справочник 21 сентября 2026 По состоянию на 21 сентября 2026

Право на знание источника ПДн: ст. 18 ч. 2

Право на знание источника персональных данных — это закреплённое в ч. 2 ст. 18 ФЗ-152 право субъекта получить от оператора сведения о том, откуда получены его ПДн, если они собирались не напрямую у него.

Оператор, получивший ПДн от третьего лица, обязан по запросу субъекта раскрыть источник. Отказ или уклонение образует состав по ч. 4 ст. 13.11 КоАП — штраф до 80 000 ₽; при повторности — до 500 000 ₽ по ч. 5.1.

Если вы юрист и проверяете комплаенс — убедитесь, что оператор ведёт учёт источников, закреплённых в ОРД, а не полагается на устную практику передачи данных. → Проверить ОРД

Ст. 18 ФЗ-152 регулирует обязанности оператора при получении персональных данных. Часть вторая этой статьи фиксирует информационное право субъекта: знать, от кого именно и на каком основании оператор получил его данные. На практике именно это право нарушается чаще всего при покупке баз, передаче ПДн между аффилированными компаниями и использовании брокеров данных. С 30.05.2025 санкции по ст. 13.11 КоАП существенно выросли, и любое неурегулированное звено в цепочке источников становится прямым финансовым риском.

Что такое право на знание источника ПДн?

По общему правилу ст. 18 ФЗ-152 оператор собирает персональные данные непосредственно у субъекта. Однако законодатель допускает получение ПДн из иных источников — от других операторов, из публичных реестров, от работодателей в рамках корпоративных структур и т. д.

Ч. 2 ст. 18 ФЗ-152 устанавливает: если ПДн получены не от самого субъекта, оператор обязан до начала обработки или в разумный срок после уведомить субъекта о следующем:

наименование (имя) и адрес оператора;
цель обработки и её правовое основание (ст. 6 ФЗ-152);
категории обрабатываемых ПДн;
перечень действий с ПДн и описание методов обработки;
источник получения ПДн — наименование и реквизиты передающей стороны.

«Ч. 2 ст. 18 ФЗ-152 — оператор обязан сообщить субъекту источник ПДн до начала их обработки или в течение разумного срока с момента получения; исключения — в ч. 4 ст. 18 ФЗ-152.»

Право субъекта корреспондирует обязанности оператора. Если субъект направит запрос по ст. 14 или ст. 20 ФЗ-152, оператор обязан ответить в течение 10 рабочих дней с момента обращения (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Указание источника в ответе — не факультативная часть, а обязательный элемент.

Когда обязанность раскрыть источник не возникает?

Ч. 4 ст. 18 ФЗ-152 предусматривает исключения. Уведомлять субъекта об источнике не обязательно, если:

субъект уже уведомлён оператором, передавшим данные, и соответствующее уведомление охватывало передачу конкретному получателю;
ПДн обрабатываются на основании федерального закона, допускающего их сбор без согласия субъекта и без уведомления;
ПДн получены при проведении оперативно-розыскных, следственных или иных правоохранительных мероприятий;
предоставление сведений субъекту невозможно — в частности, нарушает права и законные интересы третьих лиц;
ПДн обрабатываются в целях статистики или научных исследований при условии обязательного обезличивания.

Ни одно из исключений не освобождает оператора от документального подтверждения основания. Если основание не зафиксировано в ОРД, РКН расценит отсутствие уведомления как нарушение, а не как применение исключения.

Если вы юрист и в ОРД компании нет раздела об источниках ПДн — это готовое основание для протокола по ч. 4 ст. 13.11 КоАП. Штраф до 80 000 ₽ при первичном нарушении, до 500 000 ₽ при повторном. Юристы DATUM подключат DPO-аутсорсинг и закроют пробел в документации в течение 10 рабочих дней.

Подключить DPO-аутсорс

Как фиксировать источник ПДн в документах оператора?

Требование о раскрытии источника исполнимо только при наличии внутреннего учёта. На практике операторы допускают три типовые ошибки: не указывают источник в реестре обрабатываемых ПДн, не фиксируют его в договоре поручения обработки (ст. 6 ч. 3 ФЗ-152) и не отражают в политике обработки персональных данных (ст. 18.1 ФЗ-152).

Что подготовить для фиксации источников ПДн

Реестр операций с ПДн: для каждой категории ПДн — указать источник (субъект / иной оператор / публичный реестр / иное), реквизиты передающей стороны, правовое основание передачи.
Договор или соглашение с передающим оператором: закрепить, что передающая сторона уведомила субъекта о предстоящей передаче или что применяется исключение из ч. 4 ст. 18 ФЗ-152.
Политика обработки ПДн: раздел «Источники получения ПДн» — со ссылкой на ч. 2 ст. 18 ФЗ-152 и описанием категорий источников.
Журнал учёта запросов субъектов: строка с датой запроса, датой ответа, содержанием раскрытой информации об источнике.
Шаблон ответа субъекту по ст. 20 ФЗ-152: с блоком об источнике ПДн в обязательных реквизитах.

Какие нарушения выявляет РКН и что грозит оператору?

При плановых и внеплановых проверках РКН проверяет, может ли оператор фактически ответить на вопрос «откуда данные». Неспособность дать ответ квалифицируется по ч. 4 ст. 13.11 КоАП как невыполнение обязанности по предоставлению субъекту информации об обработке его ПДн.

