аналитика 14 апреля 2029 По состоянию на 14 апреля 2029

Операторы связи как операторы ПДн

Оператор связи по ФЗ-152 является оператором персональных данных — он обрабатывает ФИО, паспортные данные, геолокацию и трафик абонентов в рамках нескольких правовых оснований одновременно.

С 30.05.2025 штраф за утечку данных более 100 000 субъектов составляет 10–15 млн ₽ по ч. 14 ст. 13.11 КоАП, а при повторности — оборотный штраф до 500 млн ₽ по ч. 15. Телеком-отрасль входит в топ-3 по числу утечек, 55% уголовных дел по ст. 272.1 УК — на сотрудниках телекома.

Если вы юрист телеком-компании или оператора смежной отрасли — разбор ниже объяснит, какие нормы 152-ФЗ применяются специфически к вашей сфере и где сосредоточены регуляторные риски.

Телекоммуникационные компании, каршеринговые сервисы, управляющие организации в ЖКХ и средства массовой информации объединяет одно: все они обрабатывают персональные данные в рамках основной деятельности, но при этом на каждую распространяются отраслевые правовые нормы, существенно усложняющие стандартный комплаенс по 152-ФЗ. В этой статье разобраны четыре таких сектора — с акцентом на практические риски и типовые ошибки.

Что отличает оператора связи от обычного оператора ПДн?

Оператор связи — юридическое лицо или индивидуальный предприниматель, оказывающий услуги связи на основании лицензии по ФЗ «О связи». Одновременно с этим статусом он получает статус оператора персональных данных по ст. 3 ФЗ-152: собирает и обрабатывает ФИО абонента, паспортные данные, адрес, реквизиты договора, геолокацию и данные о трафике.

Ключевая особенность: основание обработки у оператора связи — преимущественно исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152), а не согласие. Это означает, что согласие на базовую обработку не требуется, но и отозвать его абонент не вправе до прекращения договорных отношений. При этом часть данных (детализация звонков, геолокация, информация о посещённых ресурсах) обрабатывается в рамках СОРМ — по требованиям ФСБ России и ФЗ «Об оперативно-розыскной деятельности».

«Ст. 12 ФЗ-152 — трансграничная передача ПДн допускается только после уведомления РКН и при наличии адекватной защиты в стране получателя. Для оператора связи это актуально при использовании зарубежных биллинговых платформ и облачных CRM.»

Параллельно действует требование локализации по ч. 5 ст. 18 ФЗ-152: первичная запись, систематизация и хранение ПДн граждан РФ — только на серверах в России. За нарушение — штраф 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП, при повторном нарушении — 6–18 млн ₽ по ч. 9.

Ещё один специфический риск — передача данных по запросу силовых структур. Ст. 13 ФЗ-152 устанавливает условия передачи ПДн без согласия субъекта в интересах государственных органов. Запрос должен быть оформлен надлежащим образом; передача данных без должного оформления создаёт риски по ч. 1 ст. 13.11 КоАП — обработка в случаях, не предусмотренных законом.

Юрист проверяет комплаенс оператора связи — с чего начать?

Стандартный аудит по 152-ФЗ для телекома охватывает минимум пять правовых оснований обработки, требования СОРМ, локализацию и трансграничные передачи. Ошибка в любом из них — это отдельный состав ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как обрабатывают ПДн ТСЖ, УК и операторы ГИС ЖКХ?

Управляющие организации и товарищества собственников жилья обрабатывают ПДн собственников и нанимателей: ФИО, паспортные данные, сведения о составе семьи, платёжную историю, данные о потреблении ресурсов. Принципиальный вопрос — кто является оператором ПДн: ТСЖ или управляющая компания.

По общему правилу оператором выступает то юридическое лицо, которое самостоятельно определяет цели и способы обработки. Если управление домом осуществляет УК по договору с собственниками — оператор УК. Если дом управляется непосредственно ТСЖ — оператор ТСЖ. При передаче функции расчёта коммунальных платежей расчётному центру возникают отношения поручения обработки по п. 3 ч. 1 ст. 6 ФЗ-152: требуется письменный договор поручения с перечнем передаваемых данных и целей.

«Ч. 3 ст. 6 ФЗ-152 — поручение обработки ПДн третьему лицу допускается только на основании договора или нормативного правового акта; поручение не освобождает оператора от ответственности перед субъектом.»

Отдельная тема — ГИС ЖКХ. Размещение сведений о собственниках и договорах в государственной информационной системе жилищно-коммунального хозяйства является обязанностью управляющей организации по жилищному законодательству. Это означает, что передача данных в ГИС ЖКХ осуществляется на основании закона (п. 2 ч. 1 ст. 6 ФЗ-152) без отдельного согласия собственника. Тем не менее ОРД организации должна отражать эту цель обработки — её отсутствие в политике конфиденциальности создаёт риск по ч. 3 ст. 13.11 КоАП (штраф 30–60 тыс. ₽ для юрлица).

