справочник 9 июня 2026 По состоянию на 9 июня 2026

IP-адрес как ПДн: текущая позиция РКН

IP-адрес — персональные данные при наличии возможности идентифицировать субъекта. РКН придерживается этой позиции с 2014 года и подтверждает её в актах проверок 2025–2026 годов.

Сбор IP-адресов без правового основания по ст. 6 ФЗ-152 и без уведомления РКН влечёт штраф по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) и до 300 тыс. ₽ по ч. 10 за неуведомление о намерении обрабатывать ПДн. Повторность — ч. 1.1 (300–500 тыс. ₽).

Если вы юрист и проверяете комплаенс компании — разберите, при каких условиях IP-адрес становится ПДн и какие документы нужны.

IP-адрес как персональные данные — одна из наиболее спорных тем в практике применения 152-ФЗ. Позиция РКН сформировалась давно, но суды и операторы до сих пор расходятся во мнениях: всё зависит от конкретных обстоятельств обработки. В этом справочнике — ключевые понятия из ст. 3, ст. 5, ст. 6, ст. 9 ФЗ-152, позиция регулятора, правовые основания обработки и риски для операторов в редакции ФЗ-420 от 30.11.2024.

Что такое персональные данные и почему IP-адрес попадает под это определение?

Персональные данные по ст. 3 ФЗ-152 — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Ключевое слово — «определяемому»: информация является ПДн даже тогда, когда идентификация субъекта требует дополнительных усилий или данных из другого источника.

IP-адрес сам по себе не называет имя и фамилию пользователя. Однако в сочетании с данными интернет-провайдера, записями о сессиях или профилем пользователя на сайте он позволяет установить личность. Именно эта возможность косвенной идентификации — основание, по которому РКН квалифицирует IP-адрес как ПДн.

«Ст. 3 ФЗ-152 — персональные данные: любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.»

Оператор персональных данных по ст. 3 ФЗ-152 — государственный или муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн. Любой владелец сайта, фиксирующий IP-адреса в логах, является оператором.

Обработка персональных данных по ст. 3 ФЗ-152 — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Логирование IP-адресов в веб-сервере подпадает под это определение полностью.

Какова официальная позиция РКН по IP-адресам в 2025–2026 годах?

РКН последовательно квалифицирует IP-адрес как персональные данные при условии, что оператор имеет техническую возможность или правовые основания для идентификации субъекта по этому адресу. Эта позиция отражена в методических рекомендациях РКН, актах плановых проверок и разъяснениях 2023–2025 годов.

Регулятор разграничивает два случая. Первый: оператор объективно не может установить личность по IP-адресу — отсутствуют дополнительные данные, нет договорных отношений с провайдером, нет учётной записи пользователя. В этом случае IP-адрес может рассматриваться как анонимный технический идентификатор. Второй: оператор ведёт авторизованный сервис, хранит историю действий и может соотнести IP-адрес с конкретным пользователем. Здесь РКН однозначно относит IP-адрес к ПДн.

«Ст. 5 ФЗ-152 — принцип соответствия объёма ПДн заявленным целям обработки: обрабатывать допустимо только те данные, которые необходимы для конкретной цели.»

На практике это означает: если сайт собирает IP-адреса для целей веб-аналитики, безопасности или персонализации контента — оператор обязан указать IP-адреса в политике конфиденциальности, включить их в перечень обрабатываемых ПДн в уведомлении РКН по ст. 22 ФЗ-152 и обеспечить правовое основание обработки по ст. 6 ФЗ-152.

Ваша политика конфиденциальности упоминает IP-адреса?

Если в политике нет IP-адресов, но сайт ведёт логи — это нарушение ч. 2 ст. 18.1 ФЗ-152. При плановой проверке РКН это основание для предписания и штрафа по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽). Юристы DATUM проведут аудит политики и комплекта ОРД по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

На каком правовом основании можно обрабатывать IP-адреса?

Ст. 6 ФЗ-152 устанавливает закрытый перечень оснований обработки ПДн. Для IP-адресов на практике применимы следующие.

Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152). Наиболее универсальное основание. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом — его нельзя объединять с договором, офертой или политикой конфиденциальности. Согласие на обработку IP-адресов для целей аналитики должно быть отдельным от согласия на обработку контактных данных.
Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). Если IP-адрес необходим для исполнения договора с субъектом (например, для аутентификации в онлайн-сервисе или обеспечения безопасности транзакций) — согласие не требуется. Основание должно быть явно указано в политике конфиденциальности.
Законный интерес оператора. В российском праве этот механизм формально не закреплён в ст. 6 так, как в GDPR. РКН не признаёт «балансирующий тест» универсальным основанием — использование этого подхода без дополнительного правового обоснования создаёт риски при проверке.

«Ст. 6 ФЗ-152 — обработка ПДн допустима при наличии одного из 11 оснований: согласие субъекта, исполнение договора, выполнение обязанности оператора, судопроизводство и иные, предусмотренные законом.»

Субъект персональных данных — физическое лицо, которому принадлежат ПДн. В контексте IP-адресов субъектом является пользователь устройства, с которого осуществляется выход в сеть. Важно: для корпоративных сетей за статическим IP-адресом может стоять юридическое лицо, а не физическое — в этом случае ПДн в смысле 152-ФЗ отсутствуют.

Какие категории ПДн применимы к IP-адресам?

IP-адрес не является специальной категорией ПДн по ст. 10 ФЗ-152 (расовая принадлежность, состояние здоровья, судимость и иные). Это общедоступные или иные ПДн в зависимости от способа получения.

Если IP-адрес собирается через открытый сайт без авторизации — он относится к общедоступным персональным данным в широком смысле. Если IP-адрес фиксируется в системе авторизованного доступа в связке с учётной записью — это часть общих ПДн, обрабатываемых оператором на основании договора или согласия.

Практическое значение: уровень защищённости ИСПДн при обработке IP-адресов определяется по ПП РФ №1119. Для общих ПДн без угроз 1-го типа и числе субъектов до 100 000 — как правило, УЗ-3 или УЗ-4.

Что подготовить юристу при квалификации IP-адресов как ПДн

Определить, ведёт ли оператор авторизованный сервис с возможностью соотнести IP с конкретным пользователем — от этого зависит квалификация.
Проверить, включены ли IP-адреса в перечень обрабатываемых ПДн в уведомлении РКН (ст. 22 ФЗ-152) и актуальна ли политика конфиденциальности.
Убедиться, что в политике конфиденциальности прописаны цели, основания (ст. 6 ФЗ-152) и сроки хранения IP-адресов.
Проверить наличие отдельного согласия на обработку IP-адресов для аналитических целей (если основание — согласие по п. 1 ч. 1 ст. 6 ФЗ-152) в редакции после 01.09.2025.
Оценить уровень защищённости ИСПДн по ПП РФ №1119 с учётом категории ПДн и числа субъектов.

Какие принципы обработки действуют для IP-адресов?

Ст. 5 ФЗ-152 закрепляет 7 принципов обработки ПДн — все они применимы к IP-адресам.

Законность и добросовестность: обработка только при наличии основания по ст. 6 ФЗ-152.
Конкретность целей: цель записи IP-адресов (безопасность, аналитика, персонализация) должна быть определена до начала обработки.
Недопустимость объединения: база IP-адресов для аналитики и база IP-адресов для журнала безопасности — это разные цели. Их нельзя объединять в одну обработку без обоснования.
Соответствие объёма целям: нельзя хранить IP-адреса дольше, чем нужно для заявленной цели.
Уничтожение при достижении цели: истекли сроки хранения логов — IP-адреса подлежат уничтожению или обезличиванию.

Если вы юрист и проверяете, включены ли IP-адреса в ОРД компании, — DATUM соберёт полный комплект документов: политику, согласия, приказы и регламенты под ключ. Срок подготовки ОРД — от 10 рабочих дней.

Собрать ОРД под ключ

Типовые ситуации: когда IP-адрес точно является ПДн, а когда — нет

Ситуация 1. Корпоративный сайт с формой обратной связи. Посетитель заполняет форму, оставляет имя и email. Сервер фиксирует IP-адрес в логе запроса. Оператор может однозначно соотнести IP с конкретным субъектом — через данные формы. Квалификация: IP-адрес является ПДн. Доказательства нарушения при проверке: лог-файл + база заявок без указания IP-адресов в политике. Стратегия: включить IP-адреса в политику, добавить в уведомление РКН, определить основание обработки.

