Открытые данные в журналистике
Журналистика данных (data journalism) уверенно вошла в практику российских редакций: визуализация из ЕГРН, расследования по данным госзакупок, публикации на основе утечек из корпоративных баз. Параллельно регулятор уточняет позицию: открытость источника данных не освобождает от соблюдения ФЗ-152. В этом материале — правовой анализ для юристов редакций, медиахолдингов и платформ гражданской журналистики: какие нормы применяются, где граница между допустимым и нарушением, и какие сценарии создают реальные риски.
Что такое открытые данные с точки зрения ФЗ-152 и когда они становятся персональными?
Открытые данные в государственном понимании — это сведения, размещённые органами власти в машиночитаемом формате на порталах типа data.gov.ru. Однако правовой статус «открытых» не означает их вывода из-под режима персональных данных.
Персональные данные по ст. 3 ФЗ-152 — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Ключевой критерий — идентифицируемость субъекта. Если из набора открытых данных можно вывести личность конкретного человека — ФИО собственника квартиры из ЕГРН, маршрут передвижения по геоданным из карты ДТП, телефон из открытого реестра ИП — это персональные данные вне зависимости от источника.
Редакция, которая собирает, систематизирует и публикует такие данные, осуществляет обработку персональных данных по ст. 3 ФЗ-152 и является оператором. Исключение — данные, обезличенные по методам, установленным подзаконным актом РКН (5 методов: введение идентификаторов, изменение состава, декомпозиция, перемешивание, обобщение). Если данные обезличены корректно — они выходят из-под режима ФЗ-152 в части обработки.
Отдельная категория — данные, прямо разрешённые к распространению субъектом. Ст. 10.1 ФЗ-152 регулирует обработку ПДн, разрешённых для распространения: требуется отдельное согласие субъекта на распространение, по умолчанию — запрет. Это значит, что публикация в СМИ фотографии человека с именем, взятой из его открытого профиля в соцсети, требует правового основания — согласия либо иного из перечисленных в ст. 6 ФЗ-152.
Какие правовые основания обработки ПДн доступны редакции как оператору?
Ст. 6 ФЗ-152 содержит 11 оснований обработки ПДн. Для редакций наиболее значимы четыре.
Первое — согласие субъекта (п. 1 ч. 1 ст. 6). Применяется при работе с источниками, читателями, героями публикаций. С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025): оно не может быть частью трудового договора, пользовательского соглашения или оферты. Реквизиты согласия — наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.
Второе — осуществление профессиональной деятельности журналиста или СМИ. Ст. 49 Закона РФ «О средствах массовой информации» наделяет журналиста правом запрашивать и получать информацию, в том числе содержащую сведения об отдельных лицах. Это основание применяется при проведении журналистских расследований, освещении общественно значимых событий. Важное ограничение: деятельность должна быть журналистской, а не маркетинговой или аналитической для коммерческих нужд редакции.
Третье — обработка в связи с исполнением договора (п. 5 ч. 1 ст. 6). Применяется при обработке данных читателей, подписчиков, рекламодателей — в части исполнения договорных обязательств.
Четвёртое — обработка общедоступных ПДн (п. 10 ч. 1 ст. 6). Данные, сделанные субъектом общедоступными, могут обрабатываться без отдельного согласия. Однако публикация в реестре или соцсети не равна согласию на любую обработку: субъект может отозвать общедоступность, а оператор обязан ограничить обработку в разумный срок (ст. 10.1 ФЗ-152).
Редакция собирает данные из открытых реестров — нужно ли уведомлять Роскомнадзор?
Если редакция систематически обрабатывает персональные данные — из ЕГРН, госзакупок, баз данных ДТП — она является оператором по ст. 3 ФЗ-152 и обязана уведомить РКН по ст. 22. Исключения узкие и требуют проверки конкретной деятельности. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП с 30.05.2025. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и определят, какой объём деятельности требует уведомления РКН.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Освобождены ли СМИ от требований ФЗ-152 при журналистской деятельности?
Частичное освобождение существует, но его границы значительно уже, чем принято считать. Ст. 6 ФЗ-152 не содержит общего исключения для СМИ. Специальные нормы закона об СМИ предоставляют журналисту права в сфере сбора информации — но не снимают с редакции статус оператора ПДн.
На практике это означает следующее. Редакция освобождена от получения согласия субъекта при обработке ПДн в журналистских целях — освещение общественно значимых событий, работа с публичными фигурами в части их публичной деятельности. Но редакция как оператор обязана: уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152), назначить ответственного за обработку (ст. 22.1), иметь опубликованную политику обработки (ст. 18.1), обеспечить организационные и технические меры защиты (ст. 19).
