Перейти к содержанию
справочник 21 октября 2026 По состоянию на 21 октября 2026

Право на портативность ПДн: есть ли аналог GDPR

Право на портативность персональных данных — закреплённое в GDPR право субъекта получить свои данные в машиночитаемом формате и передать их другому оператору. В российском 152-ФЗ прямого аналога нет.
Российский закон предоставляет субъекту схожие, но более узкие права: доступ к сведениям об обработке (ст. 14), требование уточнения и уничтожения (ст. 21), отзыв согласия (ст. 9). Никакой нормы об обязательной выдаче данных в структурированном формате для передачи третьим лицам — нет.
Если вы юрист и оцениваете комплаенс по 152-ФЗ — разберём, какие права субъекта реально существуют и какую документацию нужно поддерживать. →

Вопрос портативности данных возникает при сравнении 152-ФЗ с GDPR, при работе с зарубежными партнёрами и в ходе аудита операторских процедур. Ответ на него влияет на то, какой пакет прав субъекта должна обеспечивать компания, и на содержание ОРД. Ниже — точные нормы, действующие в 2026 году.

Что такое право на портативность и есть ли оно в 152-ФЗ?

В GDPR право на портативность закреплено в ст. 20: субъект вправе получить свои данные в структурированном, общеупотребительном, машиночитаемом формате и передать их другому оператору без препятствий со стороны первого оператора. Обязанность возникает, когда обработка основана на согласии или договоре и ведётся автоматизированными средствами.

В российском 152-ФЗ «О персональных данных» аналогичной нормы нет. Закон не содержит понятия «портативность» и не обязывает оператора выдавать данные в машиночитаемом формате. Ближайшие по смыслу нормы — иные по содержанию.

«Ст. 14 ФЗ-152 — субъект вправе получить от оператора подтверждение факта обработки его ПДн, сведения об операторе, целях, объёме, сроках и источниках. Оператор обязан ответить в течение 10 рабочих дней (ст. 20 ФЗ-152), с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.»

Таким образом, российский субъект может узнать, что именно обрабатывается, но не вправе потребовать выдачи данных в формате для передачи конкурирующему оператору. Это принципиальное различие между двумя регуляторными режимами.

Какие права субъекта предусмотрены 152-ФЗ?

Субъект персональных данных по ст. 3 ФЗ-152 — физическое лицо, которое прямо или косвенно определяется через ПДн. Закон предоставляет ему несколько групп прав.

Право на информацию (ст. 14 ФЗ-152)
Субъект вправе потребовать подтверждения обработки, перечень обрабатываемых ПДн, цели, сроки, источники получения. Оператор отвечает в течение 10 рабочих дней.
Право на уточнение и уничтожение (ст. 21 ФЗ-152)
При выявлении неточностей субъект вправе потребовать уточнения, блокирования или уничтожения данных. Оператор обязан выполнить требование в течение 7 рабочих дней.
Право на отзыв согласия (ст. 9 ФЗ-152)
Согласие отзывается в любой момент. После отзыва оператор обязан прекратить обработку и (при отсутствии иного правового основания) уничтожить ПДн в течение 30 дней.
Право на защиту прав (ст. 17 ФЗ-152)
Субъект вправе обратиться в РКН или суд. Судебная защита не зависит от предварительного обращения к оператору.

Ни одно из перечисленных прав не включает обязанность оператора сформировать экспортный файл данных и передать его третьему лицу по указанию субъекта. Это ключевое отличие от GDPR-портативности.

Проводите сравнительный анализ 152-ФЗ и GDPR для клиента или работодателя?

Если вы юрист и оцениваете, какие права субъектов должна обеспечивать компания, — пакет ОРД и политика конфиденциальности должны отражать актуальный объём обязанностей. С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156). Неактуальная документация — основание для штрафа по ч. 3 ст. 13.11 КоАП. Юристы DATUM соберут комплект документов под ключ и проверят соответствие действующим требованиям.

Подключить DPO-аутсорс

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как определяются ключевые понятия: оператор, обработка, категории ПДн?

Для оценки прав субъекта и обязанностей оператора важно понимать базовые дефиниции ст. 3 ФЗ-152.

Персональные данные (ст. 3 ФЗ-152)
Любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. Перечень открытый: имя, телефон, email, IP-адрес, cookie-идентификатор — всё это может быть ПДн при наличии возможности идентификации.
Оператор персональных данных (ст. 3 ФЗ-152)
Государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, определяет цели и содержание обработки.
Обработка персональных данных (ст. 3 ФЗ-152)
Любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Простой просмотр или фиксация уже является обработкой.
Специальные категории ПДн (ст. 10 ФЗ-152)
Расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь, сведения о судимости. Обработка по общему правилу запрещена без явного исключения по п. 2 ст. 10.
Биометрические персональные данные (ст. 11 ФЗ-152)
Физиологические и биологические особенности человека, позволяющие установить его личность: изображение лица, голос, отпечатки пальцев, ДНК, радужная оболочка. Обработка — только с письменного согласия (за исключениями п. 2 ст. 11).
Принципы обработки ПДн (ст. 5 ФЗ-152)
Законность и справедливость, конкретные и заранее определённые цели, недопустимость объединения несовместимых баз, соответствие объёма данных целям, точность и актуальность, хранение не дольше необходимого, уничтожение при достижении цели или истечении срока.

