Перейти к содержанию
аналитика 14 января 2030 года По состоянию на 14 января 2030 года

Бюджетники и 152-ФЗ

Бюджетные организации — операторы персональных данных в полном объёме требований 152-ФЗ, без каких-либо отраслевых изъятий по ответственности.
Проверки Роскомнадзора в госсекторе фиксируют одни и те же нарушения: отсутствие уведомления в реестре операторов, устаревшие политики, несогласованные формы согласий. Штраф по ч. 2 ст. 13.11 КоАП за обработку без надлежащего согласия — 300 000–700 000 ₽ для юридического лица.
Если вы юрист бюджетной организации и готовитесь к проверке РКН — дочитайте до матрицы сценариев: там разобраны три типичных ситуации с конкретными нормами и стратегией защиты.

Бюджетники и 152-ФЗ — тема, которую в госсекторе принято откладывать. Формально организация работает «по регламентам», фактически согласия работников вшиты в трудовой договор, политика конфиденциальности не обновлялась с 2018 года, уведомление в реестре РКН охватывает половину реальных систем. С 30.05.2025 действует обновлённая ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо прежних семи. Для юриста, сопровождающего госструктуру или муниципальное учреждение, это означает новый уровень рисков.

Какие особенности обработки ПДн отличают бюджетный сектор от коммерческого?

Бюджетная организация одновременно выступает работодателем, оказывает публичные услуги и исполняет государственные функции. Это порождает несколько параллельных оснований обработки по ст. 6 ФЗ-152: согласие субъекта, исполнение трудового договора, исполнение обязанности, возложенной нормативным актом. Проблема в том, что на практике основания смешиваются: данные пациентов или учащихся обрабатываются со ссылкой на согласие, хотя есть прямая нормативная обязанность — и наоборот.

В госсекторе действует повышенная концентрация специальных категорий ПДн по ст. 10 ФЗ-152. Медицинские организации работают с данными о состоянии здоровья, учреждения социальной защиты — с данными об инвалидности и семейном положении, правоохранительные органы — со сведениями о судимости. Обработка спецкатегорий по общему правилу требует явного согласия или специального законодательного основания.

«Ст. 10 ФЗ-152 — специальные категории ПДн (здоровье, судимость, религиозные убеждения и др.) допускаются к обработке только в случаях, прямо предусмотренных ч. 2 той же статьи. Нарушение — основание для квалификации по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица в редакции с 30.05.2025).»

Дополнительная специфика — межведомственный обмен. Бюджетные организации передают данные в ЕГИСЗ, ГИС ЖКХ, СМЭВ, федеральные реестры. Каждая такая передача требует самостоятельного правового основания. Отсутствие соглашения об информационном взаимодействии или ссылка на устаревший регламент — типовое нарушение, которое фиксируют инспекторы РКН.

Отдельная группа субъектов — ТСЖ и управляющие компании в сфере ЖКХ. Они обрабатывают ПДн собственников помещений при работе с ГИС ЖКХ, выставлении счетов, ведении реестра. Вопрос о том, кто в данном случае является оператором — ТСЖ или УК, — напрямую влияет на объём обязательств и распределение ответственности.

Кто является оператором ПДн в типичных структурах госсектора?

Школа, поликлиника, МФЦ, ТСЖ, орган местного самоуправления — каждый из них самостоятельный оператор ПДн в понимании ст. 3 ФЗ-152, если определяет цели и способы обработки. Вышестоящий орган власти не принимает на себя ответственность автоматически. Это означает, что каждое юридическое лицо обязано самостоятельно уведомить РКН по ст. 22 ФЗ-152 и вести собственный пакет организационно-распорядительной документации.

Для ТСЖ и управляющих компаний судебная и административная практика склоняется к следующему: если организация фактически определяет, какие данные собирать и как их использовать при управлении домом, она является оператором. УК, действующая по договору с ТСЖ на обработку данных собственников, выступает лицом, осуществляющим обработку по поручению оператора в соответствии с п. 3 ст. 6 ФЗ-152. Поручение должно быть оформлено договором с обязательными условиями, предусмотренными законом.

«Ст. 6 ч. 3 ФЗ-152 — обработка ПДн по поручению оператора допускается при условии заключения договора (в том числе государственного или муниципального контракта), в котором определены перечень действий, цели, обязанность соблюдать конфиденциальность и требования к защите.»

СМИ, зарегистрированные как юридические лица, также являются операторами ПДн в части данных сотрудников, подписчиков, авторов. Освобождения от требований 152-ФЗ для редакций нет. Исключение, предусмотренное п. 11 ч. 1 ст. 6 ФЗ-152, касается журналистской деятельности как основания обработки — но не снимает обязанностей по организационным мерам, политике и уведомлению РКН.

