Госорганы как операторы ПДн: специфика

С 30 мая 2025 года ст. 13.11 КоАП насчитывает 18 частей. Для юриста, обслуживающего госсектор, это означает одно: административный иммунитет государственных органов исчез ещё в 2017 году, а после ФЗ-420 от 30 ноября 2024 года санкции выросли кратно. Настоящий материал систематизирует правовой режим обработки ПДн для пяти категорий субъектов: государственных и муниципальных органов, операторов связи, организаций ЖКХ (ТСЖ, УК), транспортных операторов и средств массовой информации.

Чем статус госоргана отличает его от частного оператора?

Ключевое отличие — в основаниях обработки. Частный оператор в большинстве случаев опирается на согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152) или исполнение договора (п. 5). Государственный орган, как правило, обрабатывает ПДн во исполнение возложенных на него полномочий: закона, нормативного акта, судебного решения. Это п. 2 ч. 1 ст. 6 ФЗ-152 — исполнение обязанности, предусмотренной законодательством.

Следствие: согласие субъекта для большинства видов обработки госоргану не требуется. Однако это не снимает обязанностей по ст. 18.1 ФЗ-152: политика обработки ПДн, назначение ответственного по ст. 22.1, организационные и технические меры по ст. 19, уведомление РКН по ст. 22.

Второй момент — обезличивание. Ч. 7 ст. 13.11 КоАП (в редакции с 30.05.2025) прямо адресована оператору-госоргану: невыполнение обязанности по обезличиванию или несоблюдение требований к методам влечёт штраф на должностных лиц. Это дополнительное бремя, которого у частных операторов нет в такой явной форме. Методы обезличивания установлены подзаконным актом РКН — введение идентификаторов, изменение состава и семантики, декомпозиция, перемешивание, обобщение.

Третий момент — уровни защищённости. ПП РФ № 1119 устанавливает четыре уровня (УЗ-1...УЗ-4) в зависимости от категории ПДн, типа угроз и числа субъектов. Для госоргана, обрабатывающего специальные категории ПДн более 100 000 граждан при угрозах 2-го типа, обязателен УЗ-1 — самый строгий набор мер по Приказу ФСТЭК № 21.

Как оператору связи передавать данные ФСБ и не нарушить ФЗ-152?

Оператор связи — особая категория. С одной стороны, он обрабатывает ПДн абонентов на основании договора (п. 5 ч. 1 ст. 6 ФЗ-152). С другой — обязан исполнять требования органов оперативно-розыскной деятельности в рамках СОРМ (системы оперативно-розыскных мероприятий), ФСБ и прокуратуры.

Передача ПДн абонентов государственным органам в рамках их законных полномочий не требует согласия субъекта — это прямо следует из п. 3 ч. 1 ст. 6 ФЗ-152 (исполнение судебного акта) и п. 2 (исполнение обязанности по закону). Однако оператор обязан документировать каждую такую передачу: основание, орган-получатель, состав переданных данных, дата. Это фиксируется в журнале учёта передач ПДн — обязательном элементе ОРД.

Проблема возникает в другом месте: геолокация. Данные о местоположении абонента в реальном времени относятся к ПДн, и их передача коммерческим партнёрам (маркетинговым агентствам, агрегаторам) требует отдельного согласия субъекта. РКН неоднократно квалифицировал такую передачу без согласия как нарушение ч. 1 ст. 13.11 КоАП — штраф для юрлица до 300 000 ₽ (в редакции с 30.05.2025). При повторности — ч. 1.1, до 500 000 ₽.

Ещё один узкий момент — хранение данных о соединениях. Российское законодательство обязывает операторов связи хранить метаданные сессий в течение установленного срока. Эти данные одновременно являются ПДн абонентов, что создаёт пересечение требований 152-ФЗ и отраслевого законодательства о связи. При проверке РКН запрашивает политику обработки и акт классификации ИСПДн — отсутствие документов влечёт штраф по ч. 3 ст. 13.11 (30 000–60 000 ₽ за непубликацию политики) и ч. 10 (100 000–300 000 ₽ за отсутствие уведомления в реестре).

Кто оператор в ЖКХ: ТСЖ или управляющая компания?

Вопрос разграничения ролей в сфере ЖКХ — один из наиболее распространённых в практике юридического сопровождения. ТСЖ и управляющая компания одновременно обрабатывают ПДн собственников помещений, и каждая из них является самостоятельным оператором по ст. 3 ФЗ-152.

ТСЖ собирает ПДн для управления общим имуществом: ФИО, контакты, данные о правах на помещения. УК дополнительно обрабатывает данные для начисления платежей, ведения ГИС ЖКХ и взаимодействия с ресурсоснабжающими организациями. При этом передача ПДн собственников из УК в ТСЖ и обратно — это передача между двумя самостоятельными операторами, что требует правового основания: либо согласия субъекта, либо нормы закона.

