аналитика 24 февраля 2029 По состоянию на 24 февраля 2029

Реестр госслужащих: ПДн

Персональные данные государственных и муниципальных служащих — это особая категория сведений, обработка которых регулируется одновременно ФЗ-152, специальными законами о службе и требованиями к реестрам кадров. Публикация в открытых реестрах, передача в ГИС и раскрытие сведений о доходах создают конкурирующие обязанности оператора.

С 30.05.2025 за нарушение порядка обработки ПДн действует расширенная ст. 13.11 КоАП в редакции ФЗ-420: штраф для юрлица — до 300 000 ₽ за незаконную обработку по ч. 1 и до 700 000 ₽ за нарушение требований к согласию по ч. 2. При повторной утечке — оборотный штраф от 20 млн ₽.

→ Если вы юрист и сопровождаете госорган или подведомственную организацию — проверьте, соответствует ли ОРД кадрового блока действующим требованиям ФЗ-152.

Реестры государственных и муниципальных служащих существуют во множестве форм: от ведомственных кадровых систем до федеральных ГИС. Для юриста, который сопровождает госорган, ГУП, МУП или подведомственное учреждение, ключевой вопрос — какие нормы ФЗ-152 применяются к обработке ПДн в этих системах, где заканчиваются изъятия из общих правил и где начинается полноценная ответственность по ст. 13.11 КоАП. В этой статье разобраны правовые основания обработки, режим публикации сведений о доходах, передача данных в межведомственные системы и типовые нарушения, которые фиксирует Роскомнадзор.

Какие нормы регулируют обработку ПДн госслужащих?

Государственный гражданский служащий — субъект персональных данных в полном объёме ст. 3 ФЗ-152. Его трудовые права в части обработки ПДн закреплены в ст. 86–88 ТК РФ. Дополнительный специальный слой создают ФЗ-79 «О государственной гражданской службе» и ФЗ-25 «О муниципальной службе»: они определяют состав персонального дела, порядок ведения реестра и режим доступа к сведениям.

Важный нюанс: ст. 6 ФЗ-152 допускает обработку ПДн без согласия субъекта, если это необходимо для исполнения оператором обязанностей, возложенных законодательством (п. 2 ч. 1 ст. 6). Для кадровых реестров госслужбы это основание работает — формирование реестра служащих прямо предусмотрено ФЗ-79 и соответствующими подзаконными актами. Согласие служащего на включение в реестр не требуется.

«Ст. 6 ФЗ-152, п. 2 ч. 1 — обработка ПДн допустима без согласия субъекта, если она необходима для исполнения обязанностей, возложенных на оператора федеральным законом.»

Однако изъятие из требования согласия не означает изъятия из остальных норм ФЗ-152. Принципы ст. 5 (соответствие объёма целям, не дольше необходимого, точность данных), обязанности по ст. 18.1 (меры обеспечения), требования к защите по ст. 19 и уровни защищённости ИСПДн по ПП РФ № 1119 — всё это остаётся в полной мере. Госорган как оператор обязан иметь политику обработки ПДн, назначить ответственного по ст. 22.1 и обеспечить технические меры в соответствии с Приказом ФСТЭК № 21.

Ещё один правовой слой — ст. 20 ФЗ-79 об антикоррупционных обязанностях. Она обязывает служащих предоставлять сведения о доходах, расходах, имуществе и обязательствах имущественного характера. Эти сведения размещаются на официальных сайтах органов в соответствии с Указом Президента № 460. Публикация сведений о доходах — легальное основание для распространения ПДн, но только в том объёме, который прямо предусмотрен нормативными актами.

Ваша организация ведёт кадровый реестр служащих — когда последний раз проверяли ОРД?

Для юриста, который сопровождает госструктуру или подведомственное учреждение, проверка кадрового блока ОРД — это первый шаг до прихода РКН. Отсутствие политики обработки ПДн на сайте образует состав по ч. 3 ст. 13.11 КоАП. Неверные основания в уведомлении в реестре операторов — риск по ч. 10 той же статьи. Оба нарушения фиксируются при плановой проверке автоматически.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что входит в персональное дело служащего и как ограничить доступ к нему?

Состав персонального дела государственного гражданского служащего определён Указом Президента № 609. Он включает: документы о поступлении на службу, анкету, копии документов об образовании и воинском учёте, аттестационные листы, сведения о доходах, копии приказов о назначении и перемещении, результаты проверок. Муниципальная служба — аналогичный перечень по регламентам субъектов.

Персональное дело — это информационная система персональных данных в смысле ст. 3 ФЗ-152. Если оно ведётся в электронном виде в рамках кадровой СЭДО или специализированной ГИС, оператор обязан определить уровень защищённости по ПП РФ № 1119. При числе служащих до 100 000 и отсутствии спецкатегорий данных (ст. 10 ФЗ-152) — как правило, УЗ-3 или УЗ-4. Включение медицинских сведений или данных о судимости повышает требования до УЗ-2 или УЗ-1.

