Перейти к содержанию
справочник 25 июля 2026 По состоянию на 25 июля 2026

Кто такой субъект персональных данных по 152-ФЗ

Субъект персональных данных — физическое лицо, к которому прямо или косвенно относится обрабатываемая информация (ст. 3 ФЗ-152). Это понятие определяет, чьи права защищает закон и кто вправе требовать от оператора объяснений, исправлений и уничтожения сведений о себе.
Неправильное определение круга субъектов влечёт нарушение принципов ст. 5 ФЗ-152: обработку данных без правового основания, избыточный сбор, нарушение сроков хранения. Каждое из этих нарушений — отдельный состав по ст. 13.11 КоАП со штрафами от 150 тыс. до 700 тыс. ₽ за один эпизод.
Если вы юрист, проверяющий комплаенс компании по 152-ФЗ, — ниже разобраны ключевые понятия, правовые основания обработки и актуальная практика 2025–2026 годов.

Закон о персональных данных оперирует тремя центральными фигурами: субъект, оператор и лицо, осуществляющее обработку по поручению. Без чёткого разграничения этих ролей любой документ — политика конфиденциальности, согласие, поручение обработчику — содержит юридические пробелы. Ниже — системный разбор понятий с опорой на ст. 3, 5, 6 и 9 ФЗ-152 в редакции 2025–2026 годов.

Кто является субъектом персональных данных и чем он отличается от оператора?

Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются. Это всегда человек, а не организация: юридические лица не могут быть субъектами ПДн по ФЗ-152. Гражданство и место жительства значения не имеют: если российская компания обрабатывает данные иностранца на российском сервере, ФЗ-152 применяется в полном объёме.

«Ст. 3 ФЗ-152 определяет субъекта персональных данных как физическое лицо, которое прямо или косвенно определяется на основании обрабатываемой информации. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных.»

Оператор персональных данных — сторона, которая определяет цели и состав обрабатываемых данных. Именно оператор несёт ответственность по ст. 13.11 КоАП и обязан уведомить Роскомнадзор по ст. 22 ФЗ-152. Третья фигура — обработчик по поручению (п. 3 ст. 6 ФЗ-152): организация, которая технически исполняет обработку по договору-поручению, но не определяет её цели. Подрядчик на аутсорсинге, облачный провайдер, бухгалтерский сервис — типичные примеры.

Практически важный вопрос: кто субъект при обработке данных сотрудников, клиентов, контрагентов, соискателей и пользователей сайта? Ответ единый — физическое лицо, чьи данные попали в базу. Категория данных (общие, специальные, биометрические) влияет на правовые основания и технические меры, но не на статус субъекта.

Какие категории персональных данных субъекта требуют особого режима обработки?

ФЗ-152 выделяет три уровня чувствительности данных. Это напрямую влияет на то, какие права субъекта подлежат усиленной защите и какой состав нарушений применит РКН.

Общие персональные данные — фамилия, имя, отчество, дата рождения, адрес, телефон, email, должность, фотография. Обработка допускается по 11 основаниям ст. 6 ФЗ-152, в том числе по согласию (п. 1), по договору с субъектом (п. 5), по законодательному обязательству (п. 2).

Специальные категории персональных данных — сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, судимости (ст. 10 ФЗ-152). Обработка по общему правилу запрещена; допустима только в исчерпывающих исключениях п. 2 ст. 10. Для медицинских организаций это данные о диагнозах и назначениях — каждый факт обработки требует отдельного правового основания.

Биометрические персональные данные — физиологические и биологические характеристики, позволяющие идентифицировать личность: изображение лица, голос, отпечатки пальцев, радужка, ДНК (ст. 11 ФЗ-152). Обработка — только с письменного согласия. Исключения установлены п. 2 ст. 11: оперативно-розыскная деятельность, судопроизводство, отдельные государственные функции. Хранение биометрии вне Единой биометрической системы (ЕБС) с 01.06.2023 запрещено для большинства коммерческих операторов по ФЗ-572.

Проверяете комплаенс компании и нужна структура ОРД под разные категории субъектов?

Если юрист выявил неоднородный состав субъектов — работники, клиенты, пользователи сайта — и разные категории ПДн, значит, политика конфиденциальности и согласия требуют раздельной проработки. Без этого одна проверка РКН даёт сразу несколько протоколов по ст. 13.11 КоАП. Аудит DATUM проверит 38 пунктов соответствия и выдаст приоритизированный план устранения.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие права субъекта персональных данных закрепляет 152-ФЗ?

