аналитика 1 сентября 2026 По состоянию на 1 сентября 2026

Принцип уведомления субъекта (ст. 18)

Статья 18 ФЗ-152 обязывает оператора при сборе персональных данных уведомить субъекта о целях, правовых основаниях, объёме обработки и правах — до начала или в момент сбора.

Нарушение этой обязанности квалифицируется по ч. 4 ст. 13.11 КоАП: штраф для юрлица — 40 000 — 80 000 ₽. Повторное нарушение совместно с иными составами грозит оборотным штрафом по ч. 15 — от 20 млн ₽.

Если вы юрист и проверяете комплаенс компании — проверьте, выполняется ли ст. 18 ФЗ-152 в каждой точке сбора ПДн. →

Юрист, проверяющий соответствие компании требованиям 152-ФЗ, сталкивается с типичным пробелом: уведомление субъекта по ст. 18 либо отсутствует полностью, либо «зашито» в договор или политику конфиденциальности без выполнения обязательных реквизитов. С 30.05.2025 ответственность за это существенно возросла: ст. 13.11 КоАП расширена до 18 частей (ФЗ-420 от 30.11.2024). В статье разобраны состав обязанности по ст. 18, её связь с принципами ст. 5, условиями ст. 6 и согласием ст. 9, типовые нарушения и стратегия защиты в арбитраже.

Что содержит обязанность оператора по ст. 18 ФЗ-152?

Статья 18 ФЗ-152 закрепляет обязанность оператора обеспечить субъекту доступ к информации об обработке его персональных данных. Речь идёт не просто о размещении политики конфиденциальности на сайте — это самостоятельный принцип, который реализуется в конкретный момент сбора данных.

Оператор обязан до начала обработки или в момент сбора сообщить субъекту: кто является оператором и каков его адрес, на каких правовых основаниях и с какими целями осуществляется обработка, какие права субъекта существуют, какие категории ПДн обрабатываются и в каких случаях передаются третьим лицам. Дополнительно — наименование и адрес лица, обрабатывающего ПДн по поручению, если такое лицо задействовано.

«Ст. 18 ФЗ-152 — обязанность оператора предоставить субъекту сведения, предусмотренные ч. 1, до начала обработки или при сборе персональных данных непосредственно у субъекта.»

Ключевой момент для юридической оценки: обязанность по ст. 18 существует независимо от того, на каком основании обрабатываются данные. Согласие по ст. 9 ФЗ-152 и уведомление по ст. 18 — разные правовые конструкции. Согласие даёт основание для обработки, уведомление обеспечивает прозрачность для субъекта. Оба элемента должны присутствовать одновременно, если обработка ведётся на основании ст. 6 п. 1 (согласие). Если основание иное — ст. 6 п. 5 (договор), ст. 6 п. 2 (исполнение обязанности) — уведомление по ст. 18 всё равно обязательно.

Принципы обработки по ст. 5 ФЗ-152 образуют содержательный фундамент ст. 18: законность и добросовестность (п. 1), конкретность целей (п. 2), соответствие объёма целям (п. 4). Если оператор не уведомил субъекта о целях и объёме — нарушены одновременно ст. 5 и ст. 18.

Проверяете соответствие компании требованиям 152-ФЗ?

Обязанность по ст. 18 нарушается в большинстве компаний: уведомление либо отсутствует в точке сбора, либо не содержит обязательных реквизитов. Это фиксируется РКН при плановой и внеплановой проверке. Аудит позволяет выявить пробел до протокола — когда исправить его дешевле и быстрее.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как ст. 18 связана с принципами ст. 5 и основаниями ст. 6 ФЗ-152?

Понимание взаимосвязи норм принципиально для юридической защиты: РКН при проверке квалифицирует нарушение ст. 18 не изолированно, а в системе с ст. 5 и ст. 6. Это влияет на количество составов и итоговый размер санкций.

