Перейти к содержанию
аналитика 25 сентября 2026 По состоянию на 25 сентября 2026

Принцип запрета автоматизированных решений (ст. 16)

Ст. 16 ФЗ-152 запрещает принимать решения, порождающие юридические последствия для субъекта персональных данных, исключительно на основе автоматизированной обработки без участия человека — если субъект не дал на это явного согласия.
С 30.05.2025 нарушения в сфере обработки ПДн влекут штрафы по ст. 13.11 КоАП до 500 млн ₽ по оборотным составам. Скоринг, отказ в кредите, автоматическое увольнение, блокировка аккаунта — всё это потенциальные нарушения ст. 16, если процедура согласия и права субъекта не выстроены.
→ Если вы юрист и проверяете комплаенс компании, которая использует скоринг, ML-модели или автоматические триггеры — эта статья даст правовую рамку и покажет, где ломается практика.

Ст. 16 ФЗ-152 остаётся одной из наименее заметных, но стратегически значимых норм закона. Банки, страховщики, HR-платформы, маркетплейсы — все они в той или иной форме используют автоматизированные решения по субъектам ПДн. Правовая рамка 2025–2026 годов ужесточила ответственность, а судебная практика накапливает прецеденты по ст. 13.11 КоАП. Ниже — разбор нормы, условий допустимости, типовых нарушений и стратегии снижения риска.

Что такое автоматизированное решение по ст. 16 ФЗ-152 и на кого распространяется запрет?

Автоматизированное решение по смыслу ст. 16 ФЗ-152 — это решение, которое: (1) принимается исключительно на основе компьютерной обработки ПДн субъекта, (2) без участия человека на этапе финального вывода и (3) влечёт юридические последствия либо иным образом затрагивает права и законные интересы субъекта.

Ключевое слово — «исключительно». Если в цепочке решения есть живой сотрудник, который содержательно анализирует вывод алгоритма и принимает решение самостоятельно, ст. 16 формально не нарушается. Если человек лишь «нажимает кнопку» подтверждения алгоритмического вывода без реального контроля — это не снимает риск: РКН и суды оценивают фактическую роль человека, а не его формальное присутствие в процессе.

«Ст. 16 ФЗ-152 устанавливает: принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки допускается только при наличии согласия субъекта либо в случаях, предусмотренных федеральным законом.»

Норма распространяется на всех операторов ПДн по ст. 3 ФЗ-152 — юридических лиц, физических лиц и государственные органы, которые самостоятельно или совместно с другими лицами организуют или осуществляют обработку ПДн. Субъект ПДн по той же статье — физическое лицо, персональные данные которого обрабатываются. Применительно к ст. 16: субъект — тот, в отношении кого принимается автоматизированное решение.

Практическая зона применения: скоринговые модели в кредитовании (банки, МФО), автоматическое формирование ценовых предложений, алгоритмический найм и отсев резюме, автоблокировка учётных записей, автоматические рекомендации по назначению лечения, таргетинговые системы, которые ограничивают доступ к услуге.

Каковы условия допустимости автоматизированных решений?

Ст. 16 допускает автоматизированные решения при двух альтернативных условиях.

Условие 1 — согласие субъекта. Субъект ПДн дал явное, информированное согласие на принятие решений исключительно на основе автоматизированной обработки его данных. Это согласие по ст. 9 ФЗ-152 должно содержать перечень обрабатываемых данных, цель обработки (автоматизированное принятие решений), описание используемых алгоритмов в той мере, в какой это возможно, и порядок отзыва. С 01.09.2025 по ФЗ-156 согласие оформляется отдельным документом и не может быть включено в тело договора, оферты или политики конфиденциальности. Старые согласия, встроенные в договор, — под вопросом: обратной силы у ФЗ-156 нет, но новые договоры требуют отдельного документа.

Условие 2 — федеральный закон. Обработка прямо предусмотрена федеральным законом, который устанавливает меры по защите прав субъекта. Примеры: автоматизированные налоговые решения ФНС (НК РФ), антифрод-блокировки в платёжных системах (Федеральный закон о НПС). Важно: ссылки на подзаконные акты, внутренние регламенты или деловые обычаи здесь недостаточны — только федеральный закон.

«Ст. 5 ФЗ-152 (принцип соответствия целям): содержание и объём обрабатываемых ПДн должны соответствовать заявленным целям обработки. Автоматизированное решение без надлежащего согласия нарушает этот принцип, поскольку субъект не был уведомлён о данном способе использования его данных.»

