аналитика 22 сентября 2026 По состоянию на 22 сентября 2026

Согласие как правовое основание: когда обязательно

Согласие субъекта — одно из одиннадцати правовых оснований обработки ПДн по ст. 6 ФЗ-152. Оно обязательно не всегда — и смешение оснований ведёт к нарушениям, за которые с 30.05.2025 штраф достигает 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156 от 24.06.2025: нельзя включать его в договор, политику или оферту. Старые формы, совмещённые с другими документами, создают риск протокола по ч. 2 ст. 13.11 при любой проверке РКН.

Если вы юрист компании и сейчас проверяете, какие основания обработки ПДн фактически применяются, — этот разбор поможет разграничить ситуации, где согласие обязательно, а где достаточно иного основания. → Перейти к анализу

Ст. 6 ФЗ-152 устанавливает одиннадцать оснований обработки персональных данных. Согласие — первое по тексту, но не всегда первое по применимости: ошибочно избранное основание порождает самостоятельный состав нарушения вне зависимости от того, насколько аккуратно оформлен сам документ согласия. В 2025 году Роскомнадзор проводил проверки с акцентом именно на соответствие фактической обработки задекларированным основаниям. По данным РКН за 2024 год, было зафиксировано 135 случаев утечек и более 710 млн скомпрометированных записей — большая часть нарушений, предшествовавших инцидентам, связана с ненадлежащим документированием оснований.

Что считается обработкой ПДн по ст. 3 ФЗ-152?

Обработка персональных данных — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Это определение из ст. 3 ФЗ-152 охватывает как автоматизированные, так и неавтоматизированные операции.

Практический вывод: если компания хранит резюме кандидатов в таблице Excel, это обработка ПДн. Если сайт передаёт IP-адреса в счётчики аналитики — тоже обработка. Если HR-система формирует отчёт по сотрудникам — обработка. Каждая из этих операций требует правового основания по ст. 6 ФЗ-152. Отсутствие основания или несоответствие ему — состав ч. 1 ст. 13.11 КоАП (штраф для юрлица 150 000–300 000 ₽ в редакции с 30.05.2025).

«Ст. 3 ФЗ-152 определяет обработку персональных данных как любое действие (операцию) или совокупность действий, совершаемых с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение — независимо от средств обработки.»

Принципиально важно: оператор должен до начала обработки определить цель, правовое основание и объём данных — это требование ст. 5 ФЗ-152 о принципах. Нарушение принципа целевого ограничения влечёт самостоятельный состав по ч. 1 ст. 13.11, независимо от наличия согласия.

Какие правовые основания предусмотрены ст. 6 ФЗ-152 помимо согласия?

Согласие субъекта — лишь одно из одиннадцати оснований. Остальные десять позволяют обрабатывать ПДн без согласия и применяются чаще, чем принято считать.

Основные альтернативные основания по ст. 6 ФЗ-152:

Исполнение договора с субъектом (п. 5 ч. 1 ст. 6). Обработка необходима для заключения или исполнения договора, стороной которого является субъект. Работодатель вправе обрабатывать ПДн работника в объёме, необходимом для исполнения трудового договора, без отдельного согласия — в части, урегулированной ТК РФ и ст. 86–88 ТК РФ.
Исполнение обязанностей оператора как государственного органа (п. 2 ч. 1 ст. 6). Актуально для госструктур и организаций, выполняющих публичные функции.
Жизненно важные интересы субъекта (п. 6 ч. 1 ст. 6). Применяется в медицине при оказании экстренной помощи.
Законный интерес оператора (п. 7 ч. 1 ст. 6). Используется при условии, что интересы оператора не перевешивают права субъекта. Самое дискуссионное основание: РКН на практике применяет жёсткий тест соразмерности.
Журналистская, научная, литературная деятельность (п. 8 ч. 1 ст. 6). Для СМИ и исследователей при условии соблюдения принципа минимизации данных.
Судопроизводство и исполнение судебных решений (п. 3 ч. 1 ст. 6).

Ключевой принцип: если обработка полностью укладывается в рамки одного из альтернативных оснований, добавлять согласие не нужно и даже нежелательно. Двойное основание создаёт коллизию: субъект в любой момент отзовёт согласие и потребует прекращения обработки, хотя договор ещё действует.

