Перейти к содержанию
аналитика 11 января 2027 По состоянию на 11 января 2027

Новостной агрегатор и ПДн

Новостной агрегатор собирает данные о читателях, источниках и авторах — и по умолчанию является оператором персональных данных по ст. 3 ФЗ-152 без каких-либо отраслевых изъятий.
С 30.05.2025 штраф за утечку от 1 000 субъектов — от 3 млн ₽ по ч. 12 ст. 13.11 КоАП; при повторности — оборотный до 500 млн ₽ по ч. 15. Статус СМИ не освобождает от норм ФЗ-152.
Если вы юрист медиагруппы или цифровой платформы — оцените комплаенс агрегатора по чек-листу ниже, пока проверка РКН не стала точкой входа.

Рынок новостных агрегаторов в России регулируется одновременно Законом о СМИ, ФЗ «Об информации» и ФЗ-152. Последний применяется в полном объёме: агрегатор ведёт реестр пользователей, пишет cookies, хранит историю просмотров и передаёт данные рекламным системам. Юрист, сопровождающий такую платформу, сталкивается с пересечением трёх регуляторных пластов — и ошибки в каждом из них конвертируются в протоколы РКН или уголовные дела по ст. 272.1 УК.

Чем новостной агрегатор отличается от обычного СМИ в части ПДн?

СМИ публикует контент. Агрегатор — агрегирует его из множества источников и при этом формирует профиль каждого читателя: IP-адрес, история запросов, геолокация, поведенческие паттерны. Именно эта разница определяет объём обрабатываемых данных и применимые нормы.

По позиции Роскомнадзора, cookies и идентификаторы устройств относятся к персональным данным, если позволяют идентифицировать конкретного пользователя косвенно. Агрегатор, использующий счётчики аналитики (в том числе сторонние), формально обрабатывает ПДн каждого посетителя — без исключений для редакционной деятельности.

Статус зарегистрированного СМИ снимает часть требований ФЗ «Об информации» (например, по реестру новостных агрегаторов), но не снимает ни одного требования ФЗ-152. Уведомить РКН о намерении обрабатывать ПДн обязан любой оператор, в том числе редакция.

«Ст. 22 ФЗ-152 — оператор обязан уведомить уполномоченный орган до начала обработки персональных данных. Исключений для организаций, имеющих статус средства массовой информации, норма не содержит.»

Отдельная зона риска — агрегирование данных из открытых источников. Если агрегатор парсит новостные ленты и сохраняет упоминания физических лиц в собственной базе, это квалифицируется как сбор и хранение ПДн. Правовое основание — п. 1 или п. 10 ч. 1 ст. 6 ФЗ-152 (согласие субъекта либо обработка общедоступных данных в законных целях). Смешивать общедоступные данные с поведенческой аналитикой читателей в одной базе без разграничения целей — нарушение принципа недопустимости объединения несовместимых баз по ст. 5 ФЗ-152.

Какие категории ПДн собирает агрегатор и какие риски это создаёт?

Условно данные агрегатора делятся на три группы:

  • Данные читателей: email при регистрации, телефон, история просмотров, геолокация (если включена), идентификаторы устройств и cookies. Геолокация в сочетании с историей чтения способна раскрывать политические взгляды или религиозные предпочтения — что переводит обработку в зону специальных категорий по ст. 10 ФЗ-152.
  • Данные авторов и корреспондентов: ФИО, фотографии, биографии, контакты — обрабатываются в рамках трудовых или гражданско-правовых отношений (ст. 6 ч. 1 п. 5 ФЗ-152).
  • Данные из агрегируемого контента: упоминания третьих лиц в текстах. Хранение и индексация таких упоминаний — обработка ПДн. Правовое основание требует отдельной проверки по каждому типу данных.

Геолокация заслуживает отдельного внимания. Если агрегатор определяет местоположение пользователя для персонализации ленты, требуется отдельное согласие на обработку этих данных. Включение геолокации в общее пользовательское соглашение после 01.09.2025 недостаточно: по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть частью договора о пользовании сервисом.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025) — согласие субъекта оформляется отдельным документом и не объединяется с договором, офертой или политикой конфиденциальности.»

Согласия пользователей агрегатора встроены в пользовательское соглашение?

Если на платформе согласие на обработку ПДн — часть единого документа с условиями использования, это нарушение ст. 9 ФЗ-152 в редакции с 01.09.2025. Каждое такое согласие — основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽). Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как агрегатору выстроить трансграничную передачу данных и что требует ст. 12 ФЗ-152?

Новостные агрегаторы активно используют зарубежные аналитические сервисы, CDN и рекламные сети. Передача ПДн граждан России в такие системы квалифицируется как трансграничная передача по ст. 12 ФЗ-152.

