справочник 25 ноября 2026 По состоянию на 25 ноября 2026

11 правовых оснований обработки по ст. 6 152-ФЗ

Статья 6 ФЗ-152 устанавливает исчерпывающий перечень из 11 оснований, при которых оператор вправе обрабатывать персональные данные без нарушения закона.

Отсутствие надлежащего основания — типичный повод для штрафа по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽ для юрлица) и возражений субъекта, требующего прекратить обработку.

→ Если вы юрист и проверяете, какое основание применимо в конкретной ситуации — ниже системный разбор каждого из 11 пунктов с примерами.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо семи. Проверка правового основания обработки стала ключевым элементом любого аудита: именно отсутствие или неправильный выбор основания суды и Роскомнадзор квалифицируют по ч. 1 или ч. 2 ст. 13.11. Разбираем все 11 оснований по тексту закона и актуальной практике.

Что такое правовое основание обработки ПДн?

Правовое основание обработки персональных данных — это предусмотренное ст. 6 ФЗ-152 условие, при наличии которого оператор вправе совершать действия с ПДн субъекта: собирать, записывать, хранить, передавать и иные действия из перечня ст. 3 ФЗ-152. Основание должно существовать до начала обработки. Его отсутствие делает всю последующую обработку незаконной независимо от наличия иных документов.

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими определяющее цели и содержание обработки ПДн (ст. 3 ФЗ-152). Субъект персональных данных — физическое лицо, чьи данные обрабатываются.

«Ст. 6 ФЗ-152 содержит закрытый перечень из 11 оснований обработки. Обработка допускается только при наличии хотя бы одного из них. Если оператор выходит за рамки задекларированных целей или применяет основание неверно — обработка становится незаконной.»

Все 11 оснований: какое выбрать и когда?

Основание 1 — согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152). Наиболее универсальное и одновременно наиболее уязвимое основание. Применяется, когда ни одно из остальных 10 не подходит. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом: его нельзя включать в трудовой договор, оферту или политику конфиденциальности. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Нарушение состава — ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽).

Основание 2 — исполнение международного договора РФ (п. 2 ч. 1 ст. 6). Применяется в основном государственными органами и организациями с международными обязательствами. В коммерческой практике встречается редко.

Основание 3 — осуществление правосудия и исполнение судебного акта (п. 3 ч. 1 ст. 6). Судебный акт в данном контексте — решение, определение, приказ суда или третейского органа. Коллекторы и юридические компании используют это основание при работе с данными должников по судебным решениям.

Основание 4 — исполнение полномочий государственных органов (п. 4 ч. 1 ст. 6). Актуально для органов власти и МФЦ. Организации частного сектора по этому основанию ПДн не обрабатывают.

Основание 5 — исполнение договора с субъектом или по его поручению (п. 5 ч. 1 ст. 6). Второе по популярности основание в бизнесе. Применяется, когда субъект является стороной договора или выгодоприобретателем. Ключевой критерий: обработка необходима именно для исполнения договора, а не просто сопутствует ему. Маркетинговые рассылки поверх договорных отношений — уже другое основание (согласие).

Основание 6 — защита жизни, здоровья или иных жизненно важных интересов субъекта при невозможности получить согласие (п. 6 ч. 1 ст. 6). Экстренные ситуации: человек без сознания, стихийные бедствия, катастрофы. Применяется, только если получить согласие физически невозможно. Медицинские организации используют это основание при оказании скорой помощи.

Основание 7 — осуществление профессиональной деятельности журналиста или СМИ, научной, литературной или иной творческой деятельности (п. 7 ч. 1 ст. 6). Профессиональная деятельность журналиста трактуется судами узко: требуется реальная редакционная деятельность, а не любой публичный блог. Научная обработка ПДн — в совокупности с требованием обезличивания по ст. 13.1 ФЗ-152 (в ред. ФЗ-233 от 08.08.2024).

Основание 8 — статистические или иные исследовательские цели при условии обязательного обезличивания (п. 8 ч. 1 ст. 6). Используется аналитическими компаниями и IT-продуктами для агрегации данных. После обезличивания по методам, установленным Приказом РКН, информация перестаёт считаться ПДн. До обезличивания — полноценная обработка ПДн с необходимостью основания.