Статья 3 ФЗ-152 определяет «обработку ПДн» широко: любое действие или совокупность действий с данными — сбор, запись, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Это означает, что обязанность по ст. 18 возникает уже при первом касании — при сборе, до любой последующей обработки.

Статья 6 ФЗ-152 содержит 11 оснований для обработки. Наиболее распространённые в практике: согласие субъекта (п. 1), исполнение договора с участием субъекта (п. 5), исполнение оператором возложенных обязанностей (п. 2). При любом из оснований субъект вправе получить информацию в объёме ст. 18 — независимо от основания.

«Ст. 5 ФЗ-152 — принципы обработки ПДн: законность, конкретность целей, недопустимость объединения баз с несовместимыми целями, соответствие объёма целям, достоверность, хранение не дольше необходимого.»

Практически важный вывод: при проверке РКН протокол по ч. 4 ст. 13.11 (непредоставление субъекту информации об обработке) составляется отдельно от протокола по ч. 1 (обработка в случаях, не предусмотренных законодательством) или ч. 2 (обработка без надлежащего согласия). Одно нарушение порождает несколько составов — и несколько штрафов.

Субъект ПДн по ст. 3 ФЗ-152 — гражданин, персональные данные которого обрабатываются. Категории данных определяют уровень защиты: общие (ст. 6), специальные (ст. 10 — здоровье, политические взгляды и др.), биометрические (ст. 11). Для специальных и биометрических категорий объём обязательной информации по ст. 18 шире, поскольку применяется письменное согласие, которое само по себе должно содержать реквизиты ст. 9.

Что проверить при аудите исполнения ст. 18 ФЗ-152

В каждой точке сбора ПДн (сайт, бумажная анкета, мобильное приложение, телефонный звонок) — присутствует ли уведомление с реквизитами ст. 18 до или в момент сбора.
Соответствует ли текст уведомления фактическим целям и основаниям из уведомления в реестре РКН (ст. 22 ФЗ-152) — расхождение фиксируется как самостоятельное нарушение.
Указаны ли наименования и адреса обработчиков по поручению (подрядчики CRM, рассылок, аналитики) — их отсутствие нарушает ч. 1 ст. 18.
Разъяснены ли субъекту права: доступ, уточнение, блокирование, уничтожение, отзыв согласия (ст. 14, 20, 21 ФЗ-152).
Хранится ли доказательство факта уведомления — скриншот, журнал, подпись субъекта на форме.

Какие нарушения ст. 18 выявляет РКН и какова ответственность?

РКН фиксирует нарушения ст. 18 как при плановых, так и при внеплановых проверках — последние инициируются по жалобам субъектов. По данным РКН, в 2024 году зафиксировано 135 случаев утечек и свыше 710 млн скомпрометированных записей. Значительная часть инцидентов — следствие того, что субъекты не были осведомлены о фактическом составе обрабатываемых данных и объёме их передачи третьим лицам.

Типовые нарушения, которые выявляются при проверке:

Уведомление по ст. 18 отсутствует в точке сбора — сведения включены только в политику конфиденциальности, ссылка на которую не эквивалентна исполнению обязанности.
В уведомлении не указаны все категории обрабатываемых ПДн — компания декларирует «контактные данные», но фактически собирает геолокацию, историю покупок, поведенческие данные.
Не указан перечень третьих лиц или обработчиков по поручению — типично для компаний, использующих облачные CRM, системы рассылок, аналитику (включая GA4, Яндекс.Метрика).
Цели обработки в уведомлении субъекту не соответствуют целям в реестре РКН — расхождение нарушает ст. 5 и ст. 18 одновременно.
Права субъекта не разъяснены или разъяснены неполно.

«Ч. 4 ст. 13.11 КоАП (в ред. с 30.05.2025) — невыполнение обязанности по предоставлению субъекту информации об обработке его ПДн: штраф для юрлица 40 000 — 80 000 ₽.»

