аналитика 11 февраля 2027 По состоянию на 11 февраля 2027

DATUM по ЖКХ

ЖКХ, операторы связи, транспорт, СМИ и госсектор — отрасли с высокой плотностью обработки персональных данных и специфическими регуляторными рисками по ФЗ-152.

Штраф за утечку ПДн от 100 000 субъектов по ч. 14 ст. 13.11 КоАП (ред. с 30.05.2025) — 10–15 млн ₽. При повторности — оборотный штраф до 500 млн ₽ по ч. 15. УК с 11.12.2024 добавляет до 10 лет лишения свободы по ч. 5 ст. 272.1.

→ Если вы юрист, сопровождающий УК, ТСЖ, оператора связи или госструктуру — разбор норм, типовых нарушений и практики РКН 2026 поможет выстроить комплаенс до проверки, а не после.

Управляющие компании обрабатывают паспортные данные собственников и нанимателей, операторы связи — трафик и геолокацию абонентов, каршеринговые сервисы — данные о маршрутах и документах водителей, СМИ — данные источников и читателей. Общего в этих отраслях — высокий объём субъектов, частые поручения обработки третьим лицам и слабая ОРД. Роскомнадзор в 2024 году зафиксировал 135 случаев компрометации баз с суммарным объёмом более 710 млн записей. Значительная доля инцидентов — в жилищно-коммунальном секторе, транспорте и госсистемах. Этот материал — отраслевой разбор для юриста: кто является оператором, какие нормы применяются, где типовые слабые места.

Кто является оператором ПДн в ЖКХ: ТСЖ, УК или ресурсоснабжающая организация?

Вопрос о субъекте ответственности — первый, который возникает при анализе отрасли. Управляющая компания обрабатывает персональные данные собственников и нанимателей для выставления квитанций, контроля задолженности, ведения реестра помещений, передачи сведений в ГИС ЖКХ. Это делает её оператором ПДн по ст. 3 ФЗ-152 — организацией, самостоятельно определяющей цели и состав обработки.

ТСЖ как юридическое лицо также является оператором, если ведёт реестр членов, начисляет взносы и взаимодействует с ресурсоснабжающими организациями (РСО). Уведомление в реестр РКН обязательно для обоих — по ст. 22 ФЗ-152. Отсутствие уведомления при наличии реальной обработки — основание для штрафа по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽).

РСО (водо-, газо-, теплоснабжающие организации) получают данные от УК и нередко ведут собственные базы абонентов. Здесь возникает вопрос о правовом основании передачи данных. Если УК передаёт ПДн собственников в РСО без отдельного поручения по п. 3 ст. 6 ФЗ-152 или без самостоятельного правового основания у РСО — это нарушение ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). Передача в ГИС ЖКХ регулируется ФЗ-209 от 21.07.2014, что создаёт самостоятельное правовое основание — исполнение обязанности, предусмотренной законом (п. 2 ч. 1 ст. 6 ФЗ-152).

«Ст. 6 ФЗ-152, п. 2 ч. 1: обработка ПДн допустима без согласия субъекта, если необходима для достижения целей, предусмотренных международным договором или законом. ГИС ЖКХ — именно такой случай для УК и ТСЖ.»

Типовое нарушение в ЖКХ: управляющая компания размещает списки должников на информационных стендах или передаёт их коллекторам без правового основания. Первое нарушает принцип ограничения доступа (ст. 7 ФЗ-152), второе — требует отдельного согласия или поручения. В обоих случаях РКН квалифицирует по ч. 1 ст. 13.11 КоАП.

Нужен анализ комплаенса для УК, ТСЖ или РСО?

Отсутствие уведомления в реестре РКН, неправомерная передача данных в ГИС ЖКХ или коллекторам, отсутствие политики — каждое из этих нарушений фиксируется при плановой проверке. Срок включения в реестр после подачи уведомления — 30 дней. Если компания ещё не уведомила — это уже нарушение ч. 10 ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как операторы связи обрабатывают ПДн абонентов: геолокация, трафик и передача данных ФСБ

Оператор связи — одна из наиболее зарегулированных категорий операторов ПДн. Помимо ФЗ-152, на него распространяется ФЗ-126 «О связи», требования СОРМ и подзаконные акты Минцифры. Обработка ПДн абонентов ведётся по нескольким основаниям: исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152), исполнение требований закона (п. 2 ч. 1 ст. 6) и — в части маркетинговых коммуникаций — согласие абонента.