Основание 9 — обработка ПДн, которые субъект сделал общедоступными (п. 10 ч. 1 ст. 6). Нумерация в законе: пункт 10, но в системе 11 оснований это девятое по счёту. Общедоступные персональные данные — ПДн с открытым доступом по согласию субъекта или в силу закона (ст. 3 ФЗ-152). Публикация в открытом профиле соцсети — не безусловное согласие на любое использование. Ст. 10.1 ФЗ-152 требует отдельного согласия на распространение.

Основание 10 — обработка в целях установленных законом оснований (п. 11 ч. 1 ст. 6 — иные федеральные законы). Применяется, когда специальный федеральный закон прямо обязывает или разрешает обрабатывать ПДн: трудовое законодательство (ст. 86–88 ТК РФ), налоговое, пенсионное, банковское (в части идентификации клиентов по 115-ФЗ), медицинское (323-ФЗ). Важно: ссылка на «требование закона» должна быть конкретной — со статьёй, а не общим указанием на отраслевое регулирование.

Основание 11 — поручение обработки третьему лицу (п. 3 ст. 6 ФЗ-152). Поручение обработки — передача оператором права осуществлять действия с ПДн третьему лицу (обработчику) на основании договора или иного юридически значимого документа. Оператор не снимает с себя ответственности: он отвечает перед субъектом за действия обработчика так же, как за собственные. Договор поручения должен содержать перечень действий, цель, обязанность конфиденциальности и возможность проверки.

Не уверены, какое основание применимо в вашей ситуации?

Юрист, проверяющий комплаенс компании, должен убедиться: каждый поток ПДн покрыт конкретным основанием из ст. 6 ФЗ-152. Ошибка в выборе основания или его отсутствие — типичное нарушение, которое РКН фиксирует при проверке. Аудит DATUM по чек-листу из 38 пунктов покажет, где основание отсутствует или некорректно задокументировано.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как соотносятся основания со специальными категориями и биометрией?

Ст. 6 ФЗ-152 — общая норма. Для специальных категорий ПДн (ст. 10 ФЗ-152: здоровье, биометрия, судимость, национальность, политические и религиозные взгляды) основания по ст. 6 применяются одновременно с дополнительными условиями по ст. 10. Обработка биометрических ПДн (ст. 11 ФЗ-152) сверх условий ст. 6 требует письменного согласия. Это два параллельных требования, не заменяющих друг друга.

Утечка специальных категорий квалифицируется по повышенным составам: ч. 16–17 ст. 13.11 КоАП. За утечку биометрических ПДн — штраф 15 000 000 — 20 000 000 ₽ (ч. 17 ст. 13.11 КоАП, в редакции с 30.05.2025). Правильное основание обработки снижает риск, но не заменяет технических мер защиты по ПП РФ №1119 и Приказу ФСТЭК №21.

Что подготовить для документирования оснований

Реестр потоков ПДн с указанием основания по ст. 6 для каждой цели обработки
Тексты согласий с реквизитами по ст. 9 ФЗ-152 (отдельный документ с 01.09.2025)
Договоры поручения обработки с обработчиками (п. 3 ст. 6 ФЗ-152) — перечень действий, цель, конфиденциальность
Ссылки на конкретные статьи специальных законов, когда основание — «требование закона»
Политика обработки ПДн с разделами по ст. 18.1 ФЗ-152, опубликованная на сайте

Типовые ситуации: как выбор основания влияет на риск

Ситуация 1. Рассылка клиентам поверх договора. Компания ссылается на п. 5 ч. 1 ст. 6 (исполнение договора) для маркетинговых e-mail-рассылок существующим клиентам. РКН и суды квалифицируют маркетинговые коммуникации как самостоятельную цель, не вытекающую из договора. Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽). Стратегия: получить отдельное согласие на рассылку с реквизитами по ст. 9 ФЗ-152.