Проверяете, на каком основании фактически идёт обработка в вашей компании?

Несоответствие фактической обработки задекларированному основанию — самостоятельный состав по ч. 1 ст. 13.11 КоАП (штраф до 300 000 ₽) даже при наличии безупречно оформленного согласия. Чтобы провести полный аудит оснований обработки и состояния ОРД, юристы DATUM проверяют 38 пунктов и выдают приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Когда согласие по ст. 9 ФЗ-152 обязательно?

Обязательность согласия определяется по остаточному принципу: если ни одно из десяти альтернативных оснований не покрывает конкретную операцию обработки — нужно согласие. Но есть ситуации, где закон прямо требует согласия вне зависимости от наличия других оснований.

Специальные категории ПДн (ст. 10 ФЗ-152). Данные о состоянии здоровья, расовой или национальной принадлежности, политических взглядах, религиозных убеждениях, интимной жизни, судимости по общему правилу запрещены к обработке. Исключения п. 2 ст. 10 закрытые; если ни одно не применимо — нужно явное письменное согласие субъекта.

Биометрические ПДн (ст. 11 ФЗ-152). Изображение лица, голос, отпечатки пальцев, сетчатка глаза — обработка допустима только с письменного согласия, за исключением случаев, прямо перечисленных в п. 2 ст. 11. СКУД с распознаванием лиц без письменного согласия работника — нарушение, за которое с 30.05.2025 грозит штраф по ч. 16 ст. 13.11 КоАП.

Распространение ПДн (ст. 10.1 ФЗ-152). Если оператор намерен раскрыть данные неограниченному кругу лиц (публикация на сайте, передача СМИ), нужно отдельное согласие на распространение. Молчание субъекта не является разрешением: по умолчанию обработка допустима только для нужд самого оператора.

Маркетинговые рассылки (ст. 18 ФЗ «О рекламе»). Рассылка рекламы физическому лицу требует его согласия. Это основание смежное с ФЗ-152, но самостоятельное; нарушение влечёт ответственность по КоАП по другой статье.

Обработка ПДн в целях, не связанных с основной деятельностью. Если компания хочет использовать данные клиентов для формирования профилей в целях продажи третьим лицам — договорное основание не работает, нужно согласие.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие субъекта на обработку ПДн оформляется отдельным документом и не может быть объединено с договором, офертой, политикой конфиденциальности или иным документом, не посвящённым исключительно обработке ПДн. Ранее полученные согласия, совмещённые с иными документами, сохраняют силу до их отзыва или окончания срока.»

Требования к составу согласия: что обязательно включить?

Отсутствие хотя бы одного обязательного реквизита делает согласие ненадлежащим. РКН при проверке квалифицирует это как обработку без согласия (ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽). Обязательные реквизиты согласия по ст. 9 ФЗ-152:

ФИО субъекта персональных данных
контактные данные субъекта (адрес, телефон, email или реквизиты удостоверяющего документа)
наименование и адрес оператора
цель обработки персональных данных — конкретная, не общая формулировка
перечень обрабатываемых ПДн с указанием каждой категории
перечень действий с ПДн и общее описание используемых методов
срок действия согласия или условие его прекращения
способ отзыва согласия — конкретный, не «в установленном порядке»

С 01.09.2025 к этим реквизитам добавляется формальное требование об отдельности документа: согласие не может быть пунктом договора или приложением к нему. На практике это означает, что шаблонный блок «Даю согласие на обработку ПДн» в конце трудового договора, анкеты или оферты — несоответствующий требованиям.

Что проверить в согласии прямо сейчас

Согласие — отдельный документ, не часть договора или политики (требование с 01.09.2025 по ФЗ-156)
Цель обработки сформулирована конкретно: не «в целях деятельности компании», а «для направления информационной рассылки об акциях»
Перечень ПДн исчерпывающий: каждая категория данных поимённо, без формулировок «иные данные»
Способ отзыва прописан явно: адрес, форма, срок исполнения отзыва оператором
Срок согласия определён: конкретная дата или указание на событие (расторжение договора, достижение цели)

Матрица сценариев: согласие нужно или нет?

