аналитика 14 апреля 2028 По состоянию на 14 апреля 2028

DATUM по СМИ и блогерам

СМИ и блогеры — операторы персональных данных с полным объёмом обязанностей по ФЗ-152, включая уведомление РКН, ведение ОРД и ответственность за утечки до 15 млн ₽ за один инцидент.

С 30.05.2025 ст. 13.11 КоАП расширена до 18 частей. Редакции, новостные агрегаторы, подкасты и Telegram-каналы с коммерческой деятельностью собирают комментарии, email-адреса, геолокацию и поведенческие данные аудитории — каждое из этих действий требует правового основания.

Если вы юрист медиакомпании или блогерского агентства — ниже разбор отраслевых рисков, пробелов в ОРД и типовых претензий РКН к этому сектору. → Переходите к разделу о матрице сценариев.

Медиаотрасль занимает особое положение в системе регулирования персональных данных: с одной стороны, Закон о СМИ и журналистская деятельность создают специальные основания для сбора информации, с другой — ФЗ-152 не содержит генерального изъятия для редакций. После вступления в силу ФЗ-420 от 30.11.2024 (с 30.05.2025) и введения уголовной ответственности по ст. 272.1 УК (с 11.12.2024) ставки возросли. Юристу медиакомпании или блогерского агентства важно понимать: где возникает статус оператора, какие основания обработки применимы, как устроен надзорный режим РКН именно для этого сектора.

Когда СМИ и блогер становятся операторами персональных данных по ФЗ-152?

Оператор персональных данных — любое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки ПДн (ст. 3 ФЗ-152). Для медиаотрасли этот статус возникает в нескольких типичных ситуациях.

Первая — форма регистрации и личный кабинет читателя. Сбор имени, email, номера телефона при подписке на рассылку или оформлении платного доступа прямо подпадает под ст. 6 ФЗ-152: обработка возможна либо на основании договора (п. 5 ч. 1), либо при наличии отдельного согласия (п. 1 ч. 1). С 01.09.2025 согласие оформляется отдельным документом по требованиям ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — оно не может быть встроено в пользовательское соглашение или оферту.

Вторая — комментарии и UGC. Публикация пользовательских материалов с именем, аватаром, IP-адресом означает хранение и отображение ПДн. Если редакция использует систему модерации, она также обрабатывает данные авторов комментариев.

Третья — работа с аналитическими сервисами. Передача данных в GA4, счётчики статистики, пиксели Meta означает трансграничную передачу по ст. 12 ФЗ-152. Cookies, позволяющие идентифицировать пользователя, признаются ПДн согласно позиции РКН.

«Ст. 6 ФЗ-152 — обработка ПДн допустима при наличии одного из 11 правовых оснований: согласие субъекта, исполнение договора, исполнение обязательных требований закона и ряд других. Отсутствие основания влечёт ответственность по ч. 1 ст. 13.11 КоАП — штраф для юрлица 150 000 — 300 000 ₽.»

Четвёртая ситуация специфична для блогеров с коммерческой деятельностью. Индивидуальный предприниматель, ведущий канал и собирающий данные рекламодателей или подписчиков платного контента, несёт те же обязанности оператора, что и юридическое лицо. Физическое лицо, не осуществляющее предпринимательскую деятельность и ведущее канал исключительно для личных нужд, под действие ФЗ-152 не подпадает (ч. 2 ст. 1 ФЗ-152). Однако граница между личным и коммерческим каналом размывается уже при наличии монетизации.

Какие специальные основания обработки данных предусмотрены для редакций и журналистов?

Закон о СМИ и ФЗ-152 существуют в одном правовом поле, но разграничение их сфер применения остаётся предметом споров. Редакция вправе обрабатывать ПДн при осуществлении профессиональной деятельности журналиста без согласия субъекта — при условии, что это не нарушает права и законные интересы субъекта (пп. 8 ч. 1 ст. 6 ФЗ-152). На практике это основание применяется узко: оно не позволяет создавать коммерческие базы читателей под видом редакционной деятельности.

