аналитика 22 октября 2026 По состоянию на 22 октября 2026

Распространение общедоступных ПДн (ст. 6 п. 10)

Распространение общедоступных персональных данных — отдельное правовое основание по п. 10 ч. 1 ст. 6 ФЗ-152, требующее специального согласия субъекта по ст. 10.1 ФЗ-152.

Без отдельного согласия на распространение оператор вправе обрабатывать ПДн только в своих целях. Любая передача третьим лицам сверх этого создаёт основание для штрафа по ч. 1 или ч. 2 ст. 13.11 КоАП в редакции с 30.05.2025 — до 700 000 ₽ за одно нарушение.

→ Если вы юрист и готовите ОРД или проверяете комплаенс по 152-ФЗ — убедитесь, что согласие на распространение выделено в отдельный документ.

С 30.05.2025 санкции по ст. 13.11 КоАП работают в новой редакции ФЗ-420: 18 частей вместо прежних семи, оборотный штраф при повторной утечке — до 500 млн ₽. На этом фоне вопрос разграничения оснований обработки — в частности, п. 10 ч. 1 ст. 6 о распространении общедоступных данных — приобрёл прикладную ценность: ошибка в правовом основании квалифицируется как самостоятельное нарушение. В этом материале разобраны содержание нормы, условия её применения, типичные ошибки операторов и алгоритм снижения риска.

Что такое общедоступные ПДн и как они связаны со ст. 6 ФЗ-152?

Статья 3 ФЗ-152 относит к общедоступным источникам персональных данных справочники, адресные книги и иные источники, в которые субъект дал согласие на включение своих сведений. Ключевой признак — субъект сам разрешил внести данные: ФИО, профессия, номер телефона, адрес электронной почты. Сам факт нахождения данных в открытом доступе не делает их автоматически «общедоступными» по смыслу ФЗ-152.

«Ст. 8 ФЗ-152 — общедоступные источники ПДн создаются с письменного согласия субъекта. Субъект вправе в любое время потребовать исключения своих сведений из такого источника.»

Пункт 10 ч. 1 ст. 6 ФЗ-152 устанавливает самостоятельное правовое основание: обработка допустима, если она осуществляется в целях распространения ПДн, и субъект дал на это согласие в порядке ст. 10.1 ФЗ-152. Это основание отличается от согласия по п. 1 ч. 1 ст. 6 (общее согласие на обработку) и не может заменяться им. Оператор, использующий п. 10, обязан дополнительно получить отдельное согласие именно на распространение — публикацию, передачу неопределённому кругу лиц, размещение в открытых базах.

Статья 10.1 ФЗ-152 закрепляет принцип умолчания в пользу ограниченного использования: если в согласии на распространение прямо не указано иное, данные считаются разрешёнными к обработке только самим оператором. Расширительное толкование не допускается. На практике это означает: получив общее согласие клиента на обработку его ФИО и email, оператор не вправе передавать эти данные партнёрам, размещать их в справочнике или продавать базу — без отдельного согласия по ст. 10.1.

Какие условия должны выполняться при использовании п. 10 ч. 1 ст. 6?

Чтобы обработка ПДн на основании п. 10 ч. 1 ст. 6 была правомерной, необходимо одновременное выполнение нескольких условий.

Первое. Согласие субъекта на распространение должно быть оформлено отдельным документом по требованиям ст. 10.1 ФЗ-152. С 01.09.2025, в редакции ФЗ-156 от 24.06.2025, согласие на обработку ПДн в любой форме не может объединяться с договором, офертой, политикой конфиденциальности или иным документом. Требование отдельного документа для согласия на распространение существовало и прежде — но теперь это требование распространяется на любое согласие.

«Ст. 10.1 ФЗ-152 — согласие на распространение ПДн оформляется отдельно от иных согласий. Молчание субъекта означает запрет на распространение.»

Второе. В согласии должно быть указано, какие именно данные разрешены к распространению, каким категориям лиц, на какой срок и с какими ограничениями. Запреты и условия использования, установленные субъектом, обязательны для всех третьих лиц, получивших данные от оператора.

Третье. Принципы ст. 5 ФЗ-152 применяются в полном объёме: соответствие объёма данных заявленным целям, недопустимость объединения баз с несовместимыми целями, уничтожение или обезличивание данных по достижении цели. Оператор не вправе распространять данные шире, чем разрешил субъект, — даже если данные находятся в открытом источнике.

Четвёртое. Субъект вправе в любой момент отозвать согласие на распространение (ст. 9 ФЗ-152). Оператор обязан в течение трёх рабочих дней прекратить распространение. Если данные уже переданы третьим лицам — оператор уведомляет их об отзыве согласия.

Согласия на распространение ещё нет в ОРД компании?

