аналитика 12 октября 2027 По состоянию на 12 октября 2027

11 правовых оснований обработки ПДн: полный разбор

Q: С какого возраста нужно согласие на ПДн?

ФЗ-152 не содержит специальной нормы о возрасте согласия. Общая норма ГК РФ: дееспособность в полном объёме — с 18 лет; ограниченная дееспособность — с 14 до 18 лет (согласие дополняется согласием родителей или законных представителей). В сфере образования и детских сервисов согласие за ребёнка до 14 лет дают родители (законные представители). Это необходимо отразить в форме согласия и политике конфиденциальности.

Статья 6 ФЗ-152 закрепляет 11 оснований, при наличии хотя бы одного из которых обработка персональных данных считается законной.

Обработка без надлежащего основания — нарушение ч. 1 ст. 13.11 КоАП: штраф для юрлица до 300 000 ₽, при повторности — до 500 000 ₽. Отсутствие или порок согласия как основания — штраф по ч. 2 до 700 000 ₽.

→ Если вы юрист и проверяете комплаенс обработки ПДн — убедитесь, что под каждый процесс выбрано корректное основание и задокументировано.

С 30 мая 2025 года действует новая редакция ст. 13.11 КоАП с 18 частями и оборотным штрафом до 500 млн ₽ за повторную утечку. В этих условиях выбор правового основания — не формальность, а часть линии защиты. Ошибка в основании превращает любой легитимный процесс в нарушение. В этой статье — разбор всех 11 оснований по ст. 6 ФЗ-152, практика их применения, типичные ошибки и последствия.

Что считается обработкой ПДн и кто несёт ответственность?

По ст. 3 ФЗ-152 обработка персональных данных — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Оператор — государственный или муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими организует и осуществляет обработку. Субъект ПДн — физическое лицо, чьи данные обрабатываются.

«Ст. 3 ФЗ-152: обработка охватывает весь жизненный цикл данных — от сбора до уничтожения. Оператором признаётся любое лицо, определяющее цели и состав обрабатываемых ПДн.»

Ответственность оператора не ограничивается административными штрафами. С 11 декабря 2024 года действует ст. 272.1 УК РФ (введена ФЗ-421): незаконное использование, передача, сбор или хранение компьютерной информации с ПДн грозит лишением свободы до 10 лет по ч. 5 при тяжких последствиях. Ответственность наступает не только за факт утечки, но и за изначально неправомерную обработку — то есть обработку без законного основания.

Принципы обработки по ст. 5 ФЗ-152 распространяются на все основания без исключения: обработка должна быть законной, цели — конкретными и заявленными, объём данных — соответствовать целям, срок — не превышать необходимый. Нарушение принципов при наличии формально корректного основания также образует состав правонарушения по ч. 1 ст. 13.11 КоАП.

Какие 11 оснований предусматривает ст. 6 ФЗ-152?

Пункт 1 ч. 1 ст. 6 ФЗ-152 — согласие субъекта. Наиболее распространённое и наиболее рискованное основание. Требования к согласию закреплены в ст. 9 ФЗ-152 и с 1 сентября 2025 года ужесточены ФЗ-156 от 24 июня 2025 года: согласие оформляется отдельным документом, не объединяется с договором, офертой или политикой конфиденциальности. Обязательные реквизиты: наименование оператора, контактные данные субъекта, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва. Отсутствие любого реквизита или включение согласия в тело договора — нарушение ч. 2 ст. 13.11 КоАП: штраф для юрлица 300 000–700 000 ₽.

«Ст. 9 ФЗ-152 (ред. с 01.09.2025, ФЗ-156): согласие — отдельный документ. Включение в договор недопустимо. Бремя доказывания наличия согласия лежит на операторе.»

Пункт 2 ч. 1 ст. 6 — исполнение обязанностей оператора по законодательству. Применяется там, где федеральный закон прямо обязывает оператора обрабатывать ПДн: налоговый учёт, воинский учёт, передача данных в ПФР, ФСС. Согласие субъекта не требуется. Важно: основание работает только при наличии прямой нормы федерального закона; подзаконного акта или ведомственной инструкции недостаточно.

