Перейти к содержанию
справочник 28 июля 2026 По состоянию на 28 июля 2026

Идентификатор ПДн: понятие и правовое значение

Идентификатор персональных данных — любой элемент, позволяющий прямо или косвенно установить личность конкретного физического лица.
ФЗ-152 не вводит термин «идентификатор» как самостоятельное понятие, однако через ст. 3 определяет ПДн именно через признак идентифицируемости субъекта. Это разграничение критично: ошибочная квалификация данных как неидентифицирующих влечёт обработку без правового основания и штраф до 300 000 ₽ по ч. 1 ст. 13.11 КоАП.
→ Если вы юрист, проверяющий комплаенс оператора, — разберитесь с тем, какие данные считаются идентификаторами и как это влияет на состав ОРД.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и насчитывает 18 частей. Квалификация обрабатываемых данных как персональных или нет напрямую определяет, какие нормы ФЗ-152 применяются и каков размер санкций. Ниже — системное изложение ключевых понятий ФЗ-152 в логике «от идентификатора к ответственности».

Что такое идентификатор персональных данных по ст. 3 ФЗ-152?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Это определение закреплено в п. 1 ст. 3 ФЗ-152 и содержит ключевое слово: «определяемому». Идентификатор — это элемент информации, который обеспечивает такую определяемость.

Прямые идентификаторы однозначно указывают на конкретное лицо: фамилия, имя, отчество, СНИЛС, ИНН, серия и номер паспорта, адрес электронной почты, привязанный к имени, номер телефона. Косвенные идентификаторы сами по себе личность не раскрывают, однако в совокупности с другими данными позволяют установить субъекта: IP-адрес, cookie-идентификатор, геолокация, идентификатор устройства (IDFA, Android ID), номер заказа в привязке к адресу доставки.

«П. 1 ст. 3 ФЗ-152: персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.»

Правовое значение разграничения прямых и косвенных идентификаторов состоит в следующем. Если оператор утверждает, что данные не являются персональными, он обязан доказать невозможность идентификации субъекта с использованием доступных ему средств. РКН при проверке оценивает не абстрактную невозможность, а реальные технические и организационные возможности конкретного оператора.

Какие данные признаются персональными в судебной практике 2025–2026?

Суды и РКН расширительно толкуют понятие ПДн. Позиция регулятора: cookie-файлы, идентифицирующие браузер пользователя, относятся к ПДн, если оператор располагает иными данными, позволяющими установить личность. Это прямо затрагивает операторов e-commerce, SaaS-платформ и сайтов с системами аналитики.

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку ПДн (п. 2 ст. 3 ФЗ-152). Любая организация, имеющая сайт с формой обратной связи или хранящая данные сотрудников, является оператором и обязана соблюдать ФЗ-152.

Обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 ФЗ-152). Термин охватывает весь жизненный цикл данных — от момента получения до уничтожения.

Сомневаетесь, какие данные компании являются персональными?

Ошибочная квалификация данных как неперсональных — одна из самых частых причин штрафов при проверке РКН. Чек-лист из 38 пунктов позволяет выявить все точки риска до того, как придёт инспектор. Аудит соответствия 152-ФЗ занимает от 5 рабочих дней и завершается приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как категории ПДн влияют на правовой режим обработки?

ФЗ-152 выделяет несколько категорий данных с различным уровнем защиты. Понимание категории критично для выбора правового основания обработки и определения уровня защищённости информационной системы (УЗ-1...УЗ-4 по ПП РФ №1119).

Специальные категории ПДн — данные о расовой или национальной принадлежности, политических, религиозных или философских взглядах, состоянии здоровья, интимной жизни, судимости (ст. 10 ФЗ-152). Их обработка по общему правилу запрещена, допускается лишь в случаях, прямо перечисленных в п. 2 ст. 10.

Биометрические ПДн — сведения о физиологических и биологических особенностях человека, на основании которых можно установить его личность: изображение лица, голос, ДНК, отпечатки пальцев, рисунок радужной оболочки (ст. 11 ФЗ-152). Обработка допускается только с письменного согласия субъекта. Утечка биометрии влечёт штраф 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП.

