Кому нужно соответствовать 152-ФЗ: 11 типов операторов
Закон о персональных данных применяется к подавляющему большинству российских компаний, однако многие руководители убеждены, что «это не про нас». Компания без уведомления в реестре РКН, сайт без политики конфиденциальности, HR-документы с вшитыми согласиями — каждая из этих ситуаций создаёт основания для протокола. В этом материале разобраны 11 типов операторов, правовая логика отнесения к каждому из них, характерные риски и практика регулятора за 2025–2026 годы.
Кто такой оператор ПДн по ст. 3 ФЗ-152?
Ст. 3 ФЗ-152 определяет оператора как государственный орган, муниципальный орган, юридическое или физическое лицо, которое организует и осуществляет обработку персональных данных, а также определяет цели и содержание такой обработки. Ключевой признак — не факт ведения IT-систем, а принятие решений о том, зачем и как обрабатываются данные конкретных людей.
Обработка персональных данных по той же статье — любое действие с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Это означает, что компания становится оператором в момент, когда впервые собирает имя и телефон клиента — даже в бумажном журнале.
Нарушение любого из принципов ст. 5 — это самостоятельный состав по ч. 1 ст. 13.11 КоАП: обработка ПДн, несовместимая с целями или сверх необходимого объёма. Штраф для юридического лица — 150 000–300 000 ₽, при повторности — 300 000–500 000 ₽.
Все ли компании являются операторами ПДн?
Практически все. Любая компания с наёмным персоналом обрабатывает данные сотрудников: ФИО, паспортные данные, ИНН, СНИЛС, адрес, сведения о составе семьи для налоговых вычетов. Это уже достаточное основание для признания компании оператором и для обязанности уведомить РКН по ст. 22 ФЗ-152.
Исключения из обязанности уведомлять РКН перечислены в ч. 2 ст. 22 ФЗ-152. Среди них — обработка данных только в связи с трудовыми отношениями и исключительно в случаях, прямо установленных законом. Но даже при освобождении от уведомления оператор обязан выполнять все требования закона: иметь политику, назначить ответственного, обеспечить безопасность ПДн.
Проверить, является ли ваша компания оператором ПДн?
Если CEO не знает, включена ли компания в реестр РКН и на каком основании обрабатываются данные клиентов и сотрудников — это уже нарушение ст. 22 и ст. 18.1 ФЗ-152. Штраф по ч. 10 ст. 13.11 КоАП за неуведомление РКН о намерении обрабатывать ПДн составляет 100 000–300 000 ₽. Юристы DATUM проводят аудит обработки ПДн по чек-листу из 38 пунктов и выдают отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
11 типов операторов: кто конкретно обязан соблюдать 152-ФЗ
Ниже приведена типология, основанная на сочетании правовых признаков (ст. 3 ФЗ-152), категорий обрабатываемых данных (ст. 10, 11 ФЗ-152) и практики проверок РКН за 2024–2026 годы.
1. Интернет-компании и e-commerce. Сайты с регистрацией, интернет-магазины, маркетплейсы и агрегаторы обрабатывают данные пользователей при каждом визите — от cookies до истории заказов. По позиции РКН, cookies являются персональными данными, если позволяют идентифицировать пользователя. Без баннера согласия — нарушение ч. 1 ст. 13.11 КоАП. Трансграничная передача данных в Google Analytics 4, Meta Pixel требует уведомления РКН по ст. 12 ФЗ-152.
2. Работодатели (любой отраслевой принадлежности). Каждый работодатель с момента получения резюме становится оператором данных кандидата. Ст. 86–88 ТК РФ устанавливают специальные требования, а ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 требует отдельного документа-согласия с 01.09.2025. Вшитое согласие в трудовой договор — нарушение ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽.
3. Медицинские организации. Клиники, лаборатории, телемедицинские сервисы обрабатывают специальные категории ПДн по ст. 10 ФЗ-152 — сведения о состоянии здоровья. Обработка по общему правилу запрещена; требуется письменное согласие пациента. Утечка медицинских данных квалифицируется по ч. 12–14 ст. 13.11 КоАП в зависимости от числа субъектов — от 3 до 15 млн ₽.