Пункт 3 ч. 1 ст. 6 — судопроизводство, исполнение судебного акта. Основание для передачи ПДн в суд, ФССП, органы дознания в рамках судебного дела. Субъект не вправе отозвать данные, переданные на этом основании.

Пункт 4 ч. 1 ст. 6 — обязанности государственного или муниципального органа. Применяется исключительно публичными операторами: органами власти, государственными учреждениями. Для коммерческих операторов это основание недоступно.

Пункт 5 ч. 1 ст. 6 — исполнение договора с субъектом ПДн. Ключевое основание для бизнеса: продажа товаров, оказание услуг, трудовой договор. Важно: договор должен быть заключён именно с субъектом ПДн; договор о предоставлении данных третьих лиц этим пунктом не покрывается. Обработка допустима только в объёме, необходимом для исполнения договора.

Не уверены, правильно ли выбраны основания под каждый процесс?

Ошибка в основании — это не теоретический риск. По ч. 1 ст. 13.11 КоАП штраф для юрлица составляет 150 000–300 000 ₽; по ч. 2 за отсутствие согласия при его необходимости — 300 000–700 000 ₽. При повторности по ч. 2.1 — 1 000 000–1 500 000 ₽. Проверка оснований занимает 3–5 рабочих дней в рамках аудита соответствия.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Пункт 6 ч. 1 ст. 6 — защита жизни, здоровья или иных жизненно важных интересов субъекта, если получение согласия невозможно. Экстренная медицинская помощь, катастрофа, несчастный случай. Основание применяется только при фактической невозможности получить согласие; если субъект находится в сознании и доступен — основание неприменимо.

Пункт 7 ч. 1 ст. 6 — осуществление прав и законных интересов оператора или третьих лиц при условии, что интересы субъекта не нарушаются. Наиболее дискуссионное основание. РКН интерпретирует его ограничительно: оператор обязан доказать, что его интерес конкретен, законен и не подавляет интересы субъекта. Применяется в B2B-аналитике, антифроде, внутреннем контроле.

Пункт 8 ч. 1 ст. 6 — профессиональная деятельность журналиста, СМИ или научная, литературная, творческая деятельность при условии, что права субъекта не нарушаются. Для медиаорганизаций и НКО в сфере исследований.

Пункт 9 ч. 1 ст. 6 — обработка общедоступных ПДн. Данные, размещённые субъектом самостоятельно или с его согласия в открытом доступе. Критически важно: факт общедоступности не снимает требований к принципам обработки по ст. 5. Если субъект опубликовал данные в одних целях, а оператор использует в других — основание не работает. Перечень общедоступных источников ПДн требует отдельного учёта.

Пункт 10 ч. 1 ст. 6 — обработка в статистических или иных исследовательских целях при условии обязательного обезличивания. С 2025 года регулирование обезличивания ужесточено: ФЗ-233 от 8 августа 2024 года ввёл ст. 13.1 ФЗ-152. Приказ РКН (2025) закрепил 5 методов обезличивания: введение идентификаторов, изменение состава и семантики, декомпозиция, перемешивание, обобщение. Обработка на этом основании без применения утверждённых методов — нарушение.

Пункт 11 ч. 1 ст. 6 — иные случаи, предусмотренные федеральным законом. Отсылочная норма: специальные законы вправе вводить дополнительные основания для конкретных секторов — банковского (ФЗ-395-1), медицинского (ФЗ-323), кредитных историй (ФЗ-218).

Как правильно выбрать основание и зафиксировать его в ОРД?

Ошибка большинства операторов — использование согласия как универсального основания там, где оно не нужно. Это создаёт двойной риск: во-первых, согласие можно отозвать, и тогда обработка становится незаконной; во-вторых, если согласие оформлено с нарушением требований ст. 9, оно недействительно. При наличии договорного основания (п. 5) или законодательной обязанности (п. 2) — согласие избыточно и создаёт ложное ощущение защиты.