Субъект — активный участник правоотношений, а не пассивный объект обработки. Ст. 14–21 ФЗ-152 закрепляют за ним следующий инструментарий.

Право на доступ
Субъект вправе получить от оператора подтверждение факта обработки, перечень обрабатываемых данных, цели, сроки хранения, источник получения (ст. 14 ФЗ-152). Оператор обязан ответить в течение 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта (ст. 20 ФЗ-152).
Право на уточнение и блокирование
Если данные неполные, неточные или незаконно обрабатываемые — субъект вправе потребовать уточнения, блокирования или уничтожения (ст. 21 ФЗ-152). Оператор обязан устранить нарушение в 7 рабочих дней. Неисполнение — штраф по ч. 5 ст. 13.11 КоАП (50–90 тыс. ₽ для юрлица).
Право на отзыв согласия
Субъект вправе в любой момент отозвать согласие (ч. 2 ст. 9 ФЗ-152). Это не лишает оператора права продолжить обработку при наличии иного законного основания, например исполнения договора или выполнения требований законодательства.
Право на обращение в РКН
Субъект вправе подать жалобу в Роскомнадзор или иск в суд, если считает, что его права нарушены (ст. 17 ФЗ-152). Жалоба субъекта — типичный триггер внеплановой проверки.

Особый режим с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие субъекта оформляется отдельным документом и не может быть частью трудового договора, оферты или иного документа. Согласия, полученные до этой даты, сохраняют силу — обратной силы закон не имеет.

Что проверить, если субъект подал запрос или жалобу

  • Установить дату получения запроса и рассчитать дедлайн ответа — 10 рабочих дней по ст. 20 ФЗ-152.
  • Проверить наличие правового основания обработки по ст. 6 (или ст. 10, 11 для спецкатегорий и биометрии).
  • Подтвердить наличие актуального согласия субъекта — если оно является основанием — с обязательными реквизитами ст. 9 ФЗ-152.
  • Убедиться, что объём обрабатываемых данных соответствует заявленным целям (принцип минимизации по ст. 5 ФЗ-152).
  • Зафиксировать факт обращения и ответ в журнале учёта обращений субъектов.

Что считается обработкой персональных данных субъекта и когда она законна?

Обработка персональных данных — любое действие или совокупность действий с данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Даже хранение бумажных анкет без автоматизированной обработки охватывается этим определением.

Принципы обработки по ст. 5 ФЗ-152 задают рамку законности: данные собираются только для конкретных, заранее определённых целей; нельзя объединять базы с несовместимыми целями; объём данных должен соответствовать цели; данные должны быть точными; после достижения цели — уничтожаться или обезличиваться.

Правовые основания обработки по ст. 6 ФЗ-152 — исчерпывающий перечень из 11 пунктов. Наиболее распространённые в бизнес-практике:

  • Согласие субъекта (п. 1 ст. 6). Применяется для рассылок, программ лояльности, передачи третьим лицам. С 01.09.2025 — только отдельный документ.
  • Договор с субъектом (п. 5 ст. 6). Обработка в целях исполнения договора, стороной которого является субъект: трудовой договор, договор оказания услуг, договор купли-продажи.
  • Исполнение обязанности по законодательству (п. 2 ст. 6). Налоговый учёт, пенсионный учёт, воинский учёт — оператор обязан обрабатывать данные вне зависимости от наличия согласия.
  • Законный интерес оператора (п. 7 ст. 6). Применяется ограниченно: интерес оператора не должен нарушать права субъекта. Спорное основание на практике.

Если правовые основания обработки в документах компании не соответствуют фактическим операциям с данными субъектов — это нарушение ст. 6 ФЗ-152. Штраф по ч. 1 ст. 13.11 КоАП для юрлица составляет 150–300 тыс. ₽ за каждый выявленный эпизод. DATUM проведёт аудит оснований обработки в 38-пунктном чек-листе.

