Обработчик ПД отличие от оператора

Обработчик ПД отличие от оператора — практическое руководство по нормам РФ 2026 года: сроки, суммы, процедура, ссылки на Персональные данные (расширение).

ФЗ-152ФЗ-149

Обработчик ПД отличие от оператора

В российском законодательстве термины «оператор» и «обработчик» обозначают субъектов, работающих с персональными данными, но их правовой статус существенно различается. Разграничение важно для выбора формы информирования Роскомнадзора, определения ответственности и порядка согласования договоров.

1. Определение понятий по ФЗ-152

Оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки, состав персональных данных и действия, совершаемые с ними.

Обработчик — организация, которая обрабатывает персональные данные по поручению оператора. Обработка может включать сбор, запись, систематизацию, накопление, хранение, уточнение, использование, обезличивание, блокирование, удаление или уничтожение данных (ст. 3 ФЗ-152).

Ключевой признак: у оператора есть право и обязанность определять цели обработки; у обработчика такие полномочия отсутствуют — он действует в рамках заданных оператором процедур и в интересах последнего.

2. Роль «поручителя» и субъектная сфера

Обработчик не может быть оператором по отношению к одним и тем же данным без согласия оператора: если лицо само определяет цели и способы обработки, оно автоматически становится оператором (ч. 3 ст. 6 ФЗ-152). Обработчиком признаётся оператор-поручитель, который заключает договор с лицом, инициировавшим обработку.

Поручение должно быть оформлено в виде договора или иного документа (дополнительного соглашения) и содержать перечень действий с данными, цели обработки, обязанности обработчика по защите данных и обязанность предоставлять отчётность (ч. 3 ст. 6 ФЗ-152).

Пример: банк как оператор поручает облачному сервису обработку базы клиентов; в договоре чётко прописаны права/обязанности сторон.

3. Уведомление Роскомнадзора

Оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных до начала такой обработки (ч. 1 ст. 22 ФЗ-152). Сведения подаются в электронной форме через портал персональных данных с использованием усиленной квалифицированной электронной подписи.

Обработчик, действующий по поручению оператора, не обязан самостоятельно уведомлять Роскомнадзор как субъект персональных данных — ответственность за уведомление несёт оператор-поручитель. Однако обработчик обязан предоставлять сведения об обработке по требованию оператора и обеспечивать доступ ведомства к информации о защите данных (ч. 5 ст. 22 ФЗ-152).

4. Договоры и ответственность

Сведения о каждом поручении должны быть зафиксированы в письменном договоре между оператором и обработчиком. В договоре указываются: цели обработки; перечень действий с ПДн; обязанности по защите (ст. 18.1 ФЗ-152); порядок предоставления информации Роскомнадзору.

Если обработчик нарушил требования, предусмотренные поручением или законом, ответственность перед оператором несёт сам обработчик; оператор в общем случае не отвечает за действия обработчика, если не докажет свою непричастность к нарушению (ч. 4 ст. 6 ФЗ-152).

5. Комплаенс для ИТ-провайдеров и аутсорсеров

Для IT-компаний и облачных провайдеров важно разделять роли: если компания выполняет только технические функции по поручению заказчика, она — обработчик; если сама формулирует цели обработки (например, анализ нагрузки на сервер) — становится оператором.

Обработка биометрических ПДн требует отдельного согласия или решения суда для каждого вида обработки. При поручении обработки биометрии оператор должен удостовериться в наличии у обработчика системы защиты и обеспечить передачу данных по защищённым каналам связи.


Что важно запомнить

  • Оператор — лицо, определяющее цели и способы обработки; обработчик — лицо, обрабатывающее данные по поручению оператора.
  • Обработчик не обязан уведомлять Роскомнадзор как самостоятельный субъект ПДн.
  • Обязательный элемент взаимодействия — письменное поручение с описанием действий, целей и требований к защите.
  • По общему правилу ответственность за нарушения несёт тот, кто получил поручение; оператор отвечает только если докажет отсутствие вины.
  • Для ИТ-провайдеров важно правильно определить свой статус: облачный хостинг — чаще обработчик; разработка ПО для анализа ПДн — может быть оператором.

Похожие материалы

Информационный сервис, не юридическая консультация. Источник данных — pravo.gov.ru (ИПС «Законодательство России»). Для важных решений сверяйтесь с актуальной редакцией закона или обратитесь к юристу.