Ответственность по ч. 4 ст. 13.11 КоАП применяется к каждому факту нарушения. Если РКН зафиксировал нарушение ст. 18 одновременно с нарушением ст. 6 (обработка без основания) или ст. 9 (ненадлежащее согласие), составляется несколько протоколов. Штрафы суммируются. При повторном нарушении ч. 5.1 ст. 13.11 КоАП — 300 000 — 500 000 ₽. Если повторность касается более тяжкого состава — утечки от 10 000 субъектов и выше — оборотный штраф по ч. 15 ст. 13.11: 1–3% выручки, но не менее 20 млн ₽.

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 рассматривают мировые судьи, что ускоряет процесс вынесения постановлений. Срок давности привлечения по административному правонарушению — 1 год с момента совершения. Это означает, что нарушение, выявленное в ходе проверки, может быть предъявлено за период до 12 месяцев назад.

Если юрист получил запрос РКН или уже идёт проверка — время на устранение нарушений ст. 18 ограничено. Анализ пакета документов и оценку рисков проведём за 2 рабочих дня.

Заказать аудит 152-ФЗ

Как применяется ст. 18 на практике: три сценария для юриста

Сценарий 1. Компания собирает ПДн через сайт без уведомления в точке сбора. Форма регистрации или заявки на сайте содержит только чекбокс «согласен с политикой конфиденциальности». Политика опубликована, но уведомление по ст. 18 отдельно не формируется. Субъект жалуется в РКН, инициируя внеплановую проверку. РКН фиксирует нарушение ч. 4 ст. 13.11 (40 000 — 80 000 ₽) и ч. 3 ст. 13.11 (30 000 — 60 000 ₽ за нарушение требований к содержанию политики). Стратегия: до проверки — оформить уведомление в точке сбора, привести политику в соответствие ч. 2 ст. 18.1 ФЗ-152, зафиксировать изменения документально для демонстрации добросовестности.

Сценарий 2. Оператор передаёт ПДн подрядчику без уведомления субъекта. CRM-система, сервис рассылок или коллцентр — третье лицо, обрабатывающее данные по поручению оператора (ст. 6 п. 3 ФЗ-152). В уведомлении субъекту эти лица не указаны. РКН при проверке выявляет расхождение между фактическим составом обработчиков и задекларированным. Составляется протокол по ч. 4 ст. 13.11, дополнительно — по ч. 1 (обработка данных с целями или в объёме, не соответствующими уведомлению). Исход: штраф по двум составам, предписание об устранении. Стратегия: заключить договоры поручения с обработчиками (ст. 6 ч. 3 ФЗ-152), обновить уведомление субъекту с перечнем обработчиков.

Сценарий 3. Уведомление есть, но не соответствует реестру РКН. Компания уведомила РКН (ст. 22 ФЗ-152) и декларирует цель «исполнение договора». Фактически ведётся маркетинговая обработка — рассылки, таргетинг. В уведомлении субъекту указана та же формулировка из реестра. РКН при проверке сравнивает уведомление и реальную обработку. Нарушена ст. 5 (несоответствие целям) и ст. 18 (уведомление субъекта с неверными целями). Стратегия: актуализировать сведения в реестре РКН (Приказ РКН №180), внести изменения в уведомление субъекту, получить отдельные согласия по ст. 10.1 для обработки в целях распространения.

Как это применяется на практике

Кейс 1. Юрист производственной компании (Приволжский ФО, начало 2026) выявил при внутреннем аудите, что форма на сайте не содержит уведомления по ст. 18 — только ссылку на политику. До плановой проверки РКН оставалось около двух месяцев. За этот период подготовлено уведомление в точке сбора, обновлена политика под ч. 2 ст. 18.1 ФЗ-152, заключены договоры поручения с обработчиками. При проверке РКН нарушений по ч. 4 ст. 13.11 не выявил; штраф не назначен.

