аналитика 13 декабря 2029 года По состоянию на 13 декабря 2029 года

СОРМ и 152-ФЗ

СОРМ — система оперативно-разыскных мероприятий — обязывает операторов связи предоставлять ФСБ доступ к абонентским данным и трафику. Одновременно ст. 12 и ст. 13 ФЗ-152 запрещают передавать персональные данные без согласия субъекта или законного основания.

Юрист, который анализирует комплаенс оператора связи, медиакомпании, ТСЖ или каршерингового сервиса, обнаруживает коллизию: ФЗ-149 и отраслевые законы создают спецрежим, а РКН вправе проверить, соблюдены ли принципы ст. 5 ФЗ-152 за пределами СОРМ-интерфейса. Штраф по ч. 12–14 ст. 13.11 КоАП начинается от 3 млн ₽ за утечку от 1 000 субъектов.

→ Если вы юрист и оцениваете комплаенс по 152-ФЗ в организации, работающей с СОРМ или смежным отраслевым регулированием, — ниже разбор ключевых норм и практических сценариев.

С 30.05.2025 действует расширенная редакция ст. 13.11 КоАП (ФЗ-420 от 30.11.2024): 18 частей вместо прежних семи, оборотный штраф по ч. 15 — от 1 до 3% годовой выручки, не менее 20 млн ₽. На этом фоне юристы сталкиваются с нетривиальным вопросом: как соотносятся обязательства по СОРМ с принципами обработки ПДн по ФЗ-152, и где граница ответственности оператора в отраслевых вертикалях — телеком, ЖКХ, транспорт, медиа.

Как СОРМ соотносится с требованиями ФЗ-152?

СОРМ регулируется ст. 64 ФЗ-126 «О связи», ФЗ-144 «Об оперативно-розыскной деятельности» и подзаконными актами ФСБ. Оператор связи обязан установить оборудование СОРМ и обеспечить уполномоченным органам негласный доступ к трафику и абонентским данным без уведомления абонента.

ФЗ-152 в ст. 6 содержит исчерпывающий перечень законных оснований обработки. Передача ПДн по требованию уполномоченного государственного органа в рамках его компетенции — самостоятельное основание, не требующее согласия субъекта. Таким образом, предоставление данных ФСБ в рамках СОРМ не нарушает ст. 9 ФЗ-152: согласие субъекта не нужно.

«Ст. 6 ч. 1 п. 2 ФЗ-152 — обработка ПДн допускается без согласия субъекта, если она необходима для достижения целей, предусмотренных международным договором или законом, для осуществления полномочий органов государственной власти.»

Однако СОРМ охватывает лишь строго определённый интерфейс взаимодействия с ФСБ. За его пределами оператор связи остаётся обычным оператором ПДн по ст. 3 ФЗ-152 и несёт все стандартные обязанности: уведомление РКН по ст. 22, политика обработки по ст. 18.1, локализация баз по ст. 18 ч. 5, реагирование на утечку по ст. 21 ч. 3.1. Именно здесь возникают реальные риски нарушений.

Какие отраслевые сегменты имеют собственные режимы ПДн помимо телекома?

Коллизия «отраслевой закон vs. ФЗ-152» характерна не только для операторов связи. Юрист, работающий с несколькими клиентами из разных секторов, обнаружит схожую структуру в каждом.

Операторы связи и ПДн абонентов. Данные абонентов (ФИО, адрес, реквизиты договора, биллинговая история, геолокация при роуминге) обрабатываются на основании договора — ст. 6 ч. 1 п. 5 ФЗ-152. Геолокационные данные при передаче третьим лицам (рекламным сетям, агрегаторам) требуют отдельного согласия по ст. 9. Срок хранения — не дольше срока действия договора плюс период, установленный отраслевым законодательством для целей СОРМ-архивов. Смешивать СОРМ-архив и коммерческую аналитику в одной базе — нарушение принципа недопустимости объединения баз с несовместимыми целями (ст. 5 ч. 1 п. 4 ФЗ-152).

ТСЖ, УК и ГИС ЖКХ. ТСЖ и управляющие компании обрабатывают ПДн собственников: ФИО, контакты, площадь, лицевой счёт, задолженность. Основание — договор управления (ст. 6 ч. 1 п. 5) и исполнение законной обязанности по передаче данных в ГИС ЖКХ (ФЗ-209). При передаче данных в ГИС ЖКХ согласие жильца не требуется, поскольку обязанность установлена законом. Однако передача персональных данных собственников ресурсоснабжающим организациям сверх объёма, необходимого для расчётов, — нарушение принципа соответствия объёма целям по ст. 5.

