справочник 19 марта 2027 По состоянию на 19 марта 2027

Государственная ИСПДн vs корпоративная: отличия

Информационная система персональных данных (ИСПДн) — это совокупность ПДн, содержащихся в базе данных, и технологий их обработки с применением средств автоматизации (ст. 3 ФЗ-152). Государственные и корпоративные ИСПДн различаются по субъекту-оператору, правовым основаниям обработки, требованиям к защите и мерам ответственности.

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей. Для государственных операторов предусмотрен отдельный состав по ч. 7 (обезличивание); корпоративные операторы при утечке от 100 000 субъектов рискуют штрафом 10–15 млн ₽ по ч. 14 ст. 13.11 КоАП.

→ Если вы юрист и выясняете, по каким нормам аттестовать систему клиента — разбор ниже поможет квалифицировать тип ИСПДн и определить нужный набор мер.

Разграничение государственной и корпоративной ИСПДн влечёт практические последствия: разный перечень применимых нормативных актов, разные требования к уровню защищённости (УЗ-1...УЗ-4 по ПП РФ №1119) и разный объём организационно-распорядительной документации. Ниже — системный разбор по ключевым признакам.

Что такое оператор ПДн и как определить тип системы?

Оператор персональных данных по ст. 3 ФЗ-152 — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и осуществляющие обработку ПДн, а также определяющие цели и состав обрабатываемых данных.

Тип ИСПДн определяется прежде всего статусом оператора и правовым основанием обработки:

Государственная ИСПДн — оператором выступает орган государственной власти или орган местного самоуправления; обработка ведётся в рамках полномочий, установленных федеральным или региональным законодательством (п. 2 ч. 2 ст. 6 ФЗ-152).
Корпоративная ИСПДн — оператором является коммерческая или некоммерческая организация либо индивидуальный предприниматель; обработка, как правило, опирается на согласие субъекта (ст. 9 ФЗ-152) или на исполнение договора (п. 5 ч. 2 ст. 6 ФЗ-152).

«Ст. 3 ФЗ-152 — понятие оператора включает государственные органы, муниципальные органы, юридических и физических лиц, самостоятельно или совместно определяющих цели и состав обрабатываемых ПДн.»

На практике одна и та же организация может эксплуатировать несколько ИСПДн разных типов: государственный вуз ведёт государственную ИСПДн студентов в части бюджетных мест и корпоративную — в части платных услуг. Каждая ИСПДн аттестуется отдельно.

Нужно квалифицировать тип ИСПДн клиента и подобрать нормативную базу?

Если вы юрист и разбираете систему, где статус оператора неоднозначен — ошибка в квалификации влечёт неверный выбор УЗ и пробелы в ОРД. У вас есть время подготовиться до проверки РКН. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Чем отличаются правовые основания и принципы обработки ПДн?

Принципы обработки едины для всех операторов (ст. 5 ФЗ-152): законность, конкретность целей, соответствие объёма данных целям, точность, ограничение хранения. Однако правовые основания (ст. 6 ФЗ-152) различаются принципиально.

Государственная ИСПДн. Основное правовое основание — исполнение полномочий, возложенных на оператора законом или иным нормативным правовым актом (п. 2 ч. 2 ст. 6 ФЗ-152). Согласие субъекта, как правило, не требуется. Цели обработки жёстко ограничены рамками соответствующего закона: расширить их оператор не вправе даже при наличии согласия субъекта. Объединение баз с несовместимыми целями прямо запрещено ст. 5 ФЗ-152.

Корпоративная ИСПДн. Доступны все 11 оснований ч. 2 ст. 6 ФЗ-152, включая согласие (п. 1), исполнение договора (п. 5), законный интерес (п. 7). При работе со специальными категориями ПДн по ст. 10 ФЗ-152 (здоровье, судимость, биометрия по ст. 11) перечень оснований существенно сужается — письменное согласие обязательно по умолчанию.

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом и не включается в текст договора или оферты. Это требование касается всех корпоративных операторов, получающих согласие как основание обработки.

Как различаются требования к защите и уровням защищённости?

Порядок определения уровня защищённости ИСПДн (УЗ-1...УЗ-4) закреплён в ПП РФ №1119 от 01.11.2012. Уровень зависит от трёх факторов: категории ПДн, типа актуальных угроз (1–3) и числа субъектов (порог — 100 000).

Государственные ИСПДн дополнительно подпадают под требования ФСБ России и ФСТЭК России к аттестации информационных систем. Для систем, обрабатывающих сведения ограниченного доступа (но не государственную тайну), применяется Приказ ФСТЭК №17 от 11.02.2013 в части аттестации. Приказ ФСТЭК №21 от 18.02.2013 (109 мер в 15 группах) применяется в части организации защиты.
Корпоративные ИСПДн аттестуются по Приказу ФСТЭК №21 без требований Приказа №17. Набор мер — базовый по УЗ с адаптацией и уточнением под конкретную угрозную модель.

«ПП РФ №1119 — 4 уровня защищённости ИСПДн. УЗ определяется комбинацией: категория ПДн (общие / специальные / биометрические) × тип угроз (1–3) × число субъектов (до / свыше 100 000).»

На практике государственные ИСПДн с угрозами 1-го типа почти всегда требуют УЗ-1 или УЗ-2, что влечёт обязательную сертификацию средств защиты информации (СЗИ) по требованиям ФСБ или ФСТЭК. Для корпоративных операторов УЗ-1 встречается редко — только при обработке биометрии с актуальными угрозами НДВ на системном ПО.

