справочник 13 июля 2026 По состоянию на 13 июля 2026

Согласие как правовое основание обработки ПДн: ст. 6 п. 1

Согласие субъекта — одно из 11 правовых оснований обработки персональных данных по ст. 6 ФЗ-152. Без корректного основания любая обработка незаконна.

С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025). Штраф за обработку без надлежащего согласия — 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП; повторно — 1–1,5 млн ₽.

→ Если вы юрист и проверяете комплаенс компании — этот справочник разбирает каждый элемент правовой конструкции согласия.

Согласие как правовое основание обработки — наиболее часто применяемый, но одновременно наиболее уязвимый инструмент. Ошибки в составе согласия, его форме или порядке получения регулярно фиксируются в протоколах РКН. Справочник охватывает понятийную базу ст. 3, ст. 5, ст. 6 и ст. 9 ФЗ-152 в редакции 2025–2026 годов.

Что такое персональные данные и обработка по ст. 3 ФЗ-152?

Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПДн). Ключевое слово — «любая»: email, IP-адрес, геолокация, идентификатор устройства при возможности идентификации — всё это ПДн.

Оператор ПДн — государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими организуют и осуществляют обработку ПДн, определяют цели и состав обработки. Статус оператора возникает автоматически при начале обработки — независимо от уведомления РКН.

Обработка ПДн по ст. 3 ФЗ-152 — любое действие или совокупность действий: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Перечень открытый по существу: если действие совершается с данными субъекта — это обработка.

«Ст. 3 ФЗ-152 определяет 14 ключевых понятий, формирующих понятийный аппарат закона. Каждое из них влияет на состав нарушения по ст. 13.11 КоАП.»

Каковы принципы обработки ПДн по ст. 5 ФЗ-152?

Принципы обработки ПДн — семь базовых требований ст. 5 ФЗ-152, соблюдение которых обязательно вне зависимости от выбранного правового основания:

Законность и справедливость. Обработка только при наличии законного основания из ст. 6, ст. 10, ст. 11 ФЗ-152.
Конкретность целей. Цели определяются до начала обработки и фиксируются в политике и документах оператора.
Несовместимость баз. Нельзя объединять базы, созданные для несовместимых целей.
Соответствие объёма целям. Состав и объём ПДн должны соответствовать заявленным целям — избыточный сбор нарушает принцип минимизации.
Точность и актуальность. Оператор обязан обеспечить точность данных и своевременно их обновлять.
Срочность хранения. ПДн хранятся не дольше, чем требуют цели обработки.
Уничтожение или обезличивание. При достижении цели — данные уничтожаются или обезличиваются.

Нарушение любого из принципов — самостоятельный состав по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица, в редакции с 30.05.2025).

Нужен аудит правовых оснований обработки ПДн?

Если вы юрист и проверяете, на каком основании компания обрабатывает данные сотрудников, клиентов или пользователей сайта — несоответствие документов нормам ст. 6 и ст. 9 ФЗ-152 выявляется при аудите. До 01.09.2025 таких нарушений в судебной практике были единицы. После — каждое несоответствующее согласие создаёт риск по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽). Юристы DATUM проведут аудит по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие правовые основания обработки ПДн предусматривает ст. 6 ФЗ-152?

Правовые основания обработки — закрытый перечень условий ст. 6 ФЗ-152, при наличии хотя бы одного из которых обработка ПДн считается законной. Перечень включает 11 оснований:

П. 1 — согласие субъекта. Универсальное основание, применимое к любой цели. Требует соблюдения ст. 9 ФЗ-152 — письменная форма, обязательные реквизиты, отзывность.
П. 2 — исполнение обязанностей оператора по законодательству РФ. Например: налоговая отчётность, обязательное социальное страхование, воинский учёт.
П. 3 — осуществление правосудия и исполнение судебных актов.
П. 4 — исполнение полномочий органов государственной и муниципальной власти.
П. 5 — исполнение договора, стороной которого является субъект. Применимо к трудовым, гражданско-правовым договорам, офертам. Ключевое условие — данные обрабатываются строго для исполнения договора, не шире.
П. 6 — защита жизни, здоровья или иных жизненно важных интересов субъекта при невозможности получить согласие.
П. 7 — осуществление законных прав оператора в судебном порядке, следствии, дознании.
П. 8 — законные интересы оператора или третьих лиц (при условии, что интересы не нарушают права субъекта).
П. 9–11 — специальные основания для профессиональной деятельности журналистов, научной, статистической и иной общественно значимой деятельности.

«Ст. 6 ФЗ-152 — обработка ПДн допустима только при наличии хотя бы одного из перечисленных оснований. Выбор основания определяет весь последующий пакет документов.»

Типичная ошибка операторов — обрабатывать данные «по согласию» там, где достаточно договорного основания (п. 5), или наоборот — ссылаться на договор, когда цель обработки выходит за его рамки (маркетинговые рассылки, профилирование).

Что такое согласие субъекта ПДн по ст. 9 ФЗ-152?

Согласие на обработку персональных данных — свободное, конкретное, информированное и сознательное волеизъявление субъекта, позволяющее оператору обрабатывать его данные. С 01.09.2025 согласие оформляется только как отдельный самостоятельный документ — не включается в текст договора, оферты, политики конфиденциальности или кадрового приказа (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152).