Ниже три типичных ситуации, с которыми юрист сталкивается при аудите оснований обработки ПДн.

Сценарий 1. Работодатель обрабатывает ПДн работника для расчёта зарплаты и передаёт в банк по зарплатному проекту.

Ситуация: работодатель передаёт ФИО, банковские реквизиты, сумму дохода в банк-партнёр. Многие операторы по привычке берут «универсальное согласие». Доказательства: в данном случае договор об участии в зарплатном проекте покрывает передачу в банк как исполнение обязательств работодателя по ТК РФ. Исход: если согласие взято поверх договорного основания — при отзыве работником согласия компания окажется в ситуации, где формально должна прекратить передачу в банк. Стратегия: использовать договорное основание (п. 5 ч. 1 ст. 6) и прописать в локальном акте объём и цель передачи; согласие не брать.

Сценарий 2. Клиника ведёт медицинскую карту пациента и передаёт сведения в страховую компанию в рамках ДМС.

Ситуация: медицинские данные — специальная категория по ст. 10 ФЗ-152. Передача третьей стороне (страховщику) выходит за рамки исполнения договора с пациентом. Доказательства: п. 4 ч. 2 ст. 10 допускает обработку медицинских ПДн медицинскими организациями для медицинских целей, но передача данных страховщику — отдельная операция с отдельным основанием. Исход: без прямого согласия пациента на передачу страховщику клиника нарушает ст. 10 ФЗ-152, что при проверке создаёт риск штрафа по ч. 2 ст. 13.11 (300 000–700 000 ₽). Стратегия: включить в форму согласия пациента на обработку спецкатегорий отдельный пункт о передаче данных конкретному страховщику с указанием цели.

Сценарий 3. Интернет-магазин использует данные покупателей для ретаргетинговых рассылок через сторонние платформы (Meta, Google).

Ситуация: данные, собранные в рамках исполнения договора купли-продажи, передаются рекламным платформам для показа персонализированной рекламы. Договорного основания недостаточно: цель рекламы несовместима с целью доставки заказа. Исход: РКН при проверке квалифицирует это как нарушение принципа совместимости целей по ст. 5 ФЗ-152 и ч. 1 ст. 13.11 КоАП плюс как трансграничную передачу без уведомления по ч. 8 ст. 13.11 (локализация). Стратегия: взять отдельное согласие на маркетинговую обработку при регистрации, предусмотреть возможность отказа без последствий для заказа; подать уведомление о трансграничной передаче в РКН.

Если юрист выявил коллизию оснований обработки или несоответствие действующим согласиям требованиям ФЗ-156 — риск протокола по ч. 2 ст. 13.11 есть уже сейчас. До плановой проверки РКН можно переоформить ОРД без штрафных последствий.

Собрать ОРД под ключ

Как применяется ст. 13.11 КоАП за нарушения согласия в 2025–2026 годах?

С 30.05.2025 действует новая редакция ст. 13.11 КоАП, введённая ФЗ-420 от 30.11.2024. Ключевые изменения для операторов, нарушающих требования к согласию:

Ч. 2 ст. 13.11 — обработка без письменного согласия (когда оно обязательно) или с нарушением требований к его составу: штраф для юрлица 300 000–700 000 ₽.
Ч. 2.1 ст. 13.11 — повторное нарушение по ч. 2: штраф 1 000 000–1 500 000 ₽.
Ч. 1 ст. 13.11 — обработка в случаях, не предусмотренных законом, или несовместимая с целями: штраф 150 000–300 000 ₽.

Судебная практика первых кварталов 2026 года фиксирует точечное, но последовательное применение новых норм. В одном деле, рассмотренном арбитражным судом в начале 2026 года, крупная организация получила штраф по ч. 14 ст. 13.11 за утечку более 100 000 субъектов: при оценке отягчающих обстоятельств суд учёл, что часть субъектов не давала согласия на обработку данных в той форме, в которой они хранились. Это означает, что дефект основания обработки усиливает позицию РКН при квалификации инцидентов.