Общедоступные ПДн — данные, размещённые субъектом в открытом доступе или с его согласия (ст. 8 ФЗ-152). Факт общедоступности не отменяет необходимость правового основания для обработки: цели оператора должны соответствовать целям первоначального раскрытия.

Отдельный режим установлен для обезличенных данных — ст. 13.1 ФЗ-152 (введена ФЗ-233 от 08.08.2024). После обезличивания данные выходят за пределы ФЗ-152, однако оператор обязан использовать методы обезличивания, утверждённые приказом РКН (5 методов: введение идентификаторов, изменение состава и семантики, декомпозиция, перемешивание, обобщение и агрегация).

Принципы обработки ПДн по ст. 5 ФЗ-152: практическое значение

Ст. 5 ФЗ-152 закрепляет семь принципов, которые обязан соблюдать любой оператор. Нарушение принципов — самостоятельное основание для привлечения к ответственности по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽ для юрлица).

  • Законность и справедливость — обработка осуществляется только на законном основании, без нарушения прав субъекта.
  • Конкретность целей — цели определяются до начала обработки и фиксируются в политике и уведомлении РКН.
  • Запрет объединения несовместимых баз — нельзя объединять базы данных, цели обработки которых несовместимы между собой.
  • Соответствие объёма целям — объём обрабатываемых данных не должен превышать необходимый для достижения заявленных целей.
  • Точность и достаточность — оператор принимает меры по актуализации данных.
  • Срочность хранения — данные хранятся не дольше, чем этого требует цель обработки.
  • Уничтожение или обезличивание — при достижении цели или утрате необходимости данные уничтожаются либо обезличиваются.

Если вы юрист и проверяете, соблюдены ли принципы ст. 5 ФЗ-152 в компании клиента, — аудит DATUM выдаёт отчёт с конкретными нарушениями и ссылками на нормы. До 01.09.2025 осталось меньше времени, чем кажется: согласия нужно переработать под требования ФЗ-156.

Заказать аудит 152-ФЗ

Правовые основания обработки ПДн по ст. 6 ФЗ-152

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований обработки ПДн. Оператор обязан определить применимое основание до начала обработки и зафиксировать его в ОРД. Обработка без правового основания — состав ч. 1 ст. 13.11 КоАП.

Наиболее часто используемые основания:

  • Согласие субъекта (п. 1 ч. 1 ст. 6) — применяется там, где нет иного основания. С 01.09.2025 согласие оформляется отдельным документом по требованиям ФЗ-156 от 24.06.2025: не может быть частью трудового договора, оферты или политики конфиденциальности.
  • Договор с субъектом (п. 5 ч. 1 ст. 6) — обработка необходима для исполнения договора, стороной которого является субъект. Основание не требует отдельного согласия, однако объём данных должен соответствовать предмету договора.
  • Исполнение законной обязанности оператора (п. 2 ч. 1 ст. 6) — применяется при обработке данных работников в рамках трудового законодательства, налоговой отчётности, архивного хранения.
  • Поручение обработки (п. 3 ст. 6) — оператор вправе поручить обработку третьему лицу на основании договора, содержащего перечень действий, цели, обязанности по конфиденциальности и уничтожению данных.

Что подготовить юристу для проверки оснований обработки ПДн

  • Реестр всех категорий обрабатываемых ПДн с указанием правового основания по ст. 6 ФЗ-152 для каждой категории.
  • Согласия субъектов в редакции, соответствующей ФЗ-156 от 24.06.2025 (отдельный документ с обязательными реквизитами ст. 9 ФЗ-152).
  • Договоры с подрядчиками, осуществляющими обработку по поручению: проверить наличие всех условий п. 3 ст. 6 ФЗ-152.
  • Актуальное уведомление в реестре РКН (pd.rkn.gov.ru): цели и категории данных должны совпадать с фактической обработкой.
  • Политика обработки ПДн, опубликованная в открытом доступе: соответствие ч. 2 ст. 18.1 ФЗ-152.

