Перейти к содержанию
аналитика 13 января 2029 По состоянию на 13 января 2029

ПДн абонентов и тайна связи (ст. 63 ФЗ-126)

Оператор связи обрабатывает персональные данные абонентов в режиме двойного регулирования: ст. 63 ФЗ-126 «О связи» устанавливает режим тайны связи, а ФЗ-152 — общие требования к обработке ПДн.
Конфликт норм возникает при каждом запросе правоохранительных органов, при передаче данных геолокации третьим лицам и при подключении систем СОРМ. Нарушение тайны связи — уголовная ответственность по ст. 138 УК РФ; нарушение ст. 9 ФЗ-152 при обработке без согласия — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.
→ Если вы юрист и анализируете комплаенс оператора связи или смежной отрасли — этот материал даёт разграничение норм, практические сценарии и чек-лист документов.

С 30.05.2025 штрафы по ст. 13.11 КоАП выросли кратно: повторная утечка данных абонентов грозит оборотным штрафом от 1 до 3% годовой выручки (не менее 20 млн ₽) по ч. 15 ст. 13.11. При этом режим тайны связи по ст. 63 ФЗ-126 не отменяет обязанности оператора связи регистрироваться в реестре Роскомнадзора, составлять политику обработки ПДн и реагировать на инциденты за 24 часа. В данном материале разобраны пересечения двух регуляторных режимов, типовые ошибки и отраслевые особенности смежных секторов — ТСЖ, СМИ, транспорта и каршеринга.

Что такое тайна связи и как она соотносится с ФЗ-152?

Статья 63 ФЗ-126 «О связи» закрепляет режим тайны телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений. Операторы связи обязаны обеспечивать эту тайну и несут ответственность за её нарушение. Сведения об абоненте (ФИО, адрес, номер телефона, история звонков, данные о местонахождении) одновременно являются персональными данными по ст. 3 ФЗ-152.

Ключевое разграничение: тайна связи защищает содержание сообщений и факт их передачи, тогда как ФЗ-152 регулирует любые действия с персональными данными абонента — от сбора при заключении договора до передачи в аналитические системы. Оба режима действуют параллельно, и соответствие одному не освобождает от требований другого.

«Ст. 63 ФЗ-126: тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений охраняется. Ограничение допускается только на основании судебного решения (кроме оперативно-розыскных мероприятий по ФЗ-144).»

Правовое основание обработки ПДн абонента в большинстве случаев — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152): оператор собирает данные, необходимые для оказания услуг связи. Согласие как основание нужно тогда, когда обработка выходит за пределы этого договора: передача данных о геолокации рекламным партнёрам, аналитика поведения абонента, передача истории звонков третьим лицам. Отсутствие такого согласия при расширенной обработке — состав ч. 2 ст. 13.11 КоАП.

Как оператору связи передавать данные ФСБ и правоохранительным органам?

Передача сведений об абонентах уполномоченным органам регулируется несколькими нормами одновременно. Статья 64 ФЗ-126 обязывает операторов обеспечивать сотрудникам оперативно-розыскных органов и ФСБ доступ к информации об абонентах и к оказываемым им услугам в порядке, установленном федеральными законами. Технически это реализуется через СОРМ (система оперативно-розыскных мероприятий).

С точки зрения ФЗ-152 такая передача подпадает под п. 3 ч. 1 ст. 6: обработка ПДн необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством функций. Согласие абонента при этом не требуется. Однако у оператора должны быть документально подтверждены: основание запроса, реквизиты запрашивающего органа, объём переданных данных и дата передачи.

«Ст. 6 ФЗ-152, п. 3: обработка ПДн допускается для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей без согласия субъекта.»

Юрист, сопровождающий оператора связи, должен убедиться: запрос оформлен в установленном порядке, в журнале учёта запросов зафиксирован факт передачи, данные переданы в объёме, не превышающем запрошенный. Избыточная передача сведений — отдельное основание для претензий Роскомнадзора по ч. 1 ст. 13.11 КоАП (обработка, не соответствующая целям).

Проверяете комплаенс оператора связи или смежной отрасли?