4. Банки, МФО и страховщики. Финансовый сектор обрабатывает не только общие, но и финансовые данные, а с введением ЕБС (ФЗ-572) — биометрические. Нарушение требований ст. 11 ФЗ-152 при работе с биометрией — ч. 16 ст. 13.11 КоАП. Утечка биометрических ПДн — ч. 17 ст. 13.11, штраф 15–20 млн ₽. Скоринг на основе автоматизированной обработки регулируется ст. 16 ФЗ-152.
5. Образовательные организации. Школы, вузы, EdTech-платформы обрабатывают данные несовершеннолетних, что создаёт дополнительные требования к согласию: его даёт законный представитель. Прокторинг — биометрические данные. Онлайн-платформы с зарубежной инфраструктурой нарушают требование локализации по ч. 5 ст. 18 ФЗ-152.
6. IT-компании и SaaS-разработчики. Разработчик ПО, которое обрабатывает данные пользователей клиентов, может быть одновременно оператором (в отношении собственных пользователей) и лицом, осуществляющим обработку по поручению (ст. 6 п. 3 ФЗ-152), — в отношении данных клиентов заказчика. Отсутствие договора поручения на обработку — нарушение ч. 1 ст. 13.11. Хранение ПДн граждан РФ в облаке за пределами РФ — нарушение ч. 5 ст. 18, штраф по ч. 8 ст. 13.11 КоАП — 1–6 млн ₽.
7. Ретейл и программы лояльности. Розничные сети накапливают данные о покупательском поведении миллионов субъектов. Передача данных программ лояльности третьим лицам (партнёрам, агентствам) без правового основания — нарушение ст. 6 ФЗ-152. Рассылки без подтверждённого согласия — основание для жалобы субъекта и внеплановой проверки РКН.
8. Транспортные и логистические компании. Перевозчики, курьерские службы и агрегаторы обрабатывают данные отправителей, получателей, водителей. Видеозапись в транспортном средстве с возможностью идентификации лица — биометрические ПДн. Случай Яндекс.Еды (2022) показал: даже при утечке данных через маркетинговые инструменты ответственность несёт оператор.
9. НКО, ТСЖ и управляющие компании. Некоммерческие организации и управляющие компании ЖКХ обрабатывают данные членов, жильцов, благополучателей. Формальная некоммерческая природа не освобождает от требований ФЗ-152. РКН проводит проверки НКО наравне с коммерческими структурами.
10. Рекламные агентства и маркетинговые платформы. Агентства, работающие с рекламными аудиториями, обрабатывают данные через пиксели, CRM и DMP. Передача данных рекламодателей в зарубежные платформы (Meta, Google) — трансграничная передача, требующая уведомления РКН. Использование данных клиентов заказчика без поручения — нарушение ст. 6 ФЗ-152.
11. Государственные органы и МФЦ. Госорганы — операторы с расширенным кругом обязанностей: обезличивание ПДн по ст. 13.1 ФЗ-152, взаимодействие с ЕГИСЗ, ГИС ЕБС. Нарушения при размещении биометрии в ЕБС квалифицируются по ст. 13.11.3 КоАП. Штраф за отказ обслуживать гражданина без биометрии по ч. 8 ст. 14.8 КоАП — до 500 000 ₽.
Что подготовить оператору для базового соответствия 152-ФЗ
- Уведомление в реестре РКН по ст. 22 ФЗ-152 или документальное обоснование освобождения от уведомления по ч. 2 ст. 22
- Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте
- Отдельные согласия на обработку ПДн по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025)
- Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
- Договоры поручения на обработку с подрядчиками по п. 3 ст. 6 ФЗ-152, получающими доступ к ПДн
Какие правовые основания нужны для обработки ПДн по ст. 6 ФЗ-152?
