Перейти к содержанию
аналитика 12 января 2029 По состоянию на 12 января 2029

Блогеры и 152-ФЗ

Блогер, который собирает email-адреса подписчиков, комментарии с именами или запускает таргетированную рекламу через сторонние сервисы — оператор персональных данных по ст. 3 ФЗ-152.
С 30.05.2025 штраф за обработку ПДн без правового основания составляет 150–300 тыс. ₽ по ч. 1 ст. 13.11 КоАП; повторное нарушение — 300–500 тыс. ₽. Обязанность уведомить РКН о намерении обрабатывать ПДн применима к физическим лицам в статусе самозанятого или ИП, ведущим публичную деятельность.
Если вы юрист и сопровождаете блогера или медиапроект — разбор норм и типовых рисков ниже. → Аудит соответствия 152-ФЗ

ФЗ-152 не делает исключений для авторов с многомиллионной аудиторией и для тех, кто ведёт канал на 500 подписчиков. Статус самозанятого, ИП или физического лица без регистрации не освобождает от обязанностей оператора, если в ходе деятельности собираются, хранятся или передаются данные идентифицированных или идентифицируемых лиц. В 2024 году РКН зафиксировал более 135 случаев компрометации баз ПДн; среди них — утечки из медиа- и инфобизнес-проектов. Эта статья разбирает, когда блогер становится оператором, какие нормы нарушают чаще всего и как минимизировать риски.

Когда блогер признаётся оператором персональных данных?

Оператором по ст. 3 ФЗ-152 является любое лицо — физическое, юридическое или государственный орган — которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн. Обработка — это любое действие или совокупность действий с данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Для блогера это означает следующее. Форма подписки на рассылку, где пользователь указывает имя и email, — сбор ПДн. CRM-система с данными покупателей курса — хранение и систематизация. Передача базы email в сервис рассылок типа Unisender или SendPulse — поручение обработки по п. 3 ст. 6 ФЗ-152. Подключение Meta Pixel или Google Analytics 4 к сайту — потенциальная трансграничная передача по ст. 12 ФЗ-152, поскольку данные уходят на серверы за рубежом.

Физическое лицо, ведущее блог, не обязано регистрировать ИП, чтобы стать оператором. Обязанности оператора возникают с момента начала фактической обработки. Если блогер собирает данные исключительно для личных или семейных нужд — в отношении узкого круга лиц, без передачи третьим сторонам — ФЗ-152 применяется в ограниченном объёме. Но публичная деятельность с коммерческой составляющей под это исключение не подпадает.

«Ст. 3 ФЗ-152 определяет оператора как лицо, которое организует и (или) осуществляет обработку ПДн, а также определяет цели и содержание такой обработки. Обработка — любое действие или совокупность действий с ПДн, совершаемых с использованием средств автоматизации или без них.»

На практике порог входа в статус оператора крайне низкий. Достаточно формы обратной связи на сайте или Telegram-бота, собирающего имя пользователя для записи на вебинар.

Клиент — блогер или инфобизнес с базой подписчиков?

Если у вас есть CRM, email-рассылки, пиксели аналитики или форма подписки — клиент, скорее всего, уже обрабатывает ПДн без надлежащего правового основания. Нарушение ч. 1 ст. 13.11 КоАП с 30.05.2025 — штраф 150–300 тыс. ₽. Повторное — 300–500 тыс. ₽ по ч. 1.1. У вас есть время подготовиться до проверки РКН.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие нормы ФЗ-152 нарушают блогеры чаще всего?

Типичные нарушения в блогерской среде группируются в несколько категорий.

Отсутствие уведомления РКН. По ст. 22 ФЗ-152 оператор обязан уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки. Исключения перечислены в ч. 2 ст. 22 — они касаются ПДн, обрабатываемых без средств автоматизации, или данных работников в рамках трудовых отношений. Большинство блогеров в эти исключения не вписываются: они используют CRM, сервисы рассылок, аналитику — всё это автоматизированная обработка. Штраф за неуведомление — 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Отсутствие политики конфиденциальности. Ст. 18.1 ФЗ-152 обязывает оператора опубликовать документ, определяющий его политику в отношении обработки ПДн. Для сайта это означает отдельную страницу с политикой. Её отсутствие — нарушение ч. 3 ст. 13.11 КоАП, штраф 30–60 тыс. ₽. При наличии политики, не отвечающей требованиям ч. 2 ст. 18.1 (нет целей, нет сроков, нет описания мер защиты), — тот же состав.

Согласие на обработку ПДн. С 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом — его нельзя включать в текст пользовательского соглашения, оферты или договора (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Типичная ошибка блогеров: галочка «Принимаю политику» внизу формы подписки без отдельного текста согласия с обязательными реквизитами — целью, перечнем данных, сроком, способом отзыва. Штраф по ч. 2 ст. 13.11 — 300–700 тыс. ₽.

