП РФ размер штрафа:

  • для работодателя-организации достигает 300 000 руб.;
  • ИП или должностного лица – 100 000 руб. 3

Связанный материал
Как работодателю уведомить Роскомнадзор об обработке персональных данных
№ 10 / 2022

См. статью «Как работодателю уведомить Роскомнадзор об обработке персональных данных» в № 10’ 2022, где приведен образец уведомления
Связанный материал
9 согласий на обработку персональных данных
№ 06 / 2023

См. статью «9 согласий на обработку персональных данных» в № 6’ 2023, где мы даем образцы оформления согласий работников для различных ситуаций

Основной общий перечень обязанностей операторов персональных данных отражен в гл. 4 Закона № 152-ФЗ. Но нужно учитывать, что обязанности есть:

  • и в других главах закона,
  • и в массе подзаконных актов.

Далее выделим 10 базовых обязанностей (мы намеренно не стали рассматривать две основные обязанности операторов по направлению уведомлений в Роскомнадзор и получению согласий на обработку персональных данных, которые были описаны ранее на страницах журнала довольно подробно). При этом перечень обязанностей может дополняться в зависимости:

  • от специфики деятельности оператора
  • и степени потенциальной угрозы персональным данным, которые оператор обрабатывает.

1. Назначить лицо, ответственное за организацию обработки персданных

Связанный материал
Документы по персональным данным, которые проверит Роскомнадзор
№ 04 / 2024

Образец приказа о назначении ответственного за организацию обработки персональных данных лица и фрагмент его должностной инструкции (трудового договора) с перечнем соответствующих обязанностей см. в статье «Документы по персональным данным, которые проверит Роскомнадзор» в № 4’ 2024
Связанный материал
Что Роскомнадзор проверит в первую очередь и за что накажет
№ 03 / 2025

Образец приказа о назначении ответственных за обеспечение безопасности информации и организацию обработки персональных данных лиц, а также фрагмент должностной инструкции см. в статье «Что Роскомнадзор проверит в первую очередь и за что накажет» в № 3’ 2025

Данная обязанность установлена только для юридических лиц 4 (ИП самостоятельно принимают решение о целесообразности реализации данной меры). Назначается такое лицо приказом работодателя. В общем виде его обязанности как ответственного включают 5:

  • осуществление внутреннего контроля за соблюдением законодательства о персональных данных, в том числе требований к защите персональных данных;
  • доведение до сведения работников положений законодательства о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
  • организацию приема и обработки обращений и запросов субъектов персональных данных, осуществление контроля за приемом и обработкой таких обращений и запросов.

Связанный материал
Трудовая функция и изменение обязанностей работника: как не ошибиться
№ 07 / 2017

Когда изменение должностной инструкции приводит к повышению зарплаты, читайте в статье «Трудовая функция и изменение обязанностей работника: как не ошибиться» в № 7’ 2017

Это лицо будет главным должностным лицом организации, ответственным за исполнение требований законодательства о персональных данных. Помимо издания приказа о назначении ответственного лица следует дополнить должностную...

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 700 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail
доступ
к Базе знаний

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

доступ
к Базе знаний

Рекомендовано для вас

Что Роскомнадзор проверит в первую очередь и за что накажет

Кадровая служба
№ 03 / 2025
Правовое обеспечение деятельности

Ответственность за обработку персональных данных с нарушениями продолжает ужесточаться. С 30.05.2025 за повторные нарушения по некоторым статьям начнут взыскивать оборотные штрафы. Автор анализирует три основных требования к работодателям, которые необходимо выполнить в первую очередь при обработке персданных работников и клиентов (уведомление Роскомнадзора, назначение ответственного лица, утверждение политики обработки персональных данных), а также последствия их несоблюдения. Объясняет, как правильно выполнить такие требования (с образцами документов и конкретных формулировок), на основе собственного опыта и разъяснений Роскомнадзора. Показывает судебную практику, которая «подсвечивает» узкие места.