Ситуация 2. Передача данных субподрядчику без договора поручения. Оператор передаёт ПДн клиентов IT-подрядчику (облачное хранилище, CRM) без договора, предусмотренного п. 3 ст. 6 ФЗ-152. Подрядчик де-юре становится самостоятельным оператором без правомерного основания. Вероятный исход: нарушение ч. 1 ст. 13.11 КоАП у обоих; при утечке — солидарная репутационная ответственность. Стратегия: заключить договор поручения с перечнем действий, сроком, обязанностью конфиденциальности.

Ситуация 3. Хранение данных после расторжения договора. После прекращения договора оператор продолжает хранить ПДн клиента, ссылаясь на п. 5 ч. 1 ст. 6. Основание утрачивает силу с окончанием договора. Продолжение хранения — обработка без правового основания. Вероятный исход: при запросе субъекта на уничтожение — нарушение ч. 5 ст. 13.11 (50 000 — 90 000 ₽) при неисполнении. Стратегия: установить срок хранения в документах и обеспечить уничтожение по его истечении.

Если вы юрист и в компании нет реестра оснований обработки по ст. 6 — каждый новый поток ПДн создаёт неподтверждённый риск по ч. 1 ст. 13.11 КоАП. Аудит DATUM формирует реестр и закрывает пробелы в ОРД.

Заказать аудит 152-ФЗ

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки, ОРД, реестра операторов
Комплект ОРД под ключ — политика, согласия, договоры поручения, приказы
DPO-аутсорсинг — ведение ответственного за обработку по ст. 22.1 ФЗ-152

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработкой считается любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение — с использованием средств автоматизации или без них (ст. 3 ФЗ-152). Просмотр сотрудником документа с ПДн — уже обработка. Для каждого вида действий должно быть применимое основание по ст. 6.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 перечисляет 11 оснований: согласие субъекта; исполнение международного договора; судопроизводство и исполнение судебного акта; полномочия госорганов; исполнение договора с субъектом; защита жизни при невозможности получить согласие; журналистская, научная или творческая деятельность; статистические цели при обязательном обезличивании; обработка общедоступных данных; требование специального федерального закона; поручение обработки третьему лицу. Для каждой цели обработки выбирается подходящее основание — одна цель не может опираться на несколько взаимоисключающих оснований.

3. Что грозит за нарушение 152-ФЗ?

За обработку ПДн без правового основания или с нарушением условий — штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽ для юрлица (в редакции с 30.05.2025). Повторное нарушение — ч. 1.1, до 500 000 ₽. Обработка без согласия там, где оно обязательно, — ч. 2 ст. 13.11, до 700 000 ₽. При утечке ПДн от 1 000 субъектов — ч. 12–14 ст. 13.11 (от 3 000 000 до 15 000 000 ₽). Уголовная ответственность — ст. 272.1 УК РФ (введена с 11.12.2024), до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

Обязанность уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) распространяется на большинство операторов. Исключения установлены в ч. 2 ст. 22 ФЗ-152: обработка в рамках трудового договора, единичные сведения без распространения в информационной системе и ряд других узких случаев. Малый бизнес под исключение попадает не автоматически — нужно проверить каждый конкретный случай. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единого возрастного порога. По общей норме ГК РФ дееспособность наступает с 18 лет. Для несовершеннолетних от 14 до 18 лет — согласие даётся ими самостоятельно, но законные представители вправе отозвать его. До 14 лет согласие дают родители или иные законные представители. Согласие от несовершеннолетнего без учёта возраста — нарушение ст. 9 ФЗ-152, которое квалифицируется по ч. 2 ст. 13.11 КоАП.

Итог

Ст. 6 ФЗ-152 — базовая норма, с которой начинается любой анализ законности обработки ПДн. Выбор неправильного основания, его отсутствие или смешение нескольких целей под одним основанием — три наиболее распространённых нарушения, которые выявляет как РКН при проверке, так и сам субъект при жалобе. Актуальность вопроса резко выросла с 30.05.2025: новые составы ст. 13.11 КоАП сделали каждое нарушение дороже минимум вдвое по сравнению с редакцией до ФЗ-420.

DATUM сопровождает операторов ПДн при построении реестра оснований обработки, разработке ОРД и подготовке к проверкам РКН — для компаний, которым нужна правовая определённость, а не декларативные документы.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.