Перейти к содержанию
инструкция 28 декабря 2026 По состоянию на 28 декабря 2026

Политика для рекомендательных систем по ст. 16

Рекомендательная система, принимающая решения на основе ПДн, обязана иметь опубликованную политику по ст. 16 ФЗ-152 и отдельный документ о порядке такой обработки.
С 30.05.2025 отсутствие политики — штраф по ч. 3 ст. 13.11 КоАП до 60 000 ₽, а нарушение правил обработки для профилирования — до 300 000 ₽ по ч. 1. Повторное нарушение — 300 000–500 000 ₽ по ч. 1.1.
→ Если вы юрист, которому поручили привести рекомендательный сервис в соответствие, — ниже пошаговый план: от квалификации системы до публикации политики и назначения ответственного.

Рекомендательные алгоритмы — сортировка ленты, предложение товаров, скоринг кандидатов — обрабатывают профили пользователей автоматически. Ст. 16 ФЗ-152 устанавливает право субъекта на защиту от решений, принятых исключительно на основе автоматизированной обработки его данных. Оператор, использующий такие системы, обязан предусмотреть специальный порядок обработки и отразить его в политике. Инструкция ниже охватывает шесть шагов: от квалификации системы до публикации и регистрации изменений в реестре РКН.

Шаг 1. Квалифицируйте систему: подпадает ли она под ст. 16 ФЗ-152?

Ст. 16 ФЗ-152 применяется, когда решение, порождающее правовые последствия или существенно затрагивающее интересы субъекта, принимается исключительно на основе автоматизированной обработки его персональных данных. Ключевые признаки — отсутствие участия человека в итоговом решении и прямая связь с ПДн конкретного физического лица.

Системы, которые попадают под ст. 16: кредитный скоринг без ручной проверки, автоматический отбор резюме по заданным параметрам, персонализированное ценообразование на основе профиля пользователя. Системы, которые формально не попадают: показ рекламного контента без правовых последствий для субъекта, агрегация обезличенных данных для аналитики.

Если система выдаёт персональную рекомендацию, но итоговое решение подтверждает человек — ст. 16 применяется частично: оператор обязан предусмотреть процедуру возражения субъекта. Зафиксируйте вывод о квалификации в аналитической записке или протоколе рабочей группы.

«Ст. 16 ФЗ-152 — решения, порождающие правовые последствия или иным образом затрагивающие права субъекта, не могут основываться исключительно на автоматизированной обработке его ПДн без права на возражение, если иное не предусмотрено законом или согласием субъекта.»

Шаг 2. Определите правовое основание обработки по ст. 6 ФЗ-152

До написания политики юрист обязан установить правовое основание по ст. 6 ФЗ-152 для каждого типа данных, используемых в рекомендательной системе. Типовые варианты: согласие субъекта (п. 1), исполнение договора (п. 5), законный интерес оператора (п. 7 — применяется ограниченно и требует балансирующего теста).

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку оформляется отдельным документом — оно не может быть включено в договор, оферту или общую политику. Если рекомендательная система работает на основании согласия, проверьте, что форма согласия содержит все обязательные реквизиты по ст. 9 ФЗ-152: наименование оператора, цель, перечень данных, перечень действий, срок, способ отзыва. Согласия, оформленные до 01.09.2025 способом, не соответствующим новым требованиям, юридически действуют, но при первом изменении формы — переоформлять по новым правилам.

Если автоматизированная обработка профиля ведётся в рамках персонализации маркетинга, а субъект является потребителем — проверьте также соответствие ФЗ «О рекламе» в части адресности. Правовое основание фиксируется в реестре видов обработки ПДн — внутреннем документе ОРД.

Уже получили запрос на проверку или предписание РКН?

Если РКН запросил документы о порядке автоматизированной обработки, у вас ограниченное время на ответ. Ошибка в квалификации системы или отсутствие политики по ст. 16 фиксируется как отдельное нарушение. Юристы DATUM проведут аудит ОРД по чек-листу из 38 пунктов и подготовят комплект документов до истечения срока ответа на запрос.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Составьте политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152

Ст. 18.1 ФЗ-152 обязывает оператора опубликовать политику обработки персональных данных. Ч. 2 ст. 18.1 устанавливает обязательный состав документа. Для оператора, использующего рекомендательную систему, политика должна дополнительно содержать раздел об автоматизированной обработке и правах субъекта по ст. 16.

Обязательные разделы политики по ч. 2 ст. 18.1:

  • Наименование и контактные данные оператора, в том числе адрес для обращений субъектов.
  • Цели обработки ПДн с указанием каждой отдельной цели — общие формулировки («улучшение сервиса») не соответствуют принципу конкретности ст. 5 ФЗ-152.
  • Правовые основания по ст. 6 (и ст. 10, если обрабатываются специальные категории) для каждой цели.
  • Категории субъектов и перечень обрабатываемых данных с привязкой к целям.
  • Порядок реализации прав субъектов: запрос, доступ, уточнение, блокирование, уничтожение, возражение против автоматизированных решений.
  • Срок обработки и критерии его определения.
  • Сведения о трансграничной передаче (при наличии) и перечень стран-получателей.
  • Порядок защиты ПДн — без раскрытия конфиденциальных технических деталей.

