аналитика 9 сентября 2026 По состоянию на 9 сентября 2026

Принцип законности обработки ПДн по ст. 5 п. 1

Принцип законности обработки персональных данных — это требование ст. 5 ФЗ-152, согласно которому каждое действие оператора с ПДн должно опираться на конкретное правовое основание из ст. 6, 10, 10.1 или 11 ФЗ-152.

Нарушение принципа законности — самостоятельный состав по ч. 1 ст. 13.11 КоАП с 30.05.2025: штраф для юрлица 150 000–300 000 ₽, при повторности — до 500 000 ₽. Если юрист проверяет комплаенс и не видит правового основания хотя бы под одним потоком данных — это риск протокола уже сегодня.

→ Если вы юрист и проверяете обработку ПДн в компании: ниже — разбор принципа законности с привязкой к нормам, типовые нарушения и стратегия защиты.

Принцип законности обработки ПДн закреплён в п. 1 ч. 1 ст. 5 ФЗ-152 и означает, что оператор вправе совершать любые действия с персональными данными только при наличии допустимого правового основания. Ст. 6 ФЗ-152 устанавливает 11 оснований для общей обработки; ст. 10 — условия работы со специальными категориями; ст. 10.1 — режим распространения; ст. 11 — требования к биометрии. Для юриста, выстраивающего или проверяющего систему обработки ПДн, понимание структуры этих оснований определяет, насколько устойчива позиция компании перед РКН и судом.

Что означает принцип законности обработки ПДн по ст. 5 ФЗ-152?

Законность в терминах ФЗ-152 — не просто требование не нарушать закон. Это позитивное обязательство: у оператора должно быть активное, заранее определённое основание для каждого потока обработки. Отсутствие запрета не равно наличию разрешения.

Ст. 3 ФЗ-152 определяет обработку ПДн как любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Это важно: принцип законности распространяется на каждое из перечисленных действий в отдельности, а не на «работу с данными» в целом.

«Ст. 5 ч. 1 п. 1 ФЗ-152: обработка персональных данных должна осуществляться на законной и справедливой основе. Это первый из семи принципов, перечисленных в ст. 5, и единственный, нарушение которого само по себе образует состав по ч. 1 ст. 13.11 КоАП без дополнительных условий.»

Из принципа законности прямо вытекают два следствия для юриста. Первое: правовое основание должно быть идентифицировано до начала обработки, а не постфактум при проверке. Второе: при изменении цели обработки — смена основания обязательна, поскольку ст. 5 запрещает объединять несовместимые цели. Обработка, начавшаяся на основании согласия по п. 1 ч. 1 ст. 6, не может быть автоматически продолжена на основании п. 5 (исполнение договора) без самостоятельной оценки применимости этого основания.

Какие правовые основания обработки ПДн закреплены в ст. 6 ФЗ-152?

Ст. 6 ФЗ-152 перечисляет 11 оснований. Для практики наиболее значимы шесть.

Согласие субъекта (п. 1 ч. 1 ст. 6). Самое распространённое основание в B2C-секторе. С 01.09.2025 — по требованию ФЗ-156 от 24.06.2025 — согласие оформляется отдельным документом: его нельзя включать в текст договора, оферты, политики конфиденциальности или иного документа. Реквизиты согласия установлены ч. 4 ст. 9 ФЗ-152. Отсутствие хотя бы одного реквизита превращает согласие в ненадлежащее, что квалифицируется по ч. 2 ст. 13.11 КоАП — штраф 300 000–700 000 ₽.

Федеральный закон (п. 2 ч. 1 ст. 6). Обработка допустима, если обязанность или право оператора прямо предусмотрены федеральным законом. Это основание применяют работодатели (ст. 86–88 ТК РФ), банки (115-ФЗ, 218-ФЗ), медицинские организации (323-ФЗ). Ключевое требование: конкретный закон должен прямо указывать на право или обязанность обработки именно тех категорий данных, которые обрабатывает оператор.