Ст. 6 ФЗ-152 устанавливает 11 оснований для обработки персональных данных. На практике большинство операторов используют три: согласие субъекта (п. 1), необходимость для исполнения договора с субъектом (п. 5) и исполнение обязанностей, возложенных законодательством (п. 2). Остальные основания — судопроизводство, защита жизни и здоровья, журналистика, научные исследования — применяются реже.
Ключевая ошибка операторов — смешение оснований. Данные клиента, собранные для исполнения договора (п. 5), нельзя использовать для рекламной рассылки без отдельного согласия. Объединение баз с несовместимыми целями прямо запрещено ст. 5 ФЗ-152 и квалифицируется по ч. 1 ст. 13.11 КоАП. По данным РКН за 2024 год, зафиксировано более 135 случаев утечек с общим объёмом свыше 710 млн записей — во многих случаях причиной была избыточная аккумуляция данных без правового основания.
Согласия, включённые в текст договора или пользовательского соглашения до 01.09.2025, после этой даты формально не соответствуют требованиям. При плановой или внеплановой проверке РКН такие согласия станут основанием для протокола по ч. 2 ст. 13.11 КоАП — штраф для юридического лица 300 000–700 000 ₽.
Типичные ситуации: как разные операторы получают штрафы
Ситуация 1. Интернет-магазин без уведомления в реестре РКН. Компания открыла онлайн-магазин, собирает данные покупателей для доставки, ведёт программу лояльности. В реестре операторов на pd.rkn.gov.ru не значится — уведомление не подавалось. Индикатор риска РКН при мониторинге сайтов фиксирует сбор ПДн без политики конфиденциальности. Инициируется внеплановая проверка. Итог: протокол по ч. 1 ст. 13.11 (обработка без правового основания) и по ч. 10 ст. 13.11 (неуведомление РКН) — совокупный штраф 250 000–600 000 ₽. Стратегия: уведомить РКН до проверки, разместить политику, оформить согласия. Уведомление после возбуждения дела учитывается как смягчающее, но не устраняет состав.
Ситуация 2. Медицинская клиника — утечка через МИС. Региональная клиника использует медицинскую информационную систему от подрядчика. Договор с подрядчиком не содержит поручения на обработку ПДн. После кибератаки на инфраструктуру подрядчика данные пациентов оказываются в даркнете. Количество субъектов — около 15 000. Квалификация по ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов) — штраф 5–10 млн ₽. По принципу, закреплённому судебной практикой ВС РФ: оператор отвечает за утечку через подрядчика независимо от вины последнего. Стратегия: заключить договор поручения до начала обработки, провести DPIA, внедрить контроль доступа.
Ситуация 3. SaaS-компания с хранилищем данных за рубежом. Разработчик CRM-системы хранит данные клиентов своих заказчиков (граждан РФ) на серверах в Германии. С 01.07.2025 действует ужесточённое требование локализации по ч. 5 ст. 18 ФЗ-152: первичные запись, систематизация, накопление и хранение ПДн граждан РФ должны производиться исключительно в базах на территории России. При проверке — протокол по ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽. При повторности — ч. 9 ст. 13.11, штраф 6–18 млн ₽. Стратегия: перенести базы данных в российский дата-центр, обновить уведомление в реестре РКН.
Если CEO обнаружил, что компания не уведомила РКН, хранит данные за рубежом или согласия вшиты в договоры, — каждый из этих фактов образует самостоятельный состав нарушения. Уведомление об инциденте в РКН требует подачи в течение 24 часов с момента обнаружения, а неуведомление о намерении обрабатывать ПДн грозит штрафом 100 000–300 000 ₽.
Заказать аудит 152-ФЗКейс 1. В конце 2025 года интернет-ретейлер из Приволжского федерального округа получил протокол по результатам мониторинга сайта РКН: сбор данных через форму обратной связи без политики конфиденциальности и уведомления в реестре. После подачи уведомления и публикации политики до вынесения постановления арбитражный суд региона снизил штраф до минимального значения по ч. 1 ст. 13.11, применив смягчающие обстоятельства. Генеральный директор выступал свидетелем и дополнительно инициировал аудит ОРД, что позволило урегулировать все нарушения до повторной проверки.
