DATUM по операторам связи
Операторы связи обрабатывают данные абонентов по нескольким правовым основаниям одновременно: договор, исполнение требований 126-ФЗ «О связи», СОРМ (оперативно-розыскная деятельность), «закон Яровой». Каждое основание порождает отдельный массив ПДн с разными сроками хранения, разным режимом доступа и разными требованиями к документации. В этой статье разобраны ключевые точки риска и практические решения для юриста, сопровождающего оператора связи по 152-ФЗ.
Какие данные абонентов попадают под 152-ФЗ и чем они отличаются от «иных» данных о связи?
Данные о связи делятся на две категории с принципиально разным правовым режимом. Первая — персональные данные абонента как субъекта: ФИО, паспортные данные, адрес, телефон, email, история платежей. Они обрабатываются по правилам ФЗ-152 и требуют согласия или иного законного основания по ст. 6. Вторая — технические данные о факте и содержании соединений: CDR-записи, IP-адреса в составе сессий, геолокация по базовым станциям, SMS-трафик. Здесь режим двойной: ФЗ-152 применяется постольку, поскольку эти данные идентифицируют физическое лицо, но параллельно действует тайна связи по ст. 63 126-ФЗ.
Геолокационные данные — особый случай. Позиционирование по базовым станциям само по себе является ПДн, поскольку позволяет идентифицировать конкретного абонента в конкретном месте и времени. Для коммерческого использования геолокации (таргетинг, аналитика маршрутов) требуется отдельное согласие субъекта. При агрегировании и обезличивании по методам Приказа РКН с 01.09.2025 — режим 152-ФЗ снимается, но методы обезличивания должны соответствовать утверждённым РКН.
IP-адрес в судебной практике и позиции РКН признаётся персональными данными при возможности идентификации абонента через базу оператора. Это означает, что передача IP-адресов третьим лицам без согласия — нарушение ст. 6 ФЗ-152. Передача правоохранительным органам — отдельное законное основание по п. 2 ч. 1 ст. 6 (исполнение обязанности, возложенной законом).
Нужна оценка комплаенса оператора связи по 152-ФЗ?
Если вы юрист оператора и проверяете, правильно ли квалифицированы правовые основания обработки ПДн абонентов — риск в том, что ошибочная квалификация превращает законную обработку в нарушение ст. 6 ФЗ-152. С 30.05.2025 штраф по ч. 1 ст. 13.11 КоАП — 150 000 – 300 000 ₽ за каждый факт незаконной обработки. При масштабе телекома это ведёт к десяткам протоколов одновременно. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Как оператору связи передавать данные абонентов ФСБ, МВД и другим силовым структурам?
Передача данных абонентов по запросу правоохранительных органов — одна из наиболее чувствительных точек. Здесь пересекаются три режима: ФЗ-152, 126-ФЗ и ФЗ-144 «Об оперативно-розыскной деятельности». Правило следующее: для исполнения судебного решения или требования органа, уполномоченного на ОРД, согласие абонента не требуется — это законное основание по п. 3 ч. 2 ст. 6 ФЗ-152. Уведомлять абонента о факте передачи также не требуется.
Однако у оператора остаются обязанности по документированию. Каждый случай передачи данных должен фиксироваться во внутреннем журнале: дата запроса, наименование органа, реквизиты решения/запроса, перечень переданных данных. Это необходимо по двум причинам: первая — для демонстрации РКН при проверке, что передача была правомерной; вторая — для защиты в случае претензий со стороны абонента.
СОРМ (система оперативно-розыскных мероприятий) требует технической интеграции оборудования ФСБ в инфраструктуру оператора. С точки зрения 152-ФЗ это означает, что часть обработки ПДн абонентов фактически происходит вне контроля оператора. Документально это оформляется как исполнение требований нормативных актов — оператор не несёт ответственности за обработку, которую ведёт ФСБ через СОРМ, но несёт ответственность за обеспечение технической возможности такой обработки.
«Закон Яровой» (ФЗ-374 от 06.07.2016) добавил обязанность хранить метаданные о соединениях в течение трёх лет, а содержание переговоров — до шести месяцев. Эти данные в части идентификации абонентов подпадают под 152-ФЗ, что порождает требование к уровню защищённости хранилища по ПП РФ №1119.
Что входит в ОРД оператора связи и какие документы проверяет РКН?
Инспектор РКН при плановой проверке оператора связи запрашивает стандартный пакет ОРД по ст. 18.1 ФЗ-152 плюс отраслевую специфику. Стандартный пакет включает: политику обработки ПДн, приказ о назначении ответственного по ст. 22.1, согласия абонентов на обработку ПДн в коммерческих целях, журнал учёта обращений субъектов, уведомление в реестре операторов ПДн pd.rkn.gov.ru. Отраслевая специфика добавляет: регламент взаимодействия с правоохранительными органами, журнал передачи данных по запросам ОРД, документацию по СОРМ, политику работы с геолокационными данными.