Геолокационные данные абонента квалифицируются как ПДн, если позволяют идентифицировать физическое лицо в связке с другими данными (ст. 3 ФЗ-152). Передача геолокации третьим лицам — рекламным сетям, аналитическим платформам — требует отдельного согласия по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025 — отдельный документ). Нарушение этого требования квалифицируется по ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽).

Передача данных по запросам ФСБ в рамках СОРМ — отдельная правовая конструкция. Она осуществляется без согласия субъекта и без уведомления субъекта по основаниям ФЗ-144 «Об оперативно-розыскной деятельности» и ФЗ-126. Оператор связи при этом не вправе раскрывать факт и содержание запроса. Это не нарушение ФЗ-152 — это исключение из его действия.

«Ст. 14 ФЗ-152 (право субъекта на доступ): оператор вправе отказать в предоставлении информации, если обработка осуществляется в целях обороны, безопасности государства, охраны общественного порядка по основаниям специальных федеральных законов.»

Проблемная зона операторов связи — обработка данных о несовершеннолетних абонентах. Детские тарифы предполагают обработку ПДн родителя как законного представителя и ПДн ребёнка. Для детей до 18 лет согласие на обработку ПДн в маркетинговых целях даёт законный представитель по ст. 9 ФЗ-152. Отдельного письменного согласия требует биометрическая идентификация (голосовые отпечатки в колл-центрах) по ст. 11 ФЗ-152.

Риск, актуальный для операторов связи в 2026 году: трансграничная передача данных абонентов в зарубежные CDN, биллинговые и аналитические системы. По ст. 12 ФЗ-152, передача в страны без адекватного уровня защиты требует уведомления РКН. Роскомнадзор в 2025 году активизировал контроль за этим направлением.

Тсж и ГИС ЖКХ, каршеринг и геолокация, СМИ и госсектор: где специфика 152-ФЗ

Каршеринговые и таксомоторные сервисы обрабатывают расширенный набор ПДн: паспорт и водительское удостоверение, геолокацию в реальном времени, историю поездок, данные банковской карты. Геолокация в сочетании с идентификатором клиента — это ПДн. Обработка геолокации в маркетинговых целях (персонализированные предложения) требует отдельного согласия на распространение по ст. 10.1 ФЗ-152. Передача геолокационных данных агрегаторам и партнёрам без поручения — нарушение ст. 6 ФЗ-152.

СМИ в российском правовом поле имеют ограниченные преимущества по ФЗ-152. Редакции, обрабатывающие ПДн в журналистских целях, освобождены от требования согласия субъекта при публикации, если речь идёт об общественно значимой информации (п. 8 ч. 1 ст. 6 ФЗ-152). Однако это не освобождает СМИ от обязанности уведомить РКН о намерении обрабатывать ПДн сотрудников, подписчиков и рекламодателей. Исключение из ст. 22 ФЗ-152 для СМИ не предусмотрено.

«Ст. 22 ФЗ-152: оператор уведомляет уполномоченный орган до начала обработки. Перечень исключений (ч. 2 ст. 22) не включает средства массовой информации как категорию. Редакции обязаны подавать уведомление на общих основаниях.»

Госсектор — органы власти, ГУПы, МФЦ — сталкивается с комбинированной регуляторикой: ФЗ-152 плюс отраслевые акты (ФЗ-210 «Об организации предоставления государственных и муниципальных услуг», ФЗ-149 «Об информации»). МФЦ как оператор ПДн обрабатывает специальные категории данных граждан при оказании услуг, связанных с социальными льготами и медицинскими справками. Это требует соблюдения повышенных требований ст. 10 ФЗ-152 и определения уровня защищённости по ПП РФ №1119. Большинство МФЦ должны обеспечивать не ниже УЗ-3.

Если вы юрист, сопровождающий организацию в ЖКХ, связи или госсекторе, — пакет ОРД по 152-ФЗ нужен до проверки РКН, а не в её ходе. Юристы DATUM соберут 38-документный комплект ОРД: политика, согласия, приказы, регламент реагирования, журналы.