Юрист, анализирующий документацию оператора связи, часто сталкивается с конфликтом норм ФЗ-126 и ФЗ-152. Типовой пакет ОРД оператора связи включает более 12 специализированных документов сверх стандартного набора. Ошибка в разграничении оснований обработки создаёт риск штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие данные собирает каршеринг и чем это отличается от данных абонентов?

Каршеринговые сервисы обрабатывают несколько категорий ПДн одновременно: идентификационные данные водителя (паспорт, водительское удостоверение), данные геолокации транспортного средства в реальном времени, данные о поездках (маршрут, время, скорость), платёжные данные. Геолокация при непрерывном отслеживании перемещений физического лица формирует детальный профиль поведения — это существенно выходит за пределы исполнения договора аренды.

Правовое основание для обработки геолокации в реальном времени в большинстве случаев — согласие субъекта по ст. 9 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) это согласие должно быть оформлено отдельным документом и не может быть встроено в пользовательское соглашение или договор аренды. Нарушение требования к форме согласия — состав ч. 2 ст. 13.11 КоАП.

Отличие от ПДн абонентов связи: у каршеринга нет специального закона, аналогичного ФЗ-126, и нет режима тайны. Данные о поездках — это обычные ПДн, не защищённые дополнительным специальным режимом. Локализация по ч. 5 ст. 18 ФЗ-152 применяется в полном объёме; хранение данных российских пользователей за рубежом — нарушение с штрафом от 1 до 6 млн ₽ по ч. 8 ст. 13.11 КоАП.

ТСЖ, ГИС ЖКХ и ПДн собственников: кто оператор?

Товарищество собственников жилья обрабатывает ПДн собственников (ФИО, адрес, контакты, сведения о задолженности) при управлении многоквартирным домом. Вопрос о том, кто является оператором — ТСЖ или управляющая компания — определяется тем, кто фактически принимает решения о целях и способах обработки.

По общему правилу ст. 3 ФЗ-152: оператор — лицо, самостоятельно или совместно с другими определяющее цели обработки ПДн. Если ТСЖ заключило договор с УК и передало ей ведение реестра собственников — УК действует как лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152). ТСЖ при этом остаётся оператором и несёт ответственность за нарушения, допущенные УК при обработке.

«Ст. 6 ФЗ-152, п. 3: оператор вправе поручить обработку ПДн другому лицу на основании договора. Ответственность перед субъектом за действия этого лица несёт оператор.»

ГИС ЖКХ накладывает дополнительные обязанности: сведения о собственниках размещаются в федеральной информационной системе, что фактически является передачей ПДн третьей стороне. Правовое основание — исполнение требований жилищного законодательства (п. 3 ч. 1 ст. 6 ФЗ-152). Уведомление РКН при этом обязательно по ст. 22 ФЗ-152; отсутствие уведомления — штраф от 100 000 до 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Если вы юрист и разбираете комплаенс ТСЖ, каршеринга или оператора связи — отсутствие уведомления в реестре РКН даёт регулятору основание для штрафа по ч. 10 ст. 13.11 до 300 000 ₽ за каждую организацию. Аудит DATUM выявляет пробелы по чек-листу из 38 пунктов.

Заказать аудит 152-ФЗ

Освобождены ли СМИ от требований ФЗ-152 и уведомления РКН?

Средства массовой информации обрабатывают ПДн в двух режимах: как работодатели (данные сотрудников) и как редакции (данные источников, героев публикаций, подписчиков). Часть 2 ст. 1 ФЗ-152 устанавливает изъятие: закон не распространяется на обработку ПДн физическими лицами исключительно для личных и семейных нужд. На юридические лица — СМИ — это изъятие не распространяется.

Специальная норма содержится в п. 11 ч. 1 ст. 6 ФЗ-152: обработка ПДн допускается без согласия субъекта в журналистских целях, при условии что права и законные интересы субъекта не нарушаются. Это основание применяется к журналистской деятельности, но не освобождает редакцию от обязанностей оператора в части хранения, защиты и уничтожения ПДн.

Уведомление РКН по ст. 22 ФЗ-152 обязательно для всех операторов, за исключением случаев, предусмотренных ч. 2 ст. 22. Редакция СМИ под исключение попадает только тогда, когда обрабатывает данные исключительно для журналистской деятельности — и не использует их для иных целей (подписки, рекламы, аналитики). На практике большинство цифровых СМИ обрабатывают ПДн подписчиков и пользователей сайта, что требует уведомления и регистрации в реестре операторов.

