справочник 21 сентября 2026 По состоянию на 21 сентября 2026

Категории субъектов ПДн: работники, клиенты, контрагенты

Субъект персональных данных по ст. 3 ФЗ-152 — физическое лицо, которое прямо или косвенно идентифицируется через обрабатываемую информацию. Закон не делит субъектов на категории напрямую, однако правовые основания, объём данных и риски нарушений принципиально различаются в зависимости от роли физического лица: работник, клиент или контрагент.

Для юриста компании это означает разные наборы документов, разные статьи ФЗ-152 и разные части ст. 13.11 КоАП при проверке РКН. Ошибка в правовом основании обработки — штраф от 150 000 до 700 000 ₽ уже по первичному составу.

→ Если вы юрист и проверяете комплаенс компании — ниже разбор трёх ключевых категорий субъектов с нормами и практикой 2025–2026.

ФЗ-152 «О персональных данных» использует единое понятие «субъект ПДн», но на практике оператор работает с принципиально разными группами физических лиц. Работники находятся под дополнительной защитой ст. 86–88 Трудового кодекса. Клиенты чаще всего дают согласие в рамках договора. Физические лица — контрагенты или представители контрагентов — нередко вовсе выпадают из зоны внимания юридической службы. Разбор ниже структурирован по категориям, каждая из которых снабжена ключевыми нормами, типовыми правовыми основаниями и рисками.

Что такое субъект ПДн и как определяется категория данных?

Субъект персональных данных — физическое лицо, чьи данные обрабатывает оператор. Понятие закреплено в ст. 3 ФЗ-152. Юридическое лицо субъектом не является: ИНН и реквизиты организации под действие ФЗ-152 не подпадают, а вот ФИО директора или подпись физлица — уже персональные данные.

Оператор персональных данных — организация или физическое лицо, самостоятельно или совместно с другими определяющее цели и состав обработки ПДн (ст. 3 ФЗ-152). Практически любая компания, нанимающая работников или продающая товары физлицам, является оператором.

Обработка персональных данных — любое действие с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Подписание трудового договора, занесение реквизитов клиента в CRM, хранение сканов паспортов контрагентов — всё это обработка.

«Ст. 5 ФЗ-152 закрепляет 7 принципов обработки: законность и добросовестность; конкретность и заранее определённые цели; недопустимость объединения баз с несовместимыми целями; соответствие объёма данных заявленным целям; точность и достаточность сведений; хранение не дольше, чем требуют цели; уничтожение или обезличивание при достижении целей обработки.»

Нарушение любого из этих принципов — самостоятельное основание для привлечения по ч. 1 ст. 13.11 КоАП (обработка, несовместимая с целями), штраф для юрлица — 150 000–300 000 ₽ в редакции с 30.05.2025.

Юрист компании проверяет комплаенс по 152-ФЗ — с чего начать?

Разграничение субъектов ПДн по категориям — первый шаг аудита. Следующий — проверка правовых оснований и состава документов по каждой категории. Без этого карта рисков по ст. 13.11 КоАП останется неполной. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений. Срок включения в реестр РКН после подачи уведомления — 30 дней: не откладывайте проверку статуса.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Работники: какие нормы применяются и что обязан оператор?

Персональные данные работника — сведения, необходимые работодателю для реализации трудовых отношений (ст. 85 ТК РФ). Обработка допустима без согласия работника, если она необходима для исполнения трудового договора (п. 5 ч. 1 ст. 6 ФЗ-152). Однако ряд случаев всё равно требует письменного согласия: передача данных третьим лицам, обработка специальных категорий (диагноз, судимость), биометрия в СКУД.

Ст. 86 ТК РФ устанавливает цели обработки ПДн работника — исключительно для реализации трудового законодательства. Это ключевое ограничение: использовать кадровую базу для маркетинговых рассылок нельзя без отдельного согласия. Ст. 88 ТК запрещает передавать ПДн работника третьей стороне без его письменного согласия, кроме случаев, прямо предусмотренных законом.

С 01.09.2025 согласие на обработку ПДн работника, если оно требуется, должно быть оформлено отдельным документом — не встроено в трудовой договор или должностную инструкцию (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Согласия, полученные до 01.09.2025 в составе иных документов, не нуждаются в обязательном переоформлении — обратной силы поправки не имеют. Новые документы с 01.09.2025 — только отдельный документ.

«Ст. 9 ФЗ-152 (ред. с 01.09.2025, ФЗ-156): согласие субъекта оформляется отдельным документом, не объединяется с договором, политикой или офертой. Обязательные реквизиты — ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Типовые правовые основания для обработки ПДн работников: п. 2 ч. 1 ст. 6 (исполнение обязанностей, возложенных на оператора законом) и п. 5 ч. 1 ст. 6 (исполнение трудового договора). Хранение личного дела — 75 лет (типовой срок по приказам Росархива). При увольнении уничтожать ПДн немедленно нельзя: сроки хранения определяются нормативными актами об архивном деле.