Собрать ОРД под ключ

Типовые сценарии нарушений: как это работает на практике

Сценарий 1. УК без уведомления в реестре РКН. Управляющая компания с 2018 года обрабатывает ПДн 3 000 собственников: начисления, реестр, передача в расчётный центр. Уведомление в РКН не подавалось. При плановой проверке инспектор запрашивает выписку из реестра операторов ПДн — её нет. Составляется протокол по ч. 10 ст. 13.11 КоАП (штраф 100–300 тыс. ₽). Дополнительно выявляется отсутствие политики обработки ПДн на сайте — протокол по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽). Стратегия: до проверки — уведомление через pd.rkn.gov.ru, публикация политики, назначение ответственного по ст. 22.1 ФЗ-152. Если проверка уже назначена — немедленная подача уведомления фиксирует инициативное устранение нарушения, что учитывается при назначении штрафа.

Сценарий 2. Оператор связи — передача данных абонентов рекламной платформе. Региональный интернет-провайдер передаёт агрегированные, но не обезличенные в установленном порядке данные о трафике абонентов рекламной платформе для таргетинга. Согласия на передачу третьим лицам нет, поручения на обработку по п. 3 ст. 6 ФЗ-152 не оформлено. Жалоба абонента → внеплановая проверка РКН → протокол по ч. 1 ст. 13.11 (обработка, несовместимая с целями) и по ч. 2 ст. 13.11 (обработка без согласия, когда оно требуется). Суммарный штраф — 450–1 000 тыс. ₽. Стратегия: оформление поручения на обработку с ограниченным перечнем действий и целей либо прекращение передачи без правового основания.

Сценарий 3. МФЦ — утечка через подрядчика IT-обслуживания. МФЦ регионального центра передал доступ к информационной системе IT-подрядчику без надлежащего поручения на обработку. Подрядчик допустил компрометацию данных 15 000 граждан, включая сведения о социальных льготах (спецкатегория по ст. 10 ФЗ-152). В соответствии с принципом ответственности оператора за действия лица, осуществляющего обработку по поручению, штраф предъявлен МФЦ. Квалификация — ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов, штраф 5–10 млн ₽). Стратегия: оформление поручения на обработку с явным перечнем действий и мер защиты, контроль за подрядчиком по ст. 6 ч. 3 ФЗ-152 до заключения договора.

Что подготовить юристу при работе с операторами ЖКХ и смежных отраслей

Выписка из реестра операторов ПДн pd.rkn.gov.ru — подтверждает факт уведомления по ст. 22 ФЗ-152
Актуальная политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте оператора
Договоры-поручения со всеми лицами, которым передаются ПДн: расчётные центры, IT-подрядчики, РСО — с перечнем действий и мер защиты
Отдельные согласия субъектов на обработку ПДн, оформленные как самостоятельный документ по ст. 9 ФЗ-152 в редакции ФЗ-156 (требование с 01.09.2025)
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 и документы о его квалификации

Как это применяется на практике

Кейс 1. ТСЖ в Приволжском ФО (весна 2025) получило предписание РКН после жалобы жителя на публикацию списка должников на стенде в подъезде. Правление ТСЖ не рассматривало такую публикацию как обработку ПДн. РКН квалифицировал действие как распространение ПДн без правового основания (ст. 10.1 ФЗ-152) и как нарушение принципа ограничения обработки (ст. 5 ФЗ-152). Штраф по ч. 1 ст. 13.11 КоАП. Дополнительно — протокол за отсутствие политики по ч. 3 ст. 13.11. Совокупные санкции — в диапазоне нескольких сотен тысяч рублей. ТСЖ обратилось за сопровождением после получения предписания; по ст. 4.1.1 КоАП суд рассмотрел возможность замены штрафа предупреждением с учётом отсутствия предшествующих нарушений.