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

фамилия, имя, отчество субъекта;
контактные данные субъекта (телефон, email или адрес);
полное наименование и адрес оператора;
цель обработки — конкретная, не общая формулировка;
перечень персональных данных — с указанием каждого вида;
перечень действий с ПДн — какие именно операции допускаются;
срок действия согласия или условие его прекращения;
способ отзыва согласия.

Отсутствие любого реквизита приравнивается к отсутствию согласия. Бремя доказывания получения надлежащего согласия лежит на операторе (ч. 3 ст. 9 ФЗ-152).

Что проверить в согласии на обработку ПДн

Согласие оформлено отдельным документом (не включено в договор или политику) — требование с 01.09.2025 по ФЗ-156.
Все 8 обязательных реквизитов по ст. 9 ФЗ-152 присутствуют и заполнены конкретно, без общих формулировок.
Цель обработки соответствует фактическим действиям с данными — нет «расширительного» толкования.
Порядок отзыва согласия прописан и технически реализован (форма отзыва, адрес направления).
Для специальных категорий ПДн (ст. 10 ФЗ-152) и распространения (ст. 10.1 ФЗ-152) — отдельные согласия с усиленными требованиями.

Если вы юрист и согласия в вашей компании до сих пор встроены в трудовой договор или оферту — с 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽). Юристы DATUM соберут пакет ОРД под ключ.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Юридическая служба производственной компании (Уральский ФО, осень 2025) выявила при внутреннем аудите, что согласия на обработку ПДн сотрудников содержались в тексте трудового договора с 2019 года. После вступления в силу ФЗ-156 компания переоформила пакет согласий как отдельные документы до плановой проверки РКН. Нарушение устранено без административной ответственности. Стоимость подготовки пакета составила значительно меньше минимального штрафа по ч. 2 ст. 13.11 КоАП.

Кейс 2. В деле о проверке интернет-магазина (Центральный ФО, начало 2026) инспектор РКН установил, что согласие на маркетинговые рассылки и согласие на передачу данных партнёрам оформлены единым документом без разграничения целей. РКН квалифицировал обработку как ведущуюся с нарушением требований к составу согласия по ч. 2 ст. 13.11 КоАП. Штраф — в нижней части диапазона (сотни тысяч рублей). Суд отказал в применении ст. 4.1.1 КоАП (предупреждение) ввиду отсутствия статуса микропредприятия.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правовых оснований обработки по 38 пунктам
Комплект ОРД под ключ — согласия, политика, приказы по новым требованиям
DPO-аутсорсинг — ответственный за обработку ПДн на абонентском сопровождении

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — это любое действие с персональными данными: сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление или уничтожение. Перечень охватывает как автоматизированную обработку (CRM, базы данных), так и неавтоматизированную (бумажные анкеты). Даже единовременное хранение сканов паспортов без иных действий — это обработка.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 оснований. Наиболее распространены: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанностей оператора по законодательству (п. 2). Согласие — не единственное и зачастую не оптимальное основание: если данные нужны для исполнения трудового или гражданско-правового договора, согласие избыточно и его отзыв не прекращает обработку в части договорных обязательств.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП (в редакции с 30.05.2025) — от 30 000 до 700 000 ₽ за базовые нарушения; до 1,5 млн ₽ при повторности; 3–15 млн ₽ за утечки разного масштаба; оборотный штраф 1–3% годовой выручки (не менее 20 млн ₽, не более 500 млн ₽) при повторной крупной утечке по ч. 15. С 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

Да. Ст. 22 ФЗ-152 обязывает любого оператора уведомить РКН до начала обработки ПДн. Исключения перечислены в ч. 2 ст. 22 и распространяются на узкий круг случаев: обработка только данных сотрудников в рамках трудовых отношений, обработка в связи с однократным договором с субъектом без передачи третьим лицам, обработка в помещениях без выхода наружу. При любом сомнении — лучше уведомить: штраф за неуведомление составляет 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает минимальный возраст прямо. По общему правилу гражданской дееспособности самостоятельное согласие вправе давать лицо с 14 лет (ограниченная дееспособность) или с 18 лет (полная). Для детей до 14 лет согласие дают родители или законные представители. При обработке ПДн несовершеннолетних в образовательном или медицинском контексте рекомендуется получать согласие представителя независимо от возраста ребёнка — практика РКН исходит из приоритета защиты прав несовершеннолетних.

Итог

Согласие по п. 1 ст. 6 ФЗ-152 — гибкое, но технически сложное основание. С 01.09.2025 требования к его форме и составу ужесточены: отдельный документ, конкретные реквизиты, явный порядок отзыва. Обработка на основании ненадлежащего согласия квалифицируется как обработка без согласия — ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽).

DATUM сопровождает операторов в формировании пакета ОРД, включая согласия, соответствующие требованиям 2025–2026 годов, и проводит аудит правовых оснований обработки по всем категориям данных.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Уведомления и проверки РКН, обжалование по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025, подсудность мировым судьям (ФЗ-508 от 28.12.2025).

13 июля 2026 года