аналитика 14 января 2028 По состоянию на 14 января 2028

Госуслуги (ЕСИА) как канал

ЕСИА — это инфраструктурный канал аутентификации, через который оператор получает верифицированные персональные данные от государства. Правовой режим такой передачи регулируется одновременно ФЗ-152, ФЗ-210 и подзаконными актами Минцифры.

С 30.05.2025 за нарушение условий обработки полученных через ЕСИА ПДн грозит штраф до 300 000 ₽ по ч. 1 ст. 13.11 КоАП, а при повторности — до 500 000 ₽ по ч. 1.1. Если данные утекли — от 3 до 15 млн ₽ в зависимости от числа субъектов (ч. 12–14 ст. 13.11 КоАП).

→ Если вы юрист и проверяете комплаенс компании, использующей авторизацию через Госуслуги, — ниже разбор нормативной базы, типовых рисков и алгоритм приведения обработки в соответствие.

Госуслуги (ЕСИА) стали стандартным способом идентификации пользователей в коммерческих и государственных сервисах. Организации подключают ЕСИА как удобный инструмент верификации личности, не всегда разграничивая роли в цепочке обработки данных. Между тем получение ПДн через ЕСИА создаёт специфические правовые обязательства: по основаниям обработки, по объёму данных, по локализации и по взаимодействию с РКН. В 2025–2026 годах эти обязательства приобрели административные санкции с реальными суммами.

Что такое ЕСИА и какие ПДн через неё передаются?

ЕСИА (Единая система идентификации и аутентификации) — это государственная информационная система, оператором которой выступает Минцифры России. Правовая основа — Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» и подзаконные акты Минцифры, регулирующие порядок подключения сторонних информационных систем.

Через ЕСИА организация может получить подтверждённые государством данные субъекта: фамилию, имя, отчество, дату рождения, СНИЛС, паспортные данные, ИНН, адрес регистрации, номер телефона, адрес электронной почты. Конкретный состав зависит от уровня учётной записи пользователя и от того, какие атрибуты организация запросила при настройке интеграции. Это принципиально: запрашивать у ЕСИА больше данных, чем нужно для конкретной цели, — нарушение принципа минимизации по ст. 5 ФЗ-152.

С точки зрения ФЗ-152, организация, подключившаяся к ЕСИА и получающая данные пользователя, является самостоятельным оператором персональных данных. Она несёт полный объём обязанностей по ФЗ-152 в отношении полученных данных — независимо от того, что эти данные «пришли от государства».

«Ст. 5 ФЗ-152 закрепляет принцип соответствия объёма обрабатываемых ПДн заявленным целям. Запрашивать через ЕСИА атрибуты, не нужные для конкретного сервиса, — прямое нарушение этого принципа.»

Какое правовое основание использовать при получении данных через ЕСИА?

Вопрос о правовом основании обработки — центральный для юриста, сопровождающего интеграцию с ЕСИА. Распространённое заблуждение: раз пользователь нажал «Войти через Госуслуги», значит, он дал согласие. Это не всегда верно.

Согласие как основание обработки (п. 1 ч. 1 ст. 6 ФЗ-152) применимо, когда пользователь однозначно и информированно выразил волю на передачу конкретных данных конкретному оператору для конкретных целей. При авторизации через ЕСИА пользователь видит экран с перечнем запрашиваемых атрибутов и подтверждает передачу — это можно квалифицировать как согласие при условии, что оно отвечает требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие должно быть оформлено отдельным документом с обязательными реквизитами, не объединяться с договором или пользовательским соглашением.

Альтернативное основание — исполнение договора с субъектом (п. 5 ч. 1 ст. 6 ФЗ-152). Если пользователь авторизуется для заключения или исполнения договора (например, для оформления кредита, записи к врачу, покупки билета), обработка полученных через ЕСИА данных в рамках этого договора не требует отдельного согласия. Но объём данных не должен выходить за пределы того, что нужно для исполнения договора.

Комбинирование оснований допустимо: для минимального набора данных — исполнение договора, для дополнительных атрибутов (например, адрес регистрации для маркетинга) — отдельное согласие.

Вы юрист и проверяете основания обработки данных из ЕСИА?

Если компания использует авторизацию через Госуслуги и вы не уверены в корректности правового основания и объёма запрашиваемых атрибутов — риск штрафа по ч. 1 ст. 13.11 КоАП составляет от 150 000 до 300 000 ₽, при повторности — до 500 000 ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие обязанности оператора возникают после получения данных через ЕСИА?

