аналитика 21 августа 2026 По состоянию на 21 августа 2026

Научная деятельность как основание: требования

Научная деятельность — одно из правовых оснований обработки персональных данных по ст. 6 ФЗ-152, но оно не отменяет требования к принципам, минимизации и документированию.

С 30.05.2025 нарушение любого основания обработки влечёт штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 рублей; повторное — от 300 000 до 500 000 рублей. Неправильная квалификация основания создаёт риск для оператора и субъекта одновременно.

Если вы юрист и разбираете комплаенс организации, ведущей исследования с персональными данными, — ниже разбор всех требований с опорой на нормы и актуальную практику. Аудит соответствия 152-ФЗ

Использование персональных данных в научных исследованиях требует от оператора чёткого ответа на три вопроса: какое основание применимо, какие принципы нельзя нарушить и какие документы подтвердят правомерность обработки. Закон устанавливает перечень оснований в ст. 6 ФЗ-152, однако научная деятельность как основание не выделена в самостоятельный пункт — она обычно реализуется через совокупность норм, что порождает ошибки на практике.

Что такое обработка персональных данных и кто признаётся оператором?

По ст. 3 ФЗ-152, оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое организует обработку персональных данных или осуществляет её самостоятельно. Обработка охватывает любые действия с данными: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.

Научная организация, университет или независимый исследователь, который формирует базу данных с именами, контактами, медицинскими показателями или социально-демографическими сведениями участников исследования, автоматически становится оператором и несёт полный объём обязательств по ФЗ-152. Ссылка на академический характер работы или некоммерческую цель не освобождает от этих обязательств.

«Ст. 3 ФЗ-152 — обработка персональных данных включает любое действие или совокупность действий с данными, совершаемых с использованием средств автоматизации или без таковых.»

Субъект персональных данных — физическое лицо, данные которого обрабатываются. В научных исследованиях это может быть пациент, студент, респондент социологического опроса, донор биоматериала. Субъект сохраняет права независимо от цели исследования: право на доступ к своим данным, на их уточнение, блокирование и уничтожение.

На каком основании допустима обработка персональных данных в научных целях?

Статья 6 ФЗ-152 содержит одиннадцать оснований обработки. Научная деятельность как отдельный пункт в этом перечне не присутствует. Оператор, ведущий исследование, должен определить применимое основание исходя из конкретной ситуации. На практике используются несколько подходов.

Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152) — наиболее распространённое основание. С 01.09.2025 согласие оформляется отдельным документом: оно не может быть включено в текст договора, заявки на участие в исследовании или информационного листа. В согласии обязательно указывают: наименование и адрес оператора, цель обработки, перечень данных, перечень действий с ними, срок действия согласия и способ его отзыва. Отсутствие любого реквизита делает согласие ненадлежащим.

Публичный интерес и исполнение полномочий (п. 2, 4 ч. 1 ст. 6 ФЗ-152) — применимо для государственных научных учреждений, реализующих обработку в рамках установленных полномочий. Частные организации на это основание опираться не могут без надлежащей правовой конструкции.

Обезличенные данные — если данные приведены в соответствие с требованиями ст. 13.1 ФЗ-152 и применёнными методами обезличивания, они перестают быть персональными. Это создаёт возможность вести исследование без оснований по ст. 6. Однако псевдонимизация (замена имени идентификатором при сохранении ключа соответствия) обезличиванием не является.

Используете персональные данные в исследовательских проектах?

Если вы юрист и отвечаете за комплаенс организации, ведущей научные проекты с участием физических лиц, — неправильно квалифицированное основание обработки создаёт риск штрафа по ч. 1 ст. 13.11 КоАП уже при первой проверке. DATUM проведёт аудит обработки персональных данных по чек-листу из 38 пунктов и выдаст приоритизированный план устранения нарушений. Срок включения в реестр операторов РКН — до 30 дней с момента направления уведомления, и это нужно сделать до начала обработки.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие принципы обработки нельзя нарушать при научных исследованиях?

Статья 5 ФЗ-152 закрепляет семь принципов. Они применяются независимо от основания обработки и не могут быть ограничены соглашением сторон. Каждый принцип требует конкретных организационных мер.

Законность и добросовестность. Основание обработки должно быть установлено до начала сбора данных, а не подобрано задним числом. Оператор не вправе ссылаться на согласие, полученное после фактического начала обработки.

Конкретность и определённость целей. Цель должна быть сформулирована до сбора данных. «Научные исследования» — это недопустимо широкая формулировка. Требуется конкретика: «изучение факторов риска сердечно-сосудистых заболеваний у мужчин 40–60 лет в период 2025–2027 годов».

Запрет объединения баз с несовместимыми целями. Данные, собранные для одного исследования, нельзя передавать в другое без дополнительного основания. Объединение баз двух проектов возможно только при совместимости целей обработки.

Минимизация данных. Объём собираемых данных должен соответствовать заявленным целям. Сбор дополнительных сведений «на будущее» нарушает этот принцип.