Что подготовить для соблюдения прав субъектов по 152-ФЗ

  • Политику обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликовать на сайте оператора
  • Отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025) — не совмещать с договором или офертой
  • Регламент ответов на обращения субъектов — срок 10 рабочих дней по ст. 20 ФЗ-152
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
  • Журнал учёта обращений субъектов с отметками о дате, содержании и результате

На каких основаниях можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований обработки. Согласие субъекта — лишь одно из них. Наиболее распространённые в практике коммерческих операторов:

  • Согласие субъекта (п. 1 ч. 1 ст. 6). Требует соблюдения реквизитов по ст. 9. С 01.09.2025 — только отдельный документ, не часть договора или оферты (ФЗ-156 от 24.06.2025).
  • Договор с субъектом (п. 5 ч. 1 ст. 6). Обработка необходима для заключения, исполнения или прекращения договора, стороной которого является субъект. Согласие отдельно не нужно.
  • Исполнение законодательства (п. 2 ч. 1 ст. 6). Оператор обязан обрабатывать ПДн в силу прямого предписания нормативного акта.
  • Законные интересы (п. 7 ч. 1 ст. 6). Обработка необходима для достижения законных интересов оператора или третьих лиц, если при этом не нарушаются права и свободы субъекта. Аналог «legitimate interests» GDPR — применяется ограниченно, РКН проверяет обоснование.

Правовые основания обработки должны быть зафиксированы в политике и в реестре обрабатываемых данных оператора. Отсутствие обоснования — самостоятельное нарушение ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000 — 300 000 ₽.

Если вы юрист и проверяете, насколько правовые основания обработки ПДн соответствуют реальным бизнес-процессам компании — аудит по чек-листу из 38 пунктов выявит разрывы до проверки РКН.

Заказать аудит 152-ФЗ

Типовые ситуации при работе с правами субъектов

Ситуация 1. Субъект требует передать его данные другому оператору. Российский закон не предусматривает такой обязанности. Оператор вправе отказать, сославшись на отсутствие нормы в 152-ФЗ. Одновременно — обязан ответить на запрос в течение 10 рабочих дней, предоставив информацию о составе и целях обработки по ст. 14 и ст. 20. Нарушение срока ответа — штраф по ч. 4 ст. 13.11 КоАП (40 000 — 80 000 ₽ для юрлица).

Ситуация 2. Субъект отзывает согласие и требует уничтожения данных. Оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней, если отсутствует иное правовое основание по ст. 6. Если данные нужны для исполнения договора или в силу закона — оператор вправе продолжать обработку, но обязан письменно уведомить субъекта об основании. Игнорирование требования — нарушение ч. 5 ст. 13.11 КоАП (50 000 — 90 000 ₽).

Ситуация 3. Компания работает с субъектами из ЕС и обязана соблюдать GDPR. Одновременное соблюдение 152-ФЗ и GDPR возможно, но требует разграничения реестров по юрисдикции. Право на портативность по GDPR применяется только к данным резидентов ЕС. Для данных граждан РФ — только российский режим. Смешение оснований в одном документе создаёт риск нарушения обоих регуляторов.

Из практики. В компании из Центрального ФО (сфера EdTech, осень 2025) юрист обнаружил, что политика конфиденциальности содержала ссылку на «право на портативность» без разграничения юрисдикций. РКН при плановой проверке квалифицировал это как введение субъектов в заблуждение относительно объёма их прав по 152-ФЗ. Штраф назначен по ч. 3 ст. 13.11 КоАП в нескольких десятках тысяч рублей. Политика была переработана с чётким указанием, какие права действуют для граждан РФ, а какие — для резидентов ЕС. Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой считается любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже единичный факт получения или хранения данных — уже обработка, требующая правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 оснований. Основные для коммерческих операторов: согласие субъекта (п. 1), исполнение договора, стороной которого является субъект (п. 5), исполнение обязательных требований законодательства (п. 2), законные интересы оператора (п. 7). Согласие с 01.09.2025 оформляется только отдельным документом по ФЗ-156 от 24.06.2025.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность — по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (действует с 30.05.2025): от 30 000 ₽ за непубликацию политики (ч. 3) до 15 000 000 ₽ за утечку более 100 000 субъектов (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Уголовная ответственность предусмотрена ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024) — до 10 лет лишения свободы по ч. 5 за тяжкие последствия.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 уведомить РКН о намерении обрабатывать ПДн обязан любой оператор до начала обработки. Закрытый перечень исключений установлен ч. 2 ст. 22: обработка только сотрудников организации, обработка без средств автоматизации при прямом получении данных от субъекта для разового пропуска и ряд других. Для большинства компаний с сайтом, CRM или интернет-магазином исключения не применяются. Неуведомление — штраф 100 000 — 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

152-ФЗ не устанавливает возрастной порог дееспособности для согласия на обработку ПДн напрямую. Применяется общий гражданско-правовой режим: полная дееспособность с 18 лет, ограниченная — с 14 лет. Для обработки ПДн несовершеннолетних до 14 лет согласие дают родители или законные представители. Для EdTech и медицинских организаций это критичный аспект ОРД.

Итог

Прямого аналога права на портативность из GDPR в российском 152-ФЗ нет. Субъект по российскому закону вправе получить информацию об обработке, потребовать уточнения или уничтожения данных, отозвать согласие — но не вправе обязать оператора сформировать экспортный файл для передачи конкурирующему оператору. Компаниям, работающим с резидентами ЕС, необходимо чётко разграничивать применимый режим в документации.

Практика DATUM охватывает подготовку ОРД, аудит правовых оснований обработки и DPO-аутсорсинг. Юристы практики сопровождают операторов при взаимодействии с РКН и при разработке политик для мультиюрисдикционных продуктов.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

21 октября 2026 года