аналитика 17 октября 2027 По состоянию на 17 октября 2027

Исполнение возложенных обязанностей: госфункции

Обработка персональных данных при исполнении государственных функций — самостоятельное правовое основание по п. 2 ч. 1 ст. 6 ФЗ-152, которое не требует согласия субъекта.

С 30.05.2025 штрафы по ст. 13.11 КоАП выросли до 15 млн ₽ за утечку от 100 000 субъектов; оборотный штраф при повторном нарушении — от 20 млн ₽ до 500 млн ₽. Организации, обрабатывающие ПДн в рамках госфункций, несут ответственность наравне с коммерческими операторами.

→ Если вы юрист и проверяете, как компания обрабатывает ПДн при исполнении обязанностей по закону — ниже разобраны нормы, основания и типовые риски.

Исполнение возложенных обязанностей как основание обработки персональных данных охватывает широкий круг операторов: от государственных органов и органов местного самоуправления до частных организаций, которым делегированы публичные функции — лицензированные клиники, образовательные учреждения, нотариусы, операторы связи по СОРМ. Для юриста, проверяющего комплаенс организации, важно разграничить, когда именно обработка ПДн происходит на основании ст. 6 ФЗ-152, а когда требуется отдельное согласие субъекта. Ошибка в квалификации основания — прямой путь к протоколу по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

Что понимается под обработкой ПДн при исполнении госфункций?

Статья 3 ФЗ-152 определяет обработку персональных данных широко: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Любое из этих действий с информацией, позволяющей идентифицировать физическое лицо, подпадает под регулирование закона.

Понятие «исполнение возложенных обязанностей» в контексте ФЗ-152 охватывает два случая. Первый — обработка государственными и муниципальными органами в рамках полномочий, установленных нормативными актами. Второй — обработка организациями, которым закон или подзаконный акт вменяет конкретную обязанность по работе с персональными данными граждан: работодатели по ТК РФ, медицинские организации по ФЗ-323, операторы связи по ФЗ-126.

«П. 2 ч. 1 ст. 6 ФЗ-152: обработка ПДн допускается без согласия субъекта, если она необходима для достижения целей, предусмотренных международным договором или законом, для осуществления и выполнения возложенных на оператора функций, полномочий и обязанностей.»

Ключевое слово — «необходима». Объём обрабатываемых данных должен соответствовать целям, закреплённым в конкретной норме. Если закон обязывает работодателя хранить паспортные данные работника, это не означает право на сбор данных о состоянии здоровья без дополнительного основания. Принцип соответствия объёма закреплён в ст. 5 ФЗ-152 и нарушается чаще, чем отсутствие самого основания.

Какие правовые основания применяются при обработке ПДн в госфункциях?

Статья 6 ФЗ-152 устанавливает одиннадцать оснований обработки. При исполнении госфункций и публичных обязанностей применимы следующие.

П. 2 ч. 1 ст. 6 ФЗ-152 — основное основание для государственных органов и организаций с делегированными публичными функциями. Применяется, когда конкретный нормативный акт прямо возлагает на оператора обязанность обрабатывать ПДн. Примеры: ведение реестров, выдача лицензий, администрирование налогов, СОРМ.

П. 3 ч. 1 ст. 6 ФЗ-152 — обработка в целях осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица. Применяется судебными приставами, судами, арбитражными управляющими.

П. 5 ч. 1 ст. 6 ФЗ-152 — обработка для исполнения договора с субъектом ПДн. Используется в сочетании с п. 2, когда отношения оформлены договором, но содержат элементы публичной функции — например, ОМС-договор между страховщиком и застрахованным.

Для специальных категорий данных (ст. 10 ФЗ-152 — состояние здоровья, судимости, биометрия) даже при исполнении госфункций требуются дополнительные основания из ч. 2 ст. 10 и ст. 11 ФЗ-152. Медицинские организации, обрабатывающие диагнозы по ОМС, обязаны иметь отдельные основания, а не полагаться только на п. 2 ч. 1 ст. 6.

Не уверены, правильно ли определено основание обработки в вашей организации?

Квалификация основания обработки — один из ключевых вопросов при проверке РКН. Ошибка в выборе между п. 2 и п. 5 ч. 1 ст. 6 ФЗ-152 или отсутствие отдельного основания для спецкатегорий ведёт к штрафу по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица). Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие принципы ФЗ-152 действуют при исполнении госфункций?

Статья 5 ФЗ-152 формулирует семь принципов обработки, которые действуют независимо от основания — в том числе при исполнении возложенных обязанностей. На практике государственные органы и организации с публичными функциями нарушают их чаще коммерческих операторов: из-за инерции административных систем, устаревших регламентов и слабого внутреннего контроля.