Ситуация 2. Публичный информационный сайт без авторизации и форм. Сервер пишет access.log с IP-адресами всех посетителей. Оператор не имеет иных данных о пользователях, договорных отношений с провайдерами нет. Квалификация: спорная — РКН склонен считать IP-адрес ПДн, суды иногда расходятся. Безопасная стратегия: применять обезличивание IP-адресов на уровне аналитики (маскирование последнего октета), срок хранения логов — не более технической необходимости (как правило, 90 дней).

Ситуация 3. SaaS-платформа с авторизованными пользователями. IP-адреса фиксируются в журнале безопасности для выявления подозрительной активности. Каждый IP связан с учётной записью. Квалификация: IP-адрес — ПДн без сомнений. Основание обработки: исполнение договора с пользователем (п. 5 ч. 1 ст. 6 ФЗ-152) или согласие. Требуется: указать IP-адреса в политике, включить в перечень ПДн в уведомлении, установить сроки хранения журналов.

Пример из практики. IT-компания (Центральный ФО, зима 2025–2026) прошла плановую проверку РКН. Инспектор запросил политику конфиденциальности и уведомление в реестре операторов. В политике отсутствовало упоминание IP-адресов, хотя платформа фиксировала их в журнале безопасности для авторизованных пользователей. По итогам проверки выдано предписание об устранении нарушения ч. 2 ст. 18.1 ФЗ-152 и составлен протокол по ч. 3 ст. 13.11 КоАП. Штраф по итогам — в диапазоне десятков тысяч рублей. После обращения к юристам компания дополнила политику, обновила уведомление в РКН и разработала регламент хранения логов.

Смотрите также:

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка политики, ОРД и уведомления РКН по 38 пунктам
Комплект ОРД под ключ — политика конфиденциальности, согласия, приказы, регламенты
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработкой по ст. 3 ФЗ-152 считается любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Автоматическая запись IP-адресов в лог-файл веб-сервера — это сбор и хранение, то есть обработка ПДн в полном смысле ст. 3 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 закрепляет 11 оснований. Для IP-адресов на практике используются два: согласие субъекта (п. 1 ч. 1 ст. 6) и необходимость исполнения договора (п. 5 ч. 1 ст. 6). С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156 от 24.06.2025 — его нельзя включать в текст договора, оферты или политики конфиденциальности.

3. Что грозит за нарушение 152-ФЗ при сборе IP-адресов?

Обработка ПДн без правового основания или без включения в политику конфиденциальности влечёт штраф по ч. 1 ст. 13.11 КоАП — 150–300 тыс. ₽ для юридического лица. Повторное нарушение (ч. 1.1) — 300–500 тыс. ₽. Неуведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) — дополнительно 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП в редакции с 30.05.2025.

4. Нужно ли уведомлять РКН малому бизнесу, если сайт собирает IP-адреса?

Обязанность уведомить РКН по ст. 22 ФЗ-152 распространяется на всех операторов ПДн, если они не подпадают под исключения ч. 2 ст. 22 ФЗ-152 (например, обработка ПДн только работников компании без передачи третьим лицам). Сбор IP-адресов посетителей сайта под эти исключения не подпадает — уведомление обязательно вне зависимости от размера компании.

5. С какого возраста нужно согласие на обработку ПДн, в том числе IP-адресов?

По общему правилу ст. 9 ФЗ-152 согласие даёт сам субъект. Для несовершеннолетних до 18 лет согласие дают законные представители (родители, опекуны). Прямого возрастного ценза в 152-ФЗ нет, однако РКН рекомендует при обработке ПДн детей до 14 лет требовать согласие родителей. Если сервис ориентирован на несовершеннолетних — это необходимо прямо отразить в политике конфиденциальности.

Итог

IP-адрес является персональными данными в смысле ст. 3 ФЗ-152 всякий раз, когда оператор имеет техническую или правовую возможность соотнести его с конкретным физическим лицом. РКН придерживается этой позиции при проверках, и в 2025–2026 годах она применяется к SaaS-платформам, e-commerce и корпоративным сервисам без исключений.

Юристам и операторам ПДн необходимо проверить: включены ли IP-адреса в политику конфиденциальности, указаны ли они в уведомлении в РКН, определены ли цели, основания по ст. 6 ФЗ-152 и сроки хранения. DATUM сопровождает аудит таких вопросов в рамках комплексной проверки соответствия 152-ФЗ.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, политики конфиденциальности для маркетплейсов и мобильных приложений.

9 июня 2026 года