Получение данных через ЕСИА — это начало, а не завершение правовых обязательств. После того как данные поступили в систему организации, оператор обязан:

Уведомить Роскомнадзор о намерении обрабатывать ПДн (ст. 22 ФЗ-152), если организация ещё не внесена в реестр операторов. Неподача уведомления — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.
Обеспечить локализацию: запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться только в базах данных, расположенных в России (ч. 5 ст. 18 ФЗ-152). За нарушение — штраф 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП.
Хранить данные не дольше, чем это необходимо для достижения цели обработки (ст. 5 ФЗ-152), и уничтожить по её достижении.
Назначить ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152) и опубликовать политику обработки персональных данных (ст. 18.1 ФЗ-152). Отсутствие политики — штраф 30 000–60 000 ₽ по ч. 3 ст. 13.11 КоАП.
Обеспечить технические и организационные меры защиты в соответствии с уровнем защищённости по ПП РФ №1119 и Приказом ФСТЭК №21.

Отдельный вопрос — трансграничная передача. Если организация использует зарубежные облачные сервисы для хранения или обработки данных, полученных через ЕСИА (CRM, аналитика, маркетинговые платформы), это квалифицируется как трансграничная передача по ст. 12 ФЗ-152 и требует уведомления РКН до начала передачи.

«Ст. 22 ФЗ-152 обязывает оператора уведомить РКН о намерении обрабатывать ПДн до начала обработки. Факт получения данных через ЕСИА не освобождает от этой обязанности.»

Что подготовить юристу при интеграции с ЕСИА

Анализ состава запрашиваемых атрибутов ЕСИА на соответствие принципу минимизации (ст. 5 ФЗ-152) и заявленным целям обработки.
Правовое основание обработки по ст. 6 ФЗ-152: согласие (ст. 9 в ред. с 01.09.2025) или иное из 11 оснований — зафиксировано в ОРД.
Уведомление РКН по ст. 22 ФЗ-152 с указанием ЕСИА как источника ПДн и целей их дальнейшей обработки.
Политика обработки ПДн с разделом об авторизации через ЕСИА, опубликованная на сайте или в приложении (ч. 2 ст. 18.1 ФЗ-152).
Договор поручения обработки (п. 3 ст. 6 ФЗ-152), если данные из ЕСИА передаются подрядчикам: разработчикам, аналитикам, службам поддержки.

Отраслевые особенности: госсектор, ТСЖ, СМИ, оператор связи и транспорт

Использование ЕСИА встречается в нескольких отраслевых контекстах, каждый из которых создаёт дополнительный слой регулирования.

Госсектор и ГИС ЖКХ. Управляющие компании и ТСЖ, подключённые к ГИС ЖКХ, фактически работают с ПДн собственников через государственную инфраструктуру. Вопрос о том, кто является оператором — ТСЖ или УК, — решается в зависимости от того, кто самостоятельно определяет цели и состав обрабатываемых данных. Если ТСЖ самостоятельно формирует реестр собственников и передаёт данные в ГИС ЖКХ — оно является оператором и несёт полные обязанности по ФЗ-152, включая уведомление РКН.

СМИ. Редакции, использующие ЕСИА для верификации комментаторов или подписчиков, не освобождены от уведомления РКН только потому, что они являются СМИ. Исключение по пп. 11 ч. 1 ст. 6 ФЗ-152 для журналистской деятельности применяется к обработке данных источников и персонажей публикаций, но не к данным пользователей сервисов редакции.

Операторы связи. Для операторов связи ЕСИА используется при заключении договоров об оказании услуг через удалённые каналы. Отдельная обязанность операторов связи — хранение данных о трафике и обеспечение доступа к ним для ФСБ по «закону Яровой» (ФЗ-374 от 06.07.2016). Это отдельный правовой режим, не вытекающий из ФЗ-152, но пересекающийся с ним: данные абонентов, собранные при идентификации через ЕСИА, могут быть запрошены в рамках ОРМ.

Транспорт и каршеринг. Каршеринговые сервисы и перевозчики используют ЕСИА для верификации водительского удостоверения и данных паспорта. В ряде случаев они также собирают геолокацию. Геолокация в реальном времени — это биометрические или, как минимум, чувствительные данные, обработка которых требует отдельного правового обоснования. Если геолокация хранится и анализируется — это самостоятельная цель обработки, требующая отражения в политике и уведомлении РКН.

Если вы юрист и проверяете комплаенс компании из ЖКХ, медиа, телекома или транспорта — отраслевые особенности обработки ПДн через ЕСИА существенно влияют на объём ОРД. Срок на включение в реестр РКН после начала обработки — 30 дней (ч. 4 ст. 22 ФЗ-152); просрочка = штраф 100 000–300 000 ₽.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. IT-компания (Центральный ФО, начало 2026) использовала авторизацию через ЕСИА в B2C-сервисе и запрашивала у пользователей расширенный набор атрибутов — включая адрес регистрации и СНИЛС — для функции, которая фактически не требовала этих данных. При плановой проверке РКН инспектор зафиксировал несоответствие объёма запрашиваемых данных заявленным целям обработки. По итогам проверки компании было выдано предписание и возбуждено дело об административном правонарушении по ч. 1 ст. 13.11 КоАП. Юрист компании самостоятельно переработал конфигурацию ЕСИА-интеграции и ОРД; штраф по ч. 1 ст. 13.11 составил несколько сотен тысяч рублей.

