аналитика 9 февраля 2027 По состоянию на 9 февраля 2027

Передача между госорганами (МЭДО)

Передача персональных данных через МЭДО (межведомственный электронный документооборот) — это обработка ПДн на основании специальных правовых оснований ФЗ-152, выходящих за рамки стандартного согласия субъекта.

С 30.05.2025 неправомерная передача ПДн между ведомствами — нарушение ч. 1 ст. 13.11 КоАП с штрафом до 300 000 ₽ для юрлица; повторность — до 500 000 ₽. Ст. 272.1 УК с 11.12.2024 добавила уголовную ответственность за незаконное использование ПДн в компьютерных системах.

Если вы юрист и готовите правовую базу для межведомственного обмена — проверьте, какие основания ст. 6 ФЗ-152 покрывают конкретные потоки данных и соответствует ли система классу защиты.

Межведомственный электронный документооборот связывает сотни государственных органов: федеральных, региональных, муниципальных. Каждое сообщение в МЭДО потенциально содержит персональные данные — ФИО должностных лиц, сведения о гражданах из обращений, кадровые документы. Вопрос о правовом основании для такой передачи стал актуальным после ФЗ-420 от 30.11.2024: расширение ст. 13.11 КоАП и введение ст. 272.1 УК повысили ставки за ошибку. Ниже — анализ оснований, условий и типовых рисков для юриста, сопровождающего внедрение или эксплуатацию МЭДО.

Какое правовое основание применяется при передаче ПДн через МЭДО?

Передача персональных данных между органами государственной власти через МЭДО в большинстве случаев опирается на п. 2 ч. 1 ст. 6 ФЗ-152 — исполнение обязанности, возложенной на оператора федеральным законом или иным нормативным правовым актом. Это означает: орган должен иметь в своей регуляторной базе конкретную норму, разрешающую или предписывающую передачу определённых сведений конкретному адресату.

Если такой нормы нет — передача требует согласия субъекта по ст. 9 ФЗ-152. Согласие с 01.09.2025 (ФЗ-156 от 24.06.2025) оформляется отдельным документом и не объединяется с заявлением гражданина, обращением или иным документом.

«Ст. 6 ч. 1 п. 2 ФЗ-152 — обработка ПДн допустима без согласия субъекта, если она необходима для достижения целей, предусмотренных законом, и для выполнения возложенных на оператора законом функций, полномочий и обязанностей.»

Для межведомственного взаимодействия в рамках МЭДО также актуален п. 3 ч. 1 ст. 6 — передача в целях осуществления правосудия, исполнения судебного акта или акта другого органа, — если речь идёт об исполнительном производстве или судебных поручениях. Специальные категории ПДн (ст. 10 ФЗ-152) требуют отдельного основания из исчерпывающего перечня п. 2 ст. 10, даже если общее основание есть.

Практика проверок Роскомнадзора фиксирует типовую ошибку: орган считает, что «межведомственный запрос» сам по себе является правовым основанием. Это не так. Межведомственный запрос — это процедурный инструмент, а не самостоятельное основание обработки по ФЗ-152.

Нужно проверить правовые основания для межведомственного обмена?

Если вы юрист и готовите заключение по схеме передачи данных через МЭДО — типовая ошибка выявляется на этапе сопоставления конкретных потоков с реестром операторов РКН. Неуведомление о намерении обрабатывать ПДн при новых потоках грозит штрафом 100–300 000 ₽ по ч. 10 ст. 13.11 КоАП (в ред. с 30.05.2025).

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как соотносятся ст. 12 и ст. 13 ФЗ-152 с передачей данных в МЭДО?

Ст. 12 ФЗ-152 регулирует трансграничную передачу — передачу ПДн на территорию иностранного государства или иностранной организации. К внутреннему МЭДО она не применяется напрямую. Однако если орган использует облачную инфраструктуру с серверами за рубежом или подключает иностранных подрядчиков к инфраструктуре МЭДО, вопрос трансграничной передачи возникает. В этом случае требуется уведомление РКН до начала передачи в страны без адекватной защиты.

Ст. 13 ФЗ-152 определяет особенности обработки ПДн в государственных органах: такие органы являются операторами, обязаны выполнять все требования закона, включая уведомление РКН (ст. 22 ФЗ-152), назначение ответственного (ст. 22.1), разработку политики (ст. 18.1) и обеспечение защиты (ст. 19). Статус государственного органа не освобождает от этих обязанностей.

