Перейти к содержанию
инструкция 24 ноября 2028 По состоянию на 24 ноября 2028

Однократный сбор ПДн без хранения: позиция РКН

Однократный сбор персональных данных без последующего хранения — это обработка ПДн, которая формально подпадает под требования 152-ФЗ вне зависимости от того, сохраняет оператор данные или нет.
Роскомнадзор не признаёт «транзитную» обработку исключением: без уведомления в реестре, политики конфиденциальности и согласия субъекта оператор нарушает ст. 22 и ст. 18.1 ФЗ-152, что влечёт штраф по ч. 3 и ч. 10 ст. 13.11 КоАП от 30 000 до 300 000 ₽ за каждый состав.
→ Если вы юрист компании и проверяете, нужен ли вашему клиенту полный комплект ОРД при кратковременной обработке — эта инструкция даёт чёткий ответ с разбором позиции РКН.

Ситуация «мы только принимаем данные, не сохраняем — значит, закон нас не касается» регулярно встречается в IT-стартапах, call-центрах и на корпоративных сайтах с формами обратной связи. Роскомнадзор относится к этому аргументу предсказуемо: понятие «обработка» по ст. 3 ФЗ-152 охватывает сбор как самостоятельное действие, не требуя хранения для квалификации нарушения. В этой инструкции — порядок действий юриста, который выстраивает комплаенс для такого оператора.

Шаг 1. Установите, является ли компания оператором ПДн

Оператором по ст. 3 ФЗ-152 признаётся любое лицо, самостоятельно или совместно с другими организующее и осуществляющее обработку ПДн, а также определяющее цели и состав обрабатываемых данных. Если на сайте компании есть форма с полем «имя» или «телефон» — сбор происходит в момент нажатия кнопки «отправить», до того как данные попадут в базу или будут немедленно удалены.

«Обработка персональных данных» по ст. 3 ФЗ-152 включает в себя в том числе сбор — как самостоятельное действие, отдельное от хранения. Отсутствие хранения не исключает обработку и не освобождает от обязанностей оператора.

Практический критерий: задайте три вопроса. Первое — поступают ли данные физических лиц (ФИО, телефон, email, IP-адрес, cookie) хотя бы на один сервер компании или подрядчика? Второе — компания определяет, какие именно данные собирать и зачем? Третье — есть ли техническая возможность извлечь данные из системы хотя бы в момент передачи? Если на каждый из вопросов ответ «да» — компания является оператором.

Отдельно проверьте: если сбор осуществляется через форму на сайте, а данные немедленно пересылаются подрядчику — применяется конструкция поручения обработки по п. 3 ст. 6 ФЗ-152. Оператор остаётся ответственным перед субъектом; подрядчик действует только по инструкции. Отсутствие письменного договора-поручения — самостоятельный риск по ч. 1 ст. 13.11 КоАП.

Шаг 2. Проверьте наличие уведомления в реестре РКН

Ст. 22 ФЗ-152 устанавливает обязанность оператора уведомить Роскомнадзор о намерении осуществлять обработку ПДн до начала такой обработки. Исключения перечислены в ч. 2 ст. 22 и носят закрытый характер: данные работников в рамках трудового договора, однократный пропуск на объект, родственники и члены общественного объединения, общедоступные источники. «Транзитный» сбор данных клиентов через сайт ни под одно из этих исключений не подпадает.

Ч. 10 ст. 13.11 КоАП (в ред. с 30.05.2025): неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку ПДн — штраф для юрлица 100 000 — 300 000 ₽.

Алгоритм проверки: зайдите на pd.rkn.gov.ru, введите ИНН или ОГРН компании. Если записи нет — нарушение уже есть, независимо от того, хранит компания данные или нет. Уведомление подаётся по форме Приказа РКН №180 от 28.10.2022 через личный кабинет с использованием ЕСИА или УКЭП. Срок включения в реестр — до 30 дней с момента подачи.

Частая ошибка юристов: уведомление подано, но цели обработки в нём указаны слишком узко или устарели. Если компания начала собирать данные через новый канал (мессенджер-бот, виджет чата, форма на лендинге), нужно подать уведомление об изменении сведений. Несоответствие реальной обработки сведениям в реестре — самостоятельный риск при плановой проверке.

