Распространение ПДн по ст. 10.1: отдельное согласие
Статья 10.1 ФЗ-152 появилась в 2021 году и выделила распространение ПДн в самостоятельный режим. До этого оператор мог включить согласие на распространение в общее согласие на обработку — сейчас это прямо запрещено. Для юриста, проводящего аудит ОРД или готовящего компанию к проверке Роскомнадзора, понимание ст. 10.1 обязательно: ошибки в этом блоке — один из наиболее частых поводов для протоколов.
Что такое распространение ПДн и чем оно отличается от обычной обработки?
Распространение персональных данных — действие, в результате которого ПДн становятся доступны неопределённому кругу лиц (ст. 3 ФЗ-152). Это не то же самое, что передача конкретному третьему лицу по ст. 6 ФЗ-152: там круг получателей ограничен и известен. При распространении заранее неизвестно, кто получит данные.
Типичные ситуации распространения: публикация ФИО, должности и фотографии сотрудника на корпоративном сайте; размещение отзывов клиентов с именем и городом; открытые рейтинги, каталоги специалистов, доски почёта. Всё это требует отдельного согласия по ст. 10.1, даже если у оператора уже есть общее согласие на обработку по ст. 9 ФЗ-152.
Разграничение важно с точки зрения правовых оснований ст. 6 ФЗ-152. Обработка ПДн возможна на 11 основаниях — в том числе без согласия (например, для исполнения договора по п. 5 ч. 1 ст. 6). Но распространение без согласия не допускается ни на одном из этих оснований, если субъект не дал специального согласия по ст. 10.1.
Проверяете ОРД компании на предмет согласий по ст. 10.1?
Если в пакете документов нет отдельного согласия на распространение — это нарушение, которое РКН фиксирует при плановой и внеплановой проверке. Штраф по ч. 2 ст. 13.11 КоАП составляет от 300 000 до 700 000 ₽ за каждый случай обработки без надлежащего согласия. Юристы DATUM проведут аудит по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Каков обязательный состав согласия на распространение ПДн?
Согласие на распространение — самостоятельный документ, соответствующий требованиям ст. 10.1 ФЗ-152. Он не может быть частью трудового договора, политики конфиденциальности или оферты. С 01.09.2025 это требование усилено ФЗ-156 от 24.06.2025: все согласия на обработку ПДн по ст. 9 обязаны быть оформлены отдельными документами. Ст. 10.1 действовала в этом режиме ещё с 2021 года.
Обязательные реквизиты согласия по ст. 10.1 ФЗ-152:
- наименование или ФИО оператора;
- цель обработки ПДн при распространении;
- перечень категорий ПДн, на распространение которых субъект даёт согласие;
- условия, при которых оператор вправе обрабатывать ПДн без согласия на распространение (если такие условия применимы по закону);
- запреты и условия, установленные субъектом в отношении распространения (например, запрет передачи третьим лицам без его ведома);
- срок действия согласия либо указание на бессрочность;
- способ отзыва согласия.
Принцип «молчание — запрет» закреплён прямо: если субъект не указал в согласии условия и запреты, оператор по умолчанию обязан прекратить распространение по требованию субъекта в течение трёх рабочих дней. Это исключает схему «умолчание = согласие», которую ряд операторов применял до 2021 года.
Какие запреты субъект вправе установить при даче согласия?
Субъект ПДн вправе при даче согласия указать категории лиц, которым оператор не может передавать его данные, или запретить любую передачу третьим лицам вообще. Оператор обязан соблюдать эти ограничения.
Кроме того, субъект вправе в любой момент отозвать согласие на распространение полностью или в части — например, запретить публикацию фотографии, сохранив разрешение на публикацию ФИО. Оператор прекращает распространение в течение трёх рабочих дней с момента получения отзыва (ч. 12 ст. 10.1 ФЗ-152). Если данные уже опубликованы — оператор обязан потребовать их удаления у третьих лиц, которым они были переданы.
Для юриста это означает, что в любом договоре с подрядчиком, который получает ПДн для их публикации (маркетинговое агентство, HR-платформа, агрегатор специалистов), необходимо предусмотреть механизм обратного удаления — иначе оператор не сможет выполнить требование ч. 12 ст. 10.1 в трёхдневный срок.
Если компания передаёт ПДн подрядчику для публикации и у неё нет механизма удаления — это нарушение ст. 10.1 ФЗ-152 и ч. 1 ст. 13.11 КоАП (до 300 000 ₽). Юристы DATUM соберут ОРД с учётом требований ст. 10.1 под ключ — политика, согласия, инструкции, договоры поручения.
Собрать ОРД под ключТипичные ошибки операторов и как их устранить
На основе анализа практики проверок РКН выделяется несколько устойчивых паттернов нарушений ст. 10.1 ФЗ-152.
Ошибка 1. Согласие на распространение включено в общее согласие на обработку. Встречается в HR: работник подписывает согласие по ст. 9 ФЗ-152 на обработку ПДн, в тексте которого одним из пунктов стоит «в том числе путём публикации на сайте компании». Это прямо запрещено ст. 10.1 ФЗ-152 — согласие на распространение оформляется самостоятельным документом.