Освобождение от уведомления РКН предусмотрено только для строго ограниченного перечня операторов — в частности, обрабатывающих ПДн исключительно для личных или семейных нужд (не связанных с предпринимательством). Редакция, тем более юридическое лицо, под этот критерий не подпадает.
Отдельно: данные читателей, подписчиков, пользователей сайта редакции — это коммерческая обработка, никак не связанная с журналистской деятельностью. Здесь применяются стандартные требования ФЗ-152 в полном объёме, включая согласие, политику конфиденциальности и требования к cookies как потенциально персональным данным.
Что подготовить юристу редакции
- Выписку из реестра операторов ПДн (pd.rkn.gov.ru) — убедиться в наличии актуального уведомления по ст. 22 ФЗ-152.
- Разграничение двух потоков обработки: журналистская деятельность (основание — ст. 49 Закона об СМИ × ст. 6 ФЗ-152) и коммерческая (подписки, реклама, аналитика аудитории).
- Политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 — отдельно для каждого потока или одну с разделами по целям.
- Отдельные согласия на распространение ПДн по ст. 10.1 — для источников, героев публикаций, участников фото и видеоматериалов.
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
Какие сценарии создают реальные риски для редакции?
На практике нарушения в медиасреде концентрируются в трёх сценариях.
Сценарий 1. Публикация данных из «открытого» реестра без проверки правового основания. Редакция использует выгрузку ЕГРН или базу госзакупок для расследования. В материал попадают ФИО, адреса, ИНН физических лиц. Ситуация: публикация состоялась, субъект подал жалобу в РКН. Доказательства: публикация с ПДн, скриншоты, жалоба субъекта. Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП (обработка ПДн в случаях, не предусмотренных законом, или несовместимая с целями) — штраф 150–300 тыс. ₽. Стратегия: до публикации получить согласие субъекта на распространение либо убедиться в наличии правового основания по ст. 6 (публичная деятельность субъекта, общественный интерес).
Сценарий 2. Утечка базы читателей через CMS или рекламный трекер. Редакция использует сторонний сервис аналитики (GA4, Яндекс.Метрика) и CRM-систему для рассылок. Хакерская атака на подрядчика приводит к утечке email и поведенческих данных читателей. Ситуация: утечка обнаружена через 36 часов после инцидента. На первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152 — 24 часа. Срок уже нарушен. Доказательства: логи подрядчика, переписка, отчёт SIEM. Вероятный исход: штраф 1–3 млн ₽ по ч. 11 ст. 13.11 за неуведомление об утечке + отдельный штраф по ч. 12–14 в зависимости от числа затронутых субъектов. Стратегия: заблаговременно отладить процедуру реагирования, включить в договор с подрядчиком обязанность немедленно сообщать об инцидентах.
Сценарий 3. Трансграничная передача данных через зарубежные аналитические сервисы. Редакция встроила на сайт пиксели Meta и код GA4. Данные читателей (IP, поведение, устройство) передаются на серверы за рубежом. Ситуация: плановая проверка РКН фиксирует трансграничную передачу без уведомления по ст. 12 ФЗ-152. Доказательства: HTTP-трафик, сетевой журнал. Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП, предписание устранить нарушение. Стратегия: уведомить РКН о трансграничной передаче, проверить, входит ли страна в перечень адекватной защиты; при необходимости — перейти на отечественные аналоги или получить отдельное согласие субъектов.
Если редакция использует зарубежные рекламные пиксели или аналитику и не подавала уведомление о трансграничной передаче — это нарушение ст. 12 ФЗ-152. Каждый новый цикл проверок РКН увеличивает вероятность выявления. Юристы DATUM проверят действующие интеграции и подготовят комплект ОРД под ключ.
Собрать ОРД под ключКак это работает на практике: кейсы из медиасреды
Кейс 1. Региональное интернет-издание (Приволжский ФО, лето 2025) опубликовало базу собственников жилья из открытого доступа ГИС ЖКХ с целью расследования о задолженностях управляющих компаний. В базе содержались ФИО и адреса более 3 000 физических лиц. После жалобы нескольких субъектов РКН возбудил дело по ч. 1 ст. 13.11 КоАП. Редакция не состояла в реестре операторов ПДн, политика конфиденциальности отсутствовала, уведомление РКН не направлялось. Совокупность нарушений — протоколы по ч. 1 и ч. 3 ст. 13.11, штрафы в сотни тысяч рублей. Материал был удалён после предписания. Уведомление РКН и базовый ОРД были подготовлены постфактум, что не устранило ответственности за уже допущенные нарушения.