«Ст. 5 ч. 1 п. 5 ФЗ-152 — содержание и объём обрабатываемых ПДн должны соответствовать заявленным целям обработки; обработка ПДн, избыточных по отношению к целям, не допускается.»

Транспорт и каршеринг. Каршеринговые сервисы, агрегаторы такси и операторы общественного транспорта собирают: паспортные данные, данные водительского удостоверения, геолокацию в реальном времени, историю поездок, фото из салона (при телематике). Геолокация и фото — потенциально биометрические данные, если используются для идентификации (ст. 11 ФЗ-152). Передача данных пассажиров в ФСБ в рамках ОРМ — самостоятельное основание по ст. 6. Хранение геотрека поездок после удаления аккаунта без отдельного правового основания нарушает принцип ст. 5 ч. 1 п. 7 о прекращении обработки при достижении целей.

СМИ и редакции. ФЗ-152 в ст. 6 ч. 1 п. 7 допускает обработку ПДн в журналистских целях без согласия субъекта, если это не нарушает права и свободы. При этом ст. 10.1 ФЗ-152 о распространении ПДн применяется к СМИ в полной мере: публикация персональных данных частного лица в материале без его согласия на распространение возможна лишь при наличии общественного интереса, признанного таковым судом или иным уполномоченным органом. Освобождение от уведомления РКН по ст. 22 для редакций действует только при обработке ПДн исключительно в редакционных целях — если редакция одновременно ведёт подписную базу для рассылок, льгота не распространяется на эту деятельность.

Юрист оценивает комплаенс компании с отраслевой спецификой?

Отраслевые режимы — СОРМ, ГИС ЖКХ, транспортные данные — создают иллюзию, что ФЗ-152 работает в усечённом виде. На практике РКН проверяет оператора по стандартному чек-листу 152-ФЗ независимо от отраслевой принадлежности. Ошибки в структуре согласий, политике и ОРД ведут к штрафам по ч. 1–5 ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как передавать данные абонентов ФСБ без нарушения ФЗ-152?

Ключевой вопрос практики: что именно оператор связи вправе и обязан передавать, а что — за пределами СОРМ-обязательств.

В рамках СОРМ оператор не уведомляет субъекта о передаче данных — это прямо предусмотрено ФЗ-144. Оператор также не вправе информировать абонента о факте проведения ОРМ в отношении него. С точки зрения ФЗ-152 эти действия правомерны: законная обязанность оператора установлена федеральным законом.

Однако юрист должен разграничить три потока данных:

СОРМ-архив — данные, собранные исключительно для нужд ОРМ, в отдельном сегменте инфраструктуры. Доступ — только ФСБ через аппаратный интерфейс.
Абонентская база — данные, обрабатываемые для исполнения договора связи. Основание — ст. 6 ч. 1 п. 5 ФЗ-152. Требует уведомления РКН, политики, согласий на маркетинговые коммуникации.
Аналитические продукты — агрегированные и/или обезличенные данные о трафике, геолокации, потреблении. Если обезличивание проведено по методам, предусмотренным подзаконным актом РКН, — это не ПДн. Если нет — оператор продаёт персональные данные третьим лицам без законного основания, что квалифицируется по ч. 1 ст. 13.11 КоАП (штраф для юрлица 150 000–300 000 ₽) или по ст. 272.1 УК РФ при наличии умысла на незаконный сбор и передачу компьютерной информации с ПДн.

«Ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024) — незаконные использование, передача, сбор или хранение компьютерной информации, содержащей персональные данные. По ч. 5 (тяжкие последствия) — лишение свободы до 10 лет.»

Отдельный риск — трансграничная передача данных абонентов. Если оператор использует зарубежные системы биллинга, CRM или аналитики, данные граждан РФ покидают российский контур. По ст. 18 ч. 5 ФЗ-152 первичный сбор, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться в базах на территории России. Нарушение — штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽, при повторе — от 6 до 18 млн ₽ по ч. 9.

Что подготовить юристу для оценки комплаенса в отраслевой компании

Карту потоков ПДн с разграничением СОРМ-сегмента, абонентской базы и аналитических продуктов.
Реестр третьих лиц, которым передаются ПДн абонентов или собственников: основание передачи по ст. 6 ФЗ-152 для каждого получателя.
Проверку уведомления в реестре РКН (pd.rkn.gov.ru): соответствие заявленных целей и категорий ПДн фактической обработке.
Пакет согласий на отдельные виды обработки: маркетинговые коммуникации, геолокация, распространение (ст. 10.1 ФЗ-152).
Регламент реагирования на утечку с таймлайном 24/72 часа по Приказу РКН №