«Ст. 13 ФЗ-152 — государственные органы обрабатывают ПДн в пределах полномочий, установленных законодательством, и обязаны обеспечивать конфиденциальность ПДн за исключением случаев обезличивания или общедоступности.»

Ключевой вопрос для юриста: включены ли все потоки данных через МЭДО в уведомление, поданное в реестр РКН? Если орган расширил перечень передаваемых сведений или добавил новых получателей — это изменение уведомления, которое подлежит актуализации в течение 10 рабочих дней (ст. 22 ФЗ-152).

Уровень защищённости информационной системы, через которую обрабатываются ПДн в рамках МЭДО, определяется по ПП РФ №1119 от 01.11.2012. Для большинства органов, обрабатывающих общие категории ПДн сотрудников и граждан в числе более 100 000, — это УЗ-3 или УЗ-2. Это означает обязательный набор мер по Приказу ФСТЭК №21 от 18.02.2013, включая идентификацию и аутентификацию, управление доступом, регистрацию событий.

Что проверить юристу при анализе МЭДО-схемы

Наличие нормы федерального или регионального закона, прямо предписывающей передачу конкретных категорий ПДн конкретному органу-получателю.
Актуальность уведомления в реестре РКН: все потоки через МЭДО отражены, включая новых получателей и новые категории данных.
Уровень защищённости ИСПДн, аттестованный по ПП РФ №1119, и соответствие мер требованиям Приказа ФСТЭК №21.
Наличие приказа о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и политики обработки по ст. 18.1.
Порядок реагирования на инциденты: зафиксированы ли процедуры уведомления РКН за 24 часа по ч. 3.1 ст. 21 ФЗ-152.

Каковы риски при обработке специальных категорий ПДн в МЭДО?

В документах, передаваемых через МЭДО, нередко содержатся специальные категории ПДн по ст. 10 ФЗ-152: сведения о состоянии здоровья в медицинских заключениях, справках для кадровых решений; сведения о судимости и привлечении к ответственности; сведения о вероисповедании в документах о религиозных организациях. Для каждой из этих категорий требуется собственное основание из исчерпывающего перечня п. 2 ст. 10 ФЗ-152.

Наиболее распространённое основание для специальных категорий в госсекторе — п. 2.3 ст. 10 (обработка необходима для установления или осуществления прав субъекта или третьих лиц) и п. 2.4 (обработка необходима в целях государственной социальной политики, обязательного страхования). Оба требуют конкретной законодательной нормы, подтверждающей применимость основания к данному потоку.

«Ст. 10 ч. 1 ФЗ-152 — обработка специальных категорий ПДн, касающихся состояния здоровья, судимости, религиозных убеждений, не допускается, за исключением случаев, перечисленных в ч. 2 той же статьи.»

С 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024). Незаконное использование, передача, сбор или хранение компьютерной информации, содержащей ПДн, — уголовная ответственность. Для должностных лиц органа, обеспечивающих функционирование МЭДО, это означает персональный риск при отсутствии правового основания для конкретной передачи. Максимальное наказание по ч. 5 ст. 272.1 (тяжкие последствия) — лишение свободы до 10 лет.

Если вы юрист и анализируете схему обработки ПДн через МЭДО — отсутствие законодательной нормы хотя бы для одного потока данных создаёт риск как административного штрафа по ч. 1 ст. 13.11 КоАП (до 300 000 ₽), так и уголовной ответственности по ст. 272.1 УК для ответственных должностных лиц. Собрать полный комплект ОРД, закрывающий правовые основания для каждого потока, — задача ОРД-пакета DATUM.

Собрать ОРД под ключ

Как применяются нормы о геолокации, операторах связи и ГИС ЖКХ в смежных схемах?

МЭДО — не единственный канал межведомственного обмена. Вокруг него существуют смежные потоки, где правовые режимы различаются. Их анализ важен для юриста, составляющего полную карту обработки ПДн.

