MAC-адрес устройства как ПДн
MAC-адреса собирают корпоративные Wi-Fi-системы, системы контроля доступа, ретейл-аналитики и мобильные приложения. При этом большинство компаний не включают их в перечень обрабатываемых ПДн и не указывают в уведомлении РКН. С 30.05.2025 пробел в документации — самостоятельное основание для штрафа по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽). Статья разбирает: что такое MAC-адрес как ПДн, какие нормы ФЗ-152 применяются, какие правовые основания допустимы и что нужно оформить юристу компании.
Что такое MAC-адрес и почему его квалифицируют как ПДн?
МАС-адрес (Media Access Control address) — 48-битный идентификатор, жёстко прошитый в сетевой адаптер устройства. Он уникален на уровне производителя и присваивается однократно. По смыслу ст. 3 ФЗ-152 персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПДн).
MAC-адрес сам по себе не содержит имени или адреса. Однако в связке с записью о подключении к корпоративной сети, транзакцией в точке продаж, данными из СКУД или CRM он однозначно указывает на конкретного человека. Именно принцип косвенной идентифицируемости делает MAC-адрес ПДн. РКН в методических разъяснениях относит идентификаторы устройств к персональным данным при наличии у оператора возможности установить связь с физическим лицом.
Практический вывод: если компания фиксирует MAC-адреса сотрудников или посетителей и способна сопоставить их с личностью — она является оператором ПДн в отношении этих данных и обязана соблюдать все требования ФЗ-152.
Какие принципы обработки ПДн распространяются на MAC-адреса?
Ст. 5 ФЗ-152 закрепляет семь принципов. Применительно к MAC-адресам ключевые три.
Принцип законности и конкретных целей: обработка допустима только при наличии определённой, заранее сформулированной цели. Нельзя собирать MAC-адреса «на всякий случай» или объединять базу контроля доступа с базой CRM — это нарушение запрета на объединение баз с несовместимыми целями.
Принцип минимизации: объём обрабатываемых данных должен соответствовать целям. Если цель — контроль подключения к гостевому Wi-Fi, хранить историю MAC-адресов посетителей за три года избыточно.
Принцип хранения не дольше необходимого: по достижении цели или при прекращении правоотношений ПДн подлежат уничтожению или обезличиванию. Нарушение этого принципа образует состав по ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных законом).
Нужно привести обработку MAC-адресов в соответствие с 152-ФЗ?
Если вы юрист компании и готовите комплаенс-документацию — до 30.05.2025 MAC-адреса часто не попадали в реестр обрабатываемых ПДн. Сейчас каждый такой пробел — потенциальный протокол РКН. DATUM проведёт аудит обработки ПДн по чек-листу из 38 пунктов и выдаст отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
На каком основании можно обрабатывать MAC-адреса?
Ст. 6 ФЗ-152 устанавливает 11 правовых оснований (правовые основания обработки ПДн). Для MAC-адресов применимы три основных.
Согласие субъекта (п. 1 ч. 1 ст. 6, ст. 9 ФЗ-152). С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом. Его нельзя включать в трудовой договор, политику конфиденциальности или оферту. Обязательные реквизиты: ФИО субъекта, наименование оператора, цель, перечень данных (в том числе MAC-адрес), перечень действий, срок и способ отзыва.
Договор с субъектом (п. 5 ч. 1 ст. 6). Основание применимо, если MAC-адрес собирается при предоставлении услуги доступа к сети по договору с физическим лицом. В корпоративном сегменте это основание покрывает сотрудников, но только в части функций, прямо предусмотренных трудовым договором.
Законная обязанность оператора (п. 2 ч. 1 ст. 6). Применимо, если сбор MAC-адресов вытекает из требований федерального закона (например, обязанность операторов связи по хранению трафика по «законам Яровой»).
Если компания использует корпоративный Wi-Fi только для сотрудников — достаточно включить MAC-адреса в перечень обрабатываемых ПДн во внутренних документах и отдельного согласия не требуется при условии, что обработка укладывается в цели трудовых отношений. Для гостевого Wi-Fi с идентификацией посетителей — только согласие или договор.
Если вы юрист и обнаружили, что компания собирает MAC-адреса посетителей без правового основания и согласия, — это нарушение ч. 1 ст. 13.11 КоАП. Штраф до 300 000 ₽, при повторности до 500 000 ₽. Комплект ОРД устраняет нарушение до проверки РКН.
Собрать ОРД под ключКак это применяется на практике
Кейс 1. Торговая компания (Уральский ФО, весна 2025) использовала Wi-Fi-аналитику: система фиксировала MAC-адреса смартфонов покупателей и строила тепловые карты посещаемости. Данные хранились на серверах в ЕС. В ходе аудита юрист выявил два нарушения: отсутствие правового основания для обработки MAC-адресов посетителей и нарушение требований локализации по ч. 5 ст. 18 ФЗ-152. Компания оформила согласие через QR-код при входе, перевела хранение на российский сервер и обновила уведомление в реестре РКН. Протокол составлен не был — нарушения устранены превентивно.