Публикация материалов о публичных персонах — отдельный случай. Информация о профессиональной деятельности государственных служащих, публичных политиков, должностных лиц организаций может обрабатываться без согласия, поскольку субъект сам сделал эти данные общедоступными или они связаны с его публичными функциями. Однако данные о частной жизни публичной персоны, не связанные с её публичными функциями, требуют согласия или иного основания.

«Ст. 10.1 ФЗ-152 — распространение ПДн (публикация в материале с именем, фотографией, контактами конкретного лица) допустимо только при наличии отдельного согласия на распространение. Молчание субъекта означает запрет распространения.»

Для блогеров отдельного основания в законе нет. Если блогер публикует чужие персональные данные (телефоны, адреса, документы) без согласия — это нарушение ст. 10.1 ФЗ-152, а при наличии умысла и причинения вреда — возможный состав ст. 137 УК РФ (неприкосновенность частной жизни) или ст. 272.1 УК РФ (незаконное использование компьютерной информации с ПДн, действует с 11.12.2024).

Ваша редакция собирает данные читателей, но ОРД не приведён в порядок?

Типовая ситуация для медиакомпаний: подписная база есть, согласия устарели или встроены в оферту, политика конфиденциальности не обновлялась после ФЗ-156 от 01.09.2025. Каждый из этих пунктов — самостоятельный состав по ст. 13.11 КоАП. С 30.05.2025 минимальный штраф за обработку без надлежащего согласия (ч. 2) — 300 000 ₽ для юрлица. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как работает надзор РКН в отношении СМИ: чем отличается от стандартной проверки?

РКН контролирует соблюдение ФЗ-152 в отношении всех операторов, в том числе редакций и медиаплатформ. При этом у регулятора есть отдельные полномочия в отношении СМИ — ограничение доступа к ресурсу, внесение в реестр нарушителей, блокировка. Эти инструменты применяются параллельно и независимо от административного производства по ст. 13.11 КоАП.

Плановые проверки по ФЗ-152 проводятся раз в три года. Внеплановые — при поступлении жалобы субъекта, обнаружении признаков нарушения в ходе мониторинга или по поручению прокуратуры. Для медиасектора особую роль играет жалоба субъекта: читатель, получивший рекламную рассылку без подписки или обнаруживший свои данные в публикации, вправе обратиться в РКН напрямую.

Проверка РКН по ФЗ-152 фиксирует несколько типовых нарушений медиакомпаний:

отсутствие уведомления о намерении обрабатывать ПДн или устаревшие сведения в реестре операторов (ст. 22 ФЗ-152) — штраф 100 000 — 300 000 ₽ по ч. 10 ст. 13.11;
отсутствие политики обработки ПДн или её несоответствие требованиям ч. 2 ст. 18.1 ФЗ-152 — штраф 30 000 — 60 000 ₽ по ч. 3 ст. 13.11;
согласия, встроенные в договор или оферту после 01.09.2025, — нарушение ст. 9 ФЗ-152 в редакции ФЗ-156, штраф 300 000 — 700 000 ₽ по ч. 2 ст. 13.11;
отсутствие процедуры уведомления РКН об инцидентах — при утечке штраф 1 000 000 — 3 000 000 ₽ по ч. 11 ст. 13.11.

Медиаплатформа, не являющаяся зарегистрированным СМИ, но собирающая данные российских пользователей, обязана обеспечить локализацию: хранение и первичная обработка ПДн граждан РФ — только на серверах в России (ч. 5 ст. 18 ФЗ-152). Нарушение локализации квалифицируется по ч. 8 ст. 13.11 КоАП — штраф 1 000 000 — 6 000 000 ₽.

Что проверить юристу медиакомпании или блогерского агентства

Наличие и актуальность уведомления в реестре операторов РКН на pd.rkn.gov.ru — включая перечень обрабатываемых категорий ПДн и трансграничные передачи.
Форма согласия на рассылку: отдельный документ по требованиям ст. 9 ФЗ-152 в ред. ФЗ-156 от 01.09.2025, не встроена в оферту или пользовательское соглашение.
Политика конфиденциальности: опубликована, содержит обязательные разделы по ч. 2 ст. 18.1, описывает передачу данных в аналитические сервисы.
Договоры с подрядчиками (рекламные сети, аналитика, CRM): поручение обработки оформлено по п. 3 ст. 6 ФЗ-152, подрядчик обязан соблюдать конфиденциальность.
Регламент реагирования на утечку: первичное уведомление РКН — в течение 24 часов, отчёт — в течение 72 часов (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187).

