справочник 13 октября 2027 По состоянию на 13 октября 2027

Фотографии в соцсетях как ПДн

Фотография человека — биометрические персональные данные по ст. 11 ФЗ-152, если используется для установления личности.

Публикация, скачивание, хранение и репост чужих снимков из соцсетей — это обработка ПДн. Для большинства компаний и физлиц это означает: нужно правовое основание, иначе — нарушение ст. 13.11 КоАП.

Если вы юрист и оцениваете комплаенс компании, которая работает с фото сотрудников или клиентов в digital-каналах, — разберём нормы и их практическое применение.

Позиция Роскомнадзора и судебная практика 2025–2026 годов сформировали устойчивый подход: изображение лица человека, размещённое в открытом доступе, не перестаёт быть персональными данными. Компании, которые агрегируют фото из соцсетей, используют их в маркетинге или хранят в корпоративных системах, несут те же риски, что и при обработке паспортных данных. Ниже — ключевые понятия, нормы и типовые ситуации.

Что такое ПДн и почему фотография попадает в эту категорию?

Персональные данные по ст. 3 ФЗ-152 — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту). Ключевое слово — «определяемому»: достаточно, чтобы по данным можно было установить личность человека.

Биометрические персональные данные — сведения о физиологических и биологических особенностях человека, по которым можно установить его личность. Ст. 11 ФЗ-152 прямо называет изображение лица и голосовую запись биометрией. Фотография, на которой лицо человека различимо, — биометрические ПДн.

Важна цель использования: если изображение применяется для идентификации (распознавание лица, СКУД, верификация пользователя) — это биометрия в полном смысле ст. 11. Если фото сопровождает публикацию и не служит для идентификации — это общие ПДн. Разграничение влияет на правовой режим обработки и размер санкций.

«Ст. 11 ФЗ-152: обработка биометрических ПДн допускается только с письменного согласия субъекта. Исключения — закрытый перечень (судопроизводство, безопасность государства, оперативно-розыскная деятельность и др.).»

Какие принципы регулируют обработку фотографий по ст. 5 ФЗ-152?

Принципы обработки ПДн по ст. 5 ФЗ-152 — обязательные требования к любому оператору независимо от того, какие данные обрабатываются. Применительно к фотографиям из соцсетей значимы три из семи принципов.

Конкретность цели. Оператор обязан до начала обработки определить цель. «Использование фото для контента» — не цель в смысле ФЗ-152. Цель должна быть конкретной: «публикация фотографии сотрудника в корпоративном телеграм-канале для освещения мероприятия». Разные цели нельзя объединять в общих согласиях — это отдельная норма ст. 5.

Минимизация. Объём данных должен соответствовать цели. Скачивать и хранить полный профиль человека из соцсети, если нужна только одна публикация, — нарушение принципа достаточности.

Срок хранения. Данные уничтожаются или обезличиваются после достижения цели. Архив фотографий бывших сотрудников или клиентов без актуальной цели — нарушение ст. 5 ФЗ-152.

«Ст. 5 ФЗ-152: хранение ПДн прекращается, когда цели обработки достигнуты. Объединение баз с несовместимыми целями — запрещено.»

Нужно проверить, как компания обрабатывает фото сотрудников и клиентов?

Большинство нарушений при работе с изображениями выявляются на этапе аудита: нет правового основания, нет цели, нет записи о согласии. Юристы DATUM проводят аудит обработки ПДн по чек-листу из 38 пунктов и выдают отчёт с планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

На каких правовых основаниях можно обрабатывать фотографии?

Правовые основания обработки ПДн — исчерпывающий перечень условий из ст. 6 ФЗ-152, при наличии хотя бы одного из которых обработка законна без дополнительных согласований. Для фотографий из соцсетей применимы следующие основания.

Согласие субъекта (п. 1 ст. 6, ст. 9 ФЗ-152). Наиболее универсальное основание. С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — оно не может быть встроено в трудовой договор, пользовательское соглашение или оферту (ФЗ-156 от 24.06.2025). Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.

Исполнение договора (п. 5 ст. 6). Применимо, если фото нужно для договорных отношений — например, идентификация исполнителя в сервисе доставки. Обработка за пределами договорных целей этим основанием не покрывается.

Распространение — отдельное согласие (ст. 10.1 ФЗ-152). Распространение ПДн — раскрытие информации неограниченному кругу лиц. Репост чужой фотографии в корпоративном аккаунте, публикация снимков клиентов на сайте — это распространение. Требует отдельного согласия, в котором прямо указано: «согласен на распространение». Молчание и открытый профиль в соцсети — не согласие на распространение по умолчанию.

Общедоступность (п. 10 ст. 6). Если человек сам сделал фото общедоступным — оператор вправе обрабатывать его в пределах той цели, для которой субъект раскрыл данные. Использование публичного фото в коммерческой рекламе без согласия — выход за пределы этого основания.

Что проверить при работе с фотографиями из соцсетей

Определена ли конкретная цель обработки фото в локальных актах оператора
Есть ли отдельное согласие субъекта по требованиям ст. 9 ФЗ-152 в ред. с 01.09.2025
Оформлено ли отдельное согласие на распространение (ст. 10.1), если фото публикуются
Установлен ли срок хранения и порядок уничтожения фотографий при достижении цели
Внесены ли сведения о целях обработки в уведомление РКН (ст. 22 ФЗ-152)

Как это применяется на практике: типовые ситуации

Ситуация 1. Корпоративный контент-маркетинг. Компания публикует фотографии сотрудников в соцсетях и на сайте. Юрист при проверке обнаруживает: согласие в трудовом договоре, без отдельного документа, без указания целей распространения. После 01.09.2025 такое согласие не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. Стратегия: переоформить согласия отдельным документом с указанием каналов распространения и сроков; сохранить оригиналы как доказательство законности обработки.