Ольга Свириденко
юрист по трудовому праву компании «Мир трудовых отношений»

Как закон о защите персданных распространяется на архивные документы

Кадровая служба
№ 09 / 2024
Делопроизводство в кадровой службе

Документы с персональными данными находятся под защитой закона о персданных. А что происходит с документами, когда они становятся архивными? Распространяется ли на них указанный закон и если да, то в какой части? Когда документ становится архивным? Как защищаются персональные данные, содержащиеся в таком документе? А как защищаются персданные при ответе архива на запросы граждан, в том числе и за границу? Автор анализирует нормативную базу и отвечает на указанные вопросы.

Наталья Храмцовская
к.и.н., ведущий эксперт по управлению документацией компании «ЭОС», эксперт ИСО

На что работодателям обратить внимание в 2025 году?

Кадровая служба
№ 01 / 2025
Актуальное интервью

Что ожидают эксперты от 2025 года? Какие изменения повлияют на работодателей? Каким вопросам стоит уделить пристальное внимание уже сейчас? Журнал «Кадровая служба и управление персоналом предприятия» опросил экспертов и собрал самые интересные мнения. Спойлер: цифровизация внедряется во все сферы государственной жизни, а значит, контроль становится более избирательным, четким и тщательным. Наиболее рисковые сферы – воинский учет, персональные данные, миграционное законодательство и взаимоотношения с самозанятыми. Узнаете, сохранилась ли законотворческая деятельность и судебная практика с уклоном в сторону защиты интересов работников, какие проверяющие вероятнее всего придут с визитом в этом году, какие поправки стоит ввести в ЛНА в связи с последними изменениями в ТК РФ, а также почему удержание персонала становится для работодателей стратегической задачей.

Работа с персональными данными: ответы на вопросы

Кадровая служба
№ 07 / 2024
Правовое обеспечение деятельности

В конце мая журнал «Кадровая служба и управление персоналом предприятия» и сайт delo-press.ru провели онлайн-семинар «Работа с персональными данными без ошибок». По итогам семинара мы собрали ответы спикера – ​эксперта по трудовым отношениям Юлии Жижериной – ​на вопросы слушателей семинара, дополнив их ссылками на нормативную базу и расширенную аргументацию. В частности, публикуем разбор следующих ситуаций: что делать, если работник отзывает свое согласие на обработку персданных; сколько целей обработки персданных можно указать в одном согласии; надо ли получать согласие работника на ведение видеозаписи, если камеры установлены только в коридорах; можно ли не издавать приказ о месте хранения и обработки персданных, а прописать это в ЛНА; кого указывать в приказе о перечне лиц, имеющих доступ к персданным; нужно ли согласие работника при добавлении его в общий чат мессенджера и пр.

Какие данные являются персональными: позиция суда

Кадровая служба
№ 05 / 2021
Правовое обеспечение деятельности

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Александр Бычков
директор юридического департамента ООО «Пимпэй Касса»

Документы по персональным данным, которые проверит Роскомнадзор

Кадровая служба
№ 04 / 2024
Практические рекомендации

Любым организациям и ИП так или иначе приходится обрабатывать персональные данные граждан. Показываем на конкретных примерах, какие документы работодателям необходимо иметь в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как правильно их оформить, чтобы снизить риски возникновения споров.

Юлия Жижерина
юрист по трудовому праву
Татьяна Снежкина
юрист по трудовому праву

Можно ли обязать держать зарплату в тайне?

Кадровая служба
№ 08 / 2020
Правовое обеспечение деятельности

Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.

Елена Грозовская
адвокат Адвокатской палаты Саратовской области

Правила уничтожения персональных данных

Кадровая служба
№ 04 / 2024
Практические рекомендации

В каких ситуациях и в какие сроки необходимо уничтожать персональные данные? Каков порядок их уничтожения? Что будет за нарушения в этой сфере? Какие документы составить, чтобы соблюсти установленные действующими нормативными правовыми актами требования? Отвечаем на эти и связанные с ними вопросы. Даем готовые образцы приказа о создании постоянно действующей комиссии по уничтожению документов, акта об уничтожении персданных, уведомления работника об уничтожении неправомерно использованных персональных данных. Предлагаем формулировки для локального нормативного акта компании (о порядке уничтожения таких конфиденциальных сведений) и договоров с контрагентами (с обязательством уничтожить передаваемые по договору персданные в установленных случаях).

Марина Дячук
частнопрактикующий юрист