Раздел об автоматизированной обработке по ст. 16 должен содержать: описание логики автоматизированной обработки, влияние на субъекта, способ подачи возражения и срок его рассмотрения оператором. Срок рассмотрения возражения законом прямо не установлен — практика РКН ориентируется на 10 рабочих дней по аналогии со ст. 20 ФЗ-152.

Что подготовить для политики по ст. 16

  • Реестр видов обработки ПДн с указанием правовых оснований по ст. 6 для каждого вида.
  • Описание логики рекомендательного алгоритма в объёме, достаточном для субъекта (без раскрытия коммерческой тайны).
  • Форма возражения субъекта против автоматизированного решения и регламент его рассмотрения.
  • Актуальные согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025 (отдельный документ).
  • Приказ о назначении ответственного по ст. 22.1 ФЗ-152.

Как правильно опубликовать политику и уведомить РКН по ст. 22 ФЗ-152?

Ч. 2 ст. 18.1 ФЗ-152 требует опубликовать политику в открытом доступе — как правило, на сайте оператора. Требования к форме публикации: документ должен быть постоянно доступен, иметь дату редакции и быть однозначно идентифицирован как «Политика обработки персональных данных». Ссылка на политику размещается на каждой странице сайта, где происходит сбор данных, — в подвале или рядом с формой согласия.

Уведомление о намерении обрабатывать ПДн подаётся через портал pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022. Если рекомендательная система уже работает и оператор ранее уведомил РКН, но не отразил автоматизированную обработку — подаётся уведомление об изменении сведений. Срок включения в реестр после подачи — 30 дней. Неуведомление или несвоевременное уведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

В уведомлении по Приказу РКН №180 указывается факт автоматизированной обработки и принятия решений без участия человека (если применимо). Это отдельный признак, влияющий на категорию риска при плановых проверках РКН.

«Ст. 22 ФЗ-152 — оператор обязан уведомить уполномоченный орган (РКН) о намерении осуществлять обработку ПДн до начала такой обработки. Форма и порядок — Приказ РКН №180 от 28.10.2022.»

Шаг 5. Назначьте ответственного по ст. 22.1 ФЗ-152

Ст. 22.1 ФЗ-152 обязывает оператора-юридическое лицо назначить лицо, ответственное за организацию обработки ПДн. Для оператора рекомендательной системы ответственный выполняет специфические функции: контролирует соответствие алгоритма правовым основаниям, принимает возражения субъектов против автоматизированных решений и обеспечивает актуальность политики.

Требования к квалификации ответственного по ч. 4 ст. 22.1: знание законодательства о ПДн, понимание технической архитектуры обработки. На практике ответственным назначают штатного юриста, DPO-специалиста или руководителя продукта — с обязательным приказом и должностной инструкцией. Если штатного специалиста нет — допустим аутсорсинг функции по договору.

Контактные данные ответственного публикуются в политике обработки ПДн и указываются в уведомлении РКН. Смена ответственного требует подачи уведомления об изменении сведений в РКН по Приказу №180.

Если юрист ищет ответственного по ст. 22.1 для рекомендательного сервиса, а штатного DPO нет — DATUM берёт функцию ответственного на абонентское обслуживание. Включает ответы на запросы субъектов и контроль актуальности политики.

Подключить DPO-аутсорс

Шаг 6. Обеспечьте права субъекта на возражение и проверьте полноту ОРД

Ст. 16 ФЗ-152 предоставляет субъекту право потребовать проверки любого автоматизированного решения, затрагивающего его права. Оператор обязан в течение разумного срока рассмотреть возражение, привлечь к проверке человека и письменно уведомить субъекта об итоге. Если возражение обоснованно — принятое автоматически решение пересматривается вручную.

Механизм возражения должен быть описан в политике и реально работать: выделенный адрес электронной почты или форма на сайте, назначенный сотрудник для рассмотрения, регламент с фиксацией срока ответа. Отсутствие работающего механизма при проверке РКН квалифицируется как нарушение ч. 1 ст. 13.11 — обработка без соблюдения условий, установленных законом.

Полный пакет ОРД для оператора рекомендательной системы включает: политику обработки ПДн по ст. 18.1 с разделом по ст. 16, реестр видов обработки, согласия субъектов в редакции с 01.09.2025, приказ о назначении ответственного по ст. 22.1, регламент рассмотрения возражений, журнал учёта обращений субъектов, соглашение с обработчиком (если данные передаются третьему лицу по поручению, ст. 6 п. 3 ФЗ-152).