Точность и актуальность. Оператор обязан обеспечить точность данных и их своевременное обновление или удаление при утрате актуальности.

Срок хранения. Данные хранятся не дольше, чем необходимо для достижения цели. По завершении исследования оператор обязан уничтожить данные или обезличить их.

«Ст. 5 ФЗ-152 — обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей; не допускается обработка данных, несовместимая с этими целями.»

Как регулируются специальные категории и биометрические данные в исследованиях?

Значительная часть научных исследований предполагает обработку данных о состоянии здоровья, генетической информации, расовой или национальной принадлежности, религиозных или философских убеждениях. Это специальные категории по ст. 10 ФЗ-152, их обработка по общему правилу запрещена.

Исключения, применимые к исследовательской деятельности, перечислены в ч. 2 ст. 10. Ключевые из них: прямое согласие субъекта на обработку данной категории; обработка в медицинских, профилактических, диагностических целях при наличии медицинской тайны; научные исследования или статистика в анонимизированной форме. Последнее исключение требует строгого соблюдения: данные должны быть действительно анонимными, а не псевдонимизированными.

Биометрические данные — изображение лица, голосовые характеристики, отпечатки пальцев, данные о сетчатке глаза — регулируются ст. 11 ФЗ-152. Их обработка допустима только при письменном согласии субъекта. Для исследований в области биометрии это создаёт повышенные требования к форме согласия и документации.

Если исследование предполагает обработку специальных категорий, требуется отдельное письменное согласие для этих данных, отдельный учёт оснований и усиленные меры защиты согласно уровням защищённости ПП РФ № 1119 — как правило, УЗ-3 или выше.

Что грозит за нарушение требований при обработке персональных данных в исследованиях?

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей. Нарушения при исследовательской обработке данных могут квалифицироваться по нескольким составам одновременно.

Обработка без надлежащего основания или с целями, несовместимыми с заявленными (ч. 1 ст. 13.11) — штраф для юридического лица от 150 000 до 300 000 рублей. При повторном нарушении (ч. 1.1) — от 300 000 до 500 000 рублей.

Обработка без письменного согласия или с ненадлежащим составом согласия (ч. 2 ст. 13.11) — штраф от 300 000 до 700 000 рублей. Повторно (ч. 2.1) — от 1 000 000 до 1 500 000 рублей.

Отсутствие опубликованной политики обработки персональных данных (ч. 3 ст. 13.11) — штраф от 30 000 до 60 000 рублей.

Помимо административной, возможна уголовная ответственность по ст. 272.1 УК РФ, введённой с 11.12.2024: незаконное использование, передача, сбор или хранение компьютерной информации, содержащей персональные данные. Максимальное наказание по ч. 5 при тяжких последствиях — лишение свободы до 10 лет. Это особенно актуально при передаче исследовательских баз данных третьим лицам без надлежащего основания.

Если вы юрист и компания ещё не подала уведомление в реестр РКН о намерении обрабатывать данные — срок включения составляет до 30 дней, а нарушение влечёт штраф по ч. 10 ст. 13.11 от 100 000 до 300 000 рублей. Комплект ОРД устраняет этот риск сразу по нескольким основаниям.

Собрать ОРД под ключ

Как складывается практика: типовые ситуации для юриста-комплаенс

Сценарий 1. Исследование без уведомления РКН. Университет начинает сбор данных студентов и преподавателей для социологического исследования. Уведомление об обработке по ст. 22 ФЗ-152 не подаётся — организация считает, что уведомлять нужно только «коммерческие компании». По результатам проверки РКН составляет протокол по ч. 10 ст. 13.11 КоАП. Штраф — в диапазоне от 100 000 до 300 000 рублей. Стратегия защиты: обосновать подпадание под исключения ч. 2 ст. 22 (обработка без средств автоматизации) или незамедлительно подать уведомление до постановления с ходатайством о смягчении.

Сценарий 2. Передача базы данных соисполнителю без поручения. Научная организация в Северо-Западном ФО (осень 2025) передала массив данных пациентов в объёме порядка 8 000 записей стороннему аналитическому центру без оформления поручения по п. 3 ст. 6 ФЗ-152 и без уведомления субъектов. Проверка РКН установила нарушение ч. 1 ст. 13.11. Штраф — в сотни тысяч рублей. Защита строилась на доказательстве наличия соглашения о конфиденциальности, которое суд не признал достаточным заменителем поручения. Надлежащее поручение должно содержать перечень действий, цели, обязательство обеспечить конфиденциальность и уничтожить данные по завершении.

Сценарий 3. Несовместимость целей при повторном использовании базы. Медицинское учреждение собрало данные пациентов для клинического исследования по протоколу А и впоследствии использовало ту же базу для исследования по протоколу Б. Субъекты давали согласие только на протокол А. Повторное использование квалифицировано как обработка с целями, несовместимыми с первоначально заявленными, по ч. 1 ст. 13.11 КоАП. Стратегия: перед началом второго исследования получать отдельное согласие или применять обезличивание, прошедшее проверку на соответствие методам ст. 13.1 ФЗ-152.

