справочник 9 октября 2027 По состоянию на 9 октября 2027

ИНН и СНИЛС как ПДн: правовой статус

ИНН и СНИЛС — персональные данные в значении ст. 3 ФЗ-152: они однозначно идентифицируют физическое лицо и попадают под все обязанности оператора.

Юрист, который не закрепил ИНН и СНИЛС в составе обрабатываемых ПДн, оставляет компанию без правового основания для обработки и открывает путь к штрафу по ч. 1 ст. 13.11 КоАП — до 300 000 ₽ за первичное нарушение.

→ Если вы юрист и проверяете комплаенс компании — этот справочник даёт исчерпывающий ответ на вопрос о правовом статусе ИНН и СНИЛС.

ИНН и СНИЛС фигурируют в десятках рутинных процессов: кадровый учёт, зарплатные проекты, договоры с самозанятыми, верификация контрагентов. Между тем юридический статус этих реквизитов нередко остаётся неопределённым в ОРД компании. Ниже — разбор по категориям ПДн, принципам обработки, правовым основаниям и санкциям по ст. 13.11 КоАП в редакции с 30.05.2025.

Что такое ПДн и почему ИНН и СНИЛС в их числе?

По ст. 3 ФЗ-152 персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. ИНН присваивается гражданину Налоговой службой и используется для его идентификации во всех налоговых правоотношениях. СНИЛС — уникальный номер лицевого счёта в системе пенсионного страхования — столь же однозначно привязан к конкретному человеку. Оба реквизита удовлетворяют критерию идентификации субъекта, поэтому Роскомнадзор квалифицирует их как ПДн без каких-либо оговорок.

С точки зрения категорий (ст. 10 ФЗ-152) ИНН и СНИЛС относятся к общим ПДн — не к специальным и не к биометрическим. Это означает меньший уровень защищённости по ПП РФ №1119, но не освобождает оператора от выполнения принципов ст. 5 ФЗ-152: законность, конкретность цели, соответствие объёма.

«Ст. 3 ФЗ-152 — персональные данные: любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных).»

На каком правовом основании можно обрабатывать ИНН и СНИЛС?

Ст. 6 ФЗ-152 устанавливает 11 оснований для обработки ПДн. Для ИНН и СНИЛС в хозяйственной деятельности чаще всего применяются три:

Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152). С 01.09.2025 по ФЗ-156 согласие оформляется отдельным документом; нельзя совмещать с трудовым договором, офертой или политикой конфиденциальности. В согласии обязательно перечислить конкретные действия с ИНН/СНИЛС и цель их обработки.
Исполнение договора или преддоговорные действия (п. 5 ч. 1 ст. 6 ФЗ-152). Если субъект является стороной договора — обработка ИНН/СНИЛС в рамках его исполнения не требует отдельного согласия. Типичный случай — трудовой договор: работодатель обрабатывает СНИЛС для представления отчётности в СФР.
Исполнение обязанностей оператора, возложенных законодательством (п. 2 ч. 1 ст. 6 ФЗ-152). Налоговый агент обязан передавать ИНН в ФНС; отказаться от этой обработки нельзя. Правовое основание — прямое предписание НК РФ.

Юристу важно зафиксировать выбранное основание в ОРД — политике обработки ПДн и регламенте по каждому бизнес-процессу. При проверке РКН инспектор вправе запросить документальное подтверждение каждого основания.

Проверяете комплаенс компании по 152-ФЗ?

Если в ОРД не закреплено правовое основание для обработки ИНН и СНИЛС — это готовое нарушение ч. 1 ст. 13.11 КоАП (до 300 000 ₽). Аудит займёт до 10 рабочих дней и закроет пробелы до проверки РКН.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие принципы обработки ПДн применяются к ИНН и СНИЛС?

Ст. 5 ФЗ-152 формулирует семь принципов. Для ИНН и СНИЛС на практике нарушаются чаще всего три из них:

Конкретность и определённость цели. Нельзя собирать ИНН «на всякий случай» — цель должна быть сформулирована до начала обработки. Например: «передача ИНН в ФНС для исполнения обязанностей налогового агента».
Соответствие объёма целям. Если ИНН нужен только для налоговой отчётности, его не следует включать в CRM-систему с доступом маркетингового отдела. Избыточность объёма — типовое нарушение по ч. 1 ст. 13.11.
Уничтожение при достижении цели. После расторжения договора с самозанятым его ИНН должен быть уничтожен или обезличен, если иной срок хранения не установлен законом (например, архивным или налоговым).

«Ст. 5 ФЗ-152 — принципы обработки: законность и справедливость, конкретность целей, недопустимость объединения несовместимых баз, соответствие объёма, точность, ограничение срока хранения, уничтожение по достижении цели.»

Что грозит за нарушения при обработке ИНН и СНИЛС?

Нарушения при обработке общих ПДн, включая ИНН и СНИЛС, квалифицируются по ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024). Типичные составы для юриста-практика:

Ч. 1 ст. 13.11 — обработка ПДн в случаях, не предусмотренных законом, или несовместимая с целями: штраф для юрлица 150 000 — 300 000 ₽.
Ч. 1.1 ст. 13.11 — повторное нарушение по ч. 1: 300 000 — 500 000 ₽.
Ч. 2 ст. 13.11 — обработка без письменного согласия, когда оно требуется, или с нарушением требований к составу согласия: 300 000 — 700 000 ₽.
Ч. 3 ст. 13.11 — отсутствие опубликованной политики обработки ПДн по ст. 18.1 ФЗ-152: 30 000 — 60 000 ₽.
Ч. 10 ст. 13.11 — необращение или несвоевременное уведомление РКН о намерении обрабатывать ПДн: 100 000 — 300 000 ₽.