Клиенты: на каком основании обрабатываются данные и что требует согласия?

Субъект-клиент — физическое лицо, вступившее в договорные или преддоговорные отношения с оператором. Для обработки ПДн в рамках исполнения договора согласие не требуется: достаточно основания по п. 5 ч. 1 ст. 6 ФЗ-152 (необходимость для исполнения договора, стороной которого является субъект). Это покрывает: имя, адрес доставки, платёжные реквизиты, историю заказов.

Согласие по ст. 9 ФЗ-152 требуется в случаях, выходящих за рамки договора: маркетинговые рассылки, профилирование, передача партнёрам для их самостоятельных целей, обработка данных о предпочтениях и поведении для таргетинга. Отдельное согласие на распространение ПДн (публикация отзыва с именем, упоминание в кейсе) — ст. 10.1 ФЗ-152: без него по умолчанию данные считаются предназначенными только для оператора.

Cookies на сайте РКН квалифицирует как персональные данные при наличии возможности идентификации пользователя. Без баннера согласия при первом визите — нарушение ч. 1 ст. 13.11 КоАП. Использование Google Analytics 4 или Meta Pixel предполагает трансграничную передачу ПДн: до передачи в страны без адекватной защиты оператор обязан уведомить РКН по ст. 12 ФЗ-152.

Если юрист обнаружил, что клиентские данные обрабатываются без надлежащего основания или уведомление РКН устарело — риск штрафа по ч. 1 ст. 13.11 (150–300 тыс. ₽) уже существует. Устранить нарушение до проверки в разы дешевле защиты после протокола. Юристы DATUM соберут 38-документный пакет ОРД под ключ — политика, согласия, приказы, регламенты.

Собрать ОРД под ключ

Контрагенты и их представители: где граница между юрлицом и физлицом?

Субъект-представитель контрагента — физическое лицо (директор, менеджер, подписант), действующее от имени организации-контрагента. ФЗ-152 распространяется только на физических лиц: реквизиты юрлица (ИНН, ОГРН, юрадрес) персональными данными не являются. Однако ФИО директора, его личный телефон и email, данные о представителе в доверенности — персональные данные, которые обрабатываются оператором.

Правовые основания для обработки ПДн представителей контрагентов: п. 5 ч. 1 ст. 6 (необходимость для исполнения договора) и п. 2 ч. 1 ст. 6 (исполнение обязанностей, предусмотренных законом, — например, требования 115-ФЗ об антиотмывочном контроле). Согласие в большинстве случаев не требуется, однако оператор обязан информировать субъекта об обработке (ст. 18 ФЗ-152).

Типичная ошибка: компания хранит сканы паспортов подписантов и директоров партнёров в папке на сетевом диске без разграничения доступа. Это нарушение ч. 6 ст. 13.11 КоАП (несоблюдение условий хранения материальных носителей при неавтоматизированной обработке, если повлекло неправомерный доступ) — штраф 50 000–100 000 ₽. При цифровом хранении — применяются требования ст. 19 ФЗ-152 и Приказа ФСТЭК №21.

Что подготовить юристу по каждой категории субъектов

Работники: отдельные согласия на обработку ПДн вне трудового договора (форма по ст. 9 ФЗ-152 в ред. с 01.09.2025); приказ о назначении ответственного по ст. 22.1 ФЗ-152; регламент обработки ПДн работников со ссылками на ст. 86–88 ТК РФ.
Клиенты: актуальная политика конфиденциальности с разделами по ч. 2 ст. 18.1 ФЗ-152; cookie-баннер с согласием до начала обработки; уведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152, форма Приказа РКН №180).
Контрагенты: перечень обрабатываемых ПДн представителей в реестре обработки; соглашение о конфиденциальности с условиями хранения сканов документов; порядок уничтожения ПДн после прекращения договорных отношений.
Все категории: журнал учёта обращений субъектов; регламент ответа на запросы субъектов в срок 10 рабочих дней (ст. 20 ФЗ-152); регламент реагирования на утечку (24 часа по ч. 3.1 ст. 21 ФЗ-152).

Как правовые основания различаются по категориям субъектов?

Ст. 6 ФЗ-152 содержит 11 правовых оснований обработки ПДн. На практике по трём рассматриваемым категориям субъектов применяются преимущественно четыре из них.

Согласие субъекта (п. 1 ч. 1 ст. 6). Универсальное основание. Обязательно при маркетинговых рассылках, передаче данных третьим лицам без иного правового основания, обработке специальных категорий по ст. 10 ФЗ-152. С 01.09.2025 — только отдельным документом.