Типовые сценарии: где чаще всего возникают нарушения

Сценарий 1. Оператор связи передаёт данные геолокации рекламному партнёру без согласия. Ситуация: федеральный телеком-оператор передаёт агрегированные (но не обезличенные) данные о перемещениях абонентов рекламной платформе в целях таргетинга. Основание — «законный интерес» без согласия. Доказательства нарушения: данные геолокации идентифицируют конкретного абонента, цель обработки в уведомлении РКН не указана. Вероятный исход: протокол по ч. 1 ст. 13.11 (обработка несовместимая с целями, штраф 150–300 тыс. ₽) + протокол по ч. 2 ст. 13.11 (отсутствие согласия, штраф до 700 тыс. ₽). Стратегия: разработать форму отдельного согласия на передачу геолокации, обновить уведомление в реестре РКН, ввести обезличивание перед передачей партнёрам.

Сценарий 2. ТСЖ не зарегистрировано в реестре операторов, данные собственников в таблице Excel. Ситуация: ТСЖ небольшого дома ведёт учёт собственников в незащищённом файле, председатель не слышал об обязанности уведомить РКН. Доказательства нарушения: отсутствие в реестре pd.rkn.gov.ru, отсутствие политики обработки ПДн, отсутствие организационных мер. Вероятный исход при плановой или внеплановой проверке: штраф по ч. 10 ст. 13.11 (неуведомление, до 300 тыс. ₽) + штраф по ч. 3 ст. 13.11 (отсутствие политики, до 60 тыс. ₽). Стратегия: экстренная регистрация в реестре, разработка базового пакета ОРД, назначение ответственного по ст. 22.1 ФЗ-152.

Сценарий 3. Каршеринг обучает модель ИИ на истории поездок без обезличивания. Ситуация: технический директор каршерингового сервиса передаёт историю поездок (маршруты, время, идентификатор транспортного средства) подрядчику по ML без поручения и без обезличивания. Данные привязаны к ID пользователя. Вероятный исход: протокол по ч. 1 ст. 13.11 (несовместимая обработка), при утечке у подрядчика — штраф по ч. 12–14 в зависимости от числа затронутых субъектов (3–15 млн ₽). Стратегия: заключить договор-поручение по п. 3 ст. 6 ФЗ-152, применить методы обезличивания до передачи, обновить согласие пользователей с указанием ML как цели обработки.

Что подготовить юристу при аудите оператора связи или смежной отрасли

  • Выписка из реестра операторов ПДн (pd.rkn.gov.ru) с проверкой актуальности заявленных целей и категорий ПДн
  • Перечень всех третьих лиц, которым передаются ПДн абонентов или клиентов, с правовыми основаниями для каждой передачи
  • Форма согласия на обработку ПДн, выходящую за пределы договора (геолокация, реклама, ML) — отдельный документ по требованиям ФЗ-156 от 01.09.2025
  • Договоры-поручения со всеми обработчиками, действующими по ст. 6 п. 3 ФЗ-152 (УК, партнёры, подрядчики по IT)
  • Регламент реагирования на инциденты с фиксацией 24-часового и 72-часового сроков по Приказу РКН №187

Как это применяется на практике

Кейс 1. Региональный оператор связи (Приволжский ФО, осень 2025) получил предписание РКН по итогам плановой проверки: в уведомлении о намерении обрабатывать ПДн не были указаны цели передачи данных о геолокации абонентов аналитической платформе. Компания обратилась к юристам за 48 часов до истечения срока ответа. Юристы подготовили возражения на акт проверки, обновили уведомление в реестре, ввели отдельные согласия на геолокацию. Штраф был ограничен ч. 1 ст. 13.11 КоАП в размере в пределах нижней трети диапазона — существенно ниже потолка в 300 000 ₽ — благодаря добровольному устранению нарушений до вынесения постановления.

Кейс 2. Каршеринговый сервис (Центральный ФО, весна 2026) при подготовке к плановой проверке РКН выявил, что согласие на обработку геолокации встроено в пользовательское соглашение и не оформлено отдельным документом в нарушение ст. 9 ФЗ-152 в редакции ФЗ-156. Юрист компании инициировал переработку форм до начала проверки. РКН зафиксировал устранение нарушения до выдачи предписания; дело было прекращено без штрафа по ч. 2 ст. 13.11. Стоимость подготовки пакета документов составила около 80 000 ₽ — против потенциального штрафа до 700 000 ₽.