При утечке базы с ИНН/СНИЛС от 1 000 субъектов применяются ч. 12–15 ст. 13.11 — от 3 млн ₽ до оборотного штрафа 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽ (при повторности).

Если в компании нет уведомления в реестре РКН или ОРД не содержит оснований для обработки ИНН/СНИЛС — два состава по ст. 13.11 КоАП уже сформированы. Срок устранения до проверки не восстанавливается.

Заказать аудит 152-ФЗ

Типовые ситуации при обработке ИНН и СНИЛС

Ситуация 1. ИНН в договоре с самозанятым без правового основания в ОРД. Компания собирает ИНН для выплаты вознаграждения и формирования чека в приложении «Мой налог». Основание — п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанностей налогового агента). Если это основание не зафиксировано в политике обработки ПДн и регламенте работы с самозанятыми, инспектор РКН при плановой проверке составит протокол по ч. 1 ст. 13.11 — нарушение принципа законности обработки. Стратегия: внести ИНН в перечень обрабатываемых ПДн, зафиксировать цель и основание в политике, ограничить доступ бухгалтерией.

Ситуация 2. СНИЛС в HR-системе без актуального согласия после 01.09.2025. СНИЛС передаётся в СФР по законодательному основанию (п. 2 ч. 1 ст. 6 ФЗ-152) и согласия не требует. Однако если СНИЛС также используется для корпоративного портала (авторизация, КЭДО) — это отдельная цель, требующая отдельного правового основания. Согласие, включённое в трудовой договор до 01.09.2025, с этой даты не соответствует требованиям ФЗ-156. Штраф по ч. 2 ст. 13.11 — до 700 000 ₽. Стратегия: разграничить цели, переоформить согласие на отдельный документ по требованиям ст. 9 ФЗ-152 в ред. ФЗ-156.

Ситуация 3. Передача ИНН подрядчику без договора-поручения. Аутсорсинговая бухгалтерия получает доступ к ИНН сотрудников без договора, оформленного по п. 3 ст. 6 ФЗ-152. Оператор несёт ответственность за утечку через подрядчика — принцип, подтверждённый судебной практикой. При утечке ИНН от 1 000 человек — ч. 12 ст. 13.11 (3–5 млн ₽). Стратегия: оформить договор поручения обработки с перечнем передаваемых категорий ПДн и требованиями к защите.

Что подготовить юристу

Перечень процессов, где компания использует ИНН и СНИЛС — с указанием цели и правового основания по ст. 6 ФЗ-152 для каждого.
Актуальная политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 — с включением ИНН и СНИЛС в состав обрабатываемых категорий.
Отдельные согласия работников по ст. 9 ФЗ-152 в ред. ФЗ-156 — для целей, выходящих за рамки исполнения трудового договора.
Договоры поручения обработки со всеми подрядчиками, получающими ИНН или СНИЛС (п. 3 ст. 6 ФЗ-152).
Уведомление в реестр операторов ПДн (ст. 22 ФЗ-152) с корректным указанием обрабатываемых категорий.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Для ИНН и СНИЛС это означает, что даже однократная запись реквизита в базу данных или его передача подрядчику — уже обработка, требующая правового основания.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 предусматривает 11 оснований. Для ИНН и СНИЛС на практике применяются: согласие субъекта (п. 1), исполнение договора (п. 5), исполнение обязанностей оператора по закону (п. 2). Выбор конкретного основания определяет, нужно ли согласие и каков его состав. Без зафиксированного основания обработка считается незаконной по ч. 1 ст. 13.11 КоАП.

3. Что грозит за нарушение 152-ФЗ?

В редакции с 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей. За незаконную обработку ПДн — ч. 1: 150 000–300 000 ₽ для юрлица. За отсутствие согласия — ч. 2: 300 000–700 000 ₽. За повторную утечку от 100 000 субъектов — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно с 11.12.2024 действует ст. 272.1 УК РФ — уголовная ответственность за незаконное использование компьютерной информации с ПДн, до 10 лет лишения свободы по ч. 5.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 уведомление обязательно до начала обработки ПДн. Перечень исключений в ч. 2 ст. 22 не привязан к размеру бизнеса: исключение применяется, если ПДн обрабатываются исключительно в связи с трудовыми отношениями работодателя с работником или для исполнения договора с субъектом, без передачи третьим лицам. Если компания передаёт ИНН/СНИЛС подрядчику-бухгалтеру или хранит их в облачной системе — исключение, как правило, не применяется. Неуведомление — ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единый возраст. По общему правилу дееспособность наступает в 18 лет — и согласие подписывает сам субъект. До 18 лет согласие, как правило, дают законные представители. Для обработки ИНН несовершеннолетнего (например, при оформлении ребёнка в программу лояльности) требуется согласие родителя или опекуна. В кадровом контексте ИНН и СНИЛС работника с 14 лет обрабатываются по законодательному основанию (НК РФ, ФЗ об индивидуальном учёте) без отдельного согласия.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — выявим все пробелы в основаниях обработки ИНН и СНИЛС
Комплект ОРД под ключ — политика, согласия, договоры поручения по актуальным требованиям
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

Итог

ИНН и СНИЛС — общие персональные данные по ст. 3 ФЗ-152; для их обработки требуется правовое основание, зафиксированное в ОРД, и уведомление в реестр РКН. С 01.09.2025 согласие на обработку — отдельный документ по ФЗ-156; с 30.05.2025 санкции по ст. 13.11 КоАП существенно выросли.

Практика DATUM по сопровождению операторов ПДн охватывает аудит обработки идентификационных реквизитов, подготовку ОРД и представление интересов при проверках РКН.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.