Типовые ситуации: как квалификация идентификатора влияет на ответственность

Ситуация 1. Cookie-трекинг без правового основания. Интернет-магазин использует рекламные cookie, передаваемые в Meta Pixel и Google Analytics 4. Оператор считает cookie техническими данными, не являющимися ПДн. РКН при проверке устанавливает, что cookie-идентификаторы в совокупности с IP-адресом и поведением пользователя позволяют идентифицировать субъекта. Правовое основание и согласие субъекта отсутствуют, передача данных в США не уведомлена по ст. 12 ФЗ-152. Итог: протокол по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) плюс требование уведомить РКН о трансграничной передаче.

Ситуация 2. Совокупность косвенных идентификаторов в аналитической базе. SaaS-платформа хранит обезличенную, по мнению разработчика, аналитику: идентификатор сессии, временные метки, идентификатор тарифа, регион. При аудите выясняется, что по идентификатору сессии в связке с тарифом и регионом платформа может однозначно определить конкретного клиента — юридическое лицо с единственным пользователем. Данные не признаются обезличенными, методы обезличивания по приказу РКН не применялись. Оператор привлекается по ч. 1 ст. 13.11 как обрабатывающий ПДн без надлежащего правового основания.

Ситуация 3. Передача данных подрядчику без договора поручения. Маркетинговое агентство получает от клиента базу с email-адресами и именами пользователей для рассылки. Договор оказания услуг не содержит условий п. 3 ст. 6 ФЗ-152 — перечня действий, целей, обязанности по уничтожению данных. При утечке из систем агентства оператор несёт ответственность наравне с агентством: ВС РФ придерживается позиции, что оператор отвечает за утечку через подрядчика. Штраф за утечку от 1 000 до 10 000 субъектов — 3 000 000–5 000 000 ₽ по ч. 12 ст. 13.11 КоАП.

Услуги DATUM по теме

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработкой признаётся любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление или уничтожение — как с использованием средств автоматизации, так и без них (п. 3 ст. 3 ФЗ-152). Даже однократное хранение файла с именами сотрудников является обработкой ПДн.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 предусматривает 11 оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение законной обязанности оператора (п. 2). Для каждой цели обработки оператор определяет основание самостоятельно и фиксирует его в ОРД. Согласие с 01.09.2025 оформляется только отдельным документом по ФЗ-156.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП: от 30 000 ₽ (ч. 3, отсутствие политики) до 500 000 000 ₽ (ч. 15, оборотный штраф за повторную утечку — 1–3% годовой выручки, не менее 20 000 000 ₽). За утечку от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12). С 11.12.2024 действует ст. 272.1 УК РФ: уголовная ответственность за незаконное использование компьютерной информации с ПДн, максимум по ч. 5 — до 10 лет лишения свободы.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если компания обрабатывает ПДн и не подпадает под исключения ч. 2 ст. 22 ФЗ-152. Уведомление подаётся до начала обработки через pd.rkn.gov.ru. Исключения распространяются на ПДн, обрабатываемые исключительно в соответствии с трудовым законодательством, или ПДн членов общественных организаций, полученные без распространения. Отсутствие уведомления при наличии обязанности — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единого возрастного порога. Дееспособность наступает с 18 лет (ГК РФ), поэтому для лиц до 18 лет согласие, как правило, даёт законный представитель. Для детей младше 14 лет согласие всегда даёт родитель или опекун. В сфере образования и медицины требования конкретизированы в специальных НПА.

Итог

Понятие идентификатора лежит в основе всей системы ФЗ-152: правильная квалификация данных как персональных или нет определяет правовое основание обработки, требования к защите и размер санкций. Расширительный подход РКН к идентификации субъектов — через совокупность косвенных признаков — существенно расширяет круг операторов, обязанных соблюдать ФЗ-152.

Практика DATUM по 152-ФЗ охватывает полный цикл: от квалификации данных и разработки ОРД до сопровождения проверок РКН и защиты в арбитраже при штрафах по ст. 13.11 КоАП.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в SaaS и интернет-магазинах, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности.

28 июля 2026 года