При наличии согласия оператор обязан по запросу субъекта ПДн разъяснить суть принятого решения: какие данные использовались, по какому алгоритму, каковы основания вывода. Это право субъекта закреплено в ст. 16 ч. 2 ФЗ-152. Срок ответа на такой запрос — 10 рабочих дней со дня обращения (ст. 20 ФЗ-152), с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.

Проверяете комплаенс компании, использующей скоринг или ML-модели?

Выстроить правовую рамку под ст. 16 ФЗ-152 в одиночку сложно: норма требует синхронизации согласий по ст. 9, обновлённых после 01.09.2025, с правовыми основаниями по ст. 6 и уведомлением РКН по ст. 22. Ошибка в одном звене — это протокол по ч. 2 ст. 13.11 КоАП с штрафом до 700 тыс. ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов, включая проверку правомерности автоматизированных решений, и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие нарушения ст. 16 встречаются чаще всего и какова ответственность?

На практике нарушения ст. 16 делятся на три группы.

Группа 1 — отсутствие согласия или его несоответствие требованиям. Оператор использует автоматизированный скоринг, при этом согласие субъекта либо не получено вовсе, либо включено в общий текст договора (после 01.09.2025 — это нарушение ФЗ-156), либо не содержит описания алгоритмической природы решения. Квалификация: ч. 2 ст. 13.11 КоАП — обработка ПДн без письменного согласия или с нарушением состава согласия. Штраф для юрлица: 300 000 — 700 000 ₽. Повторно — ч. 2.1: 1 000 000 — 1 500 000 ₽.

Группа 2 — нарушение принципов обработки по ст. 5 ФЗ-152. Оператор указал в уведомлении РКН по ст. 22 одни цели обработки, а фактически использует данные для автоматизированных решений с иными правовыми последствиями. Это нарушает принцип соответствия целей и несовместимость оснований из ст. 6 ФЗ-152. Квалификация: ч. 1 ст. 13.11 КоАП — обработка ПДн в случаях, не предусмотренных законом, или несовместимая с целями. Штраф: 150 000 — 300 000 ₽.

Группа 3 — отказ разъяснить субъекту суть решения. Субъект направил запрос по ст. 16 ч. 2, оператор не ответил в 10-рабочедневный срок или дал формальный ответ без раскрытия оснований. Квалификация: ч. 4 ст. 13.11 КоАП — невыполнение обязанности по предоставлению субъекту информации об обработке его ПДн. Штраф: 40 000 — 80 000 ₽. Незначительная сумма не должна вводить в заблуждение: если к этому добавляется систематичность — протоколы пойдут серийно.

«Ч. 2 ст. 13.11 КоАП (в редакции с 30.05.2025): обработка ПДн без письменного согласия субъекта в случаях, когда такое согласие обязательно, влечёт штраф для юридического лица от 300 000 до 700 000 ₽. Повторное нарушение (ч. 2.1) — от 1 000 000 до 1 500 000 ₽.»

Помимо административной ответственности, с 11.12.2024 действует ст. 272.1 УК РФ (введена ФЗ-421). Незаконные сбор, хранение или использование компьютерной информации с ПДн, в том числе в рамках автоматизированных систем скоринга, могут повлечь уголовную ответственность — до 10 лет лишения свободы по ч. 5 при тяжких последствиях. Для юриста, сопровождающего бизнес: это не абстрактная угроза. Уголовные дела по ст. 272.1 уже возбуждаются, в том числе в отношении сотрудников, имевших доступ к базам.

Что проверить юристу при аудите автоматизированных решений

  • Наличие отдельного согласия субъектов ПДн на автоматизированные решения по ст. 16 и ст. 9 ФЗ-152 (с учётом требований ФЗ-156 с 01.09.2025).
  • Соответствие целей обработки в уведомлении РКН (ст. 22 ФЗ-152) реальным целям применения алгоритмических моделей.
  • Наличие процедуры ответа субъекту на запрос о сути автоматизированного решения — срок 10 рабочих дней по ст. 20 ФЗ-152.
  • Правовое основание по ст. 6 ФЗ-152 для каждой категории данных, используемых в модели (согласие, договор, федеральный закон).
  • Документальное подтверждение участия человека в принятии финального решения — если оператор опирается на этот аргумент в защиту.

Как соотносится ст. 16 с принципами ст. 5 и основаниями ст. 6 ФЗ-152?

Ст. 16 — не изолированная норма. Она встраивается в систему принципов ст. 5 и оснований ст. 6 ФЗ-152, и понимать её без этой связи нельзя.

