справочник 11 октября 2026 По состоянию на 11 октября 2026

Категории действий с ПДн: сбор, хранение, передача

Обработка персональных данных — любое действие или совокупность действий с ПДн независимо от способа: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152).

Каждое из этих действий требует правового основания по ст. 6 ФЗ-152. Отсутствие основания — нарушение, за которое ч. 1 ст. 13.11 КоАП назначает штраф 150 000–300 000 ₽ для юрлица, а при повторности по ч. 1.1 — до 500 000 ₽.

→ Если вы юрист и проверяете комплаенс компании — этот справочник даёт точный перечень действий, норм и правовых оснований для внутреннего аудита ОРД.

Закон не разграничивает «разрешённые» и «запрещённые» действия с ПДн: запрещено действие без надлежащего основания. Понимание состава обработки — отправная точка для любого юриста, который проверяет документацию оператора. Ниже — разбор каждой категории действий, применимые нормы ФЗ-152 и типовые ошибки.

Что включает понятие «обработка ПДн» по ст. 3 ФЗ-152?

Обработка персональных данных — это открытый перечень из одиннадцати действий, закреплённый в п. 3 ст. 3 ФЗ-152. Закон перечисляет их через союз «или» и завершает формулой «либо совокупность действий». Это означает: даже единственное действие с информацией о физическом лице образует обработку и влечёт обязанности оператора.

«Ст. 3 п. 3 ФЗ-152 — обработка ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.»

Оператор (ст. 3 п. 2 ФЗ-152) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн. Ключевое слово — «самостоятельно организующие»: если компания определяет цели и состав обработки, она является оператором вне зависимости от того, кто технически обрабатывает данные.

Субъект ПДн (ст. 3 п. 1 ФЗ-152) — физическое лицо, которому принадлежат обрабатываемые данные. Субъект вправе требовать от оператора информацию об обработке, уточнения, блокирования и уничтожения своих данных (ст. 14, 20, 21 ФЗ-152).

Каковы основные категории действий с ПДн: сбор, хранение, передача?

Сбор ПДн — первичное получение данных от субъекта или из иных источников. Форма не имеет значения: анкета при трудоустройстве, заявка на сайте, запрос в БКИ, съёмка камерой видеонаблюдения. С момента сбора оператор обязан иметь правовое основание по ст. 6 ФЗ-152 и уведомить РКН о намерении обрабатывать (ст. 22 ФЗ-152), если нет исключений.

Запись и накопление — фиксация ПДн на материальном носителе или в информационной системе. Запись автоматически означает хранение, которое становится самостоятельной категорией, влекущей требования к защите по ст. 19 ФЗ-152 и ПП РФ №1119.

Систематизация — упорядочивание ПДн по любому признаку (хронологическому, алфавитному, по атрибуту). Создание CRM-базы или кадрового реестра — систематизация. При этом ст. 5 ФЗ-152 запрещает объединять базы с несовместимыми целями: база клиентов для продаж и база соискателей не могут быть одной системой, если цели разные.

Хранение ПДн — поддержание данных в состоянии, позволяющем их идентифицировать. Срок хранения должен соответствовать цели: по достижении цели или утрате необходимости — уничтожение или обезличивание (ст. 5 ч. 4 ФЗ-152). Нарушение сроков — типовое замечание при проверках РКН.

Проверяете ОРД компании — с чего начать?

Если юрист проводит внутренний аудит ОРД, первый шаг — сопоставить фактические действия с ПДн с задокументированными основаниями и целями. Несоответствие хотя бы по одной категории действий образует нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Юристы DATUM проведут аудит по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Уточнение (обновление, изменение) — внесение поправок в уже хранящиеся данные. Оператор обязан поддерживать ПДн в актуальном и достоверном состоянии (ст. 5 ч. 1 п. 4 ФЗ-152). Если субъект сообщил об изменении адреса или фамилии, оператор обязан обновить данные в течение 7 рабочих дней.

Извлечение — получение ПДн из базы для любого использования. Запрос сотрудника к CRM или выгрузка отчёта — извлечение. Логирование извлечений обязательно при обработке специальных категорий (ст. 10 ФЗ-152) и при УЗ-1, УЗ-2 по ПП РФ №1119.