Операторы связи. Передача данных абонентов по запросу ФСБ и других уполномоченных органов регулируется ФЗ «О связи» и подзаконными актами. Это отдельный правовой режим, не подпадающий под стандарт согласия. Оператор связи как оператор ПДн обязан обеспечить раздельный учёт: данные абонентов в общих базах и данные, предоставляемые в оперативно-розыскных целях.

ГИС ЖКХ и ТСЖ. Товарищества собственников жилья передают ПДн собственников в ГИС ЖКХ на основании ФЗ от 21.07.2014 №209-ФЗ. Это законодательно установленная обязанность — основание п. 2 ч. 1 ст. 6 ФЗ-152. ТСЖ является оператором, обязан уведомить РКН и иметь политику обработки ПДн. Вопрос «кто оператор — ТСЖ или УК» решается по факту: тот, кто фактически определяет цели и состав обрабатываемых данных, является оператором; лицо, осуществляющее обработку по его поручению, — обработчиком по ст. 6 ч. 3 ФЗ-152.

Геолокация и каршеринг. Данные о местоположении (геолокация) — персональные данные при привязке к идентифицируемому лицу. Каршеринговые компании собирают геолокацию, идентификаторы водительского удостоверения, историю поездок. Передача таких данных в ГИБДД или иные органы по запросу требует законодательного основания; передача без него — нарушение ч. 1 ст. 13.11 КоАП.

СМИ. Средства массовой информации имеют специальный режим: обработка ПДн для профессиональной журналистской деятельности допустима без согласия субъекта (п. 8 ч. 1 ст. 6 ФЗ-152), однако от уведомления РКН СМИ не освобождены — исключение в ст. 22 ФЗ-152 касается только физических лиц, обрабатывающих ПДн исключительно для личных нужд.

Типовые сценарии нарушений при передаче через МЭДО

Сценарий 1. Передача сведений, выходящих за пределы уведомления. Ведомство через МЭДО передаёт сведения о гражданах, не указанные в уведомлении в реестре операторов РКН: например, добавило новую категорию данных при доработке системы, не обновив уведомление. Доказательство нарушения: сравнение фактических потоков данных с содержанием уведомления. Вероятный исход: штраф по ч. 10 ст. 13.11 КоАП (100–300 000 ₽) за неуведомление об изменении сведений об обработке. Стратегия защиты: немедленно подать изменение уведомления через pd.rkn.gov.ru, зафиксировать дату подачи до составления протокола.

Сценарий 2. Отсутствие законодательной нормы для конкретного потока. Орган передаёт через МЭДО медицинские сведения сотрудника другому органу без нормы закона, прямо предписывающей такую передачу, опираясь на внутриведомственное соглашение. Внутреннее соглашение не является правовым основанием по ФЗ-152. Доказательство нарушения: факт передачи специальных категорий ПДн без основания из ст. 10 ч. 2. Вероятный исход: штраф по ч. 1 ст. 13.11 (150–300 000 ₽) плюс риск ст. 272.1 УК для конкретного должностного лица. Стратегия: разработать правовое заключение по каждому потоку, прекратить передачу до получения законодательного основания или согласия субъекта.

Сценарий 3. Несоответствие уровня защищённости ИСПДн. Система МЭДО аттестована как УЗ-4, однако фактически обрабатывает данные более 100 000 субъектов, что по ПП РФ №1119 требует минимум УЗ-3. Доказательство: данные реестра обрабатываемых ПДн vs. аттестационный паспорт. Вероятный исход: предписание ФСТЭК или РКН об устранении нарушений, штраф по ч. 1 ст. 13.11 при выявлении фактов неправомерного доступа. Стратегия: провести аудит соответствия, инициировать переаттестацию по фактическому классу.

Как это применяется на практике

Кейс 1. Региональное ведомство (Приволжский ФО, начало 2026) при плановой проверке РКН обнаружило, что через МЭДО передаются данные о состоянии здоровья государственных служащих для кадровых комиссий. В уведомлении в реестре специальные категории ПДн не были указаны. Ведомство получило протокол по ч. 1 ст. 13.11 КоАП (передача несовместимая с целями, заявленными в реестре). В рамках сопровождения удалось подготовить правовое заключение о наличии нормы федерального закона, покрывающей конкретный поток, обновить уведомление и представить документы до вынесения постановления. Дело прекращено в связи с устранением нарушения.

