справочник 21 сентября 2026 По состоянию на 21 сентября 2026

Общедоступные ПДн: что не требует согласия по ст. 8

Общедоступные персональные данные — это сведения, к которым субъект предоставил неограниченный доступ или которые сам раскрыл публично. Обработка таких данных допустима без согласия по отдельным основаниям ст. 6 ФЗ-152, но ст. 8 устанавливает условия, при нарушении которых обработка становится незаконной.

Категория применяется узко: данные из справочников, реестров, социальных сетей не становятся автоматически «общедоступными» в смысле ФЗ-152. Неверная квалификация ведёт к штрафу до 300 000 ₽ по ч. 1 ст. 13.11 КоАП в редакции с 30.05.2025.

→ Если вы юрист и готовите правовое обоснование обработки ПДн — проверьте, соответствует ли источник данных требованиям ст. 8 ФЗ-152.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: неверная квалификация основания обработки — от 150 000 до 300 000 ₽ за первичное нарушение и до 500 000 ₽ при повторном. Этот справочник разбирает, что закон признаёт общедоступными ПДн, при каких условиях согласие не требуется и когда оператор всё равно обязан его получить.

Что такое общедоступные ПДн по ст. 8 ФЗ-152?

Общедоступные персональные данные — данные, размещённые в источниках, которые являются общедоступными: справочниках, адресных книгах, социальных сетях, реестрах с открытым доступом. Ключевое условие по ст. 8 ФЗ-152 — субъект сам дал согласие на включение своих данных в такой источник или источник создан в силу требования закона.

«Ст. 8 ФЗ-152 — общедоступные источники ПДн могут создаваться в целях информационного обеспечения. В них с письменного согласия субъекта могут включаться фамилия, имя, отчество, дата и место рождения, должность, номера телефонов, адрес электронной почты и иные сведения, сообщённые субъектом. Субъект вправе потребовать исключения своих ПДн из такого источника в любое время.»

Важно разграничить два понятия. Общедоступный источник ПДн — конкретный справочник или реестр, созданный по закону или с согласия субъекта. Обработка ПДн из общедоступного источника — отдельное действие, которое также требует правового основания по ст. 6 ФЗ-152. Сам факт публикации данных субъектом в интернете не делает их «общедоступными» в смысле ст. 8.

Из ст. 3 ФЗ-152 следует, что оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку ПДн. Квалификация источника как общедоступного — обязанность оператора, а не субъекта.

Какие источники признаются общедоступными?

Законодательство и практика РКН выделяют несколько категорий источников, которые могут квалифицироваться как общедоступные.

Реестры и базы данных, созданные по требованию закона. Единый государственный реестр юридических лиц (ЕГРЮЛ), реестр индивидуальных предпринимателей (ЕГРИП), реестры саморегулируемых организаций — данные в них размещаются в силу обязательных требований, согласие субъекта на включение не требуется. Однако использование этих данных оператором всё равно должно соответствовать принципам ст. 5 ФЗ-152: данные обрабатываются только в объёме, необходимом для конкретной цели.

Справочники и адресные книги с согласия субъекта. Телефонные справочники, корпоративные адресные книги, профессиональные реестры — источники, куда субъект включён с его письменного согласия. Субъект вправе потребовать исключения из такого источника в любое время по ст. 8 ч. 2 ФЗ-152.

Сведения, самостоятельно раскрытые субъектом. По ст. 6 ч. 1 п. 10 ФЗ-152 обработка ПДн допустима, если субъект сам раскрыл эти данные. Это отдельное правовое основание, не тождественное ст. 8: оно применяется, когда субъект публично разместил данные, — например, в открытом профиле социальной сети. Но объём обработки ограничен тем, что субъект сам раскрыл.

Нужно ли проверять правовое основание для каждого источника данных?

Да — и это ключевая задача при подготовке правового обоснования обработки. Если юрист компании обнаружил, что оператор использует данные из реестров или открытых источников без чёткого правового основания — это риск штрафа по ч. 1 ст. 13.11 КоАП. Юристы DATUM проведут аудит оснований обработки, проверят соответствие источников требованиям ст. 8 ФЗ-152 и подготовят правовое заключение.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Когда согласие всё равно нужно?

Статья 8 ФЗ-152 не освобождает оператора от обязанности соблюдать общие принципы обработки из ст. 5. Даже при работе с общедоступными данными обязательны: соответствие целям сбора, минимизация объёма, ограниченный срок хранения.

Согласие обязательно в следующих ситуациях:

Данные из общедоступного источника используются для цели, несовместимой с той, ради которой они туда включались. Например, сбор телефонов из ЕГРЮЛ для рекламной рассылки — нарушение ст. 5 ФЗ-152.
Среди общедоступных данных оказываются специальные категории по ст. 10 ФЗ-152 (состояние здоровья, судимость, религиозные взгляды). Для них общедоступность не является основанием для обработки без согласия.
Субъект направил требование об исключении из общедоступного источника по ст. 8 ч. 2 ФЗ-152. После этого оператор обязан прекратить обработку или получить отдельное согласие.
Предполагается распространение данных третьим лицам — для этого по ст. 10.1 ФЗ-152 требуется отдельное согласие на распространение.
С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156 от 24.06.2025 — объединение с договором или офертой недопустимо.

Что проверить при использовании данных из общедоступных источников

Источник создан по закону или с письменного согласия субъекта на включение данных
Цель обработки совместима с целью создания источника (ст. 5 ФЗ-152)
Объём обрабатываемых данных не превышает того, что субъект раскрыл в источнике
Субъект не направлял требование об исключении из источника (ст. 8 ч. 2 ФЗ-152)
Среди данных нет специальных категорий по ст. 10 ФЗ-152

Правовые основания обработки по ст. 6 ФЗ-152: как соотносятся с ст. 8?