«Ст. 6 ФЗ-152: основания альтернативны, но не взаимозаменяемы. Под каждый процесс обработки выбирается одно надлежащее основание; при смешении оснований оператор не может ссылаться ни на одно из них.»

В организационно-распорядительной документации (ОРД) основание фиксируется в политике обработки ПДн (ст. 18.1 ФЗ-152), в матрице обработки ПДн и в описании каждой информационной системы. Политика, не содержащая перечня оснований с привязкой к конкретным процессам, не соответствует ч. 2 ст. 18.1 — штраф по ч. 3 ст. 13.11 КоАП 30 000–60 000 ₽.

Что проверить юристу при аудите оснований обработки

Составлен ли реестр (матрица) процессов обработки ПДн с указанием основания по ст. 6 для каждого процесса
Соответствуют ли согласия субъектов требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) — отдельный документ, полный состав реквизитов
Указаны ли основания обработки в политике конфиденциальности и уведомлении в реестр РКН (ст. 22 ФЗ-152)
Разграничена ли обработка в рамках договора (п. 5) и обработка сверх договора — последняя требует отдельного основания
Предусмотрены ли в ОРД порядок действий при отзыве согласия и сроки уничтожения ПДн

Типичные нарушения оснований: практика и последствия

Три наиболее распространённых паттерна нарушений, с которыми сталкивается практика.

Сценарий 1. Согласие включено в трудовой договор. HRD включает согласие на обработку ПДн работника в текст трудового договора. С 01.09.2025 это прямо запрещено ФЗ-156: согласие — отдельный документ. Даже если работник подписал договор, согласие как отдельный реквизит отсутствует. Доказательства: протокол проверки РКН по жалобе работника; запись о согласии в составе договора. Вероятный исход: штраф по ч. 2 ст. 13.11 — 300 000–700 000 ₽. Стратегия: переоформить согласия отдельными документами; обработку, для которой согласие не нужно (исполнение трудового договора, налоговая отчётность), перевести на пп. 2 и 5 ч. 1 ст. 6.

Сценарий 2. Основание «законный интерес» (п. 7) без документирования. Компания обрабатывает данные клиентов для антифрод-скоринга, ссылаясь на п. 7 ч. 1 ст. 6, однако нигде не зафиксировала, в чём конкретно состоит законный интерес и почему он не подавляет права субъекта. При проверке РКН основание признаётся не подтверждённым. Вероятный исход: предписание об устранении + штраф по ч. 1 ст. 13.11 — 150 000–300 000 ₽. Стратегия: составить оценку баланса интересов (LIA — Legitimate Interest Assessment), включить её в пакет ОРД.

Сценарий 3. Обезличивание без применения утверждённых методов. IT-компания обрабатывает ПДн в аналитических целях, ссылаясь на п. 10 ч. 1 ст. 6, однако применяет собственные методы псевдонимизации, не соответствующие методам, утверждённым Приказом РКН (2025). РКН вправе квалифицировать обработку как обработку без надлежащего основания. Вероятный исход: предписание + штраф по ч. 1 ст. 13.11. Стратегия: привести технические методы обезличивания к утверждённым РКН (введение идентификаторов, декомпозиция, перемешивание, обобщение, изменение состава или семантики).

Если юрист выявил несоответствие оснований обработки требованиям ФЗ-152 — необходима корректировка ОРД. Срок устранения нарушения по предписанию РКН строго ограничен. Юристы DATUM соберут пакет документов под ключ: матрица обработки, политика, согласия, приказы.