ГИС ЖКХ добавляет слой сложности: обязанность размещать сведения в системе установлена Федеральным законом № 209-ФЗ, то есть основание обработки — п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение законодательной обязанности). Но это не освобождает оператора от уведомления РКН, политики обработки и технических мер защиты.

Типичная ошибка: ТСЖ размещает данные собственников (ФИО, номера помещений) на открытых стендах или в общедоступных частях сайта без соблюдения требований ст. 10.1 ФЗ-152 об отдельном согласии на распространение. РКН в 2024–2025 годах фиксировал подобные нарушения при плановых проверках управляющих компаний.

Какие данные пассажиров собирает транспорт и каршеринг?

Транспортные операторы — авиаперевозчики, железнодорожные перевозчики, каршеринговые сервисы — обрабатывают несколько категорий ПДн одновременно.

Авиаперевозчик при бронировании собирает идентификационные данные пассажира, контакты, платёжные реквизиты и — при международных рейсах — данные паспорта для передачи в пограничные органы. Последнее основано на нормах о государственном пограничном контроле, то есть п. 2 ч. 1 ст. 6 ФЗ-152. Передача данных иностранным авиационным властям квалифицируется как трансграничная по ст. 12 ФЗ-152 и требует уведомления РКН, если страна не входит в перечень адекватной защиты.

Каршеринг — более сложный случай. Сервис собирает: ФИО, данные водительского удостоверения, паспорта, привязанную банковскую карту, геолокацию в реальном времени (во время аренды) и телематические данные автомобиля. Геолокация — ПДн. Телематика в части, позволяющей идентифицировать конкретного водителя, — тоже ПДн. Совокупность этих данных при передаче партнёрам (страховщикам, рекламным сетям) требует отдельного согласия по ст. 9 ФЗ-152 в редакции, действующей с 1 сентября 2025 года (ФЗ-156 от 24.06.2025): согласие — отдельный документ, не встроенный в пользовательское соглашение.

Освобождены ли СМИ от требований 152-ФЗ?

Распространённое заблуждение — что редакция СМИ свободна от требований ФЗ-152 при сборе информации о публичных персонах. Это не так.

Журналистская деятельность является основанием для обработки без согласия только в части, прямо указанной в п. 8 ч. 2 ст. 10 ФЗ-152 (специальные категории ПДн) и ч. 1 ст. 6 (общие основания). Речь идёт об обработке в целях, составляющих общественный интерес, — но с соблюдением принципов ст. 5: соответствие объёма целям, не дольше необходимого, точность данных.

СМИ как юридическое лицо обрабатывает ПДн сотрудников редакции, авторов, подписчиков, рекламодателей. Во всех этих отношениях редакция является обычным оператором и обязана выполнять весь комплекс требований: уведомление РКН, политика, ОРД, технические меры. Освобождение от уведомления РКН по п. 2 ч. 2 ст. 22 ФЗ-152 применимо только к обработке ПДн, осуществляемой исключительно для личных и семейных нужд, — на юридическое лицо этот изъятие не распространяется.

Типичные сценарии нарушений в госсекторе

Практика РКН за 2023–2025 годы позволяет выделить три наиболее распространённых сценария для государственных и квазигосударственных операторов.

Сценарий 1. Реестр операторов не обновлён после расширения обработки. Госорган уведомил РКН при создании, но за несколько лет существенно расширил состав обрабатываемых ПДн — добавил биометрию при входе в здание, подключился к межведомственным системам обмена. Уведомление об изменении сведений (форма РКН № 180) не подано. Проверка РКН фиксирует расхождение между реестровыми данными и фактической обработкой. Квалификация — ч. 10 ст. 13.11 КоАП, штраф для юрлица 100 000–300 000 ₽. Стратегия: мониторинг актуальности уведомления не реже одного раза в полгода, немедленное обновление при любом расширении обработки.

Сценарий 2. Утечка через подрядчика IT-сопровождения. Муниципальный орган передал ПДн граждан компании-подрядчику для технического обслуживания информационной системы без оформления договора-поручения по п. 3 ст. 6 ФЗ-152. Подрядчик допустил утечку. Ответственность несёт оператор — муниципальный орган: практика ВС РФ устойчиво квалифицирует такую ситуацию как нарушение условий поручения обработки. При масштабе утечки свыше 10 000 субъектов — ч. 13 ст. 13.11, штраф 5 000 000–10 000 000 ₽. Стратегия: перед любой передачей ПДн подрядчику — договор-поручение, акт классификации, проверка мер защиты подрядчика.