Реестр РКН проверили — уведомления нет или оно устарело?

Если уведомление не подавалось или цели обработки в нём не совпадают с фактической практикой — нарушение по ч. 10 ст. 13.11 КоАП уже есть. Срок подачи первичного уведомления не восстанавливается задним числом, но оперативная подача снижает риск штрафа при добровольном устранении. Юристы DATUM подготовят уведомление по форме Приказа РКН №180, проверят полноту сведений и подадут через личный кабинет.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Сформируйте политику обработки персональных данных

Ч. 2 ст. 18.1 ФЗ-152 обязывает оператора публиковать политику обработки персональных данных. Документ должен быть размещён в открытом доступе — как правило, на сайте компании. Ст. 18.1 определяет обязательный состав: цели обработки, правовые основания, категории субъектов и состав ПДн, порядок и условия обработки, права субъектов, сведения о трансграничной передаче (если применимо), срок обработки и порядок уничтожения.

Ч. 3 ст. 13.11 КоАП (в ред. с 30.05.2025): невыполнение обязанности по опубликованию политики обработки ПДн — штраф для юрлица 30 000 — 60 000 ₽. Для оператора, не хранящего данные, это нарушение выявляется в первые минуты проверки сайта.

Отдельный вопрос — шаблоны политики из интернета. Роскомнадзор в ходе проверок фиксирует дословные совпадения текстов между несвязанными компаниями. Это само по себе не является нарушением, однако свидетельствует о формальном подходе: если шаблонная политика декларирует цели или категории данных, несовпадающие с реальной практикой оператора — это нарушение ст. 5 ФЗ-152 (принцип соответствия объёма целям) и предмет замечания при проверке.

Для оператора, осуществляющего только однократный сбор без хранения, политика должна это прямо отражать: указать срок хранения как «до момента передачи» или «не сохраняются», описать порядок уничтожения (автоматическое удаление), зафиксировать отсутствие трансграничной передачи (или её наличие — если данные уходят в облако иностранного поставщика). Именно точность описания реальной практики защищает оператора при разногласиях с РКН.

Шаг 4. Назначьте ответственного по ст. 22.1 ФЗ-152

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки персональных данных. Требования к квалификации установлены ч. 4 ст. 22.1: ответственный должен иметь высшее юридическое или техническое образование либо дополнительное профессиональное образование в области обработки ПДн. Назначение оформляется приказом руководителя.

Ответственный по ст. 22.1 — не номинальная должность. В его функции входят: организация внутреннего контроля за соблюдением требований ФЗ-152, ознакомление работников с требованиями закона (ч. 1 ст. 18.1), приём и обработка запросов субъектов ПДн в срок 10 рабочих дней по ст. 20 ФЗ-152, взаимодействие с РКН при проверке.

Отсутствие назначенного ответственного не образует самостоятельного состава по ст. 13.11 КоАП, однако фиксируется РКН как нарушение ст. 22.1 ФЗ-152 и учитывается при оценке системности нарушений, что влияет на размер санкции по иным составам.

Если компания небольшая и выделить штатного специалиста нет возможности — допустим DPO-аутсорсинг: заключается договор с внешней организацией, которая принимает на себя функцию ответственного. Оператор при этом остаётся субъектом ответственности перед РКН, аутсорсер действует в рамках договора-поручения.

Если у вас нет штатного специалиста под ст. 22.1 — функцию ответственного за обработку ПДн можно передать на аутсорс. Юристы DATUM берут эту функцию по договору, включая ответы на запросы субъектов в 10-рабочий срок по ст. 20 ФЗ-152.

Подключить DPO-аутсорс

Шаг 5. Проверьте согласия субъектов с учётом требований с 01.09.2025

Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 устанавливает: с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть объединено с договором, офертой, политикой конфиденциальности или иным документом. Ранее полученные согласия, встроенные в договор, действительны — обратной силы норма не имеет. Но новые сборы данных после 01.09.2025 требуют отдельного документа.