Кейс 2. В деле об оспаривании постановления по ст. 13.11 КоАП (Уральский ФО, осень 2025) юрист торговой сети добился снижения штрафа с 80 000 до 40 000 ₽ по ч. 4 ст. 13.11, доказав, что субъект фактически получил информацию об обработке — через оферту и личный кабинет, — несмотря на отсутствие отдельного уведомления в форме сбора. Суд учёл добросовестность оператора и отсутствие вреда субъекту. Применена ст. 4.1 КоАП для назначения минимального штрафа. ⚠ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка исполнения ст. 18 во всех точках сбора ПДн
Комплект ОРД под ключ — уведомления субъектам, политика, согласия по ст. 9
DPO-аутсорсинг — ответственный по ст. 22.1, ответы на запросы субъектов

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152, обработка персональных данных — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Обязанность по ст. 18 (уведомление субъекта) возникает при сборе — первом из перечисленных действий. Хранение данных, полученных без уведомления субъекта, также образует нарушение, поскольку само по себе является обработкой.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 содержит 11 оснований: согласие субъекта (п. 1), исполнение закона или НПА (п. 2), судопроизводство (п. 3), исполнение жизненно важных интересов (п. 4), договор с участием субъекта (п. 5) и другие. Основание должно существовать до начала обработки. Уведомление субъекта по ст. 18 обязательно при любом основании — оно не заменяет согласие и не зависит от него. Отсутствие уведомления при наличии согласия — самостоятельное нарушение.

3. Что грозит за нарушение 152-ФЗ?

Ответственность многоуровневая. Административная — ст. 13.11 КоАП в ред. с 30.05.2025 (ФЗ-420): от 30 000 ₽ за непубликацию политики (ч. 3) до оборотного штрафа по ч. 15 — 1–3% выручки, не менее 20 млн ₽ — при повторной утечке. Уголовная — ст. 272.1 УК (введена с 11.12.2024): незаконное использование, передача или хранение компьютерной информации с ПДн, максимум по ч. 5 — лишение свободы до 10 лет. Гражданско-правовая — взыскание компенсации морального вреда субъектами через суд.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152, оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки — независимо от размера бизнеса. Исключения установлены ч. 2 ст. 22: обработка данных сотрудников в рамках трудового договора, обработка без использования автоматизированных средств в случаях, предусмотренных НПА. Большинство малых компаний, использующих CRM, сайт с формами, электронную почту, под исключения не подпадают. Неуведомление РКН — штраф 100 000 — 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

По общему правилу ФЗ-152, согласие на обработку ПДн даёт дееспособный субъект — с 18 лет. Для несовершеннолетних до 18 лет согласие дают родители или законные представители. Специальных возрастных порогов для отдельных видов обработки ФЗ-152 прямо не устанавливает, однако образовательные организации руководствуются требованиями к работе с ПДн несовершеннолетних в соответствии с семейным законодательством. Согласие, полученное с 01.09.2025, должно оформляться отдельным документом по требованиям ФЗ-156 от 24.06.2025.

Итог

Статья 18 ФЗ-152 — это не формальность и не дублирование политики конфиденциальности. Это самостоятельная обязанность оператора, нарушение которой квалифицируется отдельным составом по ч. 4 ст. 13.11 КоАП и суммируется с иными составами при проверке. Устранить нарушение технически несложно: нужно оформить уведомление в точке сбора, привести его в соответствие реестру РКН и перечню обработчиков, зафиксировать факт уведомления.

DATUM сопровождает юристов и комплаенс-команды при аудите исполнения ст. 18 ФЗ-152: анализируем все точки сбора ПДн, сопоставляем уведомление субъектам с реестром РКН, формируем пакет ОРД и представляем интересы оператора при проверках и в арбитраже по ст. 13.11 КоАП.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420), защита от оборотных штрафов.

1 сентября 2026 года