Принцип добросовестности обработки: как РКН проверяет
С 30.05.2025 штрафы по ст. 13.11 КоАП применяются в редакции ФЗ-420 — 18 частей вместо семи. Добросовестность как принцип осталась в ст. 5 ФЗ-152, однако инструментарий проверки существенно расширился: РКН опирается на индикаторы риска, внеплановые проверки по жалобам субъектов и данные мониторинга открытых ресурсов. Статья разбирает содержание принципа, типичные нарушения и что ставит под вопрос добросовестность при проверке.
Что означает принцип добросовестности в ст. 5 ФЗ-152 и как его трактует РКН?
Статья 5 ФЗ-152 формулирует семь принципов обработки персональных данных. Добросовестность — первый из них: обработка должна осуществляться на законной и справедливой основе. На практике РКН расшифровывает этот принцип через три взаимосвязанных требования.
Первое — наличие правового основания. Статья 6 ФЗ-152 содержит закрытый перечень из одиннадцати оснований обработки, включая согласие субъекта (п. 1), исполнение договора (п. 5) и исполнение законодательного требования (п. 2). Обработка без основания из этого перечня квалифицируется как нарушение ст. 5 и ст. 6 одновременно.
Второе — соответствие целей реальной практике. Оператор обязан заявить конкретные цели обработки при уведомлении РКН (ст. 22 ФЗ-152) и в политике конфиденциальности (ст. 18.1 ФЗ-152). Если фактическая обработка выходит за рамки заявленных целей — это нарушение принципа целеограниченности из той же ст. 5, которое РКН квалифицирует в связке с нарушением добросовестности.
Третье — прозрачность для субъекта. Субъект должен понимать, кто, зачем и на каком основании обрабатывает его данные. Статья 14 ФЗ-152 закрепляет право на получение этой информации, а ст. 20 ФЗ-152 обязывает оператора предоставить её в течение десяти рабочих дней с момента обращения. Систематические отказы или уклонение от ответов — индикатор недобросовестности в ходе проверки.
На практике РКН проверяет добросовестность через сопоставление уведомления в реестре операторов, политики конфиденциальности, заключённых договоров-поручений (ст. 6 п. 3 ФЗ-152) и фактического набора данных в системах оператора. Расхождения между задекларированным и реальным — ключевой триггер для протокола.
Проверяете комплаенс и нужна отправная точка?
Принцип добросовестности — это первый вопрос в чек-листе проверки РКН. Аудит соответствия 152-ФЗ покажет, где реальная обработка расходится с задекларированной, и даст приоритизированный план устранения. Стоимость нарушения по ч. 1 ст. 13.11 — от 150 000 ₽; стоимость аудита — от 100 000 ₽.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Как РКН проводит проверку: что запрашивают у оператора?
Плановые проверки РКН проходят по утверждённому перечню индикаторов риска, внеплановые — по жалобам субъектов или при выявлении нарушений в открытых источниках (сайт, реестр, утечка в даркнете). Для юриста важно понимать, какие документы запрашиваются в первую очередь.
Обязательный комплект при проверке принципа добросовестности:
Что подготовить к проверке РКН
- Выписка из реестра операторов ПДн (pd.rkn.gov.ru) — актуальность сведений о целях, категориях ПДн и правовых основаниях
- Политика обработки персональных данных по ст. 18.1 ФЗ-152 — опубликована, содержит все обязательные разделы, совпадает с реальной практикой
- Договоры-поручения с обработчиками по п. 3 ст. 6 ФЗ-152 — для каждого контрагента, которому передаются ПДн
- Формы согласий субъектов по ст. 9 ФЗ-152 — с 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025), не встроенным в договор или оферту
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 — с подтверждением квалификационных требований
Инспектор сопоставляет данные реестра с политикой и договорной документацией. Типичная ситуация: в реестре заявлено «обработка в целях исполнения трудовых обязательств», а фактически оператор передаёт данные сотрудников аутсорсеру по зарплатному проекту без отдельного договора-поручения. Это нарушение ст. 6 п. 3 ФЗ-152 и одновременно — признак недобросовестной обработки по ст. 5.