Ч. 2 ст. 13.11 КоАП (в ред. с 30.05.2025): обработка ПДн без письменного согласия субъекта (когда оно требуется) или с нарушением требований к составу согласия — штраф для юрлица 300 000 — 700 000 ₽. Повторное нарушение по ч. 2.1 — 1 000 000 — 1 500 000 ₽.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО и контактные данные субъекта; наименование и адрес оператора; цель обработки; перечень обрабатываемых ПДн; перечень действий с данными; срок действия согласия; способ отзыва. Для однократного сбора без хранения цель должна быть сформулирована конкретно: «обработка обращения в службу поддержки», «идентификация при однократном посещении» — не «в маркетинговых целях».

Если правовым основанием является не согласие, а исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152) или иное основание из ст. 6 — согласие не требуется. Задача юриста на этом шаге: для каждого потока сбора данных определить правовое основание и убедиться, что оно соответствует реальной цели.

Как это применяется на практике: типовые сценарии

Сценарий 1. Форма обратной связи на сайте без базы данных. Компания использует виджет чата: данные посетителя (имя, телефон) направляются напрямую менеджеру в мессенджер и нигде не записываются. РКН при плановой проверке сайта фиксирует отсутствие: уведомления в реестре, политики конфиденциальности, согласия на обработку в форме. Три самостоятельных состава — ч. 10, ч. 3 ст. 13.11 и ч. 2 ст. 13.11 КоАП. Суммарный диапазон штрафов для юрлица — до 660 000 ₽ при первичном нарушении. Аргумент «мы не храним» РКН не принимает: обработка произошла в момент сбора.

Сценарий 2. Колл-центр на аутсорсе без договора-поручения. Компания передала функцию приёма звонков подрядчику; данные клиентов (ФИО, телефон, содержание обращения) обрабатываются подрядчиком. Договор не содержит положений о поручении обработки ПДн по п. 3 ст. 6 ФЗ-152. По позиции РКН и арбитражной практике, оператор несёт ответственность за действия подрядчика как за свои. При инциденте у подрядчика — протокол составляется на оператора. Решение: заключить отдельное соглашение об обработке ПДн по поручению с перечнем допустимых действий и обязанностью уничтожения данных после исполнения задания.

Сценарий 3. Стартап с MVP без ОРД, инвестор требует комплаенс-аудит. Компания на этапе привлечения инвестиций получает запрос от фонда на предоставление комплаенс-документации по 152-ФЗ. ОРД отсутствует полностью. Юрист фиксирует восемь нарушений: нет уведомления, нет политики, нет согласий, нет приказа о назначении ответственного, нет регламента реагирования на запросы субъектов, нет инструкции по реагированию на утечки, нет договора-поручения с облачным провайдером, нет оценки вреда субъектам. Каждый из этих пунктов — самостоятельный риск по ст. 13.11 КоАП. Срок подготовки базового пакета ОРД в практике DATUM — 10–14 рабочих дней.

Что подготовить юристу при однократном сборе ПДн

  • Уведомление в реестре операторов РКН (pd.rkn.gov.ru) — проверить наличие и актуальность целей по Приказу РКН №180
  • Политика обработки ПДн с описанием реального срока хранения («не сохраняются») и порядка уничтожения данных — опубликована на сайте компании
  • Отдельное согласие субъекта на обработку ПДн с обязательными реквизитами по ст. 9 ФЗ-152 (в ред. ФЗ-156 с 01.09.2025) — интегрировано в форму сбора
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
  • Договор-поручение с каждым подрядчиком, обрабатывающим ПДн по заданию компании (облако, CRM, колл-центр) — по п. 3 ст. 6 ФЗ-152

Кейс из практики DATUM. IT-компания (Сибирский ФО, начало 2026 года) обратилась после получения уведомления о плановой проверке РКН. Компания собирала заявки через сайт, данные немедленно уходили в CRM подрядчика. Собственного хранилища не было. Юристы DATUM установили: уведомление в реестре РКН отсутствует, политика не опубликована, договор с CRM-подрядчиком не содержит положений о поручении обработки. В течение 7 рабочих дней были поданы уведомление в РКН, опубликована политика, переоформлен договор с подрядчиком, добавлены согласия в форму. По итогам проверки РКН выдал предписание без протокола по ч. 10 и ч. 3 ст. 13.11 — в связи с устранением нарушений до начала выездного этапа. Примечание: конкретные номер и дата дела уточняются менеджером при публикации.