Принцип конкретных целей. Обработка допускается только для целей, определённых до её начала. Если орган собирает ПДн для выдачи лицензии, он не вправе использовать те же данные для рассылки информационных материалов без отдельного основания.

Принцип недопустимости объединения баз. Нельзя объединять базы данных, созданные для несовместимых целей. Нарушение типично для межведомственного обмена данными, не обеспеченного соглашением об уровне сервиса и правовым обоснованием.

Принцип минимизации. Состав данных должен соответствовать целям обработки. Избыточный сбор — например, требование копии водительского удостоверения там, где достаточно ИНН — прямое нарушение ст. 5 ФЗ-152.

Принцип ограничения сроков. ПДн подлежат уничтожению или обезличиванию при достижении целей обработки или утрате необходимости в ней. Бессрочное хранение административных баз без правового обоснования — нарушение, которое РКН фиксирует при плановых проверках.

Что подготовить для подтверждения законности обработки при госфункциях

Перечень нормативных актов, возлагающих на организацию конкретные обязанности по обработке ПДн (со ссылкой на статью и пункт)
Матрицу оснований обработки для каждой категории данных и цели (ст. 6, ст. 10, ст. 11 ФЗ-152)
Политику обработки персональных данных с разделами по ч. 2 ст. 18.1 ФЗ-152, размещённую на сайте организации
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
Актуальное уведомление в реестре операторов на pd.rkn.gov.ru с корректным перечнем оснований

Какие риски возникают при обработке ПДн на основании госфункций?

Наличие законного основания по п. 2 ч. 1 ст. 6 ФЗ-152 не освобождает от ответственности за нарушение других требований закона. Типовые риски распределяются по нескольким направлениям.

Отсутствие уведомления в реестре РКН. Часть 1 ст. 22 ФЗ-152 обязывает оператора уведомить Роскомнадзор до начала обработки. Исключения перечислены в ч. 2 ст. 22 и не распространяются автоматически на все госфункции. Отсутствие уведомления — штраф по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽).

Ненадлежащая публикация политики. Статья 18.1 ФЗ-152 обязывает оператора опубликовать политику обработки персональных данных. Отсутствие или неполнота документа — штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽ для юрлица). Государственные органы не освобождены от этого требования.

Нарушение срока ответа на запрос субъекта. По ст. 20 ФЗ-152 оператор обязан ответить на обращение субъекта в течение 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Государственные органы нередко путают этот срок с административным регламентом и нарушают его — штраф по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽).

Утечка данных без уведомления РКН. При обнаружении инцидента оператор обязан уведомить РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152), через 72 часа — направить отчёт о результатах внутреннего расследования по Приказу РКН №187. Неуведомление — штраф по ч. 11 ст. 13.11 КоАП (1 000 000–3 000 000 ₽).

Если вы юрист и обнаружили, что организация не уведомила РКН об обработке ПДн в рамках госфункций или отсутствует политика обработки — времени на исправление меньше, чем кажется: плановые проверки РКН инициируются по индикаторам риска в реестре операторов. Юристы DATUM соберут пакет ОРД и подадут уведомление в РКН.

Собрать ОРД под ключ

Как это применяется на практике: разбор сценариев

Три типовые ситуации для юриста, проверяющего комплаенс организации с публичными функциями.

Сценарий 1. Организация ссылается на п. 2 ч. 1 ст. 6 ФЗ-152, но нормативного акта с прямой обязанностью нет. Ситуация: муниципальное учреждение собирает паспортные данные посетителей для «целей безопасности» без ссылки на конкретный закон или постановление. Доказательства: отсутствие нормативного акта, возлагающего такую обязанность, фиксируется в ходе документальной проверки РКН. Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Стратегия: до проверки — определить реальное правовое основание или перейти на согласие субъекта по ст. 9 ФЗ-152.

Сценарий 2. Основание есть, но объём данных избыточен. Ситуация: лицензируемая организация (например, частная охранная компания) собирает биометрические данные сотрудников для СКУД, ссылаясь на требования отраслевого регламента. Однако регламент не предусматривает именно биометрию — достаточно пропускного кода. Доказательства: несоответствие объёма данных цели, закреплённой в нормативном акте. Вероятный исход: штраф по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽) за обработку биометрии без надлежащего основания. Стратегия: провести аудит соответствия объёма данных норме, заменить биометрию СКУД на основание без специальных категорий или оформить письменное согласие по ст. 11 ФЗ-152.