Услуги DATUM по теме

Частые вопросы

1. Кто оператор: ТСЖ или УК?

Оператором является то лицо, которое самостоятельно определяет цели и способы обработки ПДн собственников (ст. 3 ФЗ-152). Если ТСЖ передало ведение реестра жильцов управляющей компании по договору — УК выступает обработчиком по поручению (п. 3 ст. 6 ФЗ-152), а ТСЖ остаётся оператором и несёт ответственность перед субъектами за действия УК. На практике оба юридических лица обязаны уведомить РКН — каждый в части своих целей обработки.

2. Освобождены ли СМИ от уведомления РКН?

Нет, в общем случае не освобождены. Исключение по ч. 2 ст. 22 ФЗ-152 применяется только при обработке ПДн исключительно в журналистских целях без привлечения данных в коммерческих или иных целях. Цифровые СМИ, которые собирают данные подписчиков, ведут рассылки, анализируют поведение пользователей сайта, обязаны регистрироваться в реестре операторов. Отсутствие уведомления — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

3. Как оператору связи передавать данные ФСБ?

Передача осуществляется в порядке, установленном ст. 64 ФЗ-126 и федеральными законами об оперативно-розыскной деятельности — как правило, через инфраструктуру СОРМ. Согласие абонента не требуется: основание — п. 3 ч. 1 ст. 6 ФЗ-152 (исполнение обязанностей, возложенных законом). Оператор обязан документировать каждый факт передачи: основание запроса, объём данных, дату передачи. Избыточная передача (сверх запрошенного) нарушает принцип минимизации по ст. 5 ФЗ-152.

4. Какие данные собирает каршеринг?

Каршеринговые сервисы собирают паспортные данные и данные водительского удостоверения (необходимы для договора), геолокацию транспортного средства в реальном времени, историю поездок, платёжные данные. Геолокация и история перемещений при привязке к идентификатору пользователя являются персональными данными и требуют отдельного согласия при обработке в целях, выходящих за рамки исполнения договора (реклама, аналитика, ML). Согласие с 01.09.2025 оформляется отдельным документом (ФЗ-156).

5. Что хранить о собственниках жилья и как долго?

ТСЖ и УК вправе хранить только те ПДн собственников, которые необходимы для целей управления домом (ст. 5 ФЗ-152 — принцип минимизации). Срок хранения определяется целями: данные о задолженности — до её погашения и истечения срока исковой давности (3 года), данные об участии в общем собрании — до ликвидации ТСЖ. По истечении срока или при прекращении целей ПДн уничтожаются или обезличиваются (ст. 21 ФЗ-152). Хранение данных бывших собственников без правового основания — нарушение ч. 1 ст. 13.11 КоАП.

Итог

Персональные данные абонентов находятся на пересечении двух режимов: тайны связи по ст. 63 ФЗ-126 и общих требований ФЗ-152. Соответствие одному не означает соответствия другому. Смежные отрасли — ТСЖ, каршеринг, СМИ — работают в рамках ФЗ-152 без специальной защиты тайны связи, но с теми же требованиями к согласиям, уведомлению РКН и реагированию на инциденты.

Практика DATUM охватывает аудит операторов связи, ТСЖ, транспортных и медийных компаний по ФЗ-152 с учётом отраслевой специфики. Типичный аудит выявляет 5–9 нарушений в документации и основаниях обработки — большинство устраняется без судебных последствий при своевременном обращении.

Есть ситуация с РКН или необходима проверка документации по ПДн?

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Аудит соответствия — от 100 000 ₽, результат — отчёт с приоритизированным планом устранения нарушений. Работаем с операторами связи, ТСЖ, транспортными компаниями и СМИ.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

Смотрите также

АГ
Антон Громов
Аналитик · Технологии и ИБ
Аналитик DATUM по технологиям и информационной безопасности. Специализация — уровни защищённости УЗ-1..4, Приказ ФСТЭК №21, обезличивание ПДн для ML, реагирование на утечки за 24/72 часа, ст. 272.1 УК.

13 января 2029 года