Услуги DATUM по теме

  • Комплект ОРД под ключ — 38 документов: политика, согласия, приказы, договоры-поручения, журналы
  • Аудит соответствия 152-ФЗ — проверка по 38 критериям, отчёт с приоритетами устранения нарушений
  • DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании, включая ответы на запросы субъектов

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный пакет по ст. 18.1 и ст. 22 ФЗ-152 включает: уведомление в реестре РКН, политику обработки ПДн (опубликована в открытом доступе), согласия субъектов (при отсутствии иного правового основания), приказ о назначении ответственного по ст. 22.1, договоры-поручения с подрядчиками, журнал учёта обращений субъектов. Для операторов ИСПДн — дополнительно документы по уровню защищённости (ПП РФ №1119) и организационно-распорядительная документация по Приказу ФСТЭК №21. Полный перечень зависит от категорий обрабатываемых ПДн и типов угроз.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, обязательные по ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания по ст. 6, категории субъектов и состав ПДн, порядок и условия обработки, права субъектов и порядок их реализации, сведения о трансграничной передаче (если есть), сроки обработки и порядок уничтожения данных. Политика должна отражать реальную практику оператора — шаблон из интернета, описывающий несуществующие у вас цели, создаёт риск нарушения ст. 5 ФЗ-152 при проверке РКН.

3. Кого назначить ответственным по ст. 22.1?

По ч. 4 ст. 22.1 ФЗ-152 ответственный должен иметь высшее юридическое или техническое образование либо дополнительное профессиональное образование в области обработки ПДн. Это может быть штатный сотрудник (юрист, специалист по ИБ) или внешняя организация по договору DPO-аутсорсинга. Назначение оформляется приказом руководителя. Ответственный принимает запросы субъектов и отвечает на них в течение 10 рабочих дней по ст. 20 ФЗ-152, взаимодействует с РКН при проверках.

4. Можно ли использовать шаблон политики из интернета?

Использовать готовый шаблон можно как основу, но не как итоговый документ. Если в шаблоне указаны цели, категории данных или порядок обработки, не соответствующие вашей реальной практике, — это нарушение принципа соответствия объёма целям по ст. 5 ФЗ-152. РКН при проверке сравнивает текст политики с фактической обработкой. Несоответствие фиксируется как нарушение вне зависимости от того, взята ли политика из шаблона или написана с нуля.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом: не встраивается в договор, политику или оферту. Обязательные реквизиты по ст. 9 ФЗ-152 — ФИО и контакты субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Ранее полученные согласия, встроенные в договор, сохраняют силу. Но любой новый сбор данных после 01.09.2025 должен опираться на согласие в отдельной форме. Нарушение требований к составу согласия влечёт штраф 300 000 — 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

6. Что происходит, если данные ушли подрядчику без договора-поручения?

По позиции РКН и арбитражной практике оператор несёт ответственность за действия подрядчика, которому передал данные субъектов, как за свои собственные. Отсутствие договора-поручения по п. 3 ст. 6 ФЗ-152 означает, что передача данных подрядчику не имеет правового основания, что квалифицируется как нарушение ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных законом) — штраф 150 000 — 300 000 ₽. При инциденте у подрядчика протокол составляется на оператора.

Итог

Однократный сбор ПДн без хранения не выводит компанию за пределы требований ФЗ-152: сбор — самостоятельное действие по ст. 3, влекущее полный объём обязанностей оператора. Уведомление в реестре РКН, политика конфиденциальности, отдельное согласие субъекта (в ред. ФЗ-156 с 01.09.2025), приказ о назначении ответственного и договор-поручение с каждым подрядчиком — обязательный минимум для любого оператора независимо от срока хранения данных.

DATUM сопровождает операторов на всех стадиях: от первичной проверки реестра РКН и сборки комплекта ОРД до представительства при проверке и оспаривания протоколов по ст. 13.11 КоАП. Практика по ФЗ-152 — с 2014 года.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, оборотные штрафы с 30.05.2025.