Кейс 2. Управляющая компания (Приволжский ФО, осень 2025) использовала портал Госуслуг для верификации собственников при создании личных кабинетов в своей системе. Данные собственников хранились в облачной CRM зарубежного вендора. При внеплановой проверке РКН установил нарушение требования локализации по ч. 5 ст. 18 ФЗ-152. Компании предъявлен штраф в диапазоне, предусмотренном ч. 8 ст. 13.11 КоАП (1–6 млн ₽). После переноса данных на российский сервер и подачи уведомления о трансграничной передаче компания добилась применения смягчающих обстоятельств.

Частые вопросы

1. Кто является оператором ПДн: ТСЖ или управляющая компания?

Оператором является тот, кто самостоятельно или совместно с другими лицами определяет цели и состав обрабатываемых персональных данных (ст. 3 ФЗ-152). Если ТСЖ самостоятельно формирует реестр собственников, ведёт учёт платежей и обращений — оно является оператором и обязано уведомить РКН. Управляющая компания, которой ТСЖ передаёт данные для расчётов, может действовать как лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152), при наличии письменного договора поручения.

2. Освобождены ли СМИ от уведомления РКН об обработке ПДн?

Нет. Исключение для журналистской деятельности из ст. 6 ФЗ-152 распространяется на обработку ПДн источников, героев публикаций и лиц, упоминаемых в редакционных материалах. Данные пользователей сайта редакции, подписчиков, зарегистрированных через ЕСИА читателей — это отдельная обработка в хозяйственных целях, которая требует уведомления РКН по ст. 22 ФЗ-152. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП (ред. с 30.05.2025).

3. Как оператор связи должен обеспечивать передачу данных ФСБ?

Оператор связи обязан хранить данные о трафике абонентов и предоставлять к ним доступ уполномоченным органам в рамках оперативно-розыскных мероприятий. Этот режим регулируется законодательством об ОРД и «законом Яровой», а не напрямую ФЗ-152. Вместе с тем хранение этих данных должно соответствовать требованиям безопасности по ст. 19 ФЗ-152 и уровням защищённости по ПП РФ №1119. Передача данных ФСБ на основании судебного решения или санкционированного запроса является законным основанием по ст. 6 ФЗ-152 и не требует согласия абонента.

4. Какие данные собирает каршеринг и есть ли ограничения на геолокацию?

Каршеринг при авторизации через ЕСИА получает паспортные данные и сведения о водительском удостоверении. В процессе аренды сервис обрабатывает геолокацию транспортного средства. Геолокация сама по себе не является специальной категорией ПДн, однако её систематический сбор и хранение позволяют составить профиль передвижений субъекта, что требует отдельной цели обработки, зафиксированной в уведомлении РКН и политике. Если геолокация передаётся третьим лицам (партнёрам, страховщикам) — необходимо отдельное согласие субъекта по ст. 9 ФЗ-152.

5. Нужно ли переоформлять согласия пользователей, авторизованных через ЕСИА до 01.09.2025?

ФЗ-156 от 24.06.2025, введший требование об отдельном согласии, не имеет обратной силы в отношении ранее полученных согласий. Переоформлять их не требуется. Однако при любом обновлении пользовательских соглашений, политик конфиденциальности или модулей авторизации после 01.09.2025 новые согласия должны оформляться отдельным документом с реквизитами по ст. 9 ФЗ-152. Юрист должен проверить, не происходит ли де-факто новое получение согласия при каждом входе через ЕСИА.

Итог

ЕСИА упрощает идентификацию пользователей, но не упрощает правовой режим обработки их данных. Организация, подключившаяся к ЕСИА, получает статус самостоятельного оператора ПДн со всеми вытекающими обязанностями по ФЗ-152 — от уведомления РКН до обеспечения локализации и оформления оснований обработки по нормам, вступившим в силу с 2025 года.

Практика DATUM по сопровождению операторов ПДн охватывает подключение к ЕСИА для IT-компаний, ЖКХ, медиа, телекома и транспорта — от анализа состава запрашиваемых атрибутов до подготовки полного пакета ОРД и уведомлений РКН.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки, объёма данных из ЕСИА, локализации и ОРД
Комплект ОРД под ключ — политика, согласия, приказы, договоры поручения обработки
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1, ответы на запросы субъектов

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.

14 января 2028 года