справочник 19 октября 2026 По состоянию на 19 октября 2026

Право на знание, кому передавались ПДн

Субъект персональных данных вправе знать, кому и на каком основании оператор передал его данные — это прямая обязанность оператора по ст. 14 и ст. 20 ФЗ-152.

С 30.05.2025 штраф за уклонение от ответа субъекту — до 80 000 ₽ по ч. 4 ст. 13.11 КоАП; при повторном нарушении — до 500 000 ₽. Юрист, сопровождающий операторов, должен знать, какие сведения обязательны в ответе и в какие сроки их предоставлять.

→ Если вы юрист и ваш клиент получил запрос субъекта о раскрытии получателей ПДн — в статье точный перечень обязательных сведений, сроки и последствия отказа.

Право субъекта на знание о передаче его персональных данных третьим лицам закреплено в ФЗ-152, но на практике операторы либо игнорируют запросы, либо отвечают формально — без перечня получателей и оснований передачи. Оба варианта создают основание для административного протокола. Ниже — разбор понятий, оснований передачи и порядка реагирования на запрос субъекта.

Что означает «передача ПДн» по ст. 3 ФЗ-152?

Передача персональных данных — в терминологии ФЗ-152 это предоставление (целенаправленное раскрытие конкретному лицу) и распространение (неограниченному кругу лиц) ПДн. Оба действия являются формами обработки по ст. 3 ФЗ-152. Субъект вправе требовать от оператора информацию о том, кому именно его данные были предоставлены.

Оператор персональных данных — государственный или муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку ПДн. Оператор отвечает перед субъектом независимо от того, передал ли он обработку по поручению третьему лицу.

Субъект персональных данных — физическое лицо, чьи ПДн обрабатываются. Именно он наделён правом на знание о получателях данных по ст. 14 ФЗ-152.

«Ст. 14 ФЗ-152 — субъект вправе требовать от оператора уточнение, кому и на каком правовом основании переданы его ПДн, а оператор обязан ответить в течение 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта (ст. 20 ФЗ-152).»

На каких основаниях оператор вправе передавать ПДн третьим лицам?

Правовые основания обработки — условия, при наличии хотя бы одного из которых обработка (включая передачу) ПДн законна по ст. 6 ФЗ-152. Всего оснований одиннадцать. Для передачи данных третьим лицам наиболее распространены следующие.

Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152). С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156 от 24.06.2025 — его нельзя включить в договор или политику конфиденциальности. Согласие должно прямо называть получателей данных или их категории.

Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). Оператор вправе передать данные субъекта третьему лицу, если это необходимо для исполнения договора, стороной которого является субъект. Типичный пример — передача адреса доставки логистической компании.

Поручение обработки (ч. 3 ст. 6 ФЗ-152). Оператор вправе поручить обработку ПДн другому лицу на основании договора поручения. Ответственность перед субъектом в этом случае сохраняется за оператором — независимо от действий обработчика.

Исполнение законодательного требования (п. 2 ч. 1 ст. 6 ФЗ-152). Передача данных государственным органам по их законным запросам — налоговым, следственным, судебным — осуществляется без согласия субъекта.

«Ст. 6 ФЗ-152 — обработка ПДн без согласия субъекта допустима при наличии законного основания; перечень таких оснований исчерпывающий и расширительному толкованию не подлежит.»

Нужен аудит цепочки передачи ПДн в компании клиента?

Если вы юрист и видите, что оператор не фиксирует получателей ПДн в документации, — это типовая уязвимость, которую РКН выявляет при плановой проверке. Юристы DATUM проводят аудит по чек-листу из 38 пунктов и выдают отчёт с приоритизированным планом устранения нарушений. Срок ответа на запрос субъекта — 10 рабочих дней; нарушение уже после первого случая даёт основание для протокола.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие сведения оператор обязан раскрыть субъекту по его запросу?