Нужна оценка документации бюджетной организации перед проверкой РКН?

Юрист бюджетного учреждения, как правило, обнаруживает нарушения уже в ходе проверки — а не до неё. Аудит соответствия 152-ФЗ позволяет выявить разрывы в правовых основаниях, неактуальные согласия и пробелы в ОРД до того, как инспектор РКН составит протокол. У вас есть время подготовиться, пока проверки нет.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие нарушения 152-ФЗ наиболее часто выявляют у бюджетников при проверках?

По данным РКН за 2024–2025 годы, проверки в госсекторе стабильно фиксируют несколько типовых нарушений. Первое — отсутствие или несоответствие уведомления в реестре операторов: организация обрабатывает данные в десяти информационных системах, а в уведомлении указаны три. Штраф по ч. 10 ст. 13.11 КоАП — 100 000–300 000 ₽.

Второе — политика обработки ПДн либо отсутствует на сайте, либо не содержит обязательных разделов, предусмотренных ч. 2 ст. 18.1 ФЗ-152: перечень обрабатываемых категорий, цели, правовые основания, сроки хранения, порядок реализации прав субъектов. Штраф по ч. 3 ст. 13.11 КоАП — 30 000–60 000 ₽. Сумма небольшая, но предписание об устранении сопровождает каждое такое нарушение.

Третье — согласия работников. До 01.09.2025 согласия вшивались в трудовой договор или дополнительное соглашение. После вступления в силу ФЗ-156 от 24.06.2025 согласие на обработку ПДн должно быть отдельным документом, не объединённым с договором, политикой или офертой. Для бюджетных организаций это означает необходимость переработки форм при найме новых сотрудников.

Четвёртое — отсутствие оформленного поручения на обработку при привлечении подрядчиков: IT-компании на аутсорсинге, провайдеры облачных сервисов, медицинские информационные системы. Согласно устойчивой позиции судов, оператор несёт ответственность за действия подрядчика, если поручение не оформлено надлежащим образом.

Что проверить юристу бюджетной организации

  • Актуальность уведомления в реестре операторов РКН: все ИС, все категории ПДн, реальные цели и основания
  • Наличие политики обработки ПДн на официальном сайте с разделами по ч. 2 ст. 18.1 ФЗ-152
  • Форматы согласий работников: с 01.09.2025 — отдельный документ по требованиям ФЗ-156
  • Договоры с IT-подрядчиками и провайдерами ИС: наличие условий поручения по п. 3 ст. 6 ФЗ-152
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152

Отраслевые особенности: ТСЖ, СМИ, операторы связи, транспорт

Операторы связи работают с персональными данными абонентов на основании Федерального закона «О связи» и ФЗ-152 одновременно. Данные о соединениях, трафике, геолокации абонента составляют отдельную чувствительную категорию. Передача сведений об абонентах в ФСБ и МВД осуществляется в рамках СОРМ — специального правового режима, регулируемого отраслевым законодательством. Это не отменяет требования 152-ФЗ в части хранения, уничтожения и защиты данных.

Транспортные компании, включая каршеринг и городской общественный транспорт, обрабатывают данные пассажиров: ФИО, паспортные данные, банковские реквизиты, геолокация, маршруты. Для каршеринга это дополнительно — данные водительского удостоверения, фото лица при верификации, история поездок. Геолокация в режиме реального времени — отдельный вопрос: она квалифицируется как персональные данные, если позволяет идентифицировать конкретного человека.

СМИ и редакции при работе с источниками, читателями, подписчиками обязаны соблюдать требования 152-ФЗ в части хранения контактных данных, согласий на рассылку, передачи данных третьим лицам — рекламным сетям, аналитическим сервисам. Исключение для журналистской деятельности в ст. 6 ФЗ-152 не распространяется на коммерческую обработку данных аудитории.

Если вы юрист организации, работающей с несколькими ИС и подрядчиками, — проверьте, все ли системы отражены в уведомлении РКН. Неполное уведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Срок на исправление после предписания — короткий.

Собрать ОРД под ключ

Три типовых сценария для юриста бюджетной организации

Сценарий 1. Проверка РКН без предварительного уведомления организации. Ситуация: плановая проверка по утверждённому РКН плану или внеплановая по жалобе субъекта. Организация не обновляла уведомление три года, политика на сайте — шаблонная, согласия работников вшиты в трудовой договор. Доказательства нарушений формируются инспектором непосредственно в ходе проверки. Вероятный исход: протоколы по ч. 3 (политика) и ч. 10 (уведомление) ст. 13.11 КоАП, предписание об устранении. Стратегия: до составления акта предоставить доказательства частичного соответствия, после — оспаривать объём нарушений, применять ст. 4.1.1 КоАП о замене штрафа предупреждением при первичности и отсутствии вреда (для учреждений, подходящих под критерии).

