Перейти к содержанию
справочник 19 января 2027 По состоянию на 19 января 2027

Право на возражение против автоматизированных решений

Право на возражение против автоматизированных решений — гарантия субъекта ПДн требовать проверки решения, принятого исключительно алгоритмом, без участия человека.
Статья 16 ФЗ-152 запрещает принимать решения, порождающие правовые последствия для субъекта или существенно затрагивающие его интересы, на основе исключительно автоматизированной обработки. Нарушение — основание для штрафа по ст. 13.11 КоАП и уголовной ответственности по ст. 272.1 УК.
Если вы юрист и выстраиваете комплаенс для компании, использующей скоринг, профилирование или автоматизированный кадровый отбор — эта страница разбирает каждое ключевое понятие.

Автоматизированные решения в бизнесе — кредитный скоринг, алгоритмический кадровый отбор, таргетированное ценообразование — стали нормой. Статья 16 ФЗ-152 ограничивает их применение там, где результат затрагивает права субъекта. С принятием ФЗ-420 от 30.11.2024 и введением ст. 272.1 УК с 11.12.2024 правовые риски вышли за рамки административного поля. Ниже — ключевые понятия, необходимые юристу для работы с этим институтом.

Какие понятия составляют основу права на возражение?

Персональные данные
По ст. 3 ФЗ-152 — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту). Понятие намеренно широкое: IP-адрес, идентификатор устройства, поведенческий профиль — все могут квалифицироваться как ПДн при возможности идентификации субъекта.
Субъект персональных данных
Физическое лицо, которому принадлежат ПДн. Именно субъект наделён правом возражения против автоматизированного решения по ст. 16 ФЗ-152: он вправе требовать, чтобы оператор организовал пересмотр решения с участием уполномоченного лица.
Оператор персональных данных
Государственный орган, юридическое или физическое лицо, самостоятельно или совместно с другими организующее и осуществляющее обработку ПДн (ст. 3 ФЗ-152). Оператор несёт ответственность за соответствие автоматизированных процессов требованиям закона, в том числе по ст. 16.
Обработка персональных данных
Любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Профилирование и скоринг — разновидности обработки, подпадающие под ограничение ст. 16.
Автоматизированное решение
Решение, принятое исключительно на основе алгоритмической обработки ПДн без значимого участия человека. Ключевой критерий ст. 16 ФЗ-152 — слово «исключительно»: если уполномоченное лицо проверяет и подтверждает вывод алгоритма, ограничение не применяется. Если оператор лишь формально назначает «ответственного», суть не меняется.
Правовые последствия или существенное затрагивание интересов
Критерий применимости ст. 16 ФЗ-152. К правовым последствиям относятся: отказ в кредите, отказ в найме на работу, расторжение договора. К существенному затрагиванию — изменение условий обслуживания, ограничение доступа к сервису. Маркетинговое профилирование с показом релевантной рекламы под этот критерий, как правило, не подпадает.
Принципы обработки персональных данных
Семь принципов ст. 5 ФЗ-152: законность и добросовестность, конкретные и заранее определённые цели, недопустимость объединения несовместимых баз, соответствие объёма целям, достоверность, хранение не дольше необходимого, уничтожение или обезличивание при достижении целей. Автоматизированное решение должно соответствовать каждому из них.
Правовые основания обработки
Статья 6 ФЗ-152 устанавливает одиннадцать оснований. Для автоматизированных решений наиболее распространены: согласие субъекта (п. 1) и исполнение договора, стороной которого является субъект (п. 5). Если основание — согласие, оператор обязан при возражении субъекта прекратить обработку в соответствующей части.
Согласие на обработку персональных данных
Добровольное, конкретное, информированное и однозначное указание воли субъекта (ст. 9 ФЗ-152). С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется отдельным документом — не встраивается в договор, оферту или политику конфиденциальности. Согласие, данное ранее этой даты, переоформлять не требуется: обратной силы нет.
Категории персональных данных
ФЗ-152 выделяет три уровня чувствительности: общие (имя, адрес, телефон), специальные (здоровье, политические взгляды, религия, судимость — ст. 10) и биометрические (изображение лица, голос, отпечатки — ст. 11). Автоматизированное решение на основе специальных или биометрических категорий требует усиленного правового обоснования.
Право на возражение
Субъективное право субъекта ПДн, закреплённое в ст. 16 ФЗ-152: потребовать от оператора пересмотра автоматизированного решения с участием уполномоченного лица. Оператор обязан рассмотреть возражение и уведомить субъекта о результатах. Срок рассмотрения ст. 16 прямо не устанавливает; субъект также вправе выразить позицию и обжаловать итог.
Уполномоченное лицо
Сотрудник или иное лицо, назначенное оператором для пересмотра автоматизированного решения при поступлении возражения субъекта. Требования к квалификации ФЗ-152 не детализирует, однако назначение должно быть зафиксировано в ОРД.
«Ст. 16 ФЗ-152: решение, порождающее правовые последствия для субъекта или иным образом затрагивающее его права и законные интересы, не может быть принято исключительно на основании автоматизированной обработки его ПДн без согласия субъекта в письменной форме или в случаях, предусмотренных федеральными законами.»