Кейс 2 (из реестра практики). В деле о компрометации баз данных по ст. 13.11 КоАП ВС РФ подтвердил принцип: оператор несёт ответственность за утечку, допущенную лицом, осуществляющим обработку по поручению. Применительно к МФЦ и ЖКХ это означает, что ответственность за действия IT-подрядчика лежит на операторе вне зависимости от наличия договора подряда. Для снижения риска необходимо надлежащее поручение на обработку по п. 3 ст. 6 ФЗ-152 с явным ограничением полномочий обработчика.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по 38 пунктам, отчёт с приоритетами
Комплект ОРД под ключ — полный пакет документов для оператора ПДн
DPO-аутсорсинг — абонентское ведение функции ответственного по ст. 22.1

Частые вопросы

1. Кто является оператором ПДн: ТСЖ или управляющая компания?

Оба субъекта — операторы ПДн, если самостоятельно определяют цели и состав обработки. УК обрабатывает ПДн собственников для начислений и ведения реестра, ТСЖ — для управления имуществом и взаимодействия с РСО. Каждый из них обязан подать уведомление в РКН по ст. 22 ФЗ-152 до начала обработки. Исключение из обязанности уведомления (ч. 2 ст. 22) для ЖКХ-операторов не предусмотрено.

2. Освобождены ли СМИ от уведомления Роскомнадзора об обработке ПДн?

Нет. Перечень исключений в ч. 2 ст. 22 ФЗ-152 не включает редакции СМИ как категорию. Освобождение от согласия субъекта при публикации в журналистских целях (п. 8 ч. 1 ст. 6 ФЗ-152) — это самостоятельное правовое основание для обработки, но не освобождение от обязанности уведомить регулятора. СМИ обязаны уведомить РКН в отношении ПДн сотрудников, подписчиков и рекламодателей.

3. Как оператор связи легально передаёт данные абонентов по запросу ФСБ?

Передача данных в рамках СОРМ осуществляется по основаниям ФЗ-144 «Об оперативно-розыскной деятельности» и ФЗ-126 «О связи» — без согласия субъекта и без его уведомления. Это допустимое изъятие из режима ФЗ-152: ст. 14 ФЗ-152 позволяет отказать субъекту в доступе к информации, если обработка осуществляется в целях государственной безопасности. Оператор связи не вправе раскрывать факт и содержание такого запроса третьим лицам.

4. Какие именно данные собирает каршеринговый сервис и какие согласия нужны?

Каршеринг обрабатывает: паспортные данные, водительское удостоверение, геолокацию в реальном времени, историю поездок, данные платёжной карты. Геолокация в сочетании с идентификатором клиента — ПДн. Обработка в рамках исполнения договора аренды — по п. 5 ч. 1 ст. 6 ФЗ-152, согласие не требуется. Передача геолокации партнёрам в маркетинговых целях, распространение данных о поездках — требуют отдельного согласия по ст. 9 ФЗ-152 (с 01.09.2025 — отдельный документ по ФЗ-156) и отдельного согласия на распространение по ст. 10.1 ФЗ-152.

5. Что именно должна хранить УК о собственниках и как долго?

УК вправе хранить только те ПДн, которые необходимы для достижения заявленных целей (принцип минимизации, ст. 5 ФЗ-152): ФИО, адрес помещения, реквизиты правоустанавливающего документа, контактные данные. Хранение после прекращения правоотношений (продажа квартиры, выход из договора управления) допустимо лишь в объёме, необходимом для исполнения требований архивного и налогового законодательства. По общему правилу — не дольше срока исковой давности по соответствующим обязательствам. ПДн сверх этого объёма подлежат уничтожению по ст. 21 ФЗ-152.

Итог

ЖКХ, связь, транспорт, СМИ и госсектор — отрасли, где плотность обработки ПДн высока, а правовая грамотность операторов исторически отстаёт от требований регулятора. Типовые нарушения — отсутствие уведомления в РКН, неоформленные поручения на обработку, распространение ПДн без правового основания — фиксируются при каждой второй плановой проверке. С 30.05.2025 санкции по ст. 13.11 КоАП существенно возросли, а с 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ за незаконное использование ПДн.

DATUM сопровождает операторов ПДн в жилищно-коммунальном секторе, операторов связи, транспортные и медиакомпании в части 152-ФЗ: аудит, ОРД, подготовка к проверкам РКН, защита от штрафов по ст. 13.11 КоАП в арбитраже.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр DATUM. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.

11 февраля 2027 года