Что подготовить к проверке РКН оператору связи
- Выписка из реестра операторов ПДн (pd.rkn.gov.ru) с актуальными сведениями об обрабатываемых категориях данных и целях обработки
- Политика обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте оператора в открытом доступе
- Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с описанием функций
- Отдельные согласия абонентов на коммерческую обработку ПДн (геолокация, профилирование, передача партнёрам) — отдельный документ по ФЗ-156 с 01.09.2025
- Журнал передачи ПДн третьим лицам (партнёры, рекламные сети, правоохранительные органы) с реквизитами основания каждой передачи
Типичный разрыв, который выявляет РКН у операторов связи: уведомление в реестре устарело. Компания расширила перечень обрабатываемых данных (добавила геолокацию, голосовую аналитику, биометрию для идентификации), но не обновила уведомление. По ч. 10 ст. 13.11 КоАП (в ред. с 30.05.2025) — штраф 100 000 – 300 000 ₽. При обнаружении в ходе проверки — плюс протокол по существу за каждое нарушение.
Если вы юрист и реестр оператора не обновлялся больше года — у вас есть нарушение ч. 10 ст. 13.11 КоАП. Собрать актуальный пакет ОРД и подать уточнённое уведомление в РКН.
Собрать ОРД под ключКакие смежные отрасли используют инфраструктуру операторов и как это влияет на 152-ФЗ?
Операторы связи — не единственные, кто работает с похожими массивами ПДн. Разберём смежные случаи, которые часто пересекаются с телекомом по инфраструктуре или по правовым вопросам.
Геолокация и каршеринг. Каршеринговые сервисы собирают геолокацию водителя непрерывно во время аренды. С точки зрения 152-ФЗ это обработка ПДн на основании договора (ст. 6 п. 5) — без отдельного согласия, если геолокация необходима для исполнения договора. Однако передача геолокации третьим лицам (страховщикам, партнёрам) требует отдельного согласия. После аренды хранение треков — только на срок, необходимый для разрешения споров, затем уничтожение по ст. 21 ФЗ-152.
ТСЖ, УК и ГИС ЖКХ. Управляющие компании и ТСЖ обрабатывают ПДн собственников (ФИО, лицевой счёт, данные о потреблении, задолженности). Обработка — на основании договора управления и требований 185-ФЗ «О ГИС ЖКХ». Передача данных в ГИС ЖКХ — исполнение закона. Вопрос «Кто оператор — ТСЖ или УК?» решается однозначно: тот, кто фактически обрабатывает данные и принимает решения о целях и способах обработки. Если ТСЖ нанимает УК как подрядчика — ТСЖ оператор, УК — лицо, осуществляющее обработку по поручению (ст. 6 п. 3 ФЗ-152). Поручение оформляется письменным договором.
СМИ и публичные данные. Редакции обрабатывают ПДн в профессиональной деятельности журналиста. Ст. 6 ФЗ-152 содержит исключение для СМИ — обработка в журналистских целях без согласия субъекта допустима при наличии публичного интереса. Однако уведомление РКН СМИ обязаны подавать так же, как все операторы — исключение из ст. 22 ФЗ-152 для СМИ не предусмотрено. Исключение есть в ч. 2 ст. 22 — для ПДн, полученных в связи с заключением договора с субъектом, — но это другое.
Госсектор и ФОИВ. Федеральные органы исполнительной власти — операторы ПДн с дополнительными требованиями: обязательное обезличивание в аналитических целях по ст. 13.1 ФЗ-152 (в ред. ФЗ-233 от 08.08.2024), передача обезличенных данных в НСУД. Для госсектора ч. 7 ст. 13.11 КоАП (нарушение требований к обезличиванию) применяется специально к операторам-госорганам.
Как применяется практика по операторам связи в 2025–2026 годах?
Кейс 1. Региональный оператор фиксированной связи (Сибирский ФО, лето 2025) прошёл плановую проверку РКН. Инспектор выявил три нарушения: уведомление в реестре не обновлялось три года (добавились новые цели обработки), политика конфиденциальности на сайте отсутствовала в открытом доступе, согласия абонентов на передачу ПДн партнёрам были включены в текст договора об оказании услуг. Назначены протоколы по ч. 1 ст. 13.11, ч. 3 ст. 13.11 и ч. 2 ст. 13.11 КоАП (в ред. с 30.05.2025). Совокупный размер штрафов — в диапазоне сотен тысяч рублей. Юрист компании обжаловал протокол по ч. 2 (нарушение требований к согласию), указав на наличие письменного договора как альтернативного правового основания — протокол по ч. 2 прекращён, остальные два вступили в силу.
