аналитика 16 октября 2027 По состоянию на 16 октября 2027

Публикация в СМИ как основание обработки

Публикация персональных данных в СМИ не создаёт самостоятельного правового основания для их дальнейшей обработки третьими лицами — это распространённое заблуждение, влекущее нарушение ст. 6 ФЗ-152.

С 30.05.2025 за незаконную обработку ПДн — в том числе со ссылкой на «публичность» — действует обновлённая ст. 13.11 КоАП: штраф для юрлица до 300 000 ₽ по ч. 1, до 700 000 ₽ по ч. 2. Повторное нарушение — оборотный штраф до 500 млн ₽ по ч. 15.

→ Если вы юрист и выстраиваете правовые основания обработки ПДн для клиента — убедитесь, что «публикация в СМИ» не используется как самодостаточный аргумент.

Ссылки на то, что данные «уже опубликованы» в СМИ или интернете, встречаются в возражениях операторов на требования субъектов ПДн и в правовых заключениях по комплаенсу. При этом ни ст. 6, ни ст. 10.1 ФЗ-152 не содержат такого основания. Разбираем, что реально следует из факта публикации, какие нормы применяются и какие риски несёт оператор, использующий этот аргумент в 2025–2026 году.

Что считается обработкой персональных данных по ст. 3 и ст. 5 ФЗ-152?

Оператор ПДн — любое лицо, которое организует и осуществляет обработку персональных данных, определяя её цели и состав. Обработка по ст. 3 ФЗ-152 — это любое действие с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, уничтожение. Перечень открытый; сохранение вырезки из газеты или копирование текста публикации в базу данных уже квалифицируется как обработка.

Принципы ст. 5 ФЗ-152 требуют, чтобы каждое действие с ПДн отвечало конкретной заранее определённой цели, а объём данных соответствовал этой цели. Принцип недопустимости объединения баз с несовместимыми целями запрещает агрегировать данные из СМИ с данными из иных источников без самостоятельного правового основания для такой агрегации. На практике это означает: даже если журналист правомерно опубликовал сведения о лице, третье лицо, собирающее эти сведения в досье, должно иметь собственное основание по ст. 6 ФЗ-152.

«Ст. 5 ФЗ-152 — принципы обработки: законность и добросовестность, конкретность и заранее определённые цели, соответствие объёма ПДн целям обработки, недопустимость объединения несовместимых баз, уничтожение или обезличивание ПДн при достижении цели или утрате необходимости.»

Ключевая точка: принцип законности обработки требует наличия хотя бы одного из оснований ст. 6 ФЗ-152. Факт публикации данных в СМИ не упомянут среди этих оснований ни прямо, ни косвенно.

На каком основании можно обрабатывать ПДн из публичных источников?

Статья 6 ФЗ-152 содержит закрытый перечень из 11 оснований. Для сведений, попавших в СМИ, теоретически применимы три:

Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152). Стандартное основание. Публикация в СМИ не заменяет согласие и не является его формой. После 01.09.2025 согласие — отдельный документ с обязательными реквизитами (ФЗ-156 от 24.06.2025).
Законный интерес оператора (п. 7 ч. 1 ст. 6 ФЗ-152). Применяется при условии, что цели оператора не противоречат правам субъекта. Это основание требует теста на соразмерность: чем выше вмешательство в частную жизнь, тем сложнее обосновать законный интерес.
Публично доступные источники ПДн (ст. 8 ФЗ-152). Норма охватывает справочники и адресные книги, куда субъект сам внёс свои данные с согласия. СМИ-публикация попадает под ст. 8 только если данные размещены субъектом добровольно в качестве публично доступного источника — что для журналистских материалов практически исключено.

Таким образом, факт публикации в СМИ сам по себе не создаёт ни одного из этих оснований. Он может лишь подтвердить, что сведения находятся в открытом доступе, — но это не освобождает оператора от необходимости иметь самостоятельное правовое основание для их обработки.

«Ст. 6 ч. 1 ФЗ-152 — обработка ПДн допускается только при наличии хотя бы одного из 11 оснований; согласие субъекта — основное (п. 1); законный интерес — вспомогательное (п. 7), требует теста на соразмерность.»

Выстраиваете правовые основания обработки для клиента?

Ошибка в квалификации основания — наиболее частый повод для протокола РКН по ч. 1 ст. 13.11 КоАП. Штраф 150 000–300 000 ₽ при первичном нарушении; при повторном — оборотный по ч. 15 до 500 млн ₽. Юристы DATUM проводят аудит по чек-листу из 38 пунктов и выдают отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как ст. 10.1 ФЗ-152 регулирует обработку общедоступных ПДн?