Для передачи в страну, не обеспечивающую адекватную защиту, оператор обязан до начала передачи уведомить РКН. Перечень стран с адекватным уровнем защиты утверждён приказом РКН. США, большинство азиатских юрисдикций и ряд европейских стран вне ЕС в этот перечень не входят.

Практически это означает следующее. Если агрегатор передаёт данные читателей в Google Analytics 4, американский рекламный сервер или систему антифрода, расположенную в Германии, — каждый случай требует отдельного уведомления РКН. Кроме того, с 01.07.2025 действуют ужесточённые требования локализации по ч. 5 ст. 18 ФЗ-152 (ФЗ-233): первичный сбор, систематизация и накопление данных граждан РФ должны происходить в базах, физически размещённых на территории России. Агрегатор, направляющий данные напрямую в облако AWS или GCP без российского зеркала, нарушает требование локализации.

«Ч. 5 ст. 18 ФЗ-152 — запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории России.»

Санкция за нарушение локализации — ч. 8 ст. 13.11 КоАП: от 1 до 6 млн ₽. При повторном нарушении — ч. 9: от 6 до 18 млн ₽.

Что подготовить юристу агрегатора для базового комплаенса

  • Уведомление о намерении обрабатывать ПДн в реестре РКН (pd.rkn.gov.ru) — с актуальным перечнем целей и категорий данных.
  • Политика конфиденциальности с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на каждой странице сайта.
  • Отдельные формы согласий на обработку ПДн (включая cookies и геолокацию) — не встроенные в пользовательское соглашение (ст. 9, ФЗ-156).
  • Уведомления РКН о трансграничной передаче для каждого зарубежного сервиса (ст. 12 ФЗ-152).
  • Регламент реагирования на утечку с процедурами уведомления РКН за 24 и 72 часа (Приказ РКН №187).

Типовые правовые ситуации: сценарии для юриста агрегатора

Сценарий 1. СМИ не уведомило РКН, считая себя освобождённым от этой обязанности. Ситуация: редакция агрегатора исходила из логики «мы СМИ — нам можно». РКН провёл плановую проверку и установил, что компания обрабатывает данные зарегистрированных пользователей без уведомления. Доказательства нарушения: отсутствие записи в реестре операторов на pd.rkn.gov.ru при наличии базы подписчиков и системы авторизации. Вероятный исход: штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽ плюс предписание. Стратегия: немедленно подать уведомление через ЕСИА или УКЭП по форме Приказа РКН №180, параллельно готовить позицию о том, что нарушение устранено до вынесения постановления — это аргумент для применения ч. 1 ст. 4.1.1 КоАП (замена штрафа на предупреждение при первичности).

Сценарий 2. Утечка базы email-адресов подписчиков. Ситуация: в результате взлома CMS агрегатора в открытый доступ попала база из 15 000 адресов электронной почты с именами. Инцидент обнаружен службой мониторинга. Доказательства: логи взлома, данные SIEM. Вероятный исход по существу: ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов) — штраф от 5 до 10 млн ₽. Отдельно: если первичное уведомление РКН не направлено в течение 24 часов с момента обнаружения — ч. 11 ст. 13.11 КоАП, ещё от 1 до 3 млн ₽. Стратегия: немедленно запустить процедуру уведомления по Приказу РКН №187, зафиксировать точное время обнаружения, параллельно готовить расследование для 72-часового отчёта.

Сценарий 3. Агрегатор передаёт данные читателей партнёрской рекламной сети без надлежащего договора поручения. Ситуация: рекламная сеть размещает таргетированную рекламу на основе поведенческих данных, предоставляемых агрегатором через API. Формального договора поручения обработки по п. 3 ст. 6 ФЗ-152 нет — есть только договор на размещение рекламы. Вероятный исход: ч. 1 ст. 13.11 КоАП (обработка ПДн без надлежащего правового основания) — 150 000 — 300 000 ₽. Кроме того, если партнёрская сеть расположена за рубежом — одновременно нарушение ст. 12 (трансграничная передача без уведомления РКН). Стратегия: заключить договор поручения обработки с прямым указанием перечня действий, категорий данных и обязательства уничтожить данные по расторжении; подать уведомление о трансграничной передаче.