Если вы юрист и получили от клиента запрос на определение УЗ и подбор мер ФСТЭК — без аудита полного комплекта данных об ИСПДн вывод об уровне может оказаться ошибочным. Юристы DATUM собирают ОРД под ключ с учётом правильно определённого УЗ.

Заказать аудит 152-ФЗ

Типовые ситуации: квалификация на практике

Ситуация 1. МФЦ передаёт ПДн граждан в частную компанию-подрядчика. МФЦ — государственный оператор. Передача данных подрядчику оформляется по ст. 6 ч. 3 ФЗ-152 как поручение на обработку. Подрядчик действует строго в рамках поручения; самостоятельным оператором не становится. Ответственность за утечку данных через подрядчика несёт МФЦ как оператор. Стратегия юриста: проверить текст договора-поручения на соответствие требованиям ст. 6 ч. 3 и наличие обязанностей по защите.

Ситуация 2. Коммерческая клиника получила доступ к государственной медицинской ИС (ЕГИСЗ). Клиника обрабатывает ПДн пациентов в своей корпоративной ИСПДн и одновременно передаёт сведения в ЕГИСЗ. Это два разных правовых режима: корпоративный (согласие пациента по ст. 9 ФЗ-152, врачебная тайна по ст. 13 323-ФЗ) и государственный (нормы об ЕГИСЗ). Смешение оснований обработки — типовая ошибка, фиксируемая при проверках РКН. Вероятный исход без разграничения: протокол по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). Стратегия: раздельные политики и согласия для каждой системы.

Ситуация 3. IT-компания разрабатывает ИСПДн по госконтракту. Заказчик — государственный орган (оператор), разработчик — подрядчик (лицо, осуществляющее обработку по поручению). Если разработчик получает доступ к реальным ПДн в ходе тестирования, а договор поручения отсутствует или не описывает этот этап — возникает основание для протокола по ч. 1 ст. 13.11. Стратегия: предусмотреть в ТЗ и договоре требование тестирования только на обезличенных данных по методам РКН.

Что подготовить юристу при работе с ИСПДн

Базовый чек-лист квалификации ИСПДн

Определить статус оператора: государственный орган / муниципальный орган / коммерческая организация — от этого зависит применимый нормативный ряд.
Установить категории обрабатываемых ПДн (общие, специальные по ст. 10, биометрические по ст. 11 ФЗ-152) и число субъектов (порог 100 000).
Определить актуальные угрозы (тип 1–3) и рассчитать УЗ по ПП РФ №1119.
Проверить наличие уведомления в реестре РКН по ст. 22 ФЗ-152 и актуальность сведений.
Убедиться в наличии договора-поручения (ст. 6 ч. 3 ФЗ-152) со всеми подрядчиками, имеющими доступ к ПДн.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Даже одно такое действие образует обработку и влечёт обязанности оператора по всему ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 предусматривает 11 правовых оснований. Наиболее распространённые для корпоративных операторов: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанностей оператора по законодательству РФ (п. 2). Для государственных операторов основным основанием служит п. 2 — выполнение полномочий, установленных законом. Обработка без надлежащего основания — состав ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽ для юрлица в редакции с 30.05.2025).

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП (в редакции с 30.05.2025, ФЗ-420 от 30.11.2024) предусматривает штрафы от 30 тыс. ₽ (ч. 3) до оборотного штрафа 1–3% выручки, не менее 20 млн ₽ (ч. 15, повторная утечка). Уголовная ответственность по ст. 272.1 УК РФ (введена с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях. Для государственных операторов дополнительно предусмотрен состав по ч. 7 ст. 13.11 за нарушение обязанности обезличивания.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если нет исключений из ст. 22 ФЗ-152. Исключения касаются, например, обработки ПДн исключительно в связи с трудовыми отношениями или в рамках договора без передачи третьим лицам. Большинство компаний, ведущих клиентские базы или использующих CRM, под исключения не подпадают. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единого возраста дееспособности для согласия — применяются общие нормы ГК РФ. Лица до 14 лет считаются недееспособными: согласие дают родители или иные законные представители. Для лиц 14–18 лет согласие на обработку ПДн допустимо при наличии письменного разрешения родителей, если сделка требует их согласия. Операторы, работающие с несовершеннолетними (EdTech, медицина), обязаны прорабатывать этот вопрос отдельно.

Итог

Государственная и корпоративная ИСПДн различаются по субъекту-оператору, доступным правовым основаниям обработки (ст. 6 ФЗ-152), применимым нормативным актам по защите информации и составам ответственности по ст. 13.11 КоАП. Смешение режимов — системная ошибка, которую РКН фиксирует при проверках и которая влечёт протоколы по нескольким частям ст. 13.11 одновременно.

Юристы DATUM сопровождают квалификацию ИСПДн, подбор мер защиты и формирование полного пакета ОРД для государственных и корпоративных операторов начиная с 2014 года.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка ИСПДн по 38-пунктовому чек-листу с отчётом
Комплект ОРД под ключ — пакет из 38 документов для любого типа оператора
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

АГ

Антон Громов

Аналитик · Технологии и ИБ

Аналитик DATUM по технологиям и ИБ. Специализация — уровни защищённости УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн, защита SaaS-инфраструктуры, реагирование на утечки, ст. 272.1 УК.

19 марта 2027 года