Перейти к содержанию
справочник 19 июля 2026 По состоянию на 19 июля 2026

Обработка персональных данных: 19 действий по ст. 3 152-ФЗ

Обработка персональных данных — любое действие или совокупность действий с ПДн: от сбора до уничтожения, перечисленные в ст. 3 ФЗ-152.
Закон называет 19 самостоятельных действий. Каждое требует отдельного правового основания по ст. 6, отдельной цели по ст. 5 и отдельного учёта в политике оператора по ст. 18.1 ФЗ-152.
→ Если вы юрист и проверяете комплаенс компании: без точного понимания состава обработки невозможно правильно оформить ни одно согласие, ни одну политику.

Понятие «обработка ПДн» в российском праве шире, чем кажется на первый взгляд. Просмотр резюме в базе — это обработка. Перезапись резервной копии — тоже. Удаление учётной записи — тоже. С 30.05.2025 действуют расширенные составы ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024: оборотный штраф за повторную утечку достигает 500 млн ₽. Правильная квалификация каждого действия с ПДн — обязательный элемент защиты.

Что считается обработкой ПДн по ст. 3 152-ФЗ?

Статья 3 ФЗ-152 содержит закрытый перечень действий, образующих обработку персональных данных. Все 19 действий равнозначны: любое из них влечёт обязанности оператора по ст. 6, 9, 18, 18.1, 19, 21, 22 ФЗ-152. Отсутствие согласия или иного правового основания для хотя бы одного из реально совершаемых действий создаёт состав нарушения по ч. 1 или ч. 2 ст. 13.11 КоАП.

1. Сбор
Первичное получение ПДн: заполнение анкеты, регистрация на сайте, сканирование документа. Правовое основание фиксируется в момент сбора — согласие по ст. 9 или иное основание по ст. 6 ФЗ-152.
2. Запись
Внесение ПДн в базу данных, журнал, файл. Технически отделима от сбора: данные могут собирать третьи лица, а запись производит оператор. Требует соответствия локализационному требованию ч. 5 ст. 18 ФЗ-152 при первичной записи ПДн граждан РФ — база должна располагаться на серверах в России.
3. Систематизация
Структурирование ПДн по категориям, атрибутам, справочникам. Характерна для CRM-систем и HR-порталов. При создании новых категорий систематизации может потребоваться обновление политики и уведомления РКН по ст. 22 ФЗ-152.
4. Накопление
Прирост объёма ПДн во времени. Принцип ст. 5 ФЗ-152 требует, чтобы объём не превышал цели обработки. Накопление данных «про запас» без конкретной цели — нарушение принципа необходимости и достаточности.
5. Хранение
Удержание ПДн в течение времени. Срок хранения определяется целью обработки или требованиями закона (например, 75 лет для личного дела работника, 7 лет для кредитной истории по ФЗ-218). Хранение после достижения целей запрещено ст. 5 ФЗ-152 — данные подлежат уничтожению или обезличиванию.
6. Уточнение (обновление, изменение)
Корректировка ПДн по инициативе оператора или субъекта. Право субъекта требовать уточнения закреплено в ст. 14 ФЗ-152; оператор обязан произвести уточнение в течение 7 рабочих дней при подтверждении неточности.
7. Извлечение
Выборка ПДн из базы данных. Каждое обращение к ИСПДн по запросу — самостоятельное действие по обработке. Факты извлечения подлежат протоколированию при автоматизированной обработке в соответствии с Приказом ФСТЭК №21.
8. Использование
Применение ПДн для достижения цели обработки: принятие кадрового решения, расчёт кредитного скоринга, формирование договора. Использование ПДн для иной цели, чем заявленная при сборе, нарушает ст. 5 ФЗ-152 (принцип соответствия целям).
9. Передача (распространение)
Раскрытие ПДн неограниченному кругу лиц. Передача данных в интернет, публичные реестры, СМИ. Требует отдельного согласия на распространение по ст. 10.1 ФЗ-152. По умолчанию — разрешена только обработка для оператора, без распространения.
10. Передача (предоставление)
Раскрытие ПДн конкретному лицу или ограниченному кругу лиц: контрагенту, банку, государственному органу. Требует правового основания по ст. 6 ФЗ-152. Передача по поручению третьему лицу оформляется через договор поручения по ч. 3 ст. 6 ФЗ-152 с перечнем разрешённых действий.
11. Передача (доступ)
Предоставление возможности ознакомиться с ПДн без копирования: просмотр в информационной системе, демонстрация экрана. Технически отличается от предоставления (п. 10), но юридически требует того же правового основания.
12. Обезличивание
Действия, в результате которых невозможно без дополнительной информации установить принадлежность ПДн конкретному субъекту. С 2025 года регулируется ст. 13.1 ФЗ-152, введённой ФЗ-233. Методы обезличивания установлены подзаконным актом РКН: введение идентификаторов, изменение состава и семантики, декомпозиция, перемешивание, обобщение. Правильно обезличенные данные выходят из-под действия ФЗ-152.
13. Блокирование
Временное прекращение обработки ПДн (кроме хранения). Вводится по требованию субъекта при оспаривании достоверности данных или при проверке РКН. Срок блокирования — до подтверждения достоверности или снятия требования. Блокирование не означает уничтожения: доступ к ПДн ограничен, но данные сохраняются.
14. Уничтожение
Безвозвратное удаление ПДн с невозможностью восстановления содержания. Оператор обязан уничтожить ПДн при: достижении цели обработки, отзыве согласия, истечении срока хранения, требовании субъекта (ст. 21 ФЗ-152). Уничтожение подлежит документальному оформлению — акт об уничтожении с перечнем уничтоженных данных.
15. Удаление
Используется как синоним уничтожения в ряде подзаконных актов. В контексте ИСПДн — физическое или логическое удаление файлов, строк в БД. Для материальных носителей уничтожение подтверждается актом с перечнем утилизированных носителей по требованиям Приказа ФСТЭК №21.
16. Поиск
Нахождение ПДн по заданным критериям в базе данных. Актуально для поисковых сервисов, HR-систем, медицинских реестров. Поиск — самостоятельное действие по обработке, которое должно быть предусмотрено в уведомлении РКН по ст. 22 ФЗ-152.
17. Получение
Принятие ПДн от другого оператора или обработчика. Отличается от сбора тем, что источником является не субъект, а третье лицо. Требует проверки законности передачи у источника: наличия согласия субъекта на передачу именно этому оператору.
18. Распространение
Действия, направленные на раскрытие ПДн неопределённому кругу лиц. В ст. 3 ФЗ-152 выделено в самостоятельное понятие наряду с передачей-предоставлением и передачей-доступом. Распространение биометрических и специальных категорий ПДн (ст. 10, ст. 11 ФЗ-152) без отдельного письменного согласия образует состав ч. 2 ст. 13.11 КоАП — штраф до 700 тыс. ₽.
19. Трансграничная передача
Передача ПДн на территорию иностранного государства. Регулируется ст. 12 ФЗ-152. До передачи в страну без адекватной защиты — уведомление РКН. Отдельный состав нарушения. Трансграничная передача незаконно полученных ПДн — самостоятельный уголовный состав по ч. 4 ст. 272.1 УК РФ (до 8 лет лишения свободы), введённой ФЗ-421 от 30.11.2024.
«Ст. 3 ФЗ-152 определяет обработку персональных данных как любое действие или совокупность действий, совершаемых с ПДн с использованием средств автоматизации или без таковых. Перечень из 19 действий — исчерпывающий.»