«ПП РФ № 1119 от 01.11.2012 — уровни защищённости УЗ-1...УЗ-4. Порог 100 000 субъектов и категории ПДн (специальные/биометрические) определяют минимальный уровень защиты ИСПДн.»

Доступ к персональному делу ограничен: ст. 42 ФЗ-79 прямо запрещает распространять сведения о служащих третьим лицам без его согласия, кроме случаев, предусмотренных законом. На практике это означает, что передача выписок из персонального дела другому госоргану (например, при переводе) требует правового основания — поручения, соглашения об информационном обмене или прямой нормы закона, но не согласия служащего.

Для межведомственного обмена данными о служащих используется ФГИС «Единая информационная система управления кадровым составом» (ЕИСУКС). Включение данных в ЕИСУКС — обработка по поручению (ст. 6 п. 3 ФЗ-152): поручение оформляется в силу закона, отдельный договор поручения в классическом виде не нужен, но технические меры защиты при передаче оператор обязан обеспечить самостоятельно.

Как публиковать сведения о доходах, не нарушая ФЗ-152?

Сведения о доходах, расходах и имуществе служащих — публичные ПДн по антикоррупционному законодательству. Однако объём публикуемых сведений строго ограничен. Указ Президента № 460 определяет конкретный перечень: ФИО, должность, доходы за год, недвижимость, транспортные средства, счета. Публикация сверх установленного перечня образует нарушение ч. 1 ст. 13.11 КоАП — обработка (распространение) ПДн в объёме, превышающем цели.

Ст. 10.1 ФЗ-152 требует отдельного согласия на распространение ПДн. Для публикации антикоррупционных сведений это согласие не требуется — основание установлено законом. Но если орган публикует на официальном сайте расширенный перечень (адрес объекта, кадастровый номер, реквизиты счёта), а не только то, что предписано Указом № 460, — это уже нарушение ст. 5 ФЗ-152 (соответствие объёма целям обработки).

Что проверить юристу в кадровом блоке госоргана

Уведомление в реестре операторов РКН: цели, категории ПДн, основания обработки соответствуют фактическому составу кадровой ИСПДн.
Политика обработки ПДн опубликована на официальном сайте по ст. 18.1 ФЗ-152 и содержит все обязательные разделы.
Уровень защищённости кадровой ИСПДн определён по ПП РФ № 1119; технические меры соответствуют Приказу ФСТЭК № 21.
Объём публикуемых антикоррупционных сведений не превышает перечень Указа Президента № 460.
Ответственный за организацию обработки ПДн назначен приказом по ст. 22.1 ФЗ-152; в должностном регламенте отражены соответствующие функции.

Какие нарушения РКН фиксирует чаще всего при проверках госструктур?

По данным Роскомнадзора, госорганы входят в число наиболее часто проверяемых категорий операторов. Плановые проверки ведомств и учреждений выявляют устойчивый набор нарушений:

Отсутствие или неактуальность уведомления в реестре операторов. Ст. 22 ФЗ-152 обязывает уведомить РКН до начала обработки. Внесение изменений при смене ГИС, расширении состава данных или появлении нового основания — обязанность, а не право. Штраф по ч. 10 ст. 13.11 КоАП — от 100 000 до 300 000 ₽.
Политика обработки ПДн отсутствует на сайте или не соответствует ч. 2 ст. 18.1. Документ есть, но в нём нет разделов об основаниях обработки, перечне ПДн, сроках хранения и порядке уничтожения. Штраф по ч. 3 ст. 13.11 — от 30 000 до 60 000 ₽.
Неответ на запрос субъекта. Служащий вправе запросить информацию об обработке его ПДн по ст. 14 и ст. 20 ФЗ-152. Срок ответа — 10 рабочих дней. Нарушение срока или отказ — состав по ч. 4 ст. 13.11 (до 80 000 ₽) или ч. 5 (до 90 000 ₽ при отказе уничтожить).
Избыточный сбор данных. Анкеты при поступлении на службу нередко включают данные о родственниках, не предусмотренные перечнем персонального дела, либо биометрические данные без надлежащего основания. Это нарушение принципа соответствия объёма целям по ст. 5 ФЗ-152.

«Ст. 13.11 КоАП в ред. ФЗ-420 от 30.11.2024 (действует с 30.05.2025) — 18 составов. Неуведомление РКН о намерении обрабатывать ПДн: ч. 10, штраф для юрлица 100 000 — 300 000 ₽. Неответ на запрос субъекта: ч. 4, до 80 000 ₽.»