Три наиболее распространённых сценария нарушения:

Сценарий 1. Покупка базы данных без документов о передаче. Оператор купил базу с контактами потенциальных клиентов у брокера данных. Договор купли-продажи не содержит сведений об источнике и правовом основании сбора ПДн. При запросе субъекта оператор не может назвать источник. РКН выносит протокол по ч. 4 ст. 13.11 КоАП — штраф до 80 000 ₽. Если в течение года повторяется аналогичное нарушение — ч. 5.1, штраф 300 000–500 000 ₽. Стратегия: требовать от продавца базы данных документальное подтверждение источника при заключении договора; при отсутствии — отказаться от использования базы.

Сценарий 2. Передача ПДн внутри группы компаний без уведомления субъекта. Материнская компания передала дочерней базу сотрудников для целей общей HR-системы. Дочерняя компания не уведомила работников об источнике. При проверке трудовой инспекцией вопрос перешёл к РКН. Квалификация — ч. 4 ст. 13.11 плюс возможная ч. 1 ст. 13.11 (обработка без надлежащего основания). Стратегия: оформить поручение обработки по ч. 3 ст. 6 ФЗ-152 между компаниями группы; прописать источник в уведомлении субъектам.

Сценарий 3. Публичный источник — ЕГРЮЛ, соцсети. Оператор собирал ПДн физических лиц из открытых источников, ссылаясь на п. 10 ч. 1 ст. 6 ФЗ-152 (общедоступные ПДн). Однако субъекты не давали согласие на распространение ПДн в смысле ст. 10.1 ФЗ-152 и не включали их в общедоступные источники. При запросе о источнике оператор назвал «открытый интернет» — без конкретики. РКН расценил это как нарушение ч. 2 ст. 18. Стратегия: для каждого источника фиксировать URL, дату, скриншот; хранить доказательства общедоступности на момент сбора.

Оператор не может назвать источник ПДн — что делать?

Если при внутреннем аудите выяснилось, что источник части ПДн неизвестен — это прямой риск по ч. 4 ст. 13.11 КоАП. Срок ответа субъекту по ст. 20 ФЗ-152 — 10 рабочих дней, он не восстанавливается. Юристы DATUM проведут аудит реестра операций с ПДн и выявят пробелы в документировании источников.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — это любое действие или их совокупность: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Таким образом, даже единоразовое хранение файла с именем и телефоном является обработкой. Наличие базы данных — самый распространённый повод для проверки РКН.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит 11 правовых оснований. Основные: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), выполнение требований законодательства (п. 2), защита жизни и здоровья (п. 6), осуществление прав и законных интересов оператора или третьих лиц при условии, что интересы субъекта не преобладают (п. 7). Обработка без правового основания — состав по ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000–300 000 ₽.

3. Что грозит за нарушение 152-ФЗ?

Санкции многоуровневые. Административная ответственность — ст. 13.11 КоАП в редакции с 30.05.2025: 18 частей, штрафы от 30 000 ₽ (ч. 3, отсутствие политики) до оборотного штрафа по ч. 15 — 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽ (применяется при повторной крупной утечке). Уголовная ответственность — ст. 272.1 УК РФ (введена с 11.12.2024): незаконные сбор, хранение, передача ПДн с использованием информационных систем, до 10 лет лишения свободы (ч. 5 — тяжкие последствия).

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 уведомить РКН обязан любой оператор до начала обработки ПДн. Исключения перечислены в ч. 2 ст. 22: в частности, если ПДн обрабатываются только в рамках трудовых отношений и не распространяются третьим лицам, или если обрабатываются данные членов общественного объединения исключительно для его нужд. Малый бизнес под эти исключения часто не подпадает, особенно при наличии клиентских баз. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает возрастной порог напрямую. По общим нормам ГК РФ дееспособность в полном объёме — с 18 лет; согласие лиц от 14 до 18 лет формально возможно при наличии дееспособности в части, достаточной для совершения сделки. На практике операторы, работающие с несовершеннолетними до 14 лет, берут согласие родителей или опекунов. При обработке ПДн детей в образовательной сфере РКН придерживается позиции: согласие — от законного представителя до достижения 14 лет.

Итог

Право на знание источника ПДн — не декларативная норма, а операционное требование: оператор обязан вести учёт источников в ОРД и быть готов раскрыть их по запросу субъекта в течение 10 рабочих дней. Отсутствие такого учёта создаёт риск по ч. 4 ст. 13.11 КоАП при любой плановой или внеплановой проверке РКН, а также при жалобе субъекта. Единственный надёжный способ управления риском — документирование источников в момент получения ПДн, а не ретроспективно.

DATUM сопровождает операторов на этапе выстраивания учёта источников ПДн, разработки шаблонов ответов субъектам и формирования полного пакета ОРД в соответствии с текущими требованиями ФЗ-152 и практикой РКН 2025–2026 годов.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка реестра операций, источников ПДн, полноты ОРД
Комплект ОРД под ключ — политика, реестр операций, шаблоны ответов субъектам
DPO-аутсорсинг — ведение обязанности ответственного по ст. 22.1 на абонентской основе

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

21 сентября 2026 года