Ошибка 2. Согласие на распространение не содержит перечня запретов и условий. Оператор оставляет поле «запреты субъекта» пустым или пишет «не установлены», не предлагая субъекту выбрать. При отзыве согласия или жалобе субъекта оператор оказывается в уязвимой позиции: суды толкуют такое молчание в пользу субъекта.
Ошибка 3. Отсутствие механизма исполнения трёхдневного срока. Оператор не имеет технической возможности удалить данные у подрядчика в течение трёх рабочих дней, поскольку в договоре поручения нет соответствующего SLA. Нарушение ч. 12 ст. 10.1 влечёт штраф по ч. 5 ст. 13.11 КоАП (до 90 000 ₽ за неисполнение требования субъекта в установленные сроки).
Ошибка 4. Использование ст. 10.1 к данным, переданным по иному основанию. Ряд операторов считает, что если ПДн получены от третьего лица (например, агентства при найме), то согласие по ст. 10.1 не нужно. Это ошибка: обязанность получить согласие лежит на том операторе, который осуществляет распространение, вне зависимости от источника получения данных.
Что проверить в ОРД по ст. 10.1
- Есть ли отдельный документ согласия на распространение — не включённый в согласие по ст. 9 ФЗ-152.
- Содержит ли согласие все обязательные реквизиты, включая перечень допустимых запретов субъекта.
- Предусмотрен ли в договорах с подрядчиками механизм удаления ПДн в течение трёх рабочих дней.
- Зафиксирован ли в журнале учёта обращений порядок обработки отзывов согласий на распространение.
- Отражено ли распространение ПДн как отдельная цель в уведомлении в реестре РКН по ст. 22 ФЗ-152.
Связанные услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка ОРД по чек-листу из 38 пунктов, включая согласия по ст. 10.1
- Комплект ОРД под ключ — разработка отдельного согласия на распространение и договора поручения
- DPO-аутсорсинг — ведение реестра согласий и ответы на отзывы субъектов по ст. 10.1
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
Обработка ПДн по ст. 3 ФЗ-152 — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Распространение — самостоятельный вид обработки, выделенный ст. 10.1 ФЗ-152 в отдельный правовой режим с 2021 года. Оно требует специального согласия сверх общего согласия на обработку.
2. На основании чего можно обрабатывать ПДн?
Статья 6 ФЗ-152 устанавливает 11 правовых оснований: согласие субъекта, исполнение договора с субъектом, выполнение возложенных обязанностей, осуществление правосудия, исполнение полномочий органов власти и ряд других. Для распространения ПДн ни одно из этих оснований не заменяет специального согласия по ст. 10.1 — оно требуется дополнительно к основанию обработки.
3. Что грозит за нарушение 152-ФЗ?
Ответственность зависит от вида нарушения. Распространение без согласия квалифицируется по ч. 2 ст. 13.11 КоАП (штраф для юрлица 300 000–700 000 ₽) или по ч. 1 (150 000–300 000 ₽) — в зависимости от состава. При повторном нарушении по ч. 2 применяется ч. 2.1: штраф возрастает до 1 000 000–1 500 000 ₽. Неисполнение требования субъекта об удалении данных — ч. 5 ст. 13.11 (до 90 000 ₽). Редакция действует с 30.05.2025 по ФЗ-420 от 30.11.2024.
4. Нужно ли уведомлять РКН малому бизнесу?
По общему правилу ст. 22 ФЗ-152 уведомление обязательно для любого оператора до начала обработки ПДн. Для малого бизнеса исключений нет — они предусмотрены только для узких случаев (обработка ПДн исключительно в целях заключения и исполнения договора с конкретным физлицом и ряд других по ч. 2 ст. 22). Если компания публикует данные сотрудников или клиентов, обработка с целью «распространение» должна быть указана в уведомлении отдельно.
5. С какого возраста нужно согласие на ПДн?
По общему правилу ст. 9 ФЗ-152 согласие дают дееспособные субъекты — с 18 лет. За несовершеннолетних до 18 лет согласие даёт родитель или законный представитель. Для согласия на распространение ПДн по ст. 10.1 возрастной порог тот же: публиковать данные ребёнка без согласия его представителя недопустимо. Образовательные организации, публикующие списки учеников, — типичный случай нарушения.
Итог
Статья 10.1 ФЗ-152 устанавливает отдельный правовой режим для распространения ПДн: специальное согласие, принцип «молчание — запрет», трёхдневный срок исполнения отзыва. Нарушения в этом блоке — один из наиболее частых поводов для протоколов РКН при проверках операторов, публикующих данные сотрудников или клиентов.
Практика DATUM по аудиту ОРД показывает, что большинство ошибок по ст. 10.1 устраняются на этапе разработки пакета документов: отдельное согласие, договор поручения с SLA на удаление, корректная запись цели в реестре РКН. Устранить эти нарушения после проверки сложнее и дороже.
14 июля 2026 года