Перейти к содержанию
справочник 6 января 2027 По состоянию на 6 января 2027

Исполнение обязанностей оператора (ст. 6 п. 2)

Оператор персональных данных по ст. 3 ФЗ-152 — государственный или муниципальный орган, юридическое или физическое лицо, которое самостоятельно либо совместно с другими лицами организует и осуществляет обработку ПДн, а также определяет её цели и состав.
Пункт 2 ч. 1 ст. 6 ФЗ-152 разрешает обработку без согласия субъекта, если она необходима для исполнения обязанностей, возложенных на оператора законодательством. С 30.05.2025 нарушение этого основания образует состав по ч. 1 ст. 13.11 КоАП — штраф для юрлица от 150 000 до 300 000 ₽.
→ Если вы юрист и проверяете комплаенс компании по 152-ФЗ — ниже разбор ключевых понятий, оснований обработки и рисков нарушений.

Исполнение обязанностей оператора по ст. 6 п. 2 ФЗ-152 — одно из одиннадцати правовых оснований обработки персональных данных. Юристу важно разграничивать его с договорным основанием (п. 5), согласием (п. 1) и судопроизводством (п. 3), поскольку каждое из них определяет самостоятельный перечень допустимых действий с ПДн и формирует отдельный состав нарушения при злоупотреблении. В 2025 году РКН зафиксировал более 118 инцидентов с ПДн; ст. 13.11 КоАП расширена до 18 частей. Этот справочник охватывает базовые понятия ФЗ-152, структуру оснований обработки и практику применения норм.

Что такое оператор, субъект и обработка ПДн по ст. 3 ФЗ-152?

Персональные данные — любая информация, прямо или косвенно относящаяся к определённому физическому лицу (субъекту). Закон не содержит закрытого перечня: ФИО, телефон, адрес, IP-адрес, идентификатор устройства могут быть ПДн при условии идентифицируемости субъекта.

Субъект персональных данных — физическое лицо, чьи ПДн обрабатываются. Возраст субъекта влияет на порядок получения согласия: до 18 лет согласие дают родители или законные представители; специального порогового возраста для самостоятельного согласия в ФЗ-152 не установлено, однако на практике РКН ориентируется на общую дееспособность по ГК РФ.

Обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Хранение без какого-либо дополнительного использования — уже обработка и требует правового основания.

«Ст. 3 ФЗ-152 — оператор самостоятельно или совместно с иными лицами определяет цели обработки ПДн и её состав. Этим оператор отличается от лица, осуществляющего обработку по его поручению (обработчика).»

Разграничение оператора и обработчика (processor) принципиально для комплаенса: ответственность перед субъектом и РКН несёт оператор, даже если фактически данные обрабатывает подрядчик. Соответствующие обязанности закрепляются в договоре-поручении на обработку по п. 3 ст. 6 ФЗ-152.

Проверяете комплаенс компании по 152-ФЗ?

Пакет ОРД и корректное правовое основание обработки — два разных уровня защиты. Если документы собраны, но основание в уведомлении РКН не совпадает с фактической практикой — это нарушение ч. 1 ст. 13.11 КоАП. Юристы DATUM проведут аудит по чек-листу из 38 пунктов и выдадут план устранения с приоритетами.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как устроены принципы и основания обработки по ст. 5 и ст. 6 ФЗ-152?

Принципы обработки персональных данных закреплены в ст. 5 ФЗ-152. Их семь: законность и добросовестность; ограничение конкретными заранее определёнными целями; недопустимость объединения баз данных с несовместимыми целями; соответствие объёма ПДн заявленным целям; точность и достаточность данных; хранение не дольше, чем требуется для достижения цели; уничтожение или обезличивание по истечении срока.

Нарушение любого из этих принципов образует самостоятельный состав по ч. 1 ст. 13.11 КоАП — обработка ПДн «в случаях, не предусмотренных законодательством, либо несовместимая с целями».

Правовые основания обработки перечислены в ч. 1 ст. 6 ФЗ-152. Их одиннадцать. Наиболее востребованные в корпоративной практике:

  • Пункт 1 — согласие субъекта. Основание по умолчанию. С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется отдельным документом и не может быть частью договора или политики конфиденциальности.
  • Пункт 2 — исполнение обязанностей, возложенных законодательством. Применяется, когда конкретный НПА прямо обязывает оператора собирать или передавать ПДн: воинский учёт, НДФЛ-отчётность, уведомления в ФСС/СФР, сведения в ЕГРЮЛ.
  • Пункт 5 — исполнение договора с субъектом. Оператор вправе обрабатывать ПДн стороны договора без отдельного согласия — в пределах, необходимых для его исполнения.
  • Пункт 3 — поручение обработки третьему лицу. Оператор передаёт данные обработчику на основании договора, в котором прописаны цели, перечень действий и конфиденциальность.
«Ст. 6 п. 2 ФЗ-152 — обработка ПДн допускается без согласия субъекта, если необходима для исполнения полномочий федеральных органов исполнительной власти либо обязанностей, возложенных законодательством РФ на оператора.»

Какие категории ПДн требуют особого основания?

Специальные категории персональных данных по ст. 10 ФЗ-152 — данные о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, судимости. По общему правилу их обработка запрещена; исключения закрытые — согласие субъекта в письменной форме, либо прямо предусмотренное законом основание.

Биометрические персональные данные по ст. 11 ФЗ-152 — физиологические и биологические характеристики, по которым возможна идентификация личности: изображение лица, голос, отпечатки пальцев, ДНК. Обработка — только с письменного согласия, кроме прямо установленных законом случаев. С 01.06.2023 по ФЗ-572 хранение биометрии вне Единой биометрической системы (ЕБС) запрещено.