Если юрист агрегатора видит хотя бы один из трёх сценариев выше — риск уже материализован. На уведомление РКН об утечке — 24 часа без права на восстановление срока (ч. 3.1 ст. 21 ФЗ-152). Аудит DATUM закроет пробелы до того, как они станут протоколом.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Медиагруппа Центрального ФО (осень 2025) запустила новостной агрегатор с авторизацией через социальные сети. При подключении сторонней аналитической платформы данные читателей передавались в облако, расположенное в Нидерландах, без уведомления РКН. Юрист медиагруппы обратился в DATUM после получения запроса РКН. Были оперативно поданы уведомления о трансграничной передаче, переработаны формы согласий и заключены договоры поручения с подрядчиком. РКН ограничился предписанием без штрафа — нарушение устранено до составления протокола.

Кейс 2. IT-стартап (Северо-Западный ФО, начало 2026), разрабатывавший агрегатор для профессиональных юридических новостей, не подал уведомление о намерении обрабатывать ПДн и не опубликовал политику конфиденциальности. После жалобы пользователя РКН составил протоколы по ч. 10 (неуведомление) и ч. 3 ст. 13.11 КоАП (отсутствие политики). Штрафы составили в совокупности несколько сотен тысяч рублей. Компании удалось применить ч. 1 ст. 4.1.1 КоАП и заменить штраф по ч. 3 на предупреждение как для субъекта малого предпринимательства.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка полного цикла обработки ПДн на платформе, отчёт с планом устранения.
  • Комплект ОРД под ключ — политика, согласия, договоры поручения, регламент реагирования на утечку.
  • DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании, включая ответы на запросы субъектов.

Частые вопросы

1. Освобождены ли СМИ от уведомления РКН об обработке ПДн?

Нет. Ст. 22 ФЗ-152 обязывает уведомить РКН до начала обработки персональных данных любого оператора — юридического или физического лица. Исчерпывающий перечень исключений содержится в ч. 2 ст. 22 ФЗ-152; статус зарегистрированного СМИ в нём не упоминается. Агрегатор, ведущий базу зарегистрированных пользователей, обязан быть включён в реестр операторов.

2. Что грозит агрегатору за утечку базы подписчиков от 10 000 человек?

По ч. 13 ст. 13.11 КоАП (в редакции с 30.05.2025) за утечку от 10 000 до 100 000 субъектов предусмотрен штраф для юридического лица от 5 до 10 млн ₽. Если одновременно нарушен срок уведомления РКН (24 часа по ч. 3.1 ст. 21 ФЗ-152) — дополнительный штраф по ч. 11 ст. 13.11 от 1 до 3 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 млн ₽.

3. Нужно ли отдельное согласие на cookies и геолокацию после 01.09.2025?

Да. ФЗ-156 от 24.06.2025, действующий с 01.09.2025, требует, чтобы согласие на обработку ПДн было оформлено отдельным документом и не объединялось с договором, офертой или политикой конфиденциальности. Если cookies позволяют идентифицировать пользователя, а геолокация обрабатывается для персонализации, — каждый из этих видов обработки требует самостоятельного согласия с реквизитами по ст. 9 ФЗ-152.

4. Как агрегатору законно передавать данные в зарубежную рекламную сеть?

До начала передачи необходимо направить в РКН уведомление о трансграничной передаче по ст. 12 ФЗ-152 с указанием страны назначения, категорий данных и цели. Если страна не входит в перечень адекватной защиты, требуется согласие субъекта или иное основание из ч. 4 ст. 12. Кроме того, с принимающей стороной заключается договор поручения обработки по п. 3 ст. 6 ФЗ-152 с обязательством соблюдать требования российского законодательства.

5. Какие данные о читателях можно передавать партнёрам без согласия субъекта?

Без согласия — только в рамках договора поручения обработки (п. 3 ст. 6 ФЗ-152), когда оператор передаёт данные лицу, действующему исключительно в его интересах и по его инструкциям. Самостоятельная обработка переданных данных партнёром в своих целях требует отдельного правового основания — как правило, согласия субъекта. Передача без надлежащего договора поручения квалифицируется по ч. 1 ст. 13.11 КоАП.

Итог

Новостной агрегатор — полноправный оператор персональных данных с обязанностями по уведомлению РКН, локализации, получению согласий и реагированию на утечки. Статус СМИ не создаёт регуляторного иммунитета. С 30.05.2025 санкции за нарушения существенно выросли: утечка базы в несколько десятков тысяч подписчиков может стоить от 5 до 10 млн ₽, а повторный инцидент — до 500 млн ₽.

DATUM сопровождает цифровые медиапроекты и агрегаторы в части ФЗ-152 начиная с аудита и заканчивая защитой в арбитраже при оспаривании протоколов РКН.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам. Специализация — cookies как ПДн, согласия в SaaS и интернет-сервисах, трансграничные аналитические системы, политики конфиденциальности для медиаплатформ и агрегаторов.

11 января 2027 года