Отдельно: в 2025 году РКН зафиксировал 118 случаев компрометации баз данных. По итогам года вынесено 6 административных штрафов по новым нормам на общую сумму около 570 000 ₽ — практика только формируется, однако прецеденты применения ч. 12–14 уже есть.

«Ст. 13.11 ч. 2 КоАП (в ред. с 30.05.2025): обработка персональных данных без согласия субъекта в случаях, когда такое согласие необходимо, либо с нарушением установленных требований к его составу — штраф для юридического лица от 300 000 до 700 000 рублей. Повторное нарушение по ч. 2.1 — от 1 000 000 до 1 500 000 рублей.»

Важный процессуальный момент: с 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП снова рассматривают мировые судьи — с 30.05.2025 по 27.12.2025 их рассматривали арбитражные суды. Это меняет стратегию обжалования: мировой суд — иная инстанция с иными процессуальными правилами, чем арбитраж.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка 38 пунктов, включая основания обработки и состав согласий
Комплект ОРД под ключ — полный пакет документов, включая шаблоны согласий по ФЗ-156
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152, обработкой является любое действие с персональными данными: сбор, запись, хранение, уточнение, использование, передача, блокирование, уничтожение — как автоматизированное, так и ручное. Если сотрудник просматривает личное дело работника — это обработка. Если сайт записывает IP-адрес посетителя — тоже обработка, требующая правового основания.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 предусматривает одиннадцать оснований. Согласие — одно из них, но не единственное. Для работников достаточно трудового договора и норм ТК РФ; для клиентов в части исполнения заказа — договор купли-продажи; для контрагентов — законный интерес или договор. Согласие обязательно там, где ни одно из десяти иных оснований неприменимо, либо где закон прямо его требует (спецкатегории по ст. 10, биометрия по ст. 11, распространение по ст. 10.1).

3. Что грозит за нарушение 152-ФЗ?

С 30.05.2025 ст. 13.11 КоАП содержит 18 частей. За обработку без согласия (ч. 2) — штраф для юрлица 300 000–700 000 ₽; повторно (ч. 2.1) — 1 000 000–1 500 000 ₽. За обработку с нарушением принципов (ч. 1) — 150 000–300 000 ₽. При утечке от 1 000 субъектов (ч. 12) — от 3 000 000 ₽. Оборотный штраф при повторной утечке (ч. 15) — от 1 до 3% годовой выручки, не менее 20 000 000 ₽. С 11.12.2024 действует ст. 272.1 УК РФ — уголовная ответственность до 10 лет лишения свободы (ч. 5).

4. Нужно ли уведомлять РКН малому бизнесу?

По ст. 22 ФЗ-152, уведомить РКН о намерении обрабатывать ПДн обязан любой оператор до начала обработки — независимо от размера бизнеса. Исключения закрытые: обработка исключительно в рамках трудовых отношений, обработка данных членов общественного объединения только для его целей и ещё несколько узких случаев. Интернет-магазин, клиника, агентство недвижимости — все обязаны. Неуведомление по ч. 10 ст. 13.11 КоАП — штраф 100 000–300 000 ₽.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единого возрастного порога прямо, однако исходит из общих норм дееспособности ГК РФ: до 14 лет согласие даёт законный представитель (родитель, усыновитель, опекун); с 14 до 18 лет — подросток с согласия законного представителя. При обработке ПДн несовершеннолетних в образовательных и медицинских организациях форма согласия родителей обязательна и проверяется РКН отдельно.

Итог

Согласие — инструмент точного применения: оно обязательно там, где закон прямо его требует (специальные категории ПДн, биометрия, распространение, маркетинг), и избыточно там, где работает договорное или иное основание по ст. 6 ФЗ-152. Смешение оснований создаёт уязвимость: избыточное согласие можно отозвать, создав коллизию с продолжающейся договорной обработкой. С 01.09.2025 требования ФЗ-156 к форме согласия ужесточены: отдельный документ, исчерпывающие реквизиты, никаких совмещений.

Практика DATUM по сопровождению операторов в РКН и арбитражной защите по ст. 13.11 КоАП показывает, что нарушения оснований обработки — наиболее частая причина протоколов по итогам плановых и внеплановых проверок. Аудит оснований обработки — первый шаг к устранению этого риска.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.

22 сентября 2026 года