Исполнение договора (п. 5 ч. 1 ст. 6). Покрывает обработку ПДн работника в рамках трудового договора, клиента — в рамках договора купли-продажи или оказания услуг, представителя контрагента — в рамках хозяйственного договора. Не распространяется на обработку, выходящую за пределы договорных отношений.

Исполнение обязанностей, возложенных законом (п. 2 ч. 1 ст. 6). Применяется при передаче ПДн в ПФР, ФНС, ФСС, при антиотмывочном контроле по 115-ФЗ, при формировании воинского учёта.

Законные интересы оператора (п. 7 ч. 1 ст. 6). Допускается, только если интересы оператора не превалируют над правами субъекта. На практике применяется узко; использование этого основания для массовых рассылок суды и РКН не принимают.

Типовые ситуации: как категория субъекта влияет на риск штрафа?

Ситуация 1. Кадровик отправляет резюме кандидатов в WhatsApp рекрутинговому агентству. Субъект — соискатель, категория приближена к работнику. Правовое основание для передачи третьему лицу — только согласие по ст. 9 ФЗ-152. Если согласия нет — ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽. Дополнительно: мессенджер — иностранный сервис, возможна квалификация как трансграничная передача. Стратегия: ввести отдельное согласие соискателя на передачу ПДн агентствам; зафиксировать в политике обработки ПДн.

Ситуация 2. Интернет-магазин передаёт базу покупателей подрядчику для SMS-рассылок без поручения на обработку. Субъекты — клиенты. Передача без поручения по п. 3 ст. 6 ФЗ-152 означает, что подрядчик действует как самостоятельный оператор без правового основания. РКН при проверке квалифицирует это по ч. 1 и ч. 2 ст. 13.11. Согласно принципу ответственности оператора за подрядчика (позиция судов), компания не снимает с себя ответственность ссылкой на действия агента. Стратегия: заключить договор поручения по п. 3 ст. 6 ФЗ-152; получить согласие клиентов на передачу данных агентству для рассылок.

Ситуация 3. Юрист компании обнаруживает, что в уведомлении РКН не указана категория субъектов «представители контрагентов». Реальная обработка шире заявленной. Это нарушение ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных законом, или несовместимая с целями), штраф 150 000–300 000 ₽. Стратегия: подать в РКН уведомление об изменении сведений через pd.rkn.gov.ru; актуализировать политику обработки ПДн.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правовых оснований и ОРД по всем категориям субъектов
Комплект ОРД под ключ — политика, согласия, приказы, регламенты для работников, клиентов и контрагентов
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Обработкой считается даже хранение сканов паспортов в папке на диске или занесение данных клиента в таблицу Excel — письменная фиксация не обязательна.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 предусматривает 11 правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение закона (п. 2), исполнение договора, стороной которого является субъект (п. 5), защита жизни (п. 6), законные интересы оператора при условии, что они не превалируют над правами субъекта (п. 7). Отсутствие любого из оснований — нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность — по ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024): 18 частей, штрафы от 30 000 до 500 000 000 ₽ в зависимости от состава. Оборотный штраф по ч. 15 — 1–3% годовой выручки, не менее 20 млн ₽, при повторной утечке. С 11.12.2024 действует ст. 272.1 УК РФ: незаконное использование, передача или хранение ПДн в компьютерной форме — до 10 лет лишения свободы по тяжкому составу.

4. Нужно ли уведомлять РКН малому бизнесу?

Общее правило ст. 22 ФЗ-152: оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Исключения — закрытый перечень в ч. 2 ст. 22: в частности, если обработка касается исключительно работников оператора и осуществляется без передачи третьим лицам. На практике большинство компаний, работающих с клиентами-физлицами, под исключение не подпадает. Неуведомление — ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает минимальный возраст субъекта прямо. По общим нормам ГК РФ дееспособность наступает с 18 лет, частичная — с 14 лет. Для несовершеннолетних до 14 лет согласие дают законные представители. В сфере образования и при обработке ПДн детей используются согласия родителей или усыновителей. Отсутствие согласия законного представителя при обработке данных ребёнка — нарушение ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽.

Итог

Работники, клиенты и контрагенты — три разные конфигурации субъектов ПДн с разными правовыми основаниями, разным объёмом необходимой документации и разными рисками по ст. 13.11 КоАП. Единая политика обработки ПДн без разбивки по категориям субъектов не покрывает реальный периметр обработки и создаёт пробелы, которые РКН фиксирует при проверке.

Юристы DATUM сопровождают операторов ПДн от аудита до защиты в арбитраже: типовые нарушения по всем трём категориям субъектов выявляются в ходе аудита соответствия 152-ФЗ и закрываются пакетом ОРД под ключ.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

21 сентября 2026 года