Договор с субъектом (п. 5 ч. 1 ст. 6). Обработка допустима в объёме, необходимом для заключения или исполнения договора, стороной которого является субъект. Типичная ошибка — расширительное толкование: использование данных покупателя для маркетинговых рассылок без отдельного согласия, со ссылкой на договор купли-продажи. Это нарушение принципа соответствия объёма целям (п. 4 ч. 1 ст. 5) и принципа законности одновременно.

Нужна проверка правовых оснований обработки ПДн?

Если юрист проверяет комплаенс компании и видит, что правовые основания обработки не задокументированы или смешаны — каждый незакрытый поток данных создаёт самостоятельный состав по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Поручение обработки (п. 3 ч. 1 ст. 6 в связке с ч. 3 ст. 6). Оператор вправе поручить обработку третьему лицу — только при наличии письменного договора поручения. Поручение не создаёт нового правового основания: обработчик действует в рамках того основания, которое есть у оператора. Если оператор сам не имеет основания — поручение не легализует обработку ни для оператора, ни для обработчика.

Жизненно важные интересы (п. 7 ч. 1 ст. 6). Применяется в исключительных случаях — угроза жизни или здоровью субъекта или третьих лиц, при невозможности получить согласие. На практике используется в медицине при неотложной помощи. Расширительное толкование («бизнес-интерес» как жизненный) не принимается ни РКН, ни судами.

Чем отличается основание для обработки специальных категорий ПДн?

Ст. 10 ФЗ-152 устанавливает закрытый перечень специальных категорий: расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь, судимость. Обработка по общему правилу запрещена — перечень исключений в п. 2 ст. 10 является исчерпывающим.

Для юриста это означает: ссылка на «договорное основание» или «законный интерес» при обработке диагнозов пациентов или данных о судимости кандидатов не работает. Требуется либо явное согласие субъекта, либо прямое указание в специальном федеральном законе (например, 323-ФЗ для медицинских организаций).

«Ст. 10 ч. 1 ФЗ-152: обработка специальных категорий персональных данных — не допускается, если субъект не дал явного согласия или иное основание из п. 2 ст. 10 не применимо. Несоблюдение этого требования квалифицируется по ч. 1 или ч. 2 ст. 13.11 КоАП в зависимости от конкретного состава.»

Биометрические данные (ст. 11 ФЗ-152) выделены в отдельный режим: изображение лица, голос, отпечатки пальцев, радужка глаза — обрабатываются только при наличии письменного согласия. С 30.05.2025 нарушение этого требования влечёт штраф по ч. 16 ст. 13.11 КоАП. Утечка биометрии — ч. 17: 15 000 000–20 000 000 ₽.

Как принцип законности проверяется на практике при проверке РКН?

РКН при плановой или внеплановой проверке запрашивает перечень оснований обработки ПДн в разрезе каждой цели. Стандартный подход инспектора: сопоставить уведомление об обработке (реестр операторов, ст. 22 ФЗ-152) с фактически обрабатываемыми категориями данных, перечнем целей и указанными основаниями.

Типичные расхождения, которые выявляет проверка:

В уведомлении указано основание «согласие», а фактически обработка ведётся на основании договора — без переоформления.
Обрабатываются специальные категории (например, группа крови сотрудников), основание не указано или указано «федеральный закон» без ссылки на конкретную норму.
Обработка ПДн работников ведётся в объёме, выходящем за рамки ст. 86 ТК РФ, без дополнительного согласия.
Передача ПДн подрядчику (обработчику) без письменного договора поручения по ч. 3 ст. 6 ФЗ-152.

Что проверить юристу по принципу законности

Для каждой цели обработки задокументировано конкретное основание из ст. 6, 10, 10.1 или 11 ФЗ-152.
Согласия, выданные до 01.09.2025, оформлены как отдельный документ с реквизитами ч. 4 ст. 9 (ФЗ-156) — либо пересобраны после этой даты.
По специальным категориям ПДн (ст. 10) основание выбрано из исчерпывающего перечня п. 2 ст. 10, не из общей части ст. 6.
Договоры поручения с обработчиками оформлены письменно и содержат обязательные условия по ч. 3 ст. 6.
Уведомление в реестре РКН отражает актуальный перечень целей, категорий и оснований — расхождения с фактической обработкой устранены.