Типовая ошибка сектора — отсутствие уведомления РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152). ТСЖ нередко считают себя малыми субъектами, на которых закон не распространяется. Это заблуждение: исключения из обязанности уведомить РКН прямо перечислены в ч. 2 ст. 22 и для ТСЖ не применимы в части обработки данных собственников в реестрах и при расчётах ЖКУ. Штраф за неуведомление — 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Что подготовить управляющей организации для соответствия 152-ФЗ

Уведомление РКН о намерении обрабатывать ПДн (форма Приказа РКН №180 от 28.10.2022, подача через pd.rkn.gov.ru)
Политика обработки ПДн с разделами, предусмотренными ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте или стенде организации
Договоры поручения с расчётными центрами и ресурсоснабжающими организациями, получающими ПДн собственников
Согласия собственников на обработку ПДн, не предусмотренную договором управления или законом (например, размещение в публичных списках должников)
Приказ о назначении лица, ответственного за организацию обработки ПДн, по ст. 22.1 ФЗ-152

Каршеринг, транспорт и геолокация: где правовое основание?

Каршеринговые сервисы и транспортные операторы собирают данные, которые с трудом поддаются однозначной квалификации: маршрут поездки, время использования автомобиля, скоростной режим, фотографии водительского удостоверения, данные банковской карты и геолокация в режиме реального времени. Часть этих данных относится к ПДн по ст. 3 ФЗ-152, часть — к биометрическим (фото лица для идентификации водителя по ст. 11 ФЗ-152).

Обработка геолокации в связке с личностью водителя является обработкой персональных данных. Правовое основание — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152), если геолокация необходима для расчёта стоимости поездки и контроля возврата автомобиля. Однако использование тех же данных для анализа поведения пользователей, таргетированной рекламы или передачи третьим лицам требует отдельного согласия по ст. 9 ФЗ-152 — в редакции ФЗ-156 от 24.06.2025 оно оформляется отдельным документом с 01.09.2025.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — не объединяется с договором, офертой или политикой конфиденциальности.»

Фотография водительского удостоверения при верификации пользователя — биометрические данные, если используется для идентификации личности путём сравнения с изображением лица (ст. 11 ФЗ-152). Обработка требует письменного согласия субъекта; нарушение — состав ч. 16 ст. 13.11 КоАП. Для каршеринговых платформ с миллионной пользовательской базой это означает системный риск.

Данные о пассажирах в транспортных системах (РЖД, авиаперевозчики, агрегаторы такси) обрабатываются на основании нескольких оснований одновременно: договор перевозки, требования транспортной безопасности, антитеррористическое законодательство. Пересечение оснований требует детальной проработки в ОРД — в противном случае любое из оснований может быть оспорено в ходе проверки РКН.

Если в вашей компании обрабатываются геолокация, биометрия или данные пассажиров и вы не уверены в правовом основании — каждая неправильно квалифицированная категория данных создаёт отдельный состав нарушения. Юристы DATUM соберут комплект ОРД под ключ с учётом отраслевой специфики.

Собрать ОРД под ключ

Освобождены ли СМИ от требований 152-ФЗ и как это работает на практике?

Средства массовой информации занимают особое положение в системе операторов ПДн. ФЗ-152 допускает обработку ПДн без согласия субъекта в журналистской деятельности при соблюдении ряда условий (п. 8 ч. 1 ст. 6 ФЗ-152). Однако это не означает освобождения от требований закона в целом.

СМИ как юридическое лицо является оператором ПДн сотрудников редакции, авторов, рекламодателей и подписчиков. На эти категории данных исключения журналистской деятельности не распространяются: требуются уведомление РКН, политика конфиденциальности, назначение ответственного по ст. 22.1 ФЗ-152. Освобождение от уведомления по ч. 2 ст. 22 ФЗ-152 для СМИ действует только в части обработки данных в редакционных материалах — не в части кадрового учёта и коммерческой деятельности.

Отдельный риск — публикация персональных данных третьих лиц в материалах. Даже при наличии общественного интереса публикация сведений, позволяющих идентифицировать частное лицо, может нарушать принцип минимизации данных по ст. 5 ФЗ-152 и создавать риски по ч. 1 ст. 13.11 КоАП (обработка сверх необходимых для цели объёмов). Суды рассматривают такие споры с учётом баланса между свободой слова и защитой частной жизни; штраф по ч. 1 ст. 13.11 — 150–300 тыс. ₽ для юрлица.