Сценарий 3. Межведомственная передача ПДн без соглашения об обработке по поручению. Ситуация: государственный орган передаёт базу ПДн подрядчику для технического обслуживания информационной системы без договора поручения по п. 3 ч. 1 ст. 6 и ч. 3 ст. 6 ФЗ-152. Доказательства: отсутствие договора поручения с перечнем допустимых действий фиксируется при документальной проверке. Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП, при утечке через подрядчика — оператор несёт ответственность за действия обработчика. Стратегия: заключить договор поручения с исчерпывающим перечнем допустимых действий и условием ответственности подрядчика.

Как применяется тема на практике в судах и РКН

Кейс 1. Организация бюджетной сферы (Сибирский ФО, весна 2025): РКН провёл внеплановую проверку по жалобе субъекта. Выявлено отсутствие уведомления в реестре операторов и ненадлежащая политика обработки ПДн. Организация ссылалась на исполнение госфункций как основание для освобождения от уведомления. РКН констатировал, что ч. 2 ст. 22 ФЗ-152 не содержит такого исключения для данного типа организаций. Назначен штраф в размере сотен тысяч рублей по совокупности нарушений. По итогам проверки юристы подготовили полный пакет ОРД и подали уведомление в РКН.

Кейс 2. Образовательное учреждение (Северо-Западный ФО, осень 2025): подрядчик по техническому обслуживанию информационной системы допустил утечку персональных данных обучающихся. Оператор (учреждение) не уведомил РКН в течение 24 часов, сославшись на необходимость установить источник. РКН возбудил дело по ч. 11 ст. 13.11 КоАП (штраф 1–3 млн ₽). Ответственность оператора за действия подрядчика была подтверждена — договор поручения отсутствовал. После инцидента оформлен договор поручения, внедрён регламент реагирования на утечки за 24/72 часа.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки, объёма данных и полноты ОРД
Комплект ОРД под ключ — политика, приказы, матрица оснований обработки, журналы
DPO-аутсорсинг — абонентское сопровождение функции ответственного по ст. 22.1 ФЗ-152

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой считается любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение — как с использованием средств автоматизации, так и без них. Просмотр бумажной анкеты сотрудника — тоже обработка ПДн по закону.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 устанавливает одиннадцать оснований. Наиболее часто применяемые: согласие субъекта (п. 1), исполнение возложенных обязанностей по закону (п. 2), исполнение договора с субъектом (п. 5), осуществление правосудия (п. 3). Для специальных категорий данных (ст. 10) и биометрии (ст. 11) действуют отдельные основания. Одно основание может покрывать несколько целей, но объём данных должен соответствовать каждой из них.

3. Что грозит за нарушение 152-ФЗ?

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей. За обработку без законного основания — ч. 1 (150 000–300 000 ₽ для юрлица). За обработку без письменного согласия, когда оно обязательно, — ч. 2 (300 000–700 000 ₽). За утечку от 100 000 субъектов — ч. 14 (10 000 000–15 000 000 ₽). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. С 11.12.2024 действует ст. 272.1 УК РФ — уголовная ответственность до 10 лет лишения свободы за незаконное использование ПДн.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ч. 1 ст. 22 ФЗ-152 уведомить РКН обязан любой оператор до начала обработки ПДн. Исключения перечислены в ч. 2 ст. 22 ФЗ-152 — это, например, обработка ПДн сотрудников исключительно в целях трудовых отношений или данных участников разовых договоров. Малый бизнес не освобождён от уведомления автоматически: нужно проверить, подпадает ли конкретная обработка под исключения. Отсутствие уведомления при отсутствии исключения — штраф по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽).

5. С какого возраста нужно согласие на ПДн?

По общему правилу ФЗ-152 субъект ПДн — физическое лицо любого возраста; согласие от имени несовершеннолетних до 18 лет дают законные представители (родители, опекуны). Специального возрастного порога в ФЗ-152 нет, но ряд отраслевых актов (в сфере образования, медицины) устанавливает особые правила для несовершеннолетних. С 01.09.2025 согласие по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 оформляется отдельным документом — это требование применяется и к согласиям законных представителей.

Итог

Обработка персональных данных при исполнении государственных функций требует такого же документального сопровождения, как и любая коммерческая обработка: уведомление в реестре РКН, политика обработки, матрица оснований по ст. 6 и ст. 10 ФЗ-152, договор поручения с подрядчиками. Ссылка на «выполнение закона» без конкретного нормативного акта не защищает от штрафа. С 30.05.2025 суммы санкций по ст. 13.11 КоАП существенно выросли, а уголовная ответственность по ст. 272.1 УК действует с 11.12.2024.

Практика DATUM включает аудит операторов ПДн с публичными функциями, формирование пакета ОРД под требования ФЗ-152 в актуальной редакции и сопровождение взаимодействия с РКН при проверках и инцидентах.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в SaaS, трансграничные сервисы аналитики, политики конфиденциальности для маркетплейсов и мобильных приложений.