Типовые ситуации для юриста: как применяется ст. 16 на практике

Ситуация 1. Маркетплейс использует алгоритм ранжирования, который снижает видимость продавца на основании его рейтинга и истории возвратов. Продавец — физическое лицо (ИП). Решение затрагивает его экономические интересы и принимается автоматически. Ст. 16 применима: оператор обязан описать логику алгоритма в политике и предусмотреть право на возражение. Отсутствие такого раздела в политике — нарушение ч. 3 ст. 13.11 (до 60 000 ₽) плюс ч. 1 ст. 13.11 (до 300 000 ₽), если обработка ведётся без соблюдения условий.

Ситуация 2. EdTech-платформа автоматически формирует учебный маршрут студента на основе анализа его активности и результатов тестов. Решение не порождает правовых последствий, но существенно влияет на образовательный процесс. Оператор квалифицировал систему как не подпадающую под ст. 16. РКН при проверке зафиксировал иное: студент не имеет механизма возражения. Стратегия: добавить раздел в политику и реализовать форму возражения до следующей плановой проверки. Штраф по ч. 3 ст. 13.11 составил от 30 000 до 60 000 ₽ (Северо-Западный ФО, 2026 год). ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Ситуация 3. Рекрутинговый сервис автоматически отсеивает резюме кандидатов до их просмотра рекрутером. Кандидат узнаёт об отказе, но не получает объяснения. Ст. 16 применима в полном объёме. Доказательства нарушения: отсутствие раздела о ст. 16 в политике, нет формы возражения, нет журнала рассмотрения возражений. Вероятный исход при проверке РКН — предписание об устранении и протокол по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). При повторном нарушении — ч. 1.1 (300 000–500 000 ₽).

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн, использующего рекомендательную систему?

Минимальный пакет ОРД: политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 с разделом по ст. 16, реестр видов обработки с правовыми основаниями по ст. 6, согласия субъектов в редакции с 01.09.2025 (отдельный документ по ФЗ-156 от 24.06.2025), приказ о назначении ответственного по ст. 22.1, регламент рассмотрения возражений против автоматизированных решений, журнал учёта обращений субъектов. При передаче данных подрядчику — соглашение об обработке по поручению (ст. 6 п. 3 ФЗ-152).

2. Как составить политику обработки ПДн для рекомендательного сервиса?

Политика должна соответствовать обязательному составу по ч. 2 ст. 18.1 ФЗ-152: цели, правовые основания, категории субъектов и данных, права субъектов, сроки, меры защиты. Для рекомендательного сервиса добавляется раздел по ст. 16: описание логики автоматизированной обработки в доступной форме, способ подачи возражения и порядок его рассмотрения. Шаблон из интернета требует адаптации под конкретную архитектуру сервиса — иначе документ не пройдёт проверку РКН.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

По ч. 4 ст. 22.1 ФЗ-152 ответственный обязан знать законодательство о ПДн и понимать технику обработки. На практике — штатный юрист с допобязанностями (приказ + должностная инструкция), выделенный DPO или аутсорсинговый провайдер по договору. Для рекомендательных систем важно, чтобы ответственный мог реально оценить архитектуру алгоритма и принять возражение субъекта. Контактные данные ответственного публикуются в политике и указываются в уведомлении РКН по Приказу №180.

4. Можно ли использовать шаблон политики из интернета?

Формально — можно, если шаблон содержит все обязательные разделы по ч. 2 ст. 18.1 ФЗ-152 и актуален по состоянию на дату публикации. На практике типовые шаблоны не учитывают конкретный перечень данных оператора, реальные цели, условия трансграничной передачи и — главное — специфику автоматизированной обработки по ст. 16. Использование неадаптированного шаблона при проверке РКН расценивается как формальное соблюдение без реального содержания и не снимает претензий.

5. Какие согласия нужны после 01.09.2025 для рекомендательной системы?

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом — не включается в договор, оферту, политику или регистрационную форму. Для рекомендательной системы, работающей на основании согласия, необходимо отдельное согласие с перечнем конкретных данных, передаваемых в алгоритм, целью профилирования и сроком. Если система обрабатывает данные на ином основании (исполнение договора, законный интерес) — согласие не требуется, но правовое основание должно быть явно указано в политике и реестре видов обработки.

Итог

Политика для рекомендательной системы по ст. 16 ФЗ-152 — это не отдельный документ, а раздел в общей политике обработки ПДн плюс рабочий механизм возражений субъекта. Без него оператор уязвим перед проверкой РКН даже при наличии формального пакета ОРД.

DATUM сопровождает операторов цифровых сервисов и рекомендательных систем в части 152-ФЗ: от квалификации системы по ст. 16 до комплекта ОРД и взаимодействия с РКН при проверке.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам. Специализация — политики конфиденциальности, согласия в SaaS и e-commerce, трансграничные сервисы аналитики, программы лояльности.

28 декабря 2026 года