Пдн в сми и у блогеров: типовые сценарии претензий и стратегии защиты

Ниже — три ситуации, которые встречаются в практике сопровождения медиакомпаний и блогерских агентств.

Сценарий 1. Подписная база без актуальных согласий. Онлайн-издание собирало email-адреса читателей через форму регистрации, где согласие на рассылку было частью пользовательского соглашения. После 01.09.2025 такая конструкция нарушает ст. 9 ФЗ-152 в редакции ФЗ-156 — согласие должно быть оформлено отдельно. Доказательная база РКН: скриншоты формы, база получателей рассылки, отсутствие отдельных согласий в архиве. Вероятный исход: протокол по ч. 2 ст. 13.11 КоАП, штраф 300 000 — 700 000 ₽. Стратегия: до проверки — переоформить базу с повторным получением согласий по новой форме; при наличии протокола — заявлять о добровольном устранении нарушения и применении ст. 4.1.1 КоАП (замена на предупреждение для субъектов МСП при первичном нарушении).

Сценарий 2. Утечка персональных данных читателей через уязвимость в CMS. Региональное издание использовало устаревшую версию системы управления контентом. В результате атаки база зарегистрированных пользователей (более 10 000 записей с email и именами) оказалась в открытом доступе. Оператор уведомил РКН через 36 часов — формально в пределах 24-часового окна по ч. 3.1 ст. 21 ФЗ-152, однако первичное уведомление содержало неверный объём утечки. РКН назначил повторную проверку. Стратегия: при выявлении инцидента — фиксировать факт, объём и время обнаружения документально; в первичном уведомлении указывать предварительный диапазон субъектов с оговоркой о продолжении расследования; отчёт за 72 часа должен уточнять все параметры.

Сценарий 3. Блогерское агентство как совместный оператор. Агентство управляет каналами нескольких блогеров, собирает данные их подписчиков для таргетированной рекламы через общую CRM-систему. Вопрос: кто оператор — агентство, блогер или оба? По ст. 3 ФЗ-152, если оба определяют цели и способы обработки, оба признаются операторами. На практике РКН вправе предъявить претензии любому из них. Стратегия: разграничить роли в договоре между агентством и блогером — определить, кто подаёт уведомление в РКН, кто отвечает на запросы субъектов, как распределяется ответственность при инциденте.

Если вы юрист и сопровождаете медиакомпанию или блогерское агентство — оцените, соответствует ли ОРД требованиям ФЗ-152 после изменений 2024–2025 годов. Стоимость аудита от 100 000 ₽; штраф за одно нарушение по ч. 2 ст. 13.11 — от 300 000 ₽.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Медиаплатформа (Центральный ФО, осень 2025) получила внеплановую проверку РКН по жалобе пользователя на рекламные рассылки без подписки. Проверка выявила три нарушения: согласия встроены в оферту, политика конфиденциальности не описывает передачу данных в рекламные сети, уведомление в реестре РКН не обновлялось два года. По результатам составлены три протокола по ч. 2, ч. 3 и ч. 10 ст. 13.11 КоАП. Юристы, подключившиеся на стадии рассмотрения дел, добились рассмотрения нарушений по ч. 3 и ч. 10 как малозначительных и применения ст. 4.1.1 КоАП по ч. 2 с учётом статуса СМП и первичности нарушений. Совокупная нагрузка снижена в несколько раз относительно максимальных санкций.

Кейс 2. Блогерское агентство (Северо-Западный ФО, начало 2026) сопровождало 12 авторов с суммарной аудиторией более 2 млн подписчиков. Аудит DATUM до начала сотрудничества с агентством выявил: ни один из авторов не состоял в реестре операторов РКН, данные подписчиков хранились на зарубежном SaaS-сервисе без уведомления о трансграничной передаче, договор с агентством не содержал поручения обработки по п. 3 ст. 6 ФЗ-152. По итогам аудита DATUM подготовил уведомления для всех авторов, перевёл базы на российский сервис, оформил поручения обработки. Проверка РКН, инициированная через три месяца, нарушений не выявила.