Нужна проверка комплаенса по ст. 3–6 ФЗ-152?

Если вы юрист и проверяете, насколько обработка ПДн компании соответствует требованиям закона, — важно убедиться, что каждое из реально совершаемых действий закрыто правовым основанием и отражено в политике. Пробел хотя бы в одном из 19 действий создаёт риск штрафа по ч. 1 ст. 13.11 КоАП: 150–300 тыс. ₽, а при повторности — до 500 тыс. ₽. С 30.05.2025 действует расширенная редакция ФЗ-420.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие принципы обязательны для любого действия с ПДн?

Все 19 действий по обработке ПДн совершаются в рамках принципов ст. 5 ФЗ-152. Нарушение принципа — самостоятельное нарушение вне зависимости от наличия согласия.

Ключевые принципы ст. 5 ФЗ-152

  • Законность и справедливость: обработка — только при наличии правового основания по ст. 6, 9, 10, 11 ФЗ-152.
  • Конкретность целей: цели определяются до начала обработки; обработка ПДн, несовместимая с целью сбора, запрещена.
  • Соответствие объёма целям: нельзя собирать данные, избыточные относительно цели обработки.
  • Точность и достаточность: оператор обязан принимать меры по обеспечению достоверности ПДн.
  • Ограниченность хранения: ПДн хранятся не дольше, чем требует цель; по достижении цели — уничтожение или обезличивание.

На каких основаниях можно обрабатывать ПДн?

Статья 6 ФЗ-152 устанавливает 11 правовых оснований для обработки. Для юриста при проверке комплаенса важно соотнести каждое из 19 действий с конкретным основанием из этого перечня.

Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152)
Основное и самое распространённое основание. С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156 от 24.06.2025. Обязательные реквизиты согласия по ст. 9: ФИО и контакты субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.
Исполнение договора с субъектом (п. 5 ч. 1 ст. 6)
Обработка необходима для исполнения договора, стороной которого является субъект, либо для заключения договора по его инициативе. Согласие в этом случае не требуется, но объём обрабатываемых данных должен быть минимально необходимым для исполнения договора.
Исполнение обязанности по законодательству РФ (п. 2 ч. 1 ст. 6)
Оператор обрабатывает данные, поскольку обязан это делать по закону: налоговая отчётность, ОМС, воинский учёт, ПФР. Согласие субъекта не требуется.
Обработка по поручению (ч. 3 ст. 6 ФЗ-152)
Оператор вправе поручить обработку третьему лицу — обработчику. Обязательное условие: письменный договор с перечнем разрешённых действий и требований к защите. Ответственность перед субъектом несёт оператор, а не обработчик.
«Ст. 6 ФЗ-152 устанавливает 11 оснований для обработки персональных данных. Обработка без единого из них или в объёме, превышающем допустимый для конкретного основания, образует нарушение по ч. 1 ст. 13.11 КоАП (штраф для юрлица 150–300 тыс. ₽) или по ч. 2 (300–700 тыс. ₽) — если речь о письменном согласии.»

Что грозит за нарушение 152-ФЗ в 2025–2026 годах?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. Ключевые риски для юриста при проверке комплаенса:

  • Обработка без основания или не в соответствии с целями — ч. 1 ст. 13.11 КоАП: 150–300 тыс. ₽ для юрлица; при повторности — ч. 1.1: 300–500 тыс. ₽.
  • Обработка без письменного согласия — ч. 2 ст. 13.11 КоАП: 300–700 тыс. ₽; при повторности — ч. 2.1: 1–1,5 млн ₽.
  • Нарушение локализации (первичная запись ПДн граждан РФ за рубежом) — ч. 8 ст. 13.11 КоАП: 1–6 млн ₽; при повторности — ч. 9: 6–18 млн ₽.
  • Утечка ПДн от 100 000 субъектов — ч. 14 ст. 13.11 КоАП: 10–15 млн ₽; при повторности — оборотный штраф ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.
  • Незаконная передача ПДн через компьютерные системы — ст. 272.1 УК РФ (введена ФЗ-421, действует с 11.12.2024): до 10 лет лишения свободы (ч. 5).

Если вы юрист и готовите компанию к проверке РКН — проверьте, закрыто ли каждое из реально совершаемых действий правовым основанием. С 30.05.2025 действует расширенная ст. 13.11 КоАП: 18 составов, оборотный штраф до 500 млн ₽.

Заказать аудит 152-ФЗ

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — это любое действие или их совокупность с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, поиск, получение и трансграничная передача. Всего 19 самостоятельных действий. Достаточно совершить хотя бы одно, чтобы стать оператором ПДн со всеми вытекающими обязанностями.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 закрепляет 11 правовых оснований. Самые распространённые: согласие субъекта (с 01.09.2025 — отдельный документ по ФЗ-156), исполнение договора с субъектом, исполнение обязанности по закону, поручение обработки по ч. 3 ст. 6. Для специальных категорий ПДн (ст. 10) и биометрии (ст. 11) перечень оснований существенно уже — как правило, требуется письменное согласие.

3. Что грозит за нарушение 152-ФЗ?

С 30.05.2025 — 18 составов ст. 13.11 КоАП в редакции ФЗ-420. Диапазон для юрлица: от 30 тыс. ₽ (ч. 3, отсутствие политики) до оборотного штрафа 1–3% выручки, но не менее 20 млн ₽ и не более 500 млн ₽ (ч. 15, повторная утечка). С 11.12.2024 действует ст. 272.1 УК: за незаконное использование ПДн через компьютерные системы — до 10 лет лишения свободы.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если компания не попадает в исключения ч. 2 ст. 22 ФЗ-152. Малый бизнес обязан уведомить РКН, если обрабатывает ПДн работников, клиентов или иных субъектов в целях, прямо не указанных в исключениях. Неуведомление — ч. 10 ст. 13.11 КоАП: 100–300 тыс. ₽. Форму подают через pd.rkn.gov.ru по Приказу РКН №180 от 28.10.2022.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единого возрастного порога. По общему правилу полная дееспособность наступает с 18 лет — согласие до этого возраста подписывает законный представитель. При этом для услуг, адресованных детям, операторы, как правило, требуют согласие родителя независимо от возраста ребёнка. Для биометрических ПДн несовершеннолетних применяются дополнительные ограничения.

Итог

Статья 3 ФЗ-152 содержит исчерпывающий перечень из 19 действий, образующих обработку персональных данных. Для корректного комплаенса каждое реально совершаемое действие должно быть закрыто правовым основанием по ст. 6, отражено в политике по ст. 18.1 и учтено в уведомлении РКН по ст. 22 ФЗ-152.

Юристы DATUM сопровождают аудит обработки ПДн по полному чек-листу, включая соотнесение всех реальных действий компании с нормами ФЗ-152 в редакции 2025–2026 годов.

Услуги DATUM по теме

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

19 июля 2026 года