Типовые ситуации: как нарушение принципа законности квалифицируется в 2025–2026 годах

Ситуация 1. Маркетинговые рассылки без отдельного согласия. Интернет-магазин указывает в договоре купли-продажи, что покупатель «соглашается на получение информационных материалов». После 01.09.2025 такая формулировка не является надлежащим согласием по ст. 9 ФЗ-152 в редакции ФЗ-156. Основания для рассылок по п. 5 ч. 1 ст. 6 (исполнение договора) недостаточно — маркетинг не является исполнением договора купли-продажи. При жалобе субъекта или плановой проверке РКН протокол составляется по ч. 1 ст. 13.11 КоАП (нет законного основания) и по ч. 2 (ненадлежащее согласие) одновременно. Стратегия: разделить основания, оформить отдельное согласие на маркетинг с реквизитами ч. 4 ст. 9.

Ситуация 2. HR-отдел обрабатывает данные о состоянии здоровья кандидатов без специального основания. Работодатель собирает медицинские справки кандидатов на вакансии, не связанные с вредными условиями труда. Ст. 10 ФЗ-152 запрещает обработку данных о здоровье без прямого указания в федеральном законе или явного согласия. Ст. 86 ТК РФ допускает запрос медицинских данных только в случаях, предусмотренных законодательством о труде и охране здоровья. Для стандартных офисных должностей правовое основание отсутствует. Исход при проверке: штраф по ч. 1 ст. 13.11 КоАП, предписание об уничтожении незаконно собранных данных. Стратегия: ограничить сбор медицинских данных случаями, прямо предусмотренными ТК РФ и специальными законами об охране труда.

Ситуация 3. Передача ПДн клиентов в CRM-систему иностранного провайдера без договора поручения. Компания использует зарубежный SaaS-сервис для хранения клиентской базы. Договор с провайдером — стандартный ToS на английском языке, без обязательных условий ч. 3 ст. 6 ФЗ-152. Оператор не направил уведомление о трансграничной передаче по ст. 12 ФЗ-152. Доказательства нарушения: ответ на запрос субъекта о составе получателей его данных, аудит ИТ-инфраструктуры. Вероятный исход: ч. 1 ст. 13.11 (нет законного основания передачи), ч. 8 ст. 13.11 (нарушение локализации — если первичный сбор идёт в зарубежной базе), штраф 1 000 000–6 000 000 ₽ по ч. 8. Стратегия: оформить письменный договор поручения, подать уведомление о трансграничной передаче, проверить локализацию по ч. 5 ст. 18 ФЗ-152.

Если юрист обнаружил расхождение между задокументированными основаниями и фактической обработкой — каждый незакрытый поток данных образует самостоятельный состав. Оценим риски, подготовим план устранения и соберём комплект ОРД под ключ.

Заказать аудит 152-ФЗ

Как применяется ответственность за нарушение принципа законности в 2025–2026 годах?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних 7. Нарушение принципа законности — то есть обработка ПДн без предусмотренного законом основания или в случаях, не допустимых законом, — квалифицируется по ч. 1 ст. 13.11: 150 000–300 000 ₽ для юридического лица. При повторности (ч. 1.1): 300 000–500 000 ₽.

Важный нюанс: к мировым судьям подсудность по ст. 13.11 КоАП возвращена с 28.12.2025 (ФЗ-508). С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Это влияет на тактику обжалования: при производстве в арбитраже применялась ст. 4.1.1 КоАП об замене штрафа предупреждением для субъектов МСП более широко, чем у мировых судей.

Судебная практика 2026 года показывает: суды разграничивают «нет основания вообще» (ч. 1) и «основание есть, но согласие оформлено с нарушением реквизитов» (ч. 2). Конкуренция составов при одном нарушении разрешается в пользу специальной нормы — ч. 2 при нарушениях согласия поглощает ч. 1, если оба состава возникли из одного действия.