Как это применяется на практике

Кейс 1. Телеком-компания (Сибирский ФО, осень 2025) прошла внеплановую проверку РКН по жалобе абонента на несанкционированное использование данных детализации. В ходе проверки выяснилось, что данные передавались партнёрской аналитической платформе без договора поручения по ст. 6 ФЗ-152 и без уведомления о трансграничной передаче по ст. 12 ФЗ-152 (платформа использовала серверы в ЕС). РКН составил протоколы сразу по двум составам: ч. 1 ст. 13.11 (обработка без оснований) и ч. 8 ст. 13.11 (нарушение локализации). Общий диапазон штрафов составил от 1,15 до 6,3 млн ₽. Юристы компании заявили ходатайство о замене по ч. 1 ст. 13.11 на предупреждение по ст. 4.1.1 КоАП с учётом первичности нарушения и добровольного устранения; ходатайство удовлетворено в части. Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Управляющая компания в секторе ЖКХ (Центральный ФО, начало 2026) не включила в реестр операторов ПДн сведения о передаче данных собственников в систему ЕИРЦ. При плановой проверке РКН зафиксировал расхождение между заявленными в уведомлении целями обработки и фактической. Составлен протокол по ч. 1 ст. 13.11 КоАП. Параллельно выявлено отсутствие договора поручения с ЕИРЦ — второй протокол по той же части. После подготовки актуального ОРД и заключения договоров поручения организация обратилась за юридическим сопровождением; при рассмотрении дела суд учёл устранение нарушений как смягчающее обстоятельство. Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка полноты оснований обработки, локализации и ОРД
Комплект ОРД под ключ — 38 документов с учётом отраслевой специфики
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Кто является оператором ПДн — ТСЖ или управляющая компания?

Оператором является то юридическое лицо, которое самостоятельно определяет цели и способы обработки персональных данных (ст. 3 ФЗ-152). Если дом управляется УК по договору — оператор УК. Если управление осуществляет ТСЖ напрямую — оператор ТСЖ. При передаче расчётных функций внешней организации возникает поручение обработки по ч. 3 ст. 6 ФЗ-152, требующее письменного договора. Обе организации должны подать уведомление в РКН по ст. 22 ФЗ-152 в части своих полномочий.

2. Освобождены ли СМИ от обязанности уведомлять Роскомнадзор?

Частично. Ч. 2 ст. 22 ФЗ-152 освобождает от уведомления обработку ПДн исключительно в журналистских и редакционных целях. Однако ПДн сотрудников редакции, авторов, рекламодателей и подписчиков под это исключение не подпадают. На эти категории данных обязанность уведомить РКН сохраняется в полном объёме, как и требования к политике конфиденциальности (ч. 2 ст. 18.1 ФЗ-152) и назначению ответственного (ст. 22.1 ФЗ-152).

3. Как оператор связи должен передавать данные абонентов по запросу ФСБ?

Передача осуществляется в рамках требований СОРМ и ФЗ «Об оперативно-розыскной деятельности» — без согласия субъекта на основании судебного решения или иного акта, предусмотренного законом. По ФЗ-152 это основание п. 3 ч. 1 ст. 6 — исполнение полномочий государственных органов. Запрос должен быть оформлен надлежащим образом; передача по неоформленному запросу создаёт риск нарушения ч. 1 ст. 13.11 КоАП. ОРД оператора должна содержать внутренний регламент реагирования на такие запросы.

4. Какие персональные данные собирает каршеринг и нужно ли согласие?

Каршеринг собирает ФИО, паспортные данные, водительское удостоверение, банковские реквизиты, геолокацию и фото водителя. Данные, необходимые для исполнения договора аренды (идентификация, расчёт стоимости, контроль возврата), обрабатываются без отдельного согласия по п. 5 ч. 1 ст. 6 ФЗ-152. Для всего остального — анализ поведения, маркетинг, передача партнёрам — требуется согласие по ст. 9 ФЗ-152, с 01.09.2025 оформляемое отдельным документом (ФЗ-156 от 24.06.2025). Фото для биометрической идентификации — письменное согласие по ст. 11 ФЗ-152.

5. Что хранить о собственниках и как долго?

Управляющая организация хранит ПДн собственников в течение срока действия договора управления и в течение срока исковой давности после его прекращения (три года по ст. 196 ГК РФ). Данные, необходимые для исполнения обязательств перед ресурсоснабжающими организациями, — в течение сроков, установленных бухгалтерским и налоговым законодательством (как правило, 5 лет). По истечении срока ПДн подлежат уничтожению или обезличиванию в соответствии с принципом ст. 5 ФЗ-152.

Итог

Операторы связи, управляющие организации в ЖКХ, транспортные сервисы и СМИ относятся к категории операторов ПДн с повышенной сложностью комплаенса: каждая отрасль добавляет к базовым требованиям 152-ФЗ собственный слой специальных норм — СОРМ, жилищное законодательство, транспортная безопасность, журналистская деятельность. Пересечение оснований обработки и категорий данных создаёт риски сразу по нескольким частям ст. 13.11 КоАП при единой проверке.

DATUM сопровождает операторов ПДн в регулируемых секторах с 2014 года в составе сети «Ветров и партнёры» — от первичного аудита до защиты в арбитраже по ст. 13.11 КоАП и представления интересов в РКН при плановых и внеплановых проверках.

Есть ситуация с РКН или вопрос по отраслевому комплаенсу?

Если вы юрист компании, работающей в телекоме, ЖКХ, транспорте или медиа, и проверяете состояние комплаенса — DATUM проведёт аудит соответствия 152-ФЗ по чек-листу из 38 пунктов, выдаст отчёт с приоритизированным планом устранения нарушений. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.