Сценарий 3. Оператор связи не подал уведомление об утечке в 24 часа. После обнаружения несанкционированного доступа к базе данных абонентов служба ИБ оператора связи провела внутреннее расследование в течение трёх суток, после чего направила уведомление в РКН. Срок 24 часа, установленный ч. 3.1 ст. 21 ФЗ-152 и Приказом РКН № 187, нарушен. Штраф по ч. 11 ст. 13.11 КоАП — 1 000 000–3 000 000 ₽. Срок не восстанавливается. Стратегия: регламент реагирования на инцидент должен предусматривать автоматическую эскалацию к ответственному за обработку ПДн в течение первых двух часов после обнаружения признаков инцидента.

Арбитражный суд Уральского федерального округа в одном из дел 2025 года рассматривал ситуацию, когда региональный оператор связи не имел утверждённого регламента реагирования на инциденты. Первичное уведомление РКН об утечке данных абонентов было направлено с просрочкой. Суд отказал в замене штрафа на предупреждение по ст. 4.1.1 КоАП, сославшись на то, что нарушение создало реальную угрозу правам субъектов. Штраф составил несколько миллионов рублей. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

• Аудит соответствия 152-ФЗ — проверка всех оснований обработки, ОРД и технических мер
• Комплект ОРД под ключ — политика, согласия, договоры-поручения, регламенты
• DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Кто является оператором ПДн — ТСЖ или управляющая компания?

Оба субъекта являются самостоятельными операторами по ст. 3 ФЗ-152. ТСЖ обрабатывает ПДн собственников для управления общим имуществом, УК — для начисления платежей и ведения ГИС ЖКХ. Передача данных между ними — передача между двумя операторами, которая требует либо согласия субъекта, либо нормативного основания. Каждый из них обязан встать на учёт в реестре РКН по ст. 22 ФЗ-152 самостоятельно.

2. Освобождены ли СМИ от уведомления РКН о намерении обрабатывать ПДн?

Нет. Редакция СМИ как юридическое лицо обрабатывает ПДн сотрудников, авторов, подписчиков и рекламодателей — и является полноценным оператором. Исключение из ч. 2 ст. 22 ФЗ-152 (обработка только для исполнения договора без передачи третьим лицам) для большинства редакций неприменимо: данные читателей используются шире одного договора. Журналистское исключение по ст. 10 ФЗ-152 касается только специальных категорий ПДн при освещении общественно значимых событий и не освобождает от уведомления РКН.

3. Как оператору связи оформить передачу данных ФСБ в рамках СОРМ?

Передача ПДн абонентов органам оперативно-розыскной деятельности осуществляется без согласия субъекта на основании п. 2 и п. 3 ч. 1 ст. 6 ФЗ-152 — как исполнение законодательной обязанности или судебного акта. Согласие абонента не требуется и не запрашивается. Оператор обязан документировать каждую передачу в журнале учёта: основание, орган-получатель, состав данных, дата. Это элемент ОРД, который РКН проверяет в первую очередь.

4. Какие данные каршеринговый сервис вправе передавать страховщику?

Каршеринг вправе передавать страховщику ПДн, необходимые для урегулирования страхового случая, — на основании договора страхования (п. 5 ч. 1 ст. 6 ФЗ-152). Передача геолокации, телематики и биометрии (если сервис использует идентификацию по лицу) в коммерческих целях страховщику — за пределами страхового события — требует отдельного согласия арендатора по ст. 9 ФЗ-152. С 1 сентября 2025 года согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025), не встроенным в пользовательское соглашение.

5. Что обязаны хранить ТСЖ и УК о собственниках помещений?

ТСЖ и УК обязаны хранить документы, подтверждающие основания обработки ПДн: согласия (если обработка на их основании), договоры, документы о праве собственности, полученные для регистрации в реестре собственников. Срок хранения определяется целью: данные о начислениях — в течение срока давности по обязательствам плюс срок исковой давности (как правило, 5 лет). При достижении цели обработки ПДн подлежат уничтожению или обезличиванию по ст. 5 ФЗ-152. Документы об уничтожении также хранятся — для подтверждения соблюдения требований при проверке РКН.

Итог

Государственные органы, операторы связи, организации ЖКХ, транспортные операторы и СМИ обрабатывают ПДн на различных правовых основаниях, однако всех их объединяет одно: ст. 13.11 КоАП не делает исключений по организационно-правовой форме. С 30 мая 2025 года штрафы выросли до 300 000 ₽ за первичное нарушение, 3–15 млн ₽ за утечку и 1–3 млн ₽ за просрочку уведомления об инциденте.

Практика DATUM охватывает аудиты и сопровождение операторов в госсекторе, ЖКХ, телекоме и медиа. Анализируем соответствие оснований обработки, актуальность реестрового уведомления, полноту ОРД и готовность к реагированию на инцидент по регламенту Приказа РКН № 187.