Как выглядит ответственность на практике: типовые сценарии для юриста

Сценарий 1. Уведомление в реестре устарело после перехода на новую кадровую ГИС. Орган перешёл с локального ПО на региональную ГИС кадрового учёта, но уведомление в реестре операторов РКН не обновил. При плановой проверке инспектор установил, что фактическая обработка ведётся в системе, не указанной в уведомлении. Доказательства: реестровая запись + скриншоты из ГИС. Вероятный исход — протокол по ч. 10 ст. 13.11, штраф от 100 000 ₽. Стратегия: до проверки — актуализировать уведомление через pd.rkn.gov.ru; после вручения протокола — применять ст. 4.1.1 КоАП при наличии признаков первичности и отсутствия вреда.

Сценарий 2. На сайте опубликованы сведения о доходах с избыточными данными. Отдел кадров разместил на сайте ведомства полные антикоррупционные декларации с указанием кадастровых номеров и адресов объектов недвижимости — это выходит за рамки перечня Указа № 460. Жалоба служащего поступила в РКН. Инспектор квалифицировал как распространение ПДн сверх установленного объёма — нарушение ст. 5 и ст. 10.1 ФЗ-152. Вероятный исход — предписание об устранении и штраф по ч. 1 ст. 13.11 (от 150 000 ₽). Стратегия: немедленно привести публикацию в соответствие перечню Указа; в отзыве на протокол указать на устранение нарушения как смягчающее обстоятельство.

Сценарий 3. Утечка кадровых данных через взлом сервера учреждения. Региональное учреждение (более 1 000 и менее 10 000 субъектов в ИСПДн) подверглось атаке, данные о служащих оказались в открытом доступе. Уведомление РКН не было направлено в 24-часовой срок по ч. 3.1 ст. 21 ФЗ-152. Доказательства нарушения: временные метки публикации данных в даркнете vs. дата обращения в РКН. Вероятный исход: протокол по ч. 11 (неуведомление об утечке, штраф 1–3 млн ₽) и по ч. 12 (утечка 1 000–10 000 субъектов, штраф 3–5 млн ₽). Стратегия: при выявлении инцидента — немедленно направить первичное уведомление по Приказу РКН № 187 от 14.11.2022; через 72 часа — расширенный отчёт; в арбитраже — доказывать оперативность устранения и отсутствие умысла.

Если вы юрист и получили уведомление о проверке РКН — у вас, как правило, 20 рабочих дней до визита инспектора. За это время можно привести уведомление, политику и ОРД в соответствие. После вручения акта — поздно менять документы, можно только оспаривать.

Подготовиться к проверке РКН

Отраслевые пересечения: ТСЖ, СМИ, операторы связи, геолокация

Реестры служащих существуют не только в классических госорганах. Ряд отраслей создаёт смежные правовые ситуации, актуальные для юриста по ФЗ-152.

ТСЖ и ГИС ЖКХ. Товарищество собственников жилья или управляющая компания ведёт реестр собственников помещений — это обработка ПДн в смысле ст. 3 ФЗ-152. Оператором, как правило, выступает ТСЖ или УК (тот, кто фактически ведёт реестр). Одновременно данные передаются в ГИС ЖКХ по ФЗ-209 — это самостоятельная обработка в федеральной системе, в которой оператором выступает Минстрой. ТСЖ в этой части действует как лицо, передающее данные по требованию закона (основание — п. 2 ч. 1 ст. 6 ФЗ-152). Пдн собственников включают ФИО, контакты, реквизиты правоустанавливающих документов — общая категория, не специальная.

СМИ и ПДн в публикациях. Средства массовой информации нередко указывают на наличие изъятия из ФЗ-152 для журналистской деятельности. Это изъятие действительно существует — обработка ПДн в целях профессиональной деятельности журналиста допускается без согласия субъекта при условии, что не нарушаются его права и свободы (ст. 6 ФЗ-152). Однако изъятие не распространяется на организационно-технические требования: редакция обязана иметь политику обработки, уведомить РКН и обеспечить защиту данных сотрудников. Освобождение от уведомления РКН для СМИ — частичное, зависит от конкретной цели обработки.

Операторы связи и ПДн абонентов. Оператор связи обрабатывает ПДн абонентов на основании договора (п. 5 ч. 1 ст. 6 ФЗ-152) и одновременно обязан хранить метаданные по «законам Яровой» (ФЗ-374 от 06.07.2016). Передача данных ФСБ по оперативно-розыскным основаниям — отдельное правовое основание, не требующее согласия абонента, но требующее судебного решения или иного предусмотренного законом документа. Геолокация абонента — ПДн в смысле ст. 3 ФЗ-152; обработка допустима только в рамках договора или с согласия.