Кейс 2. Медицинская лаборатория (дело case_02_gemotest, 2022) столкнулась с утечкой данных пациентов, включая сведения о состоянии здоровья. Дело рассматривалось по ст. 13.11 КоАП в старой редакции; штраф составил суммы в десятки тысяч рублей. В действующей редакции с 30.05.2025 аналогичная утечка специальных категорий ПДн от нескольких тысяч субъектов квалифицировалась бы по ч. 12 ст. 13.11 КоАП — штраф 3–5 млн ₽. Разница в 100 раз демонстрирует масштаб изменений ФЗ-420.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка по 38 пунктам, отчёт с планом устранений
- Комплект ОРД под ключ — политика, согласия, приказы, договоры поручения
- DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентской основе
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
По ст. 3 ФЗ-152, обработка персональных данных — это любое действие с ними: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Выполнение хотя бы одного из этих действий означает, что лицо является оператором и обязано соблюдать закон. Хранение резюме кандидата в папке на сервере — обработка. Запись имени клиента в бумажном журнале — тоже обработка.
2. На основании чего можно обрабатывать ПДн?
Ст. 6 ФЗ-152 устанавливает 11 правовых оснований. Три наиболее распространённых: согласие субъекта (п. 1 ст. 6), необходимость для исполнения договора, стороной которого является субъект (п. 5 ст. 6), и обязанности, возложенные законодательством (п. 2 ст. 6). Для каждой цели обработки должно быть отдельное правовое основание: нельзя использовать данные, собранные для исполнения договора, в рекламных целях без согласия субъекта.
3. Что грозит за нарушение 152-ФЗ?
Ст. 13.11 КоАП в редакции с 30.05.2025 содержит 18 частей. Штрафы для юридических лиц: от 30 000–60 000 ₽ (отсутствие политики, ч. 3) до 10–15 млн ₽ (утечка более 100 000 субъектов, ч. 14). За повторную утечку — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. С 11.12.2024 действует ст. 272.1 УК РФ: незаконное использование ПДн — до 10 лет лишения свободы по тяжким составам.
4. Нужно ли уведомлять РКН малому бизнесу?
По общему правилу ст. 22 ФЗ-152, уведомить РКН обязан любой оператор до начала обработки. Ч. 2 ст. 22 содержит исчерпывающий перечень исключений — в частности, обработка данных только в связи с трудовыми отношениями при соблюдении ряда условий. Если компания обрабатывает данные клиентов, пользователей сайта или партнёров — исключение не применяется. Неуведомление при наличии обязанности — ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽.
5. С какого возраста нужно согласие на ПДн?
ФЗ-152 не устанавливает специального возраста дееспособности для дачи согласия. По общим нормам ГК РФ, полная дееспособность наступает с 18 лет, ограниченная — с 14. На практике при обработке данных несовершеннолетних до 14 лет согласие даёт законный представитель. Для детей от 14 до 18 лет согласие может давать сам ребёнок, однако в чувствительных случаях (медицина, образование) рекомендуется получать согласие и от родителя.
Итог
Под действие ФЗ-152 подпадают все 11 типов операторов, описанных выше, — от интернет-магазинов до государственных органов. Нет сферы деятельности, в которой компания с персоналом и клиентами не являлась бы оператором. С 30.05.2025 цена нарушений выросла кратно: первичная утечка от 100 000 субъектов — 10–15 млн ₽, повторная — от 20 млн ₽ без верхнего ограничения на практике, до 500 млн ₽ по закону.
Практика DATUM охватывает все 11 типов операторов: от аудита ОРД интернет-компаний до сопровождения проверок РКН в медицинских организациях и финтехе. Работаем без рейтинговых обещаний — только с конкретными нормами, документами и арбитражной защитой.
17 октября 2026 года