Использование — применение ПДн для совершения действий, ради которых проводилась обработка: направление уведомлений, формирование коммерческого предложения, расчёт заработной платы. Использование для цели, отличной от той, ради которой данные собирались, — нарушение ст. 5 ФЗ-152.

Чем различаются передача, распространение, предоставление и доступ к ПДн?

Закон разграничивает три формы передачи, объединяя их в одну категорию действий:

Распространение ПДн — раскрытие неограниченному кругу лиц. Публикация данных работника на сайте компании без его согласия или передача базы клиентов в открытый доступ — распространение. Требует отдельного согласия с разрешением на распространение по ст. 10.1 ФЗ-152; молчание субъекта означает запрет.

Предоставление ПДн — раскрытие определённому лицу или кругу лиц. Передача данных работника в банк для зарплатного проекта — предоставление. Основание: согласие субъекта (п. 1 ст. 6) или договор, участником которого является субъект (п. 5 ст. 6).

Доступ к ПДн — ознакомление конкретного лица с данными без фактической передачи. Предоставление права просматривать базу внешнему аудитору или передача базы на обработку по поручению (п. 3 ст. 6 ФЗ-152) — доступ. Поручение обработки требует договора с обработчиком, содержащего обязательные условия по ч. 3 ст. 6.

Трансграничная передача ПДн (ст. 12 ФЗ-152) — передача данных за пределы России. До передачи в страну, не входящую в перечень адекватной защиты, оператор обязан уведомить РКН. Нарушение влечёт нарушение требований ст. 12 и может повлечь штраф по ч. 1 ст. 13.11 КоАП.

Если юрист обнаружил в договорах с подрядчиками условия о доступе к ПДн без надлежащего поручения — это нарушение п. 3 ст. 6 ФЗ-152. Штраф по ч. 1 ст. 13.11 КоАП — 150 000–300 000 ₽ для юрлица. Юристы DATUM соберут пакет ОРД, включая договоры поручения обработки, за фиксированную стоимость.

Собрать ОРД под ключ

Обезличивание, блокирование, удаление, уничтожение: в чём разница?

Обезличивание ПДн — действия, в результате которых данные перестают однозначно идентифицировать субъекта без дополнительной информации. С 2025 года методы обезличивания для операторов-госорганов и для передачи в ЕИП НСУД закреплены подзаконными актами РКН (введение идентификаторов, изменение состава/семантики, декомпозиция, перемешивание, обобщение).

Блокирование ПДн — временное прекращение обработки при сохранении данных. Применяется при поступлении запроса субъекта о проверке достоверности данных или при возражении против обработки. Блокирование не означает уничтожения.

Удаление — исключение ПДн из информационной системы. В отличие от уничтожения, удаление может быть обратимым при наличии резервных копий — это важно при проверке соответствия требованию ст. 21 ФЗ-152 об уничтожении.

Уничтожение ПДн — действия, после которых восстановление данных невозможно. Требуется по истечении срока обработки, при достижении цели, при отзыве согласия субъектом (если нет иного основания) и при выявлении незаконной обработки. Факт уничтожения фиксируется актом.

Что проверить юристу по категориям действий с ПДн

Задокументированы ли цели для каждой категории действий (сбор, хранение, передача) в политике и согласиях по ст. 18.1 и ст. 9 ФЗ-152.
Есть ли договоры поручения обработки с каждым внешним обработчиком, получающим доступ к ПДн по п. 3 ст. 6 ФЗ-152.
Установлены ли сроки хранения по каждой категории ПДн и порядок уничтожения по их истечении.
Получены ли отдельные согласия на распространение ПДн (ст. 10.1 ФЗ-152) там, где данные публикуются.
Направлено ли уведомление в РКН о трансграничной передаче (ст. 12 ФЗ-152), если подрядчики или сервисы находятся за рубежом.

Практические ситуации: когда категория действий становится нарушением

Ситуация 1. Хранение без актуального основания. Компания хранит резюме кандидатов, не прошедших отбор, без их согласия на хранение после завершения отбора. Цель обработки (отбор) достигнута, основание исчезло. По ст. 5 ФЗ-152 данные подлежат уничтожению. При проверке РКН — нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽. Стратегия: закрепить в ОРД срок хранения резюме (например, 6 месяцев с момента отказа) и автоматическую процедуру уничтожения.