Кейс 2. IT-компания (Центральный ФО, конец 2025) обрабатывала MAC-адреса корпоративных ноутбуков для управления доступом к внутренней сети. После вступления в силу ФЗ-420 юрист проверил ОРД: MAC-адреса не были включены в Политику обработки ПДн и не указаны в уведомлении РКН. РКН в ходе плановой проверки зафиксировал расхождение — вынесено предписание. Компания устранила нарушения в 30-дневный срок; штраф не назначен благодаря оперативному устранению и первичности нарушения.
Что нужно включить в документацию по MAC-адресам
Что подготовить юристу компании
- Включить MAC-адреса в перечень обрабатываемых ПДн в Политике обработки ПДн (ч. 2 ст. 18.1 ФЗ-152) с указанием цели, основания и срока хранения.
- Обновить уведомление в реестре РКН на pd.rkn.gov.ru: добавить MAC-адреса в раздел «Категории обрабатываемых ПДн» (ст. 22 ФЗ-152, Приказ РКН №180).
- Оформить правовое основание: для посетителей — отдельное согласие по ст. 9 ФЗ-152 в ред. ФЗ-156; для сотрудников — локальный акт в рамках трудовых отношений.
- Проверить локализацию: если MAC-адреса записываются в облачные сервисы за рубежом — оценить соответствие ч. 5 ст. 18 ФЗ-152 и ФЗ-233 от 28.06.2025.
- Установить срок хранения и порядок уничтожения: зафиксировать в Положении об обработке ПДн или отдельном регламенте.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка перечня обрабатываемых ПДн, включая идентификаторы устройств.
- Комплект ОРД под ключ — политика, согласия, приказы, регламент хранения.
- DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании.
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
По ст. 3 ФЗ-152 обработка ПДн — это любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Применительно к MAC-адресам — фиксация при подключении к сети, хранение в журнале, передача в аналитическую систему — всё это обработка ПДн, требующая правового основания.
2. На основании чего можно обрабатывать ПДн?
Ст. 6 ФЗ-152 устанавливает 11 оснований. Для MAC-адресов физических лиц основные: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанности оператора по закону (п. 2). Без хотя бы одного из этих оснований обработка незаконна и образует состав по ч. 1 ст. 13.11 КоАП — штраф для юрлица 150 000–300 000 ₽ (в редакции с 30.05.2025).
3. Что грозит за нарушение 152-ФЗ?
Ответственность многоуровневая. Ст. 13.11 КоАП (в ред. ФЗ-420 с 30.05.2025) содержит 18 составов. За обработку без основания — до 300 000 ₽ (ч. 1), за отсутствие согласия — до 700 000 ₽ (ч. 2), за утечку от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12). При повторной утечке — оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽ (ч. 15). Ст. 272.1 УК, действующая с 11.12.2024, предусматривает лишение свободы до 10 лет за тяжкие последствия.
4. Нужно ли уведомлять РКН малому бизнесу?
По общему правилу ст. 22 ФЗ-152 уведомить РКН обязан любой оператор ПДн до начала обработки. Исключения перечислены в ч. 2 ст. 22 — они ограничены: обработка только данных работников в целях трудового договора, разовые договоры с гражданами без распространения и т. п. Если компания собирает MAC-адреса посетителей или клиентов — исключение, как правило, не применяется. Отсутствие уведомления при фактической обработке — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.
5. С какого возраста нужно согласие на ПДн?
По ст. 9 ФЗ-152 согласие дееспособного субъекта — с 18 лет. Для лиц от 14 до 18 лет — согласие самого несовершеннолетнего плюс согласие родителя или законного представителя. До 14 лет — только согласие законного представителя. Применительно к MAC-адресам: если корпоративный Wi-Fi доступен несовершеннолетним посетителям и идентификация персонализирована, порядок согласия усложняется.
Итог
MAC-адрес устройства — персональные данные в смысле ст. 3 ФЗ-152, если оператор способен сопоставить его с конкретным физическим лицом. Обработка требует правового основания по ст. 6, соблюдения принципов ст. 5 и включения в Политику обработки ПДн и уведомление РКН. С 30.05.2025 пробелы в документации — самостоятельный состав нарушения с штрафом до 300 000 ₽.
DATUM сопровождает операторов ПДн при аудите перечня обрабатываемых данных, включая нетипичные идентификаторы — MAC-адреса, cookie, IMEI, IP — и оформляет полный пакет ОРД под специфику конкретной компании.
14 сентября 2026 года