Ст. 5 устанавливает семь принципов обработки ПДн. Для ст. 16 релевантны три: принцип законности (каждое действие с ПДн должно иметь законное основание), принцип конкретных целей (цель должна быть определена до начала обработки, автоматизированные решения — отдельная цель, не вытекающая автоматически из «исполнения договора»), принцип несовместимости баз (нельзя объединять данные для иных целей без отдельного основания). Если алгоритм агрегирует данные из нескольких источников или баз — каждый источник требует собственного правового основания.

Ст. 6 содержит 11 оснований обработки ПДн. Для автоматизированных решений наиболее распространены: п. 1 (согласие), п. 5 (исполнение договора с субъектом) и прямое указание федерального закона. Ловушка с п. 5: исполнение договора допускает автоматизацию технических операций (расчёт суммы, формирование счёта), но не автоматизированных решений о правах субъекта (одобрение кредита, отказ в услуге, расторжение договора). Для последних нужно согласие или федеральный закон — п. 5 здесь не работает. Эту позицию разделяет РКН в методических рекомендациях по автоматизированной обработке.

Практически значимо: если оператор ссылается на п. 5 ст. 6 как основание для скоринга при выдаче займа, это риск — в части решения об одобрении или отказе нужно согласие по ст. 16 ч. 1.

Если в компании алгоритм принимает решения об одобрении, отказе или ограничении прав клиентов — а согласие по ст. 9 ФЗ-152 включено в договор, а не оформлено отдельным документом — это нарушение с 01.09.2025. Штраф по ч. 2 ст. 13.11 КоАП до 700 тыс. ₽. Юристы DATUM соберут ОРД и согласия под ключ.

Собрать ОРД под ключ

Типовые сценарии нарушений и стратегия защиты

Сценарий 1. Финтех-компания, автоматический скоринг кредитных заявок. Заявитель получает отказ в займе. Согласие на автоматизированное решение включено в общие условия договора. После 01.09.2025 такое согласие не соответствует требованиям ФЗ-156 — оно должно быть отдельным документом. Субъект направляет запрос в РКН. Инспектор возбуждает дело по ч. 2 ст. 13.11. Стратегия защиты: переоформить согласия в отдельные документы; зафиксировать в ОРД должностные полномочия кредитного аналитика, который содержательно проверяет скоринговый вывод перед финальным решением; внести изменения в уведомление РКН по ст. 22.

Сценарий 2. HR-платформа, автоматический отсев резюме. Алгоритм сортировки отсеивает кандидатов по ключевым словам и параметрам. Кандидат требует объяснения отказа. Оператор не имеет ни согласия на автоматизированное решение, ни процедуры ответа на запрос. Штраф по ч. 4 ст. 13.11 — 40–80 тыс. ₽ за непредоставление информации; дополнительно — по ч. 1 за обработку в целях, не указанных в уведомлении. Стратегия: добавить в форму согласие; ввести регламент ответа на запросы кандидатов; зафиксировать алгоритм в политике обработки ПДн по ст. 18.1.

Сценарий 3. Маркетплейс, автоблокировка продавца алгоритмом антифрода. Продавец заблокирован автоматически — без уведомления и без участия сотрудника. Это решение затрагивает имущественные права продавца (ограничение доступа к торговой площадке). Если в пользовательском соглашении нет корректного согласия по ст. 16 — нарушение ст. 9 и ст. 16 ФЗ-152 одновременно. Стратегия: проверить наличие федерального закона, допускающего такую блокировку (Закон о НПС применим к платёжным операциям, но не к торговым площадкам в полном объёме); при его отсутствии — выстроить процедуру с участием сотрудника и оформить согласие.

Как это применяется на практике

Кейс 1. Финансовая организация Центрального ФО (осень 2025) использовала автоматизированный кредитный скоринг. Согласие субъектов на автоматизированные решения было включено в стандартный договор займа, а не оформлено отдельным документом. После жалобы заёмщика РКН возбудил дело по ч. 2 ст. 13.11 КоАП. Юристы на этапе проверки документов установили, что договоры заключались в том числе после 01.09.2025 — то есть под действие ФЗ-156 подпадала часть активного портфеля. Компания переоформила согласия, внесла изменения в ОРД, назначила ответственного за обработку по ст. 22.1. Штраф был назначен в нижней части диапазона с учётом добровольного устранения нарушений — в сотни тысяч рублей.