Что подготовить юристу перед началом исследования с персональными данными

Уведомление в РКН по ст. 22 ФЗ-152 — подать до начала обработки; форма утверждена Приказом РКН № 180 от 28.10.2022.
Отдельное согласие субъекта по ст. 9 ФЗ-152 в редакции с 01.09.2025 — с обязательными реквизитами: цель, перечень данных, действия, срок, способ отзыва.
Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 — опубликованная и актуальная.
Поручение обработки по п. 3 ст. 6 ФЗ-152 — если данные передаются соисполнителю или аналитическому центру.
Приказ об уничтожении (обезличивании) данных по завершении исследования с фиксацией даты и ответственного.

Кейс 1. Научный институт (Центральный ФО, начало 2026) обрабатывал медицинские данные участников исследования на основании согласий, включённых в тексты договоров об участии. После 01.09.2025 такая форма перестала соответствовать требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Проверка РКН выявила несоответствие состава согласий. Организация получила предписание о переоформлении и протокол по ч. 2 ст. 13.11 КоАП. Штраф — в нижней части диапазона (от 300 000 рублей). Своевременное переоформление форм до 01.09.2025 позволило бы избежать нарушения полностью. ⚠️ Конкретный номер дела уточняет менеджер при публикации.

Кейс 2 (на основе case_generic_subpodryad). Коммерческая лаборатория (Приволжский ФО, осень 2025) передала базу генетических данных участников исследования зарубежному соавтору без оформления трансграничной передачи по ст. 12 ФЗ-152. Субъект персональных данных подал жалобу в РКН. Регулятор возбудил административное производство. Ключевой вывод практики: оператор несёт ответственность за действия любого лица, которому передал данные, — независимо от академического статуса получателя.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки, принципов, ОРД и уведомлений.
Комплект ОРД под ключ — согласия, политика, поручения, приказы для исследовательских организаций.
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152 на абонентской основе.

Частые вопросы

1. Что считается обработкой персональных данных по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой признаётся любое действие или их совокупность с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Заполнение анкеты участника исследования, формирование базы данных и даже просмотр записей без их изменения — всё это обработка с точки зрения закона.

2. На основании чего можно обрабатывать персональные данные?

Статья 6 ФЗ-152 перечисляет 11 оснований. Для научных исследований чаще всего применяются: согласие субъекта (п. 1), исполнение обязательств оператора как государственного или муниципального органа (п. 2), а также случаи, когда обработка необходима для достижения законных целей оператора при соблюдении прав субъекта (п. 7). Выбор основания определяет форму документирования и объём прав субъекта.

3. Что грозит за нарушение 152-ФЗ?

С 30.05.2025 нарушения квалифицируются по одной из 18 частей ст. 13.11 КоАП. Для юридических лиц диапазон штрафов — от 30 000 рублей (ч. 3, отсутствие политики) до 15 000 000 рублей (ч. 14, утечка более 100 000 субъектов). При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 рублей. Дополнительно с 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу или некоммерческой организации?

По общему правилу ст. 22 ФЗ-152 любой оператор обязан уведомить РКН о намерении обрабатывать данные до начала обработки. Исключения перечислены в ч. 2 ст. 22: обработка без средств автоматизации, обработка в рамках трудовых отношений, обработка данных членов объединения и ряд других. Размер организации и форма собственности значения не имеют. Нарушение — штраф 100 000–300 000 рублей по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на персональные данные?

ФЗ-152 не устанавливает минимальный возраст напрямую. Согласие — это юридически значимое действие, к которому применяются нормы гражданского права. Несовершеннолетние до 14 лет не могут давать согласие самостоятельно: его дают законные представители. С 14 до 18 лет согласие даётся самим субъектом, но оператору рекомендуется получить также согласие представителя при обработке данных о здоровье или иных чувствительных категорий. Для исследований с участием детей это критически важный элемент ОРД.

Итог

Научная деятельность не является самостоятельным основанием обработки персональных данных по ФЗ-152. Оператор выбирает применимое основание из перечня ст. 6, соблюдает все принципы ст. 5, документирует согласие в соответствии с ст. 9 в редакции с 01.09.2025 и уведомляет РКН до начала обработки. Для специальных категорий и биометрии требования удваиваются. Нарушение любого из этих условий — самостоятельный состав административного правонарушения.

DATUM сопровождает операторов в исследовательском, образовательном и медицинском секторах: аудит оснований обработки, подготовка комплекта ОРД и уведомлений РКН, а также представление интересов в случае проверки или административного производства.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам. Специализация — основания обработки ПДн, согласия, политики конфиденциальности, трансграничные сервисы, e-commerce и SaaS.

21 августа 2026 года