Кейс 2. IT-подразделение федерального агентства (Центральный ФО, осень 2025) при интеграции нового модуля МЭДО не провело оценку уровня защищённости. Фактический объём обрабатываемых ПДн превысил 100 000 субъектов. При внеплановой проверке, инициированной жалобой работника, ФСТЭК зафиксировало несоответствие аттестованного УЗ-4 фактическому требуемому УЗ-3. Оперативное проведение аудита и переаттестация в трёхмесячный срок позволили избежать предписания о приостановке обработки. Штраф по ч. 1 ст. 13.11 составил сумму в пределах нижней границы диапазона с учётом смягчающих обстоятельств — добровольного устранения нарушения до рассмотрения дела.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки по всем потокам данных, включая МЭДО.
Комплект ОРД под ключ — политика, приказы, регламенты, покрывающие межведомственный обмен.
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании.

Частые вопросы

1. Кто является оператором — ТСЖ или управляющая компания?

Оператором ПДн по ст. 3 ФЗ-152 является тот, кто самостоятельно или совместно с другими лицами организует обработку и определяет её цели и состав. Если ТСЖ передаёт данные собственников управляющей компании для расчётов и управления домом — ТСЖ остаётся оператором, а УК действует как лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152). Это требует заключения отдельного договора-поручения с перечнем действий, которые УК вправе совершать с данными.

2. Освобождены ли СМИ от уведомления Роскомнадзора?

Нет. Ст. 22 ч. 2 ФЗ-152 содержит перечень случаев, когда уведомление не подаётся. Журналистская деятельность и редакционная обработка ПДн не включены в этот перечень в качестве исключения для юридических лиц — СМИ. Физическое лицо, обрабатывающее ПДн исключительно для личных и семейных нужд, освобождено от уведомления — но редакция как юрлицо обязана уведомить РКН до начала обработки.

3. Как оператору связи передавать данные ФСБ и органам, осуществляющим оперативно-розыскную деятельность?

Передача данных абонентов органам ОРД осуществляется на основании ФЗ «Об оперативно-розыскной деятельности» и ФЗ «О связи» — это законодательно установленная обязанность оператора по п. 2 ч. 1 ст. 6 ФЗ-152. Согласие абонента не требуется. Оператор связи ведёт раздельный учёт таких передач, обеспечивает конфиденциальность факта обращения и не раскрывает информацию третьим лицам, включая самого абонента, в ходе проведения ОРМ.

4. Какие данные каршеринг вправе собирать и передавать государственным органам?

Каршеринговая компания собирает геолокацию, идентификаторы удостоверения, биометрические данные (фото при верификации) и историю поездок на основании договора (п. 5 ч. 1 ст. 6 ФЗ-152) и согласия (ст. 9 ФЗ-152). Передача этих данных ГИБДД при расследовании ДТП или по запросу следственных органов — на основании соответствующих норм процессуального законодательства. Передача третьим лицам или иным органам без законодательного основания — нарушение ч. 1 ст. 13.11 КоАП (штраф 150–300 000 ₽ для юрлица).

5. Что хранить о собственниках помещений и как долго?

ТСЖ и УК вправе хранить ПДн собственников в объёме, необходимом для исполнения договорных обязательств и требований жилищного законодательства: ФИО, реквизиты правоустанавливающих документов, контактные данные для уведомлений. Срок хранения определяется периодом действия договора управления плюс срок исковой давности (три года по общему правилу ГК РФ). После истечения срока ПДн подлежат уничтожению или обезличиванию по ст. 5 ч. 7 ФЗ-152. Хранение сверх установленного срока — нарушение принципа минимизации.

Итог

Передача ПДн через МЭДО — правомерна только при наличии конкретной законодательной нормы для каждого потока данных, актуального уведомления в реестре РКН и аттестованной ИСПДн соответствующего уровня защищённости. С 30.05.2025 нарушения в этой сфере квалифицируются по расширенному составу ст. 13.11 КоАП; с 11.12.2024 — добавлен уголовный риск по ст. 272.1 УК для должностных лиц.

DATUM сопровождает государственные органы и подрядчиков государственных информационных систем при анализе схем обработки ПДн, подготовке правовых заключений по основаниям передачи и формировании комплекта ОРД под требования ФЗ-152.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), оборотные штрафы с 30.05.2025.