Ситуация 2. Передача без поручения. ИТ-подрядчик по договору на техподдержку получает доступ к базе клиентов оператора. Договор поручения обработки не заключён. Подрядчик де-факто является обработчиком, но без надлежащего основания. Нарушение п. 3 ст. 6 ФЗ-152. При утечке через подрядчика ответственность несёт оператор (принцип ВС РФ). Стратегия: оформить договор поручения с обязательными условиями до предоставления доступа.

Ситуация 3. Распространение без отдельного согласия. Компания публикует на сайте фотографии сотрудников с указанием ФИО и должности, включив это условие в трудовой договор, а не в отдельное согласие. С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156). Условие в трудовом договоре не заменяет согласия на распространение по ст. 10.1 ФЗ-152. Нарушение ч. 2 ст. 13.11 КоАП — штраф 300 000–700 000 ₽. Стратегия: собрать отдельные согласия на распространение с каждым сотрудником, сведения о котором размещены публично.

Кейс из практики. В компании розничной торговли (Сибирский ФО, начало 2026 года) аудит выявил: CRM-система содержала ПДн клиентов с 2019 года без документально закреплённых сроков хранения. Часть данных относилась к завершённым договорам семилетней давности. По результатам аудита оператор утвердил политику хранения, уничтожил устаревшие записи с составлением актов и направил обновлённое уведомление в РКН по ст. 22 ФЗ-152. Проверка РКН, инициированная жалобой субъекта, завершилась без назначения штрафа — в связи с устранением нарушений до вынесения постановления.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка фактических действий с ПДн против задокументированных оснований
Комплект ОРД под ключ — политика, согласия, договоры поручения, журналы и акты уничтожения
DPO-аутсорсинг — ведение функции ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Любое действие с информацией, позволяющей прямо или косвенно идентифицировать физическое лицо. Перечень в п. 3 ст. 3 ФЗ-152 включает одиннадцать категорий — от сбора до уничтожения. Даже однократный просмотр данных в базе (извлечение) образует обработку. Обработка без правового основания по ст. 6 ФЗ-152 — административное правонарушение по ч. 1 ст. 13.11 КоАП.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 устанавливает одиннадцать правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), выполнение обязанности оператора, установленной законом (п. 2). Согласие с 01.09.2025 оформляется отдельным документом — не может быть включено в трудовой договор, оферту или пользовательское соглашение (ФЗ-156 от 24.06.2025).

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП в редакции с 30.05.2025: штрафы от 30 000 ₽ (ч. 3, за отсутствие политики) до 15 000 000 ₽ (ч. 14, за утечку более 100 000 субъектов). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 ₽ и не более 500 000 000 ₽. Уголовная ответственность по ст. 272.1 УК РФ (действует с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

Обязанность уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) распространяется на всех операторов вне зависимости от размера бизнеса, если нет исключений из ч. 2 ст. 22. Исключения: обработка данных работников в кадровых целях собственным работодателем, обработка без использования средств автоматизации в определённых случаях. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

По общему правилу ФЗ-152 не устанавливает возрастной ценз — согласие даёт сам субъект. На практике для несовершеннолетних до 14 лет согласие оформляется от законных представителей (родителей, опекунов) по аналогии с гражданской дееспособностью (ст. 26, 28 ГК РФ). Для несовершеннолетних 14–18 лет — собственное согласие субъекта. В образовательных организациях при обработке ПДн детей практика РКН требует согласия родителей вне зависимости от возраста ребёнка.

Итог

Каждая категория действий с ПДн — сбор, хранение, передача в любой форме, обезличивание, уничтожение — требует отдельного правового обоснования по ст. 6 ФЗ-152, зафиксированного в ОРД. Типовые нарушения: хранение после истечения срока обработки, передача данных подрядчику без договора поручения, публикация ПДн без отдельного согласия на распространение.

Юристы DATUM сопровождают операторов при аудите фактических процессов обработки, формировании пакета ОРД и взаимодействии с РКН. Практика по ФЗ-152 с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.