Кейс 2. По данным, верифицированным в реестре практики DATUM: IT-компания — провайдер SaaS-инфраструктуры для телекомов (Центральный ФО, осень 2025) оказывала услуги хранения CDR-записей для нескольких операторов. РКН при проверке одного из операторов установил, что договор поручения обработки с провайдером не содержал обязательных условий по ч. 3 ст. 6 ФЗ-152: не был прописан перечень действий, цели обработки и обязанность соблюдать конфиденциальность. Оператор получил протокол по ч. 1 ст. 13.11. Провайдер — по ст. 13.11 как лицо, осуществляющее обработку ПДн без надлежащего поручения. Для юриста: договор с подрядчиком-обработчиком — не рамочное соглашение, а документ с конкретным перечнем действий и ПДн.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка по 38 пунктам с отчётом о нарушениях и приоритизированным планом
- Комплект ОРД под ключ — 38-документный пакет с учётом отраслевой специфики оператора связи
- DPO-аутсорсинг — абонентское сопровождение ответственного за обработку ПДн по ст. 22.1
Частые вопросы
1. Кто оператор по 152-ФЗ — ТСЖ или управляющая компания?
Оператором признаётся то лицо, которое фактически определяет цели и способы обработки персональных данных. Если ТСЖ заключает договор с УК на управление домом и передаёт ей данные жильцов для начисления платежей — ТСЖ остаётся оператором, УК становится лицом, осуществляющим обработку по поручению (ст. 6 ч. 3 ФЗ-152). Поручение оформляется письменным договором с обязательным перечнем действий, целей и требованием о конфиденциальности. Если УК самостоятельно заключает договоры с жильцами — она сама оператор в этой части.
2. Освобождены ли СМИ от уведомления Роскомнадзора?
Нет. Исключения из обязанности уведомить РКН о намерении обрабатывать ПДн перечислены в ч. 2 ст. 22 ФЗ-152 — редакции СМИ в этот перечень не включены. Исключение для журналистской деятельности касается только оснований обработки (ст. 6 ФЗ-152 допускает обработку без согласия субъекта в журналистских целях), но не освобождает от регистрационных обязанностей. СМИ обязано подать уведомление через pd.rkn.gov.ru до начала обработки ПДн — иначе штраф по ч. 10 ст. 13.11 КоАП (100 000 – 300 000 ₽ для юрлица).
3. Как оператору связи легально передавать данные абонентов ФСБ и МВД?
Передача на основании судебного решения или мотивированного запроса органа, уполномоченного на ОРД, — законное основание по ч. 2 ст. 6 ФЗ-152, согласие абонента не требуется. Оператор обязан документировать каждую передачу: дата, орган, реквизиты запроса или решения, перечень переданных данных. Уведомлять абонента о факте передачи нельзя — это нарушает требования ФЗ-144 об ОРД. Отказать в передаче при наличии законного запроса нельзя — это нарушение ст. 64 126-ФЗ.
4. Какие данные собирает каршеринг и нужно ли согласие?
Каршеринг собирает: ФИО, паспортные данные, водительское удостоверение, геолокацию во время аренды, данные о поездках (маршрут, время, скорость), платёжные данные. Обработка для исполнения договора аренды — законное основание по п. 5 ч. 1 ст. 6 ФЗ-152, согласие не требуется. Для передачи геолокации третьим лицам (партнёры, страховщики, рекламные сети), а также для хранения истории поездок после срока исковой давности по договору — требуется отдельное согласие субъекта. С 01.09.2025 согласие на обработку, не необходимую для исполнения договора, оформляется отдельным документом (ФЗ-156).
5. Что хранить о собственниках в ТСЖ и сколько времени?
ТСЖ обрабатывает: ФИО собственника, паспортные данные, данные о праве собственности, лицевой счёт, данные о потреблении ресурсов, сведения о задолженности. Хранение — на срок действия договора управления плюс срок исковой давности по обязательствам (по общему правилу три года по ст. 196 ГК РФ). После достижения цели обработки — уничтожение или обезличивание по ст. 21 ФЗ-152. Хранить «на всякий случай» без конкретной цели запрещает принцип ст. 5 ФЗ-152 (не дольше необходимого). Данные в ГИС ЖКХ — отдельный срок по требованиям 185-ФЗ.
Итог
Операторы связи работают в условиях тройного регулирования: 152-ФЗ, 126-ФЗ и специальные требования к СОРМ и хранению трафика. Ошибка в квалификации правового основания обработки или устаревшее уведомление в реестре РКН — системные нарушения, которые при плановой проверке дают несколько протоколов одновременно. Смежные отрасли (каршеринг, ТСЖ, СМИ, госсектор) сталкиваются с теми же вопросами о разграничении оператора и обработчика, основаниях передачи данных и сроках хранения.
Практика DATUM по 152-ФЗ охватывает операторов связи, телекоммуникационных провайдеров и смежные отрасли — аудит, ОРД, сопровождение проверок РКН и защита от штрафов по ст. 13.11 КоАП в редакции с 30.05.2025.
19 февраля 2030 года