Трансграничная передача. Подключение к зарубежным сервисам — Google Analytics 4, Meta Pixel, Mailchimp, Notion, HubSpot — означает передачу ПДн пользователей за пределы РФ. По ст. 12 ФЗ-152 до передачи в страну, не включённую РКН в перечень стран с адекватной защитой, оператор обязан уведомить регулятора. Большинство блогеров этой нормой пренебрегают.

Локализация. По ч. 5 ст. 18 ФЗ-152 запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться в базах данных на территории России. С 01.07.2025 требование ужесточено: первичный сбор данных за рубежом также подпадает под ограничения. Если блогер использует зарубежный хостинг для своей CRM или конструктор сайтов с серверами за рубежом — это потенциальное нарушение ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽.

«Ч. 5 ст. 18 ФЗ-152 устанавливает обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан РФ с использованием баз данных, расположенных на территории России. Нарушение — ч. 8 ст. 13.11 КоАП: штраф для юридического лица 1–6 млн ₽; повторное — 6–18 млн ₽ по ч. 9.»

Что такое ПДн в СМИ и как они соотносятся с блогерской деятельностью?

Статус СМИ не освобождает от обязанностей оператора ПДн в полном объёме. ФЗ-152 содержит ограниченное исключение: обработка ПДн журналистами и редакциями в целях профессиональной деятельности СМИ допустима без согласия субъекта, если это не нарушает права и свободы субъекта (п. 8 ч. 1 ст. 6 ФЗ-152). Однако это исключение применяется к конкретной редакционной задаче — публикации материала, расследованию, — но не к коммерческой обработке: базам подписчиков, рекламным пикселям, CRM-системам.

Блогер, зарегистрировавший СМИ, всё равно остаётся оператором в части обработки данных своей аудитории — подписчиков рассылки, покупателей курсов, участников конкурсов. Исключение для СМИ не распространяется на эти отношения.

Отдельный вопрос — публикация персональных данных третьих лиц: упоминание имён, адресов, фотографий без согласия лица. По ст. 10.1 ФЗ-152 распространение ПДн допустимо только при наличии отдельного согласия субъекта на распространение. Публикация скриншота переписки с именем или фото человека без его разрешения — нарушение ст. 10.1 и потенциальный иск о компенсации морального вреда по ст. 24 ФЗ-152.

Что подготовить блогеру или медиапроекту

  • Уведомление о намерении обрабатывать ПДн — подать через pd.rkn.gov.ru до начала сбора данных (ст. 22 ФЗ-152).
  • Политика конфиденциальности — отдельная страница сайта с целями, категориями данных, сроками хранения, описанием мер защиты (ч. 2 ст. 18.1 ФЗ-152).
  • Отдельное согласие на обработку ПДн — не в составе пользовательского соглашения или оферты, с обязательными реквизитами по ст. 9 ФЗ-152 (в ред. ФЗ-156 с 01.09.2025).
  • Договор-поручение с каждым сервисом-обработчиком (рассыльщик, CRM, платёжный агрегатор) по п. 3 ст. 6 ФЗ-152.
  • Оценка трансграничных передач: список зарубежных сервисов, уведомление РКН по ст. 12 там, где страна не входит в перечень адекватной защиты.

Типовые ситуации: как нормы применяются на практике

Ситуация 1. Инфобизнес с базой в зарубежном сервисе рассылок. Блогер (ИП, Центральный ФО, начало 2026 года) вёл рассылку через зарубежный ESP с серверами в ЕС. База — около 40 тыс. email с именами. Уведомление РКН не подавалось. Проверка РКН была инициирована по жалобе подписчика на нежелательную рассылку. По итогам проверки составлено два протокола: по ч. 10 ст. 13.11 КоАП (неуведомление о намерении обрабатывать) и по ч. 1 ст. 13.11 КоАП (обработка без правового основания — согласие в тексте оферты не соответствовало требованиям). Итоговый штраф — в диапазоне 250–350 тыс. ₽. После привлечения юристов обжалование позволило снизить санкцию по ч. 1 до минимума за счёт применения ч. 2 ст. 4.1 КоАП (устранение нарушения до вынесения постановления).

Ситуация 2. Публикация данных участника конкурса. Автор Telegram-канала (Северо-Западный ФО, осень 2025 года) опубликовал фото и имя победителя розыгрыша без его отдельного согласия на распространение ПДн. Субъект обратился с жалобой в РКН. Нарушение квалифицировано по ч. 1 ст. 13.11 КоАП: обработка ПДн (распространение) без правового основания. Блогер-физлицо получил предписание об уничтожении данных и штраф. Ситуацию можно было предотвратить, включив в условия конкурса отдельное согласие на публикацию имени и фото победителя по ст. 10.1 ФЗ-152.