Кейс 2. HR-платформа Северо-Западного ФО (начало 2026) применяла алгоритм первичного отбора резюме. Кандидат направил в РКН жалобу на отказ предоставить основания отклонения заявки. Инспектор выявил: уведомление РКН по ст. 22 не содержало цели «автоматизированная оценка кандидатов», согласие на автоматизированное решение отсутствовало. Возбуждены дела по ч. 1 и ч. 4 ст. 13.11. Арбитражный суд региона при рассмотрении дела принял во внимание, что компания относилась к субъектам МСП и нарушение было первичным — штраф по ч. 1 заменён предупреждением по ст. 4.1.1 КоАП. По ч. 4 назначен штраф в нижней части диапазона. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка правомерности автоматизированных решений, согласий и ОРД по чек-листу из 38 пунктов.
  • Комплект ОРД под ключ — подготовка политики, согласий по ст. 9 и ст. 16, регламентов ответа субъектам.
  • DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1, включая контроль автоматизированных систем.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Автоматизированная обработка — это обработка с применением средств вычислительной техники. Важно: даже просмотр сотрудником записи в базе данных — уже обработка (извлечение). Это означает, что автоматизированная система, запрашивающая данные для скоринга, осуществляет обработку вне зависимости от того, принимается ли затем решение человеком.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит 11 правовых оснований: согласие субъекта (п. 1), исполнение международного договора (п. 2), участие в судопроизводстве (п. 3), исполнение публично-правовых обязанностей (п. 4), исполнение договора с субъектом (п. 5) и другие. Для большинства коммерческих операторов основными остаются п. 1 (согласие) и п. 5 (договор). Для автоматизированных решений в части юридических последствий для субъекта п. 5 недостаточен — требуется согласие по ст. 9 и ст. 16 или прямое указание федерального закона.

3. Что грозит за нарушение 152-ФЗ?

Ответственность многоуровневая. Административная — по ст. 13.11 КоАП: от предупреждения до 500 млн ₽ по оборотному составу ч. 15 при повторных утечках. Применительно к автоматизированным решениям типичны ч. 1 (150–300 тыс. ₽), ч. 2 (300–700 тыс. ₽), ч. 2.1 (1–1,5 млн ₽ при повторе). Уголовная — по ст. 272.1 УК РФ с 11.12.2024 (ФЗ-421): незаконное использование компьютерной информации с ПДн, до 10 лет лишения свободы по ч. 5. Гражданско-правовая — иски субъектов о компенсации вреда: суды взыскивают от 5 000 до нескольких десятков тысяч рублей морального вреда.

4. Нужно ли уведомлять РКН малому бизнесу?

По ст. 22 ФЗ-152 обязанность уведомить РКН о намерении обрабатывать ПДн распространяется на большинство операторов. Исключения перечислены в ч. 2 ст. 22: обработка ПДн только работников оператора по трудовому договору, обработка данных для исполнения договора с субъектом без передачи третьим лицам и ряд других. Малый бизнес может подпадать под исключения, но если он использует автоматизированные решения с участием ПДн клиентов — скоринг, алгоритмический маркетинг, профилирование — это выходит за рамки типичных исключений и требует уведомления. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

5. С какого возраста нужно согласие на обработку ПДн?

ФЗ-152 прямо не устанавливает возраст согласия — норма о дееспособности субъекта следует из ГК РФ. По общему правилу полная дееспособность наступает в 18 лет; с 14 до 18 лет несовершеннолетний вправе давать согласие самостоятельно в пределах своей дееспособности, однако для обработки ПДн детей до 14 лет требуется согласие родителей или иных законных представителей. Применительно к автоматизированным решениям: если система скоринга или профилирования затрагивает несовершеннолетних — оператор обязан получить согласие законного представителя и отдельно задокументировать его для ст. 16.

Итог

Ст. 16 ФЗ-152 — это не запрет автоматизации как таковой, а требование к процедуре: согласие субъекта или федеральный закон, прозрачность алгоритма и право субъекта на разъяснение. После 01.09.2025 требования к форме согласия ужесточились — отдельный документ по ФЗ-156, встроенное в договор согласие более не работает. Пакет ОРД, уведомление РКН и процедура ответа на запросы субъектов — три обязательных элемента, которые снижают риск протокола по ст. 13.11 КоАП до минимума.

Практика DATUM по 152-ФЗ охватывает аудит автоматизированных систем, подготовку согласий и ОРД, взаимодействие с РКН и защиту операторов в арбитражном процессе при предъявлении протоколов по ст. 13.11.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.