Нужно привести автоматизированные процессы в соответствие со ст. 16 ФЗ-152?

Если вы юрист и выявили в компании скоринг, алгоритмический кадровый отбор или автоматизированное ценообразование без надлежащего правового основания — до проверки РКН есть время зафиксировать пробелы и закрыть их документально. DPO-аутсорсинг DATUM включает мониторинг автоматизированных процессов, подготовку ОРД и ответы на запросы субъектов.

Подключить DPO-аутсорс

Ответим в течение 2 часов · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как работает право на возражение на практике: типовые сценарии

Сценарий 1. Кредитный скоринг без участия человека. Банк отказывает заёмщику автоматически: алгоритм присваивает скоринговый балл ниже порога, система формирует отказ без проверки сотрудником. Субъект подаёт возражение по ст. 16 ФЗ-152. Оператор обязан организовать пересмотр с участием уполномоченного лица и уведомить субъекта о результате. Если оператор игнорирует возражение — субъект вправе обратиться в РКН. Нарушение квалифицируется по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица в редакции с 30.05.2025).

Сценарий 2. Алгоритмический отбор резюме. HR-платформа отсеивает кандидатов на основе поведенческих паттернов и ключевых слов без участия рекрутера. Кандидат не получает ответа. Если система принимает «исключительно автоматизированное» решение об отказе, затрагивающее интересы субъекта, — это ст. 16 ФЗ-152. Отсутствие согласия в письменной форме на такую обработку дополнительно образует состав по ч. 2 ст. 13.11 (300 000–700 000 ₽). Для устранения риска достаточно: включить в согласие описание автоматизированного отбора и назначить уполномоченного рекрутера для пересмотра.

Сценарий 3. Автоматическое расторжение договора на основе антифрод-модели. Телеком-оператор блокирует абонента алгоритмически по подозрению в мошенничестве. Блокировка — правовое последствие по ст. 16 ФЗ-152. Оператор должен был либо получить письменное согласие субъекта на такой сценарий, либо предусмотреть исключение в федеральном законе. Отсутствие правового основания при повторном нарушении — ч. 1.1 ст. 13.11 (300 000–500 000 ₽).

Что подготовить юристу для соответствия ст. 16 ФЗ-152

  • Реестр автоматизированных процессов: перечислить все системы, принимающие решения с правовыми последствиями для субъектов.
  • Письменные согласия субъектов на автоматизированную обработку с явным описанием логики решения — либо правовое основание из федерального закона.
  • Приказ о назначении уполномоченных лиц для пересмотра решений по возражениям субъектов.
  • Регламент рассмотрения возражений: форма обращения, порядок фиксации, сроки ответа.
  • Политика конфиденциальности с разделом об автоматизированных решениях (ч. 2 ст. 18.1 ФЗ-152).