Каршеринг и ПДн пассажиров. Сервисы каршеринга собирают расширенный набор: ФИО, данные водительского удостоверения, фото (биометрия по ст. 11 ФЗ-152), геолокацию в режиме реального времени, историю поездок. Биометрия — письменное согласие обязательно. Геолокация — отдельное согласие или необходимость для исполнения договора. Хранение данных о поездках дольше срока, необходимого для расчётов и урегулирования споров, — нарушение принципа минимизации ст. 5 ФЗ-152.

Частые вопросы

1. Кто является оператором ПДн: ТСЖ или управляющая компания?

Оператором выступает тот, кто фактически определяет цели и способы обработки данных собственников. Если реестр собственников ведёт ТСЖ — оператор ТСЖ. Если управление передано УК и именно УК ведёт базу — оператор УК. При передаче реестра от ТСЖ к новой УК необходимо оформить передачу данных с правовым основанием по ст. 6 ФЗ-152 и уведомить РКН об изменении сведений по Приказу РКН № 180 от 28.10.2022. Обе организации не могут одновременно быть самостоятельными операторами одной и той же базы без разграничения целей обработки.

2. Освобождены ли редакции СМИ от уведомления Роскомнадзора?

Частично. Изъятие по ст. 22 ФЗ-152 распространяется на обработку ПДн, осуществляемую в целях профессиональной журналистской деятельности. Это означает, что редакция не обязана уведомлять РКН применительно к обработке ПДн героев публикаций. Однако обработка ПДн собственных сотрудников, подписчиков, рекламодателей под изъятие не подпадает — уведомление обязательно. На практике многие редакции игнорируют эту границу и не состоят в реестре операторов вообще, что создаёт риск по ч. 10 ст. 13.11 КоАП (штраф от 100 000 до 300 000 ₽).

3. Как оператор связи должен передавать данные абонентов ФСБ?

Передача данных органам, осуществляющим оперативно-розыскную деятельность, — самостоятельное правовое основание по п. 3 ч. 1 ст. 6 ФЗ-152 (исполнение обязанностей, возложенных законодательством). Согласие абонента не требуется. Порядок технического взаимодействия определён Приказом Минкомсвязи о СОРМ. Оператор связи обязан обеспечить технические возможности для снятия информации без права уведомлять абонента о факте запроса. Самостоятельная передача данных — за пределами этой процедуры — незаконна и образует состав по ч. 1 ст. 13.11 КоАП.

4. Какие данные собирает каршеринг и какие из них биометрические?

Каршеринговые сервисы типично собирают: ФИО и дату рождения, данные паспорта и водительского удостоверения, фото лица для верификации личности, геолокацию транспортного средства, историю поездок и платёжные данные. Фото лица — биометрические ПДн по ст. 11 ФЗ-152, если они используются для идентификации личности. Обработка биометрии требует письменного согласия; нарушение этого требования с 30.05.2025 образует состав по ч. 16 ст. 13.11 КоАП. Геолокация — общая категория ПДн; основание обработки — договор (п. 5 ч. 1 ст. 6 ФЗ-152) при условии, что пользователь уведомлён об этом в договоре или оферте.

5. Что хранить о собственниках в реестре ТСЖ и как долго?

Состав данных определяется целями деятельности ТСЖ: начисление платежей, уведомление о собраниях, взаимодействие с ресурсоснабжающими организациями. Типовой минимум — ФИО, доля в праве собственности, контактные данные, реквизиты правоустанавливающего документа. Срок хранения — пока лицо является собственником, плюс период, необходимый для урегулирования споров и исполнения налоговых обязанностей (как правило, 3–5 лет после прекращения права). Хранение данных бывших собственников без конкретного основания нарушает принцип ст. 5 ФЗ-152 — данные подлежат уничтожению или обезличиванию по достижении цели обработки.

Итог

Обработка ПДн в реестрах государственных и муниципальных служащих подчиняется общим нормам ФЗ-152 с отраслевыми изъятиями: согласие субъекта для кадрового реестра не требуется, но требования к защите, политике и ОРД сохраняются в полном объёме. Публикация антикоррупционных сведений допустима строго в пределах перечня, установленного Указом Президента № 460. Смежные отрасли — ТСЖ, СМИ, операторы связи, каршеринг — создают аналогичные по структуре, но различные по деталям обязательства оператора.

DATUM сопровождает госорганы, подведомственные учреждения и частные организации со специальными режимами обработки ПДн: от актуализации уведомлений в реестре РКН до подготовки к плановым и внеплановым проверкам.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка кадрового блока ОРД и ИСПДн по 38 пунктам
Комплект ОРД под ключ — политика, согласия, приказы, журналы для госоргана или учреждения
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП в ред. ФЗ-420, защита от оборотных штрафов с 30.05.2025.