С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025). До этой даты — арбитражные суды. Смена подсудности влияет на сроки обжалования и тактику защиты.
Какие нарушения принципа добросовестности влекут штраф по ст. 13.11 КоАП?
Ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 разграничивает составы. Нарушения, связанные с принципом добросовестности, могут попасть под несколько частей одновременно.
Часть 1 ст. 13.11 КоАП — обработка ПДн в случаях, не предусмотренных законом, или в целях, несовместимых с заявленными. Штраф для юридического лица — 150 000–300 000 ₽. Повторность по ч. 1.1 — 300 000–500 000 ₽.
Часть 2 ст. 13.11 КоАП — обработка ПДн без письменного согласия, когда оно обязательно, или с нарушением требований к составу согласия по ст. 9 ФЗ-152. Штраф — 300 000–700 000 ₽. Здесь же оказываются случаи, когда согласие встроено в трудовой договор или оферту после 01.09.2025, — нарушение требования ФЗ-156 об отдельном документе.
Часть 3 ст. 13.11 КоАП — отсутствие опубликованной политики обработки ПДн по ст. 18.1 ФЗ-152. Штраф — 30 000–60 000 ₽. Низкая сумма не означает низкий риск: наличие этого нарушения автоматически подтверждает недобросовестность при проверке по другим составам.
Если нарушение добросовестности сопровождается утечкой спецкатегорий ПДн (данные о здоровье, вероисповедании, судимости по ст. 10 ФЗ-152), штрафной диапазон по ч. 12–14 ст. 13.11 КоАП составляет 3–15 млн ₽ в зависимости от числа затронутых субъектов. При повторности — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.
Если в компании уже получен запрос РКН или начата внеплановая проверка — срок ответа фиксирован. Юристы DATUM подготовят документы и представят интересы оператора на проверке. Услуга сопровождения — от 150 000 ₽.
Подготовиться к проверке РКНМатрица сценариев: как нарушение добросовестности выглядит на практике
Сценарий 1. Цели в реестре не совпадают с реальной обработкой. Оператор при уведомлении заявил единственную цель — «исполнение трудового договора». Фактически передаёт данные сотрудников рекрутинговой платформе для аналитики текучести кадров. Основание: ч. 1 ст. 13.11 КоАП — обработка в целях, несовместимых с заявленными. РКН вправе вынести предписание об уточнении уведомления и возбудить административное дело. Стратегия: до проверки привести уведомление в соответствие, заключить договор-поручение по п. 3 ст. 6 ФЗ-152 и получить согласие субъектов на новую цель.
Сценарий 2. Согласие встроено в договор оферты после 01.09.2025. Интернет-магазин использует текст согласия на обработку ПДн как часть пользовательского соглашения — до 01.09.2025 это было распространённой практикой. С принятием ФЗ-156 от 24.06.2025 согласие должно оформляться отдельным документом. Жалоба субъекта в РКН инициирует внеплановую проверку. Основание: ч. 2 ст. 13.11 КоАП — нарушение требований к составу согласия. Штраф — 300 000–700 000 ₽. Стратегия: аудит всех форм сбора ПДн, разработка отдельной формы согласия с обязательными реквизитами ст. 9 ФЗ-152.
Сценарий 3. Оператор не уведомил РКН, считая себя исключением по ст. 22 ФЗ-152. Компания обрабатывает ПДн клиентов CRM-системой, полагая, что входит в перечень исключений. При проверке выясняется, что исключение не применимо — обработка выходит за рамки указанных в ч. 2 ст. 22 случаев. Основание: ч. 10 ст. 13.11 КоАП — неуведомление о намерении обрабатывать ПДн, штраф 100 000–300 000 ₽. В совокупности с отсутствием политики по ст. 18.1 добавляется ч. 3 — ещё 30 000–60 000 ₽. Стратегия: подать уведомление через pd.rkn.gov.ru, разработать политику и ОРД до момента получения предписания.
Как выглядит добросовестная обработка по итогам судебной практики 2025–2026?
Кейс 1. В деле арбитражного суда по крупной утечке (Центральный ФО, начало 2026) оператор утверждал, что передача данных третьей стороне велась на основании договора-поручения. Суд установил, что договор не содержал перечня поручаемых действий и был подписан позже даты фактической передачи. Основание для штрафа по ч. 1 ст. 13.11 — обработка без надлежащего правового основания. Штраф находился в диапазоне сотен тысяч рублей. Вывод: дата и содержание договора-поручения проверяются в первую очередь.
Кейс 2. В деле о нарушении требований к согласию (Северо-Западный ФО, осень 2025) юридическая служба оператора своевременно провела аудит форм согласия и разработала отдельные документы по требованиям ФЗ-156. При внеплановой проверке РКН по жалобе бывшего сотрудника инспектор не нашёл оснований для протокола: все согласия после 01.09.2025 соответствовали новым требованиям ст. 9 ФЗ-152, уведомление в реестре было актуализировано. Это подтверждает, что превентивный аудит снимает риск ч. 2 ст. 13.11 до возникновения дела.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка принципов ст. 5, оснований ст. 6, ОРД и уведомления РКН
- Комплект ОРД под ключ — политика, согласия, договоры-поручения, приказы по ст. 22.1
- DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
По ст. 3 ФЗ-152 обработка — это любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Перечень открытый. Просмотр базы данных сотрудником, формирование отчёта, передача данных на почтовый сервис — всё это обработка и всё требует правового основания по ст. 6 ФЗ-152.
2. На основании чего можно обрабатывать ПДн?
Статья 6 ФЗ-152 содержит закрытый перечень из одиннадцати правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), необходимость для исполнения договора с субъектом (п. 5), исполнение обязанности оператора по российскому закону (п. 2), осуществление правосудия (п. 3), защита жизни и здоровья (п. 6). Выбор основания фиксируется в уведомлении РКН и политике обработки — расхождение с реальной практикой квалифицируется как нарушение принципа добросовестности по ст. 5.
3. Что грозит за нарушение 152-ФЗ?
Административная ответственность по ст. 13.11 КоАП в редакции с 30.05.2025 — от 30 000 ₽ (ч. 3, отсутствие политики) до оборотного штрафа по ч. 15 (1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽) при повторной утечке. С 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421): незаконное использование или передача компьютерной информации с ПДн — до 10 лет лишения свободы по ч. 5. Уголовная ответственность по ст. 272.1 применяется к физическим лицам, включая сотрудников оператора.
4. Нужно ли уведомлять РКН малому бизнесу?
Да, если обработка не подпадает под исключения ч. 2 ст. 22 ФЗ-152. Исключения касаются строго ограниченного перечня: ПДн сотрудников оператора, обрабатываемые исключительно для исполнения трудовых обязательств; данные, полученные для разового договора без последующего хранения, и ряд других. На практике большинство малых компаний с CRM-системами или базами клиентов обязаны уведомить РКН. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.
5. С какого возраста нужно согласие на ПДн?
По общему правилу ФЗ-152 субъект ПДн вправе давать согласие с 18 лет. Согласие несовершеннолетних от 14 до 18 лет допускается при подтверждении законного представителя. Для детей до 14 лет согласие дают только родители или опекуны. В образовательных и медицинских организациях порядок уточнён отраслевыми нормами. Если оператор собирает данные несовершеннолетних без надлежащего согласия законного представителя, это нарушение ст. 9 ФЗ-152 и основание для протокола по ч. 2 ст. 13.11.
Итог
Принцип добросовестности по ст. 5 ФЗ-152 — не декларативная норма: РКН проверяет его через соответствие правовых оснований по ст. 6, актуальность уведомления и полноту ОРД. Расхождение между задекларированными и фактическими целями обработки — главный триггер для протокола по ч. 1 ст. 13.11 КоАП.
Практика DATUM по сопровождению проверок РКН и аудитам соответствия 152-ФЗ показывает: большинство нарушений принципа добросовестности устраняются до проверки — при своевременной актуализации уведомления, политики и форм согласий.