Сценарий 2. Утечка данных через подрядчика (ИТ-компания, провайдер МИС). Ситуация: медицинская организация передала доступ к МИС внешнему разработчику без оформленного поручения. Произошла утечка данных пациентов — спецкатегория по ст. 10 ФЗ-152. Доказательства: отсутствие договора поручения, журналы доступа у подрядчика. Вероятный исход: квалификация по ч. 12–14 ст. 13.11 КоАП (3–15 млн ₽ в зависимости от числа затронутых субъектов), дополнительно — по ч. 11 за неуведомление об утечке в 24 часа (1–3 млн ₽). Стратегия: немедленное уведомление РКН, фиксация факта поручения на устранение, привлечение подрядчика к ответственности в регрессном порядке.

Сценарий 3. Жалоба субъекта на отказ в предоставлении сведений. Ситуация: гражданин направил запрос в учреждение о составе обрабатываемых о нём данных. Ответ не был направлен в течение 10 рабочих дней, предусмотренных ст. 20 ФЗ-152. Субъект обратился в РКН с жалобой. Вероятный исход: протокол по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽), предписание. Стратегия: внедрение внутреннего журнала учёта обращений субъектов с контролем сроков; при уже состоявшейся жалобе — продемонстрировать РКН системный характер устранения нарушения.

Частые вопросы

1. Кто является оператором ПДн — ТСЖ или управляющая компания?

Оператором является тот, кто фактически определяет цели и способы обработки данных собственников. Если ТСЖ самостоятельно ведёт реестр и взаимодействует с ГИС ЖКХ — оператором является ТСЖ. УК, действующая по договору, выступает обработчиком по поручению. Поручение должно быть оформлено письменным договором с условиями, предусмотренными п. 3 ст. 6 ФЗ-152: перечень действий, цели, обязанность конфиденциальности.

2. Освобождены ли СМИ от уведомления РКН об обработке ПДн?

Нет. Исключение в ст. 6 ФЗ-152 для журналистской деятельности касается правового основания обработки данных источников и героев публикаций — но не снимает с редакции как юридического лица обязанности уведомить РКН по ст. 22 ФЗ-152 о намерении обрабатывать ПДн сотрудников, читателей, подписчиков. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

3. Как оператору связи передавать данные абонентов в ФСБ и МВД?

Передача осуществляется в рамках СОРМ — режима, установленного ФЗ «О связи» и подзаконными актами. Это самостоятельное законодательное основание, не требующее согласия абонента. Вместе с тем оператор связи как оператор ПДн обязан соблюдать требования 152-ФЗ в части защиты данных при хранении, уничтожения по истечении срока и реагирования на утечки: уведомить РКН в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152, направить отчёт через 72 часа по Приказу РКН №187.

4. Какие данные собирает каршеринг и как их защищать?

Каршеринг обрабатывает: паспортные данные, данные водительского удостоверения, фото лица (биометрия по ст. 11 ФЗ-152, если используется для идентификации), геолокацию в режиме реального времени, историю поездок, платёжные реквизиты. Биометрия требует письменного согласия. Геолокация — согласия на обработку. Передача данных третьим лицам (страховщики, партнёры) требует отдельного правового основания или согласия субъекта.

5. Что хранить о собственниках помещений в ТСЖ и как долго?

ТСЖ вправе хранить данные, необходимые для исполнения обязанностей управляющей организации: ФИО, контактные данные, сведения о собственности. Срок хранения определяется целью: пока длится правоотношение и установленный нормативным актом период после его прекращения. Хранение сверх срока без уничтожения или обезличивания нарушает принцип ст. 5 ФЗ-152 о минимизации. Данные бывших собственников подлежат уничтожению или обезличиванию после истечения установленного срока.

Итог

Бюджетные организации — операторы ПДн с полным объёмом обязательств по 152-ФЗ. Специфика сектора: множественность оснований обработки, высокая доля спецкатегорий, межведомственный обмен и зависимость от IT-подрядчиков. С 30.05.2025 действует обновлённая ст. 13.11 КоАП с санкциями до 15 млн ₽ за крупные утечки и оборотным штрафом при повторности.

Практика DATUM включает сопровождение бюджетных организаций при проверках РКН, разработку пакетов ОРД под отраслевую специфику госсектора и защиту в административных делах по ст. 13.11 КоАП.

Услуги DATUM по теме

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.

14 января 2030 года