Статья 10.1 ФЗ-152 посвящена специальному режиму обработки ПДн, разрешённых субъектом для распространения. Норма требует отдельного согласия субъекта именно на распространение — и устанавливает правило умолчания: если субъект не оговорил условия распространения, оператор вправе обрабатывать такие ПДн только для собственных нужд, не передавая их третьим лицам.

Применительно к материалам СМИ логика следующая. Журналист или редакция, публикуя сведения о лице, действуют на основании свободы слова и Закона о СМИ. Но третье лицо, которое забирает эти сведения и включает в собственную базу данных, не имеет специального статуса СМИ и не может ссылаться на журналистскую привилегию. Оно становится самостоятельным оператором ПДн и обязано иметь основание по ст. 6 ФЗ-152.

Риск двойного нарушения: если оператор, не имея согласия по ст. 10.1, передаёт «публично доступные» ПДн своим партнёрам, — к основному составу по ч. 1 ст. 13.11 добавляется состав по ч. 2 (отсутствие надлежащего согласия на передачу), что даёт штраф до 700 000 ₽.

Что проверить при использовании ПДн из публичных источников

Наличие самостоятельного правового основания по ст. 6 ФЗ-152 — согласие, договор, закон, законный интерес.
Соответствие цели обработки принципам ст. 5 ФЗ-152: цель зафиксирована, объём данных не избыточен.
Квалификация источника по ст. 8 ФЗ-152: внёс ли субъект данные в этот источник сам и добровольно.
Наличие согласия по ст. 10.1, если планируется дальнейшая передача данных третьим лицам.
Уведомление РКН по ст. 22 ФЗ-152, если обработка ПДн из публичных источников ведётся систематически.

Какие категории ПДн встречаются в СМИ и чем это опасно для оператора?

Материалы СМИ нередко содержат специальные категории ПДн по ст. 10 ФЗ-152: сведения о состоянии здоровья, судимости, политических взглядах, религии. Обработка таких данных по общему правилу запрещена; исключения — строго по ч. 2 ст. 10 ФЗ-152. Ссылка на то, что данные «уже опубликованы», не является исключением из ст. 10.

На практике это означает: если компания формирует базу с профилями публичных лиц, включая сведения об их здоровье или судимостях из открытых источников, — она обрабатывает спецкатегорию без надлежащего основания. Это квалифицируется по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽), а при передаче данных — дополнительно по ч. 2 (до 700 000 ₽).

Ещё одна зона риска — биометрические ПДн по ст. 11 ФЗ-152. Фотографии из публикаций СМИ при использовании для идентификации (в системах распознавания лиц, скрапинге) становятся биометрией. Обработка без письменного согласия — ч. 16 ст. 13.11 КоАП. Утечка такой базы — ч. 17, штраф 15–20 млн ₽.

Если вы юрист и ваш клиент агрегирует данные из открытых источников, включая СМИ, — оцените правовые основания до проверки РКН. Срок ответа на запрос субъекта ПДн — 10 рабочих дней (ст. 20 ФЗ-152). Просроченный ответ — основание для протокола по ч. 4 ст. 13.11 (штраф до 80 000 ₽).

Заказать аудит 152-ФЗ

Типовые сценарии: как суды и РКН оценивают ссылки на публичность

Практика складывается вокруг трёх типичных ситуаций.

Сценарий 1. Оператор собирает досье на физических лиц из открытых источников. Ситуация: компания агрегирует данные о потенциальных контрагентах из СМИ, соцсетей, реестров. Доказательства, которые запрашивает РКН: уведомление о намерении обрабатывать ПДн (ст. 22 ФЗ-152), политика обработки, правовое основание по ст. 6 для каждой категории данных. Вероятный исход при отсутствии уведомления: штраф по ч. 10 ст. 13.11 КоАП — 100 000–300 000 ₽; при отсутствии основания обработки — дополнительно по ч. 1 той же статьи. Стратегия: зафиксировать законный интерес, ограничить объём собираемых данных принципом минимизации (ст. 5 ФЗ-152), уведомить РКН до начала обработки.

Сценарий 2. СМИ требует прекратить использование его публикаций как источника ПДн. Ситуация: редакция или субъект ПДн направляет требование об уничтожении ПДн, ссылаясь на ст. 21 ФЗ-152. Оператор возражает — данные «публичные». Исход: требование ст. 21 подлежит исполнению независимо от источника данных; неисполнение в установленный срок — ч. 5 ст. 13.11 КоАП (штраф 50 000–90 000 ₽). Повторно — ч. 5.1 (300 000–500 000 ₽). Стратегия: разграничить данные по источникам; для данных из СМИ — провести тест на законный интерес, при отсутствии — уничтожить.