Кейс 1. Компания из Центрального ФО (первая половина 2026 года) обрабатывала медицинские данные сотрудников (листки нетрудоспособности) в корпоративной HR-системе. Договор поручения с разработчиком системы отсутствовал. По итогам плановой проверки РКН составлены протоколы по ч. 1 ст. 13.11 (нет основания для обработки специальных категорий) и по ч. 1 ч. 1 ст. 13.11 в части передачи данных обработчику без договора. Мировой суд назначил штраф в совокупности в диапазоне сотен тысяч рублей. Снизить удалось, подтвердив частичное устранение нарушений до рассмотрения дела. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Кейс 2. Торговая компания (Уральский ФО, осень 2025) направляла рекламные SMS-рассылки, ссылаясь на «оферту» как основание. После вступления в силу ФЗ-156 РКН зафиксировал отсутствие отдельного согласия на маркетинговую обработку. Компания оспорила протокол, сославшись на то, что согласие было включено в оферту до 01.09.2025. Позиция принята частично: для рассылок после 01.09.2025 нарушение подтверждено. Штраф снижен с применением ст. 4.1.1 КоАП с учётом первичности нарушения и статуса субъекта МСП. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правовых оснований по всем потокам обработки
Комплект ОРД под ключ — документы, закрывающие каждое основание обработки
DPO-аутсорсинг — постоянный контроль соответствия оснований и ответы на запросы субъектов

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой признаётся любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Это означает, что даже однократное сохранение данных в CRM-системе или пересылка файла с данными клиентов по email — обработка, которая требует правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ч. 1 ФЗ-152 устанавливает 11 оснований: согласие субъекта, федеральный закон, международный договор, судебное производство, исполнение государственных функций, договор с субъектом, защита жизненно важных интересов, осуществление прав и законных интересов оператора или третьих лиц (с ограничениями), публичные интересы, журналистика и научная деятельность, иные случаи, предусмотренные законом. Для специальных категорий ПДн (ст. 10) и биометрии (ст. 11) — отдельные, более строгие условия. Выбор основания определяется конкретной целью и характером обрабатываемых данных.

3. Что грозит за нарушение 152-ФЗ?

Основная административная ответственность — ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (18 частей, действует с 30.05.2025). Обработка без законного основания — ч. 1: 150 000–300 000 ₽ для юрлица; при повторности — ч. 1.1: до 500 000 ₽. Обработка без надлежащего согласия — ч. 2: 300 000–700 000 ₽. Нарушение локализации — ч. 8: 1 000 000–6 000 000 ₽. Повторная утечка (оборотный штраф по ч. 15): 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. С 11.12.2024 введена уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 уведомить РКН о намерении обрабатывать ПДн обязан любой оператор до начала обработки. Перечень исключений из этой обязанности установлен ч. 2 ст. 22: в частности, освобождены операторы, обрабатывающие ПДн только своих работников без передачи третьим лицам, или обрабатывающие данные в рамках договора с субъектом без передачи третьим лицам. Однако большинство малых компаний, использующих CRM-системы, маркетинговые платформы или кадровые сервисы, не подпадают под эти исключения. Неуведомление — штраф по ч. 10 ст. 13.11: 100 000–300 000 ₽.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единого возраста дееспособности для целей согласия на обработку ПДн. По общим нормам ГК РФ полная дееспособность наступает с 18 лет; с 14 до 18 лет — ограниченная (для значимых действий требуется согласие законного представителя). На практике РКН рекомендует операторам, работающим с несовершеннолетними в сфере образования и развлечений, получать согласие родителей или законных представителей для лиц до 14 лет. Для лиц от 14 до 18 лет — собственное согласие с уведомлением или параллельным согласием представителя в зависимости от характера обработки и конкретной правоприменительной практики.

Итог

Принцип законности обработки ПДн по ст. 5 ФЗ-152 — это обязательное наличие прямого правового основания для каждого потока данных и каждого действия с ними. Ошибка в выборе основания, смешение оснований или их полное отсутствие — самостоятельные составы по ст. 13.11 КоАП, которые с 30.05.2025 предусматривают штрафы от 150 000 ₽ до 500 000 000 ₽ в зависимости от конкретного нарушения и повторности.

Юристы DATUM сопровождают операторов ПДн в части выбора и документирования правовых оснований, построения системы согласий после ФЗ-156, подготовки ОРД и представления интересов при проверках РКН — с 2014 года в составе сети «Ветров и партнёры».

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), оборотные штрафы с 30.05.2025.

9 сентября 2026 года