Ситуация 2. Агрегация фото из открытых профилей для HR-скрининга. Рекрутинговый сервис собирает фото кандидатов из LinkedIn, ВКонтакте, других платформ в корпоративную CRM. Правовое основание — п. 10 ст. 6 (общедоступность) — не работает: пользователь публиковал фото для личного общения, не для коммерческой обработки третьими лицами. Нет согласия, нет иного основания. Вероятный исход: нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽ при первичной проверке РКН.

Ситуация 3. Распознавание лиц в коммерческом сервисе. Ретейлер внедряет систему распознавания лиц у касс для идентификации постоянных клиентов. Это биометрия по ст. 11 ФЗ-152. Требуется письменное согласие каждого субъекта. Система, запущенная без согласий, — нарушение ч. 2 ст. 13.11 КоАП (обработка без письменного согласия, когда оно обязательно): штраф 300 000–700 000 ₽; при повторном нарушении по ч. 2.1 — 1 000 000–1 500 000 ₽.

Если компания использует фото в CRM, СКУД или маркетинге и нет уверенности в правовых основаниях — DATUM соберёт комплект ОРД: политику, согласия, приказы по обработке изображений.

Собрать ОРД под ключ

Что грозит за нарушения при обработке фотографий?

Санкции зависят от характера нарушения. Ст. 13.11 КоАП в редакции ФЗ-420 (действует с 30.05.2025) предусматривает 18 составов.

Обработка без законного основания или с нарушением целей — ч. 1 ст. 13.11, штраф для юрлица 150 000–300 000 ₽; повторно — ч. 1.1, 300 000–500 000 ₽. Обработка биометрии без письменного согласия — ч. 2 ст. 13.11, штраф 300 000–700 000 ₽; повторно — ч. 2.1, до 1 500 000 ₽. Незаконная обработка с применением систем распознавания лиц может дополнительно квалифицироваться по ч. 16 ст. 13.11 (нарушение требований ст. 11 ФЗ-152 к биометрии).

Утечка фотографий через взлом или ненадлежащее хранение — отдельные составы ч. 12–14 ст. 13.11 в зависимости от числа затронутых субъектов: от 3 000 000 ₽ (от 1 000 субъектов) до 15 000 000 ₽ (свыше 100 000 субъектов). При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽ и не более 500 000 000 ₽.

Помимо административной ответственности — с 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421): незаконные сбор, хранение, передача компьютерной информации с ПДн. Максимальная санкция по ч. 5 — лишение свободы до 10 лет.

Связанные материалы:

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правовых оснований обработки, согласий, ОРД
Комплект ОРД под ключ — политика, согласия на фото, приказы
DPO-аутсорсинг — постоянное сопровождение обработки ПДн по ст. 22.1

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка ПДн по ст. 3 ФЗ-152 — это любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Скачать фото из соцсети и сохранить в корпоративном архиве — уже обработка ПДн, требующая правового основания.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит исчерпывающий перечень из 11 оснований. Для фотографий наиболее распространены: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), общедоступность данных (п. 10). Общедоступность не означает возможность любого использования — обработка должна укладываться в цели, для которых субъект раскрыл данные.

3. Что грозит за нарушение 152-ФЗ при работе с фотографиями?

При обработке фото без законного основания — штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽. При обработке биометрии (фото для идентификации) без письменного согласия — ч. 2 ст. 13.11, от 300 000 до 700 000 ₽. Повторные нарушения — до 1 500 000 ₽ по ч. 2.1. Утечка фото с возможностью идентификации от 1 000 субъектов — от 3 000 000 ₽ по ч. 12 ст. 13.11.

4. Нужно ли уведомлять РКН, если компания хранит фото сотрудников?

Да. Ст. 22 ФЗ-152 обязывает оператора уведомить РКН о намерении обрабатывать ПДн до начала обработки. Уведомление подаётся через pd.rkn.gov.ru. Необработка фотографий без уведомления — нарушение ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽. Ряд оснований освобождает от уведомления (п. 2 ч. 2 ст. 22), но фото сотрудников в общем случае под эти исключения не подпадают.

5. С какого возраста нужно согласие на обработку ПДн, в том числе фото?

По общему правилу субъект ПДн должен обладать дееспособностью для самостоятельного согласия. До 14 лет согласие на обработку ПДн ребёнка, включая его фотографии, дают родители или законные представители. Обработка фото детей в образовательных организациях, детских событиях и рекламе — зона повышенного внимания РКН.

Итог

Фотография человека — это ПДн. При использовании для идентификации — биометрические ПДн с повышенным режимом защиты по ст. 11 ФЗ-152. Публикация, хранение и передача чужих снимков требуют правового основания: согласия, договора или иного из перечня ст. 6. С 01.09.2025 согласие оформляется отдельным документом, а согласие на распространение — отдельно от согласия на обработку.

DATUM сопровождает операторов при работе с изображениями сотрудников, клиентов и пользователей: аудит правовых оснований, разработка пакета согласий и ОРД, поддержка при взаимодействии с РКН.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, политики конфиденциальности для маркетплейсов и мобильных приложений.

13 октября 2027 года