Ситуация 3. Медиапроект с подключённым Meta Pixel. Онлайн-издание (юрлицо, Приволжский ФО, лето 2025 года) использовало Meta Pixel на сайте для ретаргетинга. Уведомление о трансграничной передаче в РКН не направлялось. После изменения правил локализации с 01.07.2025 внеплановая проверка подтвердила передачу данных посетителей сайта на серверы Meta в США. Нарушение квалифицировано по ч. 8 ст. 13.11 КоАП (локализация). Штраф — в нижней части диапазона 1–6 млн ₽ с учётом смягчающих обстоятельств (первичность, устранение до вынесения). ⚠️ Номер дела и точная дата — менеджер уточняет при публикации.

Если у вашего клиента подключены зарубежные сервисы аналитики или рассылок — передача данных идёт прямо сейчас. После 01.07.2025 это риск штрафа 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП. Аудит выявит все незакрытые передачи и поможет оформить документы до проверки РКН.

Заказать аудит 152-ФЗ

Частые вопросы

1. Освобождены ли СМИ от уведомления РКН об обработке ПДн?

Нет. Исключение для СМИ в ч. 2 ст. 22 ФЗ-152 не предусмотрено. Редакция или блогер со статусом СМИ обязаны подать уведомление о намерении обрабатывать ПДн по общему правилу — до начала обработки через pd.rkn.gov.ru. Исключение из ч. 2 ст. 22 применяется лишь в случаях, когда данные обрабатываются без средств автоматизации исключительно в рамках трудовых отношений с сотрудниками, либо речь идёт о членах общественного объединения. Коммерческая обработка данных аудитории под это исключение не подпадает.

2. Нужно ли согласие на публикацию имени победителя конкурса в блоге?

Да. Распространение ПДн — в том числе публикация имени и фотографии — по ст. 10.1 ФЗ-152 допустимо только при наличии отдельного согласия субъекта именно на распространение. Это согласие не заменяется общим согласием на обработку ПДн. Его следует собирать при регистрации участника конкурса — отдельным пунктом с явным указанием, что имя и фото будут опубликованы.

3. Что делать блогеру, если он уже использует зарубежный сервис рассылок?

Прежде всего — оценить, входит ли страна размещения серверов сервиса в перечень РКН стран с адекватной защитой ПДн. Если нет — направить уведомление о трансграничной передаче по ст. 12 ФЗ-152. Параллельно следует заключить договор-поручение с сервисом по п. 3 ст. 6 ФЗ-152, описывающий перечень допустимых действий с данными. Если сервис не принимает такой договор — рассмотреть переход на российский аналог для соблюдения локализации по ч. 5 ст. 18 ФЗ-152.

4. Может ли блогер-физлицо получить уголовную ответственность за утечку данных подписчиков?

Да, если выполняется состав ст. 272.1 УК РФ, введённой ФЗ-421 от 30.11.2024 (действует с 11.12.2024). Статья устанавливает ответственность за незаконное использование, передачу, сбор или хранение компьютерной информации, содержащей ПДн. Часть 5 — тяжкие последствия — предусматривает лишение свободы до 10 лет. Для блогера-физлица, допустившего утечку базы подписчиков с последующим ущербом, уголовное преследование теоретически возможно — в зависимости от умысла, масштаба и наступивших последствий.

5. Нужно ли блогеру назначать ответственного за обработку ПДн?

Ст. 22.1 ФЗ-152 обязывает назначить ответственного за организацию обработки ПДн только оператора — юридическое лицо. Для ИП и самозанятых эта обязанность формально применяется иначе: ответственным фактически является сам предприниматель. Однако если у блогера есть команда с доступом к базам данных — целесообразно закрепить ответственность внутренним приказом и ознакомить сотрудников с требованиями обращения с ПДн (ч. 3 ст. 18.1 ФЗ-152).

Итог

Блогер с формой подписки, CRM-системой или подключёнными зарубежными сервисами аналитики — это оператор ПДн с полным набором обязанностей по ФЗ-152: уведомление РКН, политика конфиденциальности, надлежащие согласия, договоры-поручения с обработчиками, соблюдение локализации. Изменения 2025 года — ФЗ-156 о раздельных согласиях с 01.09.2025 и ужесточение локализации с 01.07.2025 — повысили требования к документации и создали новые основания для протоколов.

DATUM сопровождает медиапроекты, инфобизнес и блогеров в статусе ИП по вопросам соответствия ФЗ-152: аудит обработки ПДн, подготовка комплекта документов, оценка трансграничных передач и представление интересов при проверках РКН.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка всей цепочки обработки ПДн по 38 пунктам с приоритизированным планом устранения нарушений
  • Комплект ОРД под ключ — политика конфиденциальности, согласия, договоры-поручения, приказы и журналы для оператора
  • DPO-аутсорсинг — функция ответственного за обработку ПДн на абонентском обслуживании по ст. 22.1 ФЗ-152

Смотрите также

Есть вопрос по 152-ФЗ для клиента-блогера или медиапроекта?

Практика «Ветров и партнёры» по защите персональных данных — с 2014 года. Оценим риски, составим план устранения нарушений и подготовим комплект документов. Telegram, email, телефоны Новосибирска и Москвы.

Оценить риски по 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, политики конфиденциальности для медиапроектов и мобильных приложений.

12 января 2029 года