Ст. 14 ФЗ-152 устанавливает, что субъект вправе получить от оператора подтверждение факта обработки и следующие сведения.

Цели и правовые основания обработки — какую конкретно задачу преследует оператор и на какой норме она основана.
Категории обрабатываемых ПДн — общие, специальные (ст. 10 ФЗ-152), биометрические (ст. 11 ФЗ-152).
Перечень получателей или категории получателей — наименования третьих лиц, которым переданы ПДн субъекта, либо описание категорий (например, «организации, оказывающие услуги по договору поручения»).
Сроки обработки и хранения — до какого момента данные будут обрабатываться и когда подлежат уничтожению.
Порядок осуществления прав субъекта — как подать требование об уточнении, блокировании или уничтожении ПДн.

Ответ предоставляется в форме, позволяющей зафиксировать его содержание: письменно или в электронном виде с подтверждением доставки. Уклонение от ответа — нарушение ч. 4 ст. 13.11 КоАП (штраф для юрлица 40 000–80 000 ₽ в редакции с 30.05.2025).

Что грозит оператору за нарушение права субъекта на информацию?

Административная ответственность по ст. 13.11 КоАП — основная форма ответственности оператора за нарушение прав субъектов ПДн. С 30.05.2025 действует расширенная редакция статьи (ФЗ-420 от 30.11.2024) с 18 частями.

Ч. 4 ст. 13.11 КоАП — невыполнение обязанности предоставить субъекту информацию об обработке: 40 000–80 000 ₽ для юрлица.
Ч. 5 ст. 13.11 КоАП — невыполнение требования субъекта об уточнении, блокировании или уничтожении ПДн: 50 000–90 000 ₽; при повторном нарушении (ч. 5.1) — 300 000–500 000 ₽.
Ч. 12–14 ст. 13.11 КоАП — утечка ПДн (от 1 000 субъектов и более): 3 000 000–15 000 000 ₽ в зависимости от масштаба.
Ч. 15 ст. 13.11 КоАП — оборотный штраф за повторную утечку: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽.

«Ст. 272.1 УК РФ (действует с 11.12.2024, ФЗ-421) — незаконное использование, передача, сбор или хранение компьютерной информации, содержащей ПДн; при наступлении тяжких последствий — лишение свободы до 10 лет (ч. 5 ст. 272.1 УК РФ).»

Суды с 2025 года применяют ч. 4.1.1 КоАП для замены штрафа предупреждением — но только при первичном нарушении, отсутствии ущерба и статусе микропредприятия. К оборотным составам (ч. 15, ч. 18) замена не применяется.

Если вы юрист и клиент уже получил протокол по ч. 4 или ч. 5 ст. 13.11 КоАП — срок на обжалование постановления ограничен. Юристы DATUM специализируются на оспаривании протоколов и применении ст. 4.1, 4.1.1 КоАП для снижения штрафа.

Подключить DPO-аутсорс

Типовые ситуации из практики операторов

Ситуация 1. Запрос субъекта о получателях ПДн — оператор не отвечает. Оператор получает письменный запрос от субъекта о том, кому переданы его данные. Служба поддержки перенаправляет запрос в юридический отдел, где он остаётся без ответа 20 рабочих дней. Субъект подаёт жалобу в РКН. Регулятор возбуждает дело по ч. 4 ст. 13.11 КоАП. Стратегия: регламентировать порядок обработки запросов субъектов с фиксацией входящей даты и контрольным сроком 10 рабочих дней; назначить ответственного по ст. 22.1 ФЗ-152.

Ситуация 2. Оператор передаёт данные подрядчику без договора поручения. IT-компания передаёт базу клиентов аутсорсинговому колл-центру без оформления договора поручения по ч. 3 ст. 6 ФЗ-152. Субъект запрашивает перечень получателей — оператор раскрывает колл-центр. Это создаёт двойной риск: нарушение ч. 1 ст. 13.11 (обработка в случаях, не предусмотренных законом) и потенциальная утечка через неконтролируемого подрядчика. Доказательства против оператора: отсутствие договора поручения и нарушение принципа законности по ст. 5 ФЗ-152. Стратегия: заключить договор поручения с обработчиком до передачи данных; проверить соответствие обработки целям, заявленным в политике конфиденциальности.

Ситуация 3. Согласие включало третьих лиц, но они сменились. Оператор в 2023 году собрал согласия, где указаны конкретные получатели данных. В 2025 году подрядчики изменились. Субъект запрашивает актуальный перечень — оператор называет новые компании. Субъект указывает, что в согласии их нет, и требует блокировки передачи. Исход: законная претензия. Оператор обязан либо получить новые согласия с актуальным перечнем, либо применить иное правовое основание по ст. 6 ФЗ-152. Нарушение ч. 2 ст. 13.11 — штраф 300 000–700 000 ₽.

Что подготовить юристу для аудита передачи ПДн

Реестр получателей ПДн с указанием оснований передачи (ст. 6 ФЗ-152) и категорий данных.
Договоры поручения обработки по ч. 3 ст. 6 ФЗ-152 со всеми подрядчиками.
Согласия субъектов (форма — отдельный документ с 01.09.2025 по ФЗ-156) с перечнем получателей.
Регламент обработки запросов субъектов: фиксация входящей даты, контрольный срок, ответственный.
Журнал учёта обращений субъектов за последние 12 месяцев с отметками об ответах.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка ПДн по ст. 3 ФЗ-152 — это любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (предоставление, распространение, доступ), обезличивание, блокирование, удаление, уничтожение. Передача третьим лицам является частью обработки, поэтому требует законного основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит исчерпывающий перечень из одиннадцати оснований. Наиболее распространены: согласие субъекта (с 01.09.2025 — отдельный документ по ФЗ-156), исполнение договора с субъектом, исполнение законодательного требования, поручение обработки по договору. Перечень расширительному толкованию не подлежит.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП (редакция с 30.05.2025, ФЗ-420): штрафы от 30 000 до 15 000 000 ₽ в зависимости от состава; при повторной утечке — оборотный штраф 1–3% выручки, не менее 20 000 000 ₽ (ч. 15). Уголовная ответственность по ст. 272.1 УК РФ (с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях. Гражданско-правовая ответственность — возмещение морального вреда субъектам.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если организация обрабатывает ПДн работников или клиентов. Исключения из обязанности уведомить РКН по ст. 22 ФЗ-152 ограничены: обработка данных в рамках трудовых отношений (работники), данные членов общественных объединений и ряд других. Большинство коммерческих операторов под исключения не подпадают. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

По общему правилу согласие вправе давать субъект, достигший 14 лет. До 14 лет согласие дают родители или законные представители. Для отдельных категорий обработки (профилирование в интересах детей, сбор биометрии) ФЗ-152 и специальные нормы могут устанавливать повышенный возраст или дополнительные требования к форме согласия.

Итог

Право субъекта на знание о получателях его персональных данных — не декларативная норма, а инструмент с прямыми административными последствиями для оператора. Уклонение от ответа, неполный ответ и неактуальный реестр получателей создают самостоятельные составы нарушений по ст. 13.11 КоАП. С 30.05.2025 санкции существенно выросли, а с введением ст. 272.1 УК РФ незаконная передача ПДн стала уголовно наказуемой.

Юристы DATUM сопровождают операторов при запросах субъектов, аудитируют цепочки передачи данных и формируют документацию, исключающую основания для протоколов РКН.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка цепочки передачи ПДн по 38 пунктам
Комплект ОРД под ключ — реестр получателей, договоры поручения, согласия
DPO-аутсорсинг — ответы на запросы субъектов в срок по ст. 22.1 ФЗ-152

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

19 октября 2026 года