Общедоступные персональные данные — данные, размещённые субъектом в открытом источнике (справочнике, социальной сети) с его согласия. Доступность данных в публичном источнике не освобождает оператора от соблюдения принципов ст. 5 и не означает возможность неограниченной обработки.

Что проверить юристу при аудите основания обработки

  • Совпадает ли правовое основание в уведомлении РКН с фактически применяемым (согласие / закон / договор).
  • Оформлено ли согласие отдельным документом для каждой цели обработки (требование ФЗ-156 с 01.09.2025).
  • Определены ли цели обработки конкретно: общая формулировка «для деятельности компании» не соответствует ст. 5 ФЗ-152.
  • Заключён ли договор-поручение с каждым подрядчиком, которому передаются ПДн (п. 3 ст. 6 ФЗ-152).
  • Назначено ли лицо, ответственное за организацию обработки, по ст. 22.1 ФЗ-152.

Если вы юрист и проверяете ОРД компании — DATUM собирает полный пакет из 38 документов под ключ: политика, согласия, приказы, регламент реагирования на утечки. Срок — от 10 рабочих дней.

Собрать ОРД под ключ

Типовые ситуации применения ст. 6 п. 2 ФЗ-152

Ситуация 1. Работодатель передаёт ПДн работника в СФР. Основание — п. 2 ст. 6: обязанность по персонифицированному учёту установлена Федеральным законом об индивидуальном учёте. Согласие работника не требуется. Однако объём передаваемых данных должен строго соответствовать требованиям НПА — дополнительные сведения сверх обязательных форм потребуют самостоятельного основания.

Ситуация 2. Медицинская организация передаёт данные пациента в ЕГИСЗ. Основание — п. 2 ст. 6 в совокупности с нормами ФЗ-323 «Об основах охраны здоровья граждан». Данные пациента — спецкатегория по ст. 10 ФЗ-152 (состояние здоровья). Передача в ЕГИСЗ прямо предусмотрена законом, поэтому согласия на саму передачу не требуется, но согласие на обработку медицинских сведений в МИС должно быть получено при оказании услуги.

Ситуация 3. Компания не имеет ни одного корректного основания. Оператор собирает контактные данные клиентов через форму сайта, однако ни согласие (п. 1), ни договор (п. 5) не оформлены, а п. 2 к коммерческой деятельности неприменим. При проверке РКН — протокол по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица). При повторности — ч. 1.1 (300 000–500 000 ₽). Если данные передаются третьим лицам без поручения — отдельный состав по ч. 2 (до 700 000 ₽).

Практика. В деле компании из Сибирского ФО (первое полугодие 2026) юрист при плановой проверке РКН обнаружил, что в уведомлении в реестре операторов указано основание «согласие», тогда как фактически компания обрабатывала данные в рамках зарплатного проекта на основании п. 2 ст. 6. Несоответствие устранили до начала проверки: подали уточнённое уведомление и привели ОРД в соответствие. РКН ограничился предписанием без штрафа.

Услуги DATUM по теме

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой считается любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление или уничтожение. Даже хранение без активного использования — уже обработка, требующая правового основания по ст. 6.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 содержит одиннадцать оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение обязанностей, возложенных законодательством (п. 2), исполнение договора с субъектом (п. 5). Обработка без хотя бы одного из них образует состав нарушения по ч. 1 ст. 13.11 КоАП. Выбор основания должен соответствовать фактической деятельности и быть зафиксирован в уведомлении РКН и локальных актах.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП в редакции с 30.05.2025 — от 30 000 до 700 000 ₽ за базовые нарушения. При утечке данных от 1 000 субъектов — от 3 000 000 до 15 000 000 ₽ (ч. 12–14). При повторной утечке — оборотный штраф 1–3% годовой выручки, не менее 20 000 000 ₽ (ч. 15). С 11.12.2024 действует ст. 272.1 УК РФ: за незаконное использование компьютерной информации, содержащей ПДн, — до 10 лет лишения свободы (ч. 5).

4. Нужно ли уведомлять РКН малому бизнесу?

По ст. 22 ФЗ-152 обязанность уведомлять РКН о намерении обрабатывать ПДн распространяется на всех операторов, кроме тех, кто подпадает под исчерпывающий перечень исключений ч. 2 ст. 22. Исключения касаются, в частности, обработки данных работников в рамках трудовых отношений и обработки в целях однократного пропуска физических лиц. Если компания обрабатывает данные клиентов — уведомление обязательно вне зависимости от размера бизнеса. Неуведомление с 30.05.2025 — ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает специального возрастного порога для самостоятельного согласия. На практике применяется общая логика гражданской дееспособности: до 14 лет согласие даёт законный представитель, с 14 до 18 лет — вопрос спорный, регулятор рекомендует получать совместное согласие подростка и родителя. При обработке данных несовершеннолетних в образовательных организациях согласие родителей является стандартной практикой.

Итог

Пункт 2 ст. 6 ФЗ-152 — самостоятельное правовое основание обработки ПДн, применимое только там, где конкретный НПА прямо возлагает на оператора соответствующую обязанность. Подмена этого основания согласием или его смешение с договорным основанием влечёт несоответствие уведомления РКН фактической практике и риск штрафа по ч. 1 или ч. 2 ст. 13.11 КоАП.

Юристы DATUM сопровождают операторов при взаимодействии с Роскомнадзором, проводят аудит оснований обработки и формируют ОРД под конкретную структуру бизнеса — без шаблонов, применяемых ко всем клиентам без разбора.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

6 января 2027 года