Сценарий 3. Оператор передаёт «публичные» ПДн партнёрам без согласия субъекта. Ситуация: маркетинговое агентство перепродаёт базу с профилями, собранными из открытых источников. Исход: одновременное нарушение по ч. 1 (незаконная обработка) и ч. 2 (передача без надлежащего согласия). Совокупный штраф — до 1 000 000 ₽. При повторности — оборотный по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽. Стратегия: остановить передачу до получения правового заключения, зафиксировать в поручении обработки (п. 3 ч. 1 ст. 6 ФЗ-152) объём допустимых действий.

Как это выглядит на практике: примеры из регионов

Кейс 1. Компания из Сибирского федерального округа (осень 2025) вела базу данных публичных персон, куда включала сведения о состоянии здоровья из журналистских материалов. При внеплановой проверке РКН зафиксировал обработку спецкатегории ПДн без основания по ч. 2 ст. 10 ФЗ-152 и без уведомления по ст. 22. Арбитражный суд округа назначил совокупный штраф в несколько сотен тысяч рублей по ч. 1 и ч. 10 ст. 13.11 КоАП.

Кейс 2. Юридическое бюро в Центральном федеральном округе (начало 2026) формировало досье на физических лиц из открытых источников для проверки контрагентов. По жалобе субъекта РКН запросил правовое основание по ст. 6 ФЗ-152. Оператор сослался на «публичность» источников. РКН квалифицировал ответ как недостаточный: «публичность» сведений не освобождает оператора от наличия самостоятельного основания. Выдано предписание об устранении нарушения; после формирования пакета ОРД с фиксацией законного интереса и актуализации политики — дело прекращено без штрафа.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правовых оснований обработки по 38 критериям
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Любое действие с персональными данными: сбор, запись, хранение, использование, передача, уничтожение и другие операции — вне зависимости от того, автоматизированы они или нет. Перечень в ст. 3 ФЗ-152 открытый: даже однократное копирование текста с данными физического лица в собственный файл — уже обработка, требующая правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн из публичных источников?

Допустимо применять основания ст. 6 ФЗ-152: согласие субъекта (п. 1), договор с субъектом (п. 5), законный интерес оператора (п. 7) — при условии теста на соразмерность, или обработку в силу закона (п. 2). Ссылка на «публичность» источника (СМИ, соцсети) не является самостоятельным основанием. Ст. 8 ФЗ-152 о публично доступных источниках применима только к данным, которые субъект сам внёс в справочник или базу как публично доступные.

3. Что грозит за нарушение 152-ФЗ при обработке данных из СМИ?

При незаконной обработке — штраф по ч. 1 ст. 13.11 КоАП 150 000–300 000 ₽ (в редакции с 30.05.2025). При отсутствии надлежащего согласия на передачу данных — дополнительно ч. 2 той же статьи, до 700 000 ₽. Повторное нарушение даёт оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Если данные из СМИ используются в системах распознавания лиц — риск по ч. 16 и ч. 17 ст. 13.11 (биометрия, до 20 млн ₽).

4. Нужно ли уведомлять РКН, если данные берутся из открытых источников?

Да. Обязанность уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) не зависит от источника данных — только от наличия систематической обработки и отсутствия применимого исключения из перечня ч. 2 ст. 22. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП 100 000–300 000 ₽. Уведомление подаётся через pd.rkn.gov.ru до начала обработки.

5. С какого возраста нужно согласие на обработку ПДн?

По общему правилу ФЗ-152 дееспособность для целей согласия — с 18 лет. Несовершеннолетние в возрасте до 18 лет: согласие даёт законный представитель. При обработке ПДн несовершеннолетних из публичных источников (интервью, репортажи) действует дополнительная осторожность: ст. 10 ФЗ-152 охраняет сведения об интимной жизни и здоровье без возрастного ограничения; обработка спецкатегорий — только при наличии основания ч. 2 ст. 10.

Итог

Факт публикации персональных данных в СМИ не создаёт правового основания для их дальнейшей обработки по ФЗ-152. Оператор, использующий такие данные, обязан иметь самостоятельное основание по ст. 6, соблюдать принципы ст. 5, уведомить РКН по ст. 22 и при необходимости получить согласие по ст. 10.1 на распространение. Риск по обновлённой ст. 13.11 КоАП (ред. с 30.05.2025) — до 700 000 ₽ при первичном нарушении, оборотный штраф при повторном.

DATUM сопровождает операторов в выстраивании правовых оснований обработки: от аудита по 38 критериям до формирования полного пакета ОРД и поддержки ответственного за обработку на аутсорсинге по ст. 22.1 ФЗ-152.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности.

16 октября 2027 года