Собрать ОРД под ключ

Кейсы: как суды и РКН квалифицируют нарушения оснований

Кейс 1. Торговая компания (Центральный ФО, осень 2025): в рамках плановой проверки РКН установил, что оператор обрабатывал данные покупателей для таргетированной рассылки, ссылаясь на исполнение договора купли-продажи (п. 5 ч. 1 ст. 6). Арбитражный суд региона констатировал, что маркетинговая рассылка выходит за пределы целей договора и требует отдельного согласия. Штраф — в диапазоне нижней трети санкции по ч. 1 ст. 13.11 КоАП. Оператор устранил нарушение, переоформив согласия на рассылку отдельными документами.

Кейс 2. По делу № А40-351064/2025 (РЭШ — Российская электронная школа), которое стало одним из первых по новым нормам ст. 13.11 КоАП, арбитражный суд применил квалификацию по ч. 14 (утечка более 100 000 субъектов). Несмотря на то что основной состав связан с утечкой, а не с выбором основания, суд отдельно зафиксировал: отсутствие надлежащей документации об основании обработки затрудняет доказывание правомерности при рассмотрении дела. Этот подход отражает позицию: неоформленное основание равнозначно его отсутствию.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой считается любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже просмотр анкеты сотрудника без изменений формально является обработкой — извлечением данных. Ответственность оператора возникает с момента начала любого из перечисленных действий.

2. На основании чего можно обрабатывать ПДн?

Исчерпывающий перечень — 11 оснований ч. 1 ст. 6 ФЗ-152. Обработка без хотя бы одного из них незаконна независимо от того, нанесён ли вред субъекту. Наиболее распространённые: согласие (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанности по закону (п. 2). Для каждого процесса обработки выбирается конкретное основание и документируется в ОРД.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП (в ред. с 30.05.2025): от 150 000 ₽ по ч. 1 до оборотного штрафа 1–3% годовой выручки (не менее 20 млн ₽ и не более 500 млн ₽) по ч. 15 при повторной утечке. Уголовная ответственность по ст. 272.1 УК — до 10 лет лишения свободы при тяжких последствиях. Ответственность должностных лиц и самого юрлица разграничена, но может применяться одновременно.

4. Нужно ли уведомлять РКН малому бизнесу?

По ст. 22 ФЗ-152 уведомить РКН о намерении обрабатывать ПДн обязан каждый оператор, кроме исключений, прямо перечисленных в ч. 2 ст. 22. Эти исключения узкие: обработка в рамках трудовых отношений, обработка данных контрагентов по договору, обработка без использования автоматизации в рамках одного юрлица. Большинство малых компаний, использующих CRM или облачный HR-инструмент, под исключения не подпадают. Штраф за неуведомление по ч. 10 ст. 13.11 — 100 000–300 000 ₽.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не содержит специальной нормы о возрасте согласия в отличие от европейского GDPR. Общая норма ГК РФ: дееспособность в полном объёме — с 18 лет; ограниченная дееспособность — с 14 до 18 лет (согласие дополняется согласием родителей или законных представителей). В сфере образования и детских сервисов согласие за ребёнка до 14 лет дают родители (законные представители). Это необходимо отразить в форме согласия и политике конфиденциальности.

Итог

Выбор правового основания по ст. 6 ФЗ-152 — базовый элемент комплаенса. Ошибка на этом уровне делает незаконными все последующие действия с данными, сколько бы технических мер защиты оператор ни принял. После 30 мая 2025 года цена ошибки — от 150 000 ₽ по ч. 1 ст. 13.11 до 500 млн ₽ оборотного штрафа по ч. 15 при повторной утечке.

Практика DATUM по 152-ФЗ включает аудит матриц обработки, документирование оснований под каждый процесс, подготовку пакета ОРД и сопровождение проверок РКН. Типовой аудит выявляет 3–7 процессов с ненадлежащим основанием в компании из 200–500 человек.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований, матрица обработки, отчёт с приоритетами
Комплект ОРД под ключ — политика, согласия, матрица, приказы, регламенты
DPO-аутсорсинг — постоянный контроль оснований и ответы субъектам по ст. 22.1

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025, подсудность мировым после ФЗ-508.

12 октября 2027 года