Если компания использует профилирование или скоринг и у вас нет регламента по ст. 16 ФЗ-152 — это пробел в ОРД. Аудит DATUM выявит его и закроет до прихода РКН.

Заказать аудит 152-ФЗ

Какая ответственность грозит за нарушение ст. 16 ФЗ-152?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и насчитывает 18 частей. Нарушение ст. 16 ФЗ-152 квалифицируется по ч. 1 (обработка в случаях, не предусмотренных законом или несовместимая с целями, — 150 000–300 000 ₽ для юрлица) либо по ч. 2 (обработка без письменного согласия — 300 000–700 000 ₽). Повторность по ч. 1 влечёт штраф 300 000–500 000 ₽ (ч. 1.1); по ч. 2 — 1 000 000–1 500 000 ₽ (ч. 2.1).

С 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024): незаконное использование, передача, сбор или хранение компьютерной информации, содержащей ПДн, влечёт уголовное преследование. Часть 5 предусматривает лишение свободы до 10 лет при тяжких последствиях. Под эту норму попадают в том числе незаконная передача результатов автоматизированной обработки третьим лицам.

«Ст. 13.11 ч. 2 КоАП (ред. с 30.05.2025): обработка ПДн без письменного согласия, когда такое согласие обязательно, либо с нарушением требований к его составу — штраф для юрлица 300 000–700 000 ₽. Повторное нарушение (ч. 2.1) — 1 000 000–1 500 000 ₽.»

Связанные услуги DATUM по теме

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Алгоритмическое профилирование и скоринг — разновидности использования, то есть полноценная обработка. Факт отсутствия передачи данных третьим лицам не выводит процесс за рамки закона.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 устанавливает одиннадцать оснований. Для автоматизированных решений типичны два: согласие субъекта в письменной форме (п. 1) и необходимость исполнения договора, стороной которого является субъект (п. 5). Для специальных категорий ПДн (здоровье, национальность, судимость) перечень оснований существенно уже — только исключения п. 2 ст. 10.

3. Что грозит за нарушение 152-ФЗ?

За нарушение требований ст. 16 — административный штраф по ч. 1 или ч. 2 ст. 13.11 КоАП (до 700 000 ₽ для юрлица, до 1 500 000 ₽ при повторности). При незаконном использовании компьютерной информации с ПДн возможна уголовная ответственность по ст. 272.1 УК РФ вплоть до 10 лет лишения свободы (ч. 5, тяжкие последствия). Оба вида ответственности не исключают друг друга.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 оператор обязан уведомить РКН до начала обработки ПДн. Малый бизнес не освобождён от этой обязанности. Исключения установлены ч. 2 ст. 22 (обработка ПДн работников в рамках трудовых отношений, обработка в целях исполнения договора с субъектом и ряд других). Если деятельность под исключение не подпадает — уведомление обязательно. Отсутствие записи в реестре — штраф по ч. 10 ст. 13.11 (100 000–300 000 ₽).

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает специального возрастного порога для согласия. По общим нормам ГК РФ дееспособность в полном объёме наступает с 18 лет; до этого возраста согласие даёт законный представитель. Для детей до 14 лет согласие родителя или опекуна обязательно. Операторы, работающие с несовершеннолетними (EdTech, детские сервисы), обязаны предусмотреть отдельные формы согласий для представителей.

Итог

Право на возражение против автоматизированных решений — один из наиболее технически сложных институтов ФЗ-152. Его применение требует от юриста понимания не только правовых оснований обработки, но и архитектуры самого алгоритма. Нарушение ст. 16 образует самостоятельный состав по ст. 13.11 КоАП и в ряде случаев — по ст. 272.1 УК.

DATUM сопровождает операторов, использующих автоматизированные решения: от разработки правовых оснований до подготовки регламентов возражений и защиты в арбитраже.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — согласия в SaaS и интернет-магазинах, трансграничные сервисы аналитики, политики конфиденциальности для маркетплейсов и мобильных приложений.

19 января 2027 года