Заказать аудит 152-ФЗ

Типовые ситуации: как неверное определение субъектов создаёт риск для юриста

Ситуация 1. Субъект — не только клиент. Компания оформила политику конфиденциальности исключительно для пользователей сайта, упустив сотрудников, соискателей и контрагентов-физлиц. При проверке РКН выявил обработку данных трёх категорий субъектов без соответствующих правовых оснований и согласий. Составлены три протокола по ч. 1 и ч. 2 ст. 13.11 КоАП. Совокупный штраф для юрлица в сотни тысяч рублей вынес мировой суд. Стратегия: при разработке ОРД перечислять все категории субъектов отдельно и прописывать для каждой самостоятельные основания обработки.

Ситуация 2. Специальная категория данных без надлежащего основания. Медицинская лаборатория (Уральский ФО, 2025) передавала результаты анализов в CRM-систему на облачном сервере за рубежом. Данные о здоровье — спецкатегория по ст. 10 ФЗ-152. Трансграничная передача без уведомления РКН нарушала ст. 12 ФЗ-152. Протокол по ч. 8 ст. 13.11 (нарушение локализации) — штраф в диапазоне 1–6 млн ₽. Доказательство факта передачи — логи облачного провайдера, изъятые в рамках проверки. Стратегия: до заключения договора с зарубежным облаком — оценить категорию данных субъектов и наличие уведомления РКН о трансграничной передаче.

Ситуация 3. Согласие включено в договор. Розничная сеть (Центральный ФО, начало 2026) собирала согласия покупателей на обработку ПДн в рамках публичной оферты. С 01.09.2025 это нарушение ФЗ-156. При внеплановой проверке РКН составил протокол по ч. 2 ст. 13.11 КоАП (обработка без надлежащего согласия) — штраф для юрлица 300–700 тыс. ₽. Стратегия: не ждать проверки — переоформить согласия в отдельный документ со всеми реквизитами ст. 9 ФЗ-152.

Услуги DATUM по теме

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Любое действие с персональными данными субъекта: сбор, запись, хранение, уточнение, передача, блокирование или уничтожение (ст. 3 ФЗ-152). Даже однократная запись сведений о физическом лице в таблицу Excel — это уже обработка персональных данных, подпадающая под требования закона.

2. На основании чего можно обрабатывать ПДн?

По одному из 11 оснований ст. 6 ФЗ-152: согласие субъекта (п. 1), договор с субъектом (п. 5), обязанность по законодательству (п. 2), защита жизни субъекта (п. 4) и другие. Для специальных категорий по ст. 10 и биометрии по ст. 11 — перечень оснований уже и требования строже. Отсутствие основания — нарушение ч. 1 ст. 13.11 КоАП со штрафом 150–300 тыс. ₽ для юрлица.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП (в редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025): штрафы от 30 тыс. до 15 млн ₽ за один эпизод; оборотный штраф за повторную утечку по ч. 15 — 1–3% годовой выручки, не менее 20 млн ₽. С 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ: незаконное использование, передача или хранение ПДн — до 10 лет лишения свободы (ч. 5).

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если компания обрабатывает персональные данные. Ст. 22 ФЗ-152 не предусматривает освобождения для малого бизнеса как такового. Исключения — узкие: данные сотрудников исключительно для исполнения трудового договора, данные для разового договора без передачи третьим лицам, общедоступные данные. Неуведомление — ч. 10 ст. 13.11 КоАП, штраф 100–300 тыс. ₽.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единого возрастного порога напрямую. По общим правилам дееспособности ГК РФ: полная дееспособность с 18 лет. Для несовершеннолетних до 14 лет согласие дают родители или законные представители. В образовательной и медицинской сфере — отдельные требования. Ряд цифровых сервисов применяет возрастной ценз 16 лет по аналогии с европейской практикой, однако ФЗ-152 это прямо не закрепляет.

Итог

Субъект персональных данных — физическое лицо, в отношении которого оператор осуществляет любые действия с информацией. Правильное определение категорий субъектов и правовых оснований обработки — основа комплаенса по 152-ФЗ. Нарушения в этой части дают РКН повод для протоколов по ч. 1 и ч. 2 ст. 13.11 КоАП при каждой проверке.

Практика DATUM показывает: большинство компаний корректно описывают клиентов, но упускают сотрудников, соискателей или контрагентов-физлиц. Это создаёт системный риск, который устраняется на этапе аудита, а не после выдачи предписания.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

Нужна проверка комплаенса по 152-ФЗ для вашей компании?

Заказать аудит 152-ФЗ

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru