Перейти к содержанию
аналитика 28 февраля 2027 По состоянию на 28 февраля 2027

Принцип конфиденциальности (ст. 7)

Статья 7 ФЗ-152 обязывает операторов и лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять без согласия субъекта или иного законного основания.
Нарушение этого принципа — основание для штрафа до 15 млн ₽ по ч. 13–14 ст. 13.11 КоАП, а при повторности — оборотного взыскания в размере 1–3% годовой выручки (не менее 20 млн ₽). Ст. 272.1 УК РФ, действующая с 11.12.2024, добавляет уголовную ответственность сотрудников.
→ Если вы юрист и проверяете комплаенс компании: ниже — полная структура принципа, правовые основания, типовые нарушения и сценарии ответственности 2025–2026 годов.

Принцип конфиденциальности — один из семи принципов обработки персональных данных, закреплённых в ФЗ-152. В отличие от ст. 5 (принципы обработки) и ст. 6 (правовые основания), ст. 7 адресована не только оператору, но и любому лицу, которое получило доступ к ПДн в рамках исполнения трудовых или договорных обязательств. По данным InfoWatch, в 2025 году зафиксировано 118 компрометаций баз данных; большинство инцидентов — следствие именно нарушения конфиденциальности на уровне персонала или подрядчиков.

Что устанавливает ст. 7 ФЗ-152 и в чём её отличие от ст. 5?

Статья 5 ФЗ-152 формулирует общие принципы обработки персональных данных: законность целей, соответствие объёма данных задаче, хранение не дольше необходимого. Статья 7 выделена отдельно: она фиксирует обязанность конфиденциальности как самостоятельное требование, распространяющееся на широкий круг лиц. Оператор обязан не допускать распространения ПДн без согласия субъекта или иного законного основания. Лицо, получившее доступ к ПДн при выполнении работ по договору, обязано соблюдать конфиденциальность в том же объёме, что и оператор.

Ключевое практическое следствие: ответственность за нарушение конфиденциальности распространяется не только на компанию-оператора, но и на её подрядчиков, аутсорсеров, сотрудников. Если данные утекли через субподрядчика, арбитражная практика возлагает ответственность на оператора (принцип ответственности оператора за действия обработчика).

«Ст. 7 ФЗ-152 — операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта, если иное не предусмотрено федеральным законом.»

Понятие «субъект персональных данных» закреплено в ст. 3 ФЗ-152: это физическое лицо, которое прямо или косвенно определяется через обрабатываемые данные. Обработка ПДн — любое действие с ними: сбор, запись, систематизация, хранение, передача, удаление. Оба определения принципиальны для квалификации нарушения ст. 7: нарушение засчитывается только если речь идёт о данных физического лица и если совершено действие из перечня ст. 3.

Проверяете комплаенс компании по принципам ФЗ-152?

Статья 7 входит в блок из семи принципов, которые РКН проверяет в ходе плановых и внеплановых мероприятий. Нарушение любого из них — самостоятельное основание для протокола по ст. 13.11 КоАП. Если у вас ещё нет актуального пакета ОРД и аудита обработки ПДн — сейчас подходящий момент: с 30.05.2025 штрафы по ст. 13.11 существенно выросли.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

На каких основаниях можно раскрыть ПДн третьему лицу?

Принцип конфиденциальности не абсолютен. Статья 7 допускает раскрытие ПДн в двух случаях: при наличии согласия субъекта либо при прямом указании федерального закона. На практике юристы работают с несколькими типовыми основаниями.

Согласие субъекта по ст. 9 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом: не включается в трудовой договор, оферту или политику конфиденциальности. Обязательные реквизиты: ФИО и контактные данные субъекта, наименование оператора, цель обработки, перечень данных, перечень действий, срок, способ отзыва. Отсутствие хотя бы одного реквизита делает согласие дефектным; это основание для штрафа по ч. 2 ст. 13.11 (до 700 тыс. ₽ для юрлица).

Правовые основания ст. 6 ФЗ-152 (без согласия). Раскрытие допустимо, если оно необходимо для исполнения договора с субъектом, для выполнения оператором обязанности по закону, в рамках судебного или административного производства, для жизненно важных интересов субъекта. Каждое из этих оснований должно быть задокументировано: в политике обработки ПДн, в договоре или в локальном акте.

Поручение обработки (п. 3 ст. 6 ФЗ-152). Передача данных подрядчику — аутсорсеру зарплат, колл-центру, облачному провайдеру — законна только при наличии письменного договора-поручения с перечнем действий, которые вправе выполнять обработчик, и обязанностью соблюдать конфиденциальность. Отсутствие договора поручения — нарушение ст. 7 и одновременно ч. 1 ст. 13.11.

«Ст. 6 ФЗ-152 — обработка ПДн допускается при наличии хотя бы одного из одиннадцати оснований: согласие субъекта, исполнение договора, исполнение обязанности оператора по закону, судопроизводство и другие. Передача обработки третьему лицу — только по договору-поручению (п. 3 ст. 6).»

Что грозит за нарушение принципа конфиденциальности в 2025–2026 годах?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: статья расширена с 7 до 18 частей. Ответственность за нарушение конфиденциальности охватывает несколько составов в зависимости от природы нарушения.

Несанкционированная передача ПДн третьим лицам без основания. Квалифицируется по ч. 1 ст. 13.11 — обработка в случаях, не предусмотренных законом, или несовместимая с целями. Штраф для юрлица: 150–300 тыс. ₽; при повторности (ч. 1.1) — 300–500 тыс. ₽.

Распространение ПДн без согласия субъекта или с дефектным согласием. Если согласие требовалось, но не было получено или оформлено с нарушениями состава, — ч. 2 ст. 13.11, штраф 300–700 тыс. ₽; повторно (ч. 2.1) — 1–1,5 млн ₽.

Утечка ПДн. Если нарушение конфиденциальности привело к неправомерному доступу и утечке данных, применяются ч. 12–14 ст. 13.11: от 1 000 субъектов — 3–5 млн ₽, от 10 000 — 5–10 млн ₽, свыше 100 000 — 10–15 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

Уголовная ответственность. С 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421): незаконное использование, передача, сбор или хранение компьютерной информации, содержащей ПДн. По ч. 5 (тяжкие последствия) — лишение свободы до 10 лет. Норма адресована прежде всего сотрудникам, имеющим легальный доступ к базам, но использующим его вне должностных полномочий.

«Ст. 13.11 ч. 15 КоАП (ред. с 30.05.2025) — оборотный штраф за повторную утечку: 1–3% совокупной годовой выручки за предшествующий год, не менее 20 млн ₽, не более 500 млн ₽. Скидка 50% за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.»

Если вы юрист и обнаружили, что договоры с подрядчиками не содержат условий о конфиденциальности ПДн — это риск по ч. 1 ст. 13.11 уже сегодня. Срок на устранение до проверки РКН может оказаться короче, чем кажется.

Заказать аудит 152-ФЗ

Типовые нарушения ст. 7: сценарии и стратегии защиты

Сценарий 1. Передача ПДн работников в зарплатный банк без договора-поручения. Ситуация: HR передаёт ФИО, номер счёта и данные паспорта сотрудников в банк для обслуживания зарплатного проекта. Договор с банком не включает условий о поручении обработки по п. 3 ст. 6 ФЗ-152. Доказательства нарушения: отсутствие раздела об обработке ПДн в банковском договоре, отсутствие в политике обработки ПДн упоминания банка как обработчика. Вероятный исход: штраф по ч. 1 ст. 13.11 (150–300 тыс. ₽) плюс предписание. Стратегия: дополнить договор разделом о поручении, указать банк в политике и в уведомлении РКН как получателя ПДн.

Сценарий 2. Утечка через подрядчика по договору без соглашения о конфиденциальности. Ситуация: IT-подрядчик получил доступ к CRM для технической поддержки. В договоре нет ни условия о конфиденциальности ПДн, ни ограничения перечня допустимых действий. Данные клиентов появились в открытом доступе. Доказательства нарушения: отсутствие договора-поручения, нет инструктажа сотрудников подрядчика. Вероятный исход: ответственность оператора по ч. 12–13 ст. 13.11 (3–10 млн ₽ в зависимости от числа субъектов); уголовное дело против сотрудника подрядчика по ст. 272.1 УК. Стратегия: немедленно уведомить РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152), через 72 часа — представить отчёт по Приказу РКН №187; параллельно собрать доказательства принятых мер защиты для смягчения ответственности.

Сценарий 3. Распространение ПДн клиентов в маркетинговых целях без согласия на распространение. Ситуация: компания передала базу клиентских email-адресов партнёру для совместной рассылки, опираясь на общее согласие из формы регистрации. Согласие не содержало указания на передачу третьим лицам. Доказательства нарушения: текст согласия без перечня получателей, жалоба субъекта в РКН. Вероятный исход: штраф по ч. 2 ст. 13.11 (300–700 тыс. ₽), предписание об уничтожении незаконно переданных данных. Стратегия: получить отдельное согласие на распространение по ст. 10.1 ФЗ-152; переработать форму регистрации до 01.09.2025 в соответствии с ФЗ-156.

Что подготовить для соответствия ст. 7 ФЗ-152

  • Реестр обработчиков ПДн с перечнем договоров-поручений по п. 3 ст. 6 ФЗ-152 — для каждого подрядчика с доступом к данным.
  • Актуальные согласия субъектов по ст. 9 ФЗ-152 в редакции с 01.09.2025: отдельный документ с обязательными реквизитами, включая перечень получателей.
  • Политика обработки персональных данных с разделом о конфиденциальности и перечнем обработчиков (ч. 2 ст. 18.1 ФЗ-152).
  • Инструктаж и подписки о неразглашении ПДн для сотрудников, имеющих доступ к персональным данным.
  • Регламент реагирования на инцидент: порядок уведомления РКН за 24/72 часа по Приказу РКН №187.

Как это применяется на практике

Кейс 1. В деле компании из Сибирского федерального округа (осень 2025) юрист при аудите обнаружил, что три договора с IT-подрядчиками не содержали условий о конфиденциальности ПДн и не оформлялись как поручение обработки. Документы были дополнены до плановой проверки РКН. В ходе проверки инспектор запросил реестр обработчиков: оператор представил полный пакет и подписки сотрудников. Протокол не составлялся.

Кейс 2. По данным публичной практики 2026 года, арбитражный суд региона рассматривал дело, где утечка базы клиентов произошла через маркетингового подрядчика. Оператор уведомил РКН в течение 24 часов, через 72 часа представил отчёт о расследовании. При рассмотрении дела суд учёл оперативность уведомления и наличие договора-поручения (пусть и без ряда обязательных условий) как смягчающие обстоятельства. Штраф был назначен в нижней части диапазона ч. 12 ст. 13.11. Номер дела и точная сумма уточняются менеджером при публикации.

Услуги DATUM по теме

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Перечень исчерпывающим не является в части технических реализаций, но охватывает все основные операции. Даже просмотр базы данных без сохранения результата может квалифицироваться как извлечение.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 содержит одиннадцать правовых оснований. Чаще всего применяются: согласие субъекта (п. 1), необходимость исполнения договора, стороной которого является субъект (п. 5), исполнение оператором обязанности по федеральному закону (п. 2). Для каждой операции должно быть идентифицировано своё основание: нельзя обрабатывать данные сотрудников «по умолчанию» без ссылки на конкретную норму ТК РФ или отдельное согласие.

3. Что грозит за нарушение 152-ФЗ?

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей. Минимальный штраф для юрлица — 30 тыс. ₽ (ч. 3, отсутствие политики), максимальный базовый — 15 млн ₽ (ч. 14, утечка более 100 000 субъектов). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. С 11.12.2024 за незаконные действия с ПДн возможна уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы по тяжким составам.

4. Нужно ли уведомлять РКН малому бизнесу?

По ст. 22 ФЗ-152 обязанность уведомить Роскомнадзор о намерении обрабатывать ПДн распространяется на всех операторов вне зависимости от размера компании. Исключения перечислены в ч. 2 ст. 22: данные только работников оператора, данные, полученные в рамках договора с субъектом без передачи третьим лицам, и ряд других. Если ни одно исключение не применимо — уведомление обязательно. Неуведомление с 30.05.2025 грозит штрафом 100–300 тыс. ₽ по ч. 10 ст. 13.11.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает отдельного возрастного порога для самостоятельного согласия на обработку ПДн. Применяется общегражданская дееспособность: с 18 лет — полная, до 14 лет согласие даёт законный представитель. В период с 14 до 18 лет возможно самостоятельное согласие в части действий, на которые подросток вправе действовать самостоятельно по ГК РФ. Для EdTech и медицинских операторов — обработка ПДн несовершеннолетних требует отдельного согласия родителей независимо от возраста ребёнка.

Итог

Принцип конфиденциальности по ст. 7 ФЗ-152 — это не только запрет разглашения, но и система договорных, организационных и технических требований: договоры-поручения с каждым подрядчиком, согласия с перечнем получателей, инструктаж персонала, регламент реагирования. Нарушение любого звена цепочки создаёт самостоятельный состав по ст. 13.11 КоАП или ст. 272.1 УК.

Практика DATUM по сопровождению операторов в части ст. 7 ФЗ-152 включает аудит реестра обработчиков, проверку согласий по требованиям ФЗ-156 (с 01.09.2025) и формирование полного пакета ОРД — от политики до подписок о неразглашении.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

28 февраля 2027 года