Если вы юрист и при проверке ОРД обнаружили, что согласие на распространение ПДн объединено с договором или политикой, — это нарушение ст. 10.1 ФЗ-152 и основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). После 01.09.2025 старые формы согласий, включённые в другие документы, не отвечают требованиям ФЗ-156. На исправление уходит от двух недель: нужна новая форма, актуализированная политика и журнал повторного сбора согласий.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Где граница между обработкой и распространением: типичные ошибки операторов

На практике операторы чаще всего допускают три вида ошибок при работе с общедоступными ПДн.

Ошибка 1: подмена основания. Оператор собирает данные из открытых источников (LinkedIn, HH.ru, публичных реестров) и ссылается на то, что данные «и так общедоступны». Это не освобождает от обязанности иметь правовое основание по ст. 6 ФЗ-152. Нахождение данных в открытом источнике подтверждает лишь то, что субъект разрешил их размещение конкретному оператору того источника — не любому третьему лицу.

Ошибка 2: включение согласия на распространение в договор. До вступления в силу ФЗ-156 (01.09.2025) часть операторов включала условие о распространении ПДн в текст оферты или договора оказания услуг. Такое согласие не отвечает требованиям ст. 10.1 ФЗ-152 и не является самостоятельным документом. Штраф по ч. 2 ст. 13.11 КоАП за нарушение требований к составу согласия — от 300 000 до 700 000 ₽ для юридического лица.

Ошибка 3: отсутствие механизма отзыва. Даже при наличии корректного согласия оператор нередко не выстраивает процесс его отзыва: нет контакта для обращения, нет срока реакции, нет механизма уведомления третьих лиц о прекращении согласия. Ст. 9 ФЗ-152 требует прекращения распространения в течение трёх рабочих дней после отзыва. Невыполнение требования субъекта — состав по ч. 5 ст. 13.11 КоАП (50 000 — 90 000 ₽), при повторном нарушении — до 500 000 ₽ по ч. 5.1.

Что подготовить для правомерного применения п. 10 ч. 1 ст. 6

Отдельный документ согласия на распространение ПДн по ст. 10.1 ФЗ-152 с перечнем данных, категорией получателей, сроком и условиями ограничения
Обновлённая политика обработки ПДн с разделом о распространении и указанием оснований по ст. 6 ФЗ-152
Регламент отзыва согласия на распространение: контактный канал, срок реакции (3 рабочих дня), порядок уведомления третьих лиц
Журнал согласий с датой, формой документа и фактом его получения — для доказательства в случае проверки РКН
Проверка уведомления в реестре операторов ПДн (pd.rkn.gov.ru): цели и категории ПДн должны включать распространение, если оно осуществляется

Как суды и РКН квалифицируют нарушения при распространении ПДн?

В 2025–2026 годах правоприменительная практика по ст. 13.11 КоАП в новой редакции только формируется. По данным InfoWatch (февраль 2026), за первый год действия ФЗ-420 было вынесено шесть административных штрафов на общую сумму около 570 000 ₽ — суды и РКН накапливают практику. Тем не менее уже прослеживается ряд устойчивых позиций.

РКН квалифицирует передачу ПДн третьим лицам без правового основания как нарушение ч. 1 ст. 6 ФЗ-152 (обработка в случаях, не предусмотренных законом). Если при этом нарушены требования к составу согласия — добавляется самостоятельный состав по ч. 2 ст. 13.11. Штрафы суммируются по каждому составу отдельно.

В деле о распространении базы клиентов торговой компании (Центральный ФО, осень 2025) оператор передал список ФИО и телефонов партнёрской организации, ссылаясь на то, что данные получены с публичного ресурса. Мировой суд района установил отсутствие отдельного согласия на распространение и квалифицировал нарушение по ч. 1 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. Смягчающим обстоятельством послужило прекращение распространения до вынесения постановления. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Если вы юрист и обнаружили, что компания передаёт ПДн клиентов партнёрам без отдельного согласия по ст. 10.1, — это основание для штрафа по ч. 1 и ч. 2 ст. 13.11 одновременно. Аудит ОРД выявит все несоответствия до проверки РКН.

Заказать аудит 152-ФЗ

В другом деле (Северо-Западный ФО, весна 2026) EdTech-платформа разместила список слушателей курса с ФИО и должностями в публичном разделе сайта. Субъекты дали согласие на обработку ПДн в рамках договора — но не на публикацию. РКН возбудил дело по ч. 2 ст. 13.11 КоАП: обработка ПДн без надлежащего согласия. Оператор устранил нарушение, разместив надлежащую форму согласия на распространение и удалив список. Штраф снижен с учётом ст. 4.1.1 КоАП (первичность нарушения, статус малого предприятия). ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Матрица типовых ситуаций: распространение ПДн и риски по 152-ФЗ

Ситуация 1. Компания публикует отзывы клиентов с ФИО и фотографией.