Кейс 2 (реестровый). В деле о трансграничной передаче данных читателей крупного новостного портала (Центральный ФО, осень 2025) юрист редакции обнаружил при подготовке к плановой проверке РКН, что сайт передаёт данные читателей через четыре зарубежных трекера без уведомления по ст. 12 ФЗ-152. До начала проверки уведомление было направлено, часть трекеров отключена, сформирован пакет ОРД. РКН вынес предписание в части двух оставшихся трекеров, протокол не составлял — нарушение было частично устранено до проверки. Превентивная работа юриста редукировала риск штрафа по ч. 1 ст. 13.11 (150–300 тыс. ₽) до предписания без штрафных санкций.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка обработки ПДн редакции по 38 пунктам, выявление нарушений до проверки РКН.
- Комплект ОРД под ключ — политика конфиденциальности, согласия, приказы, регламент реагирования на инциденты.
- DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании.
Частые вопросы
1. Освобождены ли СМИ от уведомления Роскомнадзора о намерении обрабатывать персональные данные?
Нет. Перечень исключений из обязанности уведомления по ст. 22 ФЗ-152 не включает СМИ как категорию. Освобождение предусмотрено для операторов, обрабатывающих ПДн исключительно для личных или семейных нужд вне предпринимательской деятельности. Редакция как юридическое лицо под это исключение не подпадает. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025).
2. Данные из ЕГРН — открытые, зачем для них правовое основание?
Открытость источника не снимает статус персональных данных с идентифицирующей информации о физических лицах. Ст. 3 ФЗ-152 относит к ПДн любую информацию, относящуюся к определяемому лицу. ФИО и адрес собственника из ЕГРН — это ПДн. Их обработка требует основания по ст. 6: согласие субъекта, общественный интерес в рамках журналистской деятельности или иное из перечня. Публикация без основания — ч. 1 ст. 13.11 КоАП, штраф 150–300 тыс. ₽.
3. Как разграничить журналистскую обработку ПДн и коммерческую обработку данных читателей?
Журналистская — обработка ПДн для подготовки и публикации материалов общественного значения: источники, герои публикаций, документы расследований. Коммерческая — обработка данных читателей, подписчиков, пользователей сайта для монетизации, таргетинга, аналитики аудитории. Для второго потока согласие субъектов, cookies-баннер и уведомление РКН о трансграничной передаче (при использовании GA4, Meta) — обязательны. Смешивание потоков в одной политике конфиденциальности — распространённая ошибка, создающая риск по ч. 1 ст. 13.11.
4. Что грозит редакции при утечке базы читателей через взломанный подрядчик?
Оператор несёт ответственность за действия лица, которому поручена обработка, — это устоявшаяся позиция по ч. 3 ст. 6 и ст. 21 ФЗ-152. При утечке через подрядчика редакция обязана уведомить РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152). За нарушение срока — штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Размер штрафа за саму утечку зависит от числа субъектов: при более 100 000 субъектов — 10–15 млн ₽ по ч. 14 ст. 13.11 (в редакции с 30.05.2025).
5. Можно ли публиковать данные из утечек как журналистский источник?
Правовое основание для такой публикации — предмет отдельного анализа. Использование ПДн из утечки без согласия субъектов создаёт риски по ч. 1 ст. 13.11 КоАП, а в части распространения специальных категорий (здоровье, судимость) — по ч. 16. Дополнительно: уголовная ответственность по ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024) за незаконное использование компьютерной информации с ПДн — до 10 лет лишения свободы по ч. 5. Решение принимается после оценки конкретного материала, наличия общественного интереса и минимизации объёма публикуемых ПДн.
Итог
Открытые данные — рабочий инструмент современной журналистики, но не правовая защита от ФЗ-152. Редакция как оператор ПДн обязана уведомить РКН, назначить ответственного, принять организационные и технические меры и разграничить журналистскую обработку от коммерческой. Игнорирование этих требований создаёт совокупность нарушений, каждое из которых с 30.05.2025 образует самостоятельный состав по ст. 13.11 КоАП с суммарным штрафом в миллионы рублей.
Практика DATUM охватывает аудит обработки ПДн в медиасреде, подготовку ОРД для редакций, сопровождение проверок РКН и оценку правовых рисков при работе с данными из открытых реестров и зарубежных источников.