Правовые основания обработки ПДн по ст. 6 ФЗ-152 — исчерпывающий перечень из 11 оснований. Статья 8 не является самостоятельным основанием: она описывает особый вид источника данных, а обработка из такого источника всё равно должна опираться на одно из оснований ст. 6.

Наиболее применимые основания при работе с общедоступными данными:

П. 1 ч. 1 ст. 6 — согласие субъекта: универсальное основание, применяется при любых сомнениях в правомерности иных оснований.
П. 10 ч. 1 ст. 6 — субъект сам раскрыл данные: применяется к открытым профилям, публичным заявлениям, открытым резюме. Объём обработки ограничен раскрытыми данными.
П. 5 ч. 1 ст. 6 — исполнение договора с субъектом: применяется, если данные нужны для исполнения обязательств перед субъектом.
П. 2 ч. 1 ст. 6 — исполнение обязанностей, возложенных законодательством: применяется при обработке данных из ЕГРЮЛ, ЕГРИП, официальных реестров в целях, предусмотренных законом.

Если юрист компании готовит правовое заключение об основаниях обработки ПДн — проверьте, закрыты ли все источники данных одним из 11 оснований ст. 6. Пробел в обосновании — это протокол по ч. 1 ст. 13.11 КоАП. Юристы DATUM соберут комплект ОРД, включая матрицу оснований обработки по каждому источнику.

Собрать ОРД под ключ

Типовые ситуации

Ситуация 1. Парсинг данных из открытых реестров для CRM. Компания собирает из ЕГРЮЛ контактные данные руководителей юридических лиц для формирования базы холодных звонков. Данные в ЕГРЮЛ размещены по требованию закона — но их использование для рекламы несовместимо с целью реестра. Это нарушение принципов ст. 5 ФЗ-152. Риск: штраф по ч. 1 ст. 13.11 КоАП — от 150 000 до 300 000 ₽. Стратегия: получить отдельное согласие или исключить физических лиц из базы.

Ситуация 2. Использование открытого профиля соцсети при проверке контрагента. Юрист компании при проверке кандидата на должность изучает его открытый профиль в социальной сети. Основание — п. 10 ч. 1 ст. 6 ФЗ-152: субъект сам раскрыл данные. Обработка правомерна в объёме раскрытого, но фиксация специальных категорий (фото с религиозными символами, политические высказывания) образует признаки нарушения ст. 10 ФЗ-152. Стратегия: ограничить обработку деловой информацией, не фиксировать специальные категории.

Ситуация 3. Субъект потребовал исключения из справочника. Физическое лицо направило оператору — владельцу отраслевого справочника — требование об исключении своих данных по ст. 8 ч. 2 ФЗ-152. Оператор продолжил обработку, сославшись на законный интерес. Позиция РКН: требование субъекта об исключении из общедоступного источника подлежит исполнению безусловно. Последствие: постановление об административном правонарушении по ч. 5 ст. 13.11 КоАП — от 50 000 до 90 000 ₽. Стратегия: установить регламент обработки требований субъектов со сроком исполнения.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже однократный просмотр и фиксация данных субъекта в системе — обработка, требующая правового основания.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 содержит 11 оснований. Наиболее распространены: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанностей по законодательству (п. 2), самостоятельное раскрытие данных субъектом (п. 10). Основание должно быть зафиксировано в документах оператора — в политике обработки ПДн и матрице оснований. Отсутствие документального подтверждения основания — риск штрафа по ч. 1 ст. 13.11 КоАП.

3. Что грозит за нарушение 152-ФЗ?

С 30.05.2025 ст. 13.11 КоАП содержит 18 частей. Обработка ПДн без надлежащего основания — ч. 1 (150 000–300 000 ₽), повторно — ч. 1.1 (300 000–500 000 ₽). Обработка без письменного согласия — ч. 2 (300 000–700 000 ₽). При утечке от 1 000 субъектов — ч. 12–14 (от 3 до 15 млн ₽). При повторной утечке — оборотный штраф по ч. 15: 1–3% выручки, не менее 20 млн ₽.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если компания обрабатывает ПДн и не попадает в исчерпывающий перечень исключений ч. 2 ст. 22 ФЗ-152. Исключения узкие: например, обработка данных работников исключительно для трудовых отношений или данных участников договора. Большинство компаний малого бизнеса, ведущих клиентскую базу или сайт с формой обратной связи, обязаны подать уведомление. Неподача — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

5. С какого возраста нужно согласие на ПДн?

По общему правилу ст. 9 ФЗ-152 согласие даёт сам субъект. Несовершеннолетние до 18 лет — согласие дают законные представители (родители, усыновители, опекуны). Для детей от 14 до 18 лет в ряде случаев допустимо самостоятельное согласие при эмансипации или в объёме, предусмотренном гражданским законодательством. Применительно к образовательным сервисам РКН придерживается позиции: согласие на обработку данных ребёнка получает родитель независимо от возраста.

Итог

Статья 8 ФЗ-152 регулирует не основание обработки, а особый вид источника ПДн. Использование данных из общедоступного источника всё равно требует правового основания по ст. 6 ФЗ-152 и соблюдения принципов ст. 5. Неверная квалификация источника как общедоступного — типичная ошибка при подготовке ОРД, которая превращается в протокол при первой проверке РКН.

Юристы DATUM специализируются на взаимодействии с Роскомнадзором и разработке документации по 152-ФЗ для компаний любого масштаба. Практика — с 2014 года.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки и источников данных по 38 критериям
Комплект ОРД под ключ — матрица оснований, политика, согласия, приказы
DPO-аутсорсинг — ответственный за обработку ПДн на абонентском обслуживании

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов, подсудность после ФЗ-508.

21 сентября 2026 года