Оператор использует отзывы в маркетинговых материалах. В согласии, подписанном при регистрации, указана только цель «улучшение качества сервиса». Публикация ФИО и фото — распространение ПДн неопределённому кругу лиц. Отсутствие отдельного согласия по ст. 10.1 ФЗ-152 — нарушение ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽). Стратегия: разработать отдельную форму согласия на публикацию отзыва с перечнем данных и каналов размещения; получить согласие ретроактивно или удалить уже опубликованные материалы.

Ситуация 2. HR-агентство формирует базу резюме из открытых источников и продаёт доступ к ней работодателям.

Данные собраны с публичных сайтов по поиску работы. Субъект разрешил размещение своего резюме на конкретной платформе — не передачу его третьим лицам за вознаграждение. Агентство не имеет правового основания ни по п. 1 (нет согласия), ни по п. 10 (нет согласия на распространение) ч. 1 ст. 6 ФЗ-152. Риск: ч. 1 и ч. 2 ст. 13.11 КоАП одновременно, при масштабе базы — ч. 12 ст. 13.11 (3–5 млн ₽, утечка от 1 000 субъектов). Стратегия: остановить передачу базы, получить отдельные согласия от субъектов или ограничиться инструментами анонимного поиска.

Ситуация 3. Интернет-магазин передаёт список покупателей логистическому партнёру без договора поручения.

Оператор направляет партнёру ФИО, адреса и телефоны для организации доставки. Передача третьему лицу для обработки требует либо самостоятельного основания у партнёра, либо договора поручения по п. 3 ст. 6 ФЗ-152. При отсутствии договора — незаконная передача ПДн, ч. 1 ст. 13.11 (150 000 — 300 000 ₽). Стратегия: заключить договор поручения с логистическим партнёром, включить условия о конфиденциальности и уничтожении данных по завершении поручения.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой считается любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Распространение — один из видов обработки, при этом требующий отдельного основания по п. 10 ч. 1 ст. 6 и специального согласия по ст. 10.1 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Часть 1 ст. 6 ФЗ-152 устанавливает 11 правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанностей оператора по закону (п. 2), осуществление правосудия (п. 3). Для распространения ПДн — отдельное основание: п. 10 (согласие по ст. 10.1). Использовать общее согласие на обработку как основание для распространения нельзя.

3. Что грозит за нарушение 152-ФЗ при распространении ПДн?

Распространение ПДн без правового основания — ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽ для юрлица в редакции с 30.05.2025). Если нарушены требования к согласию — дополнительно ч. 2 ст. 13.11 (300 000 — 700 000 ₽). При утечке от 1 000 субъектов — ч. 12 ст. 13.11 (3–5 млн ₽). Повторное нарушение создаёт риск оборотного штрафа по ч. 15 ст. 13.11: 1–3% годовой выручки, не менее 20 млн ₽.

4. Нужно ли уведомлять РКН малому бизнесу об обработке ПДн?

Да, ст. 22 ФЗ-152 обязывает уведомить РКН о намерении обрабатывать ПДн до начала обработки — независимо от размера компании. Исключений для малого бизнеса нет. Неуведомление — ч. 10 ст. 13.11 КоАП (100 000 — 300 000 ₽). Если оператор осуществляет распространение ПДн, это должно быть отражено в уведомлении как самостоятельная цель обработки.

5. С какого возраста нужно согласие на ПДн?

По общему правилу согласие на обработку ПДн даёт сам субъект. Если субъект не достиг 18 лет, согласие вправе давать его законный представитель (родитель, опекун). Для несовершеннолетних от 14 до 18 лет ряд норм допускает самостоятельное согласие, но при распространении ПДн несовершеннолетнего дополнительно требуется согласие законного представителя. Точный возрастной порог в ФЗ-152 прямо не установлен, применяется общегражданская дееспособность по ГК РФ.

Итог

Распространение общедоступных ПДн на основании п. 10 ч. 1 ст. 6 ФЗ-152 — правомерно только при наличии отдельного согласия субъекта по ст. 10.1, оформленного с соблюдением требований ФЗ-156 (с 01.09.2025). Ссылка на открытость данных не заменяет правовое основание. Нарушение формы или содержания согласия — самостоятельный состав по ч. 2 ст. 13.11 КоАП, который суммируется с нарушением основания по ч. 1.

Юристы DATUM сопровождают операторов при аудите ОРД, разработке форм согласий на распространение, актуализации политик обработки ПДн и подготовке к проверкам РКН — в рамках практики «Ветров и партнёры» по 152-ФЗ.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка ОРД и правовых оснований обработки ПДн
Комплект ОРД под ключ — политика, согласия на распространение, регламенты
DPO-аутсорсинг — абонентское сопровождение по ст. 22.1 ФЗ-152

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

22 октября 2026 года