Частые вопросы

1. Освобождены ли СМИ от уведомления РКН об обработке ПДн?

Нет. Ст. 22 ФЗ-152 содержит закрытый перечень случаев, когда уведомление не требуется: обработка без средств автоматизации, обработка ПДн, полученных в связи с заключением договора, ряд других. Редакционная деятельность в этот перечень не входит. Медиакомпания, ведущая базу зарегистрированных пользователей или подписчиков рассылки, обязана подать уведомление в РКН до начала обработки. Штраф за неуведомление — 100 000 — 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

2. Кто несёт ответственность за утечку данных читателей — редакция или CMS-провайдер?

По общему правилу ФЗ-152 ответственность несёт оператор — редакция. Если обработка поручена подрядчику (хостинг, CMS-провайдер) по договору поручения (п. 3 ст. 6, ч. 3 ст. 6 ФЗ-152), оператор всё равно отвечает перед субъектами и РКН. Претензии к подрядчику можно предъявить в рамках гражданского иска. Это означает, что договор с CMS-провайдером должен содержать обязательство обеспечить защиту ПДн и возместить убытки при инциденте по его вине.

3. Какие данные аудитории вправе собирать блогер для аналитики без отдельного согласия?

Обезличенные агрегированные данные (число просмотров, география без привязки к конкретному лицу, демографические сводки) не являются ПДн и согласия не требуют. Cookies, позволяющие идентифицировать пользователя, — это ПДн по позиции РКН, и для их обработки требуется согласие или иное основание. Геолокация конкретного пользователя — также ПДн. Если блогер использует аналитический сервис, передающий индивидуализированные данные за рубеж, это трансграничная передача, требующая уведомления РКН по ст. 12 ФЗ-152.

4. Что изменилось для медиакомпаний после введения ст. 272.1 УК РФ с 11.12.2024?

Ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024) криминализировала незаконное использование, передачу, сбор или хранение компьютерной информации, содержащей ПДн. Для медиаотрасли это означает: журналист или сотрудник редакции, умышленно слившийэ базу читателей или опубликовавший персональные данные без основания с причинением вреда, может быть привлечён к уголовной ответственности. Максимальное наказание по ч. 5 (тяжкие последствия) — лишение свободы до 10 лет. Редакции необходимо регулировать доступ к базам данных и фиксировать журналы обращений к ПДн.

5. Как оформить согласие на рассылку для читателей после 01.09.2025?

С 01.09.2025 согласие по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 должно быть отдельным документом, не объединённым с договором, офертой или политикой конфиденциальности. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень данных, перечень действий, срок, способ отзыва. Ранее полученные согласия, оформленные по старым требованиям, переоформлять не обязательно: ФЗ-156 обратной силы не имеет. Однако при обновлении форм регистрации необходимо использовать новый стандарт.

Итог

СМИ и блогеры с коммерческой деятельностью — полноценные операторы ПДн без отраслевых изъятий. Три ключевых изменения 2024–2025 годов — расширение ст. 13.11 КоАП до 18 частей (ФЗ-420), введение уголовной ответственности по ст. 272.1 УК (ФЗ-421) и требование отдельного согласия с 01.09.2025 (ФЗ-156) — создают новый уровень ответственности для этого сектора. Приоритеты для юриста: актуализация уведомления в РКН, переоформление согласий, договоры с подрядчиками по поручению обработки, регламент реагирования на инциденты.

DATUM сопровождает медиакомпании, редакции и блогерские агентства по полному циклу: аудит, ОРД, взаимодействие с РКН, защита при административном производстве по ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по 38 пунктам, план устранения нарушений
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования
DPO-аутсорсинг — ответственный за обработку по ст. 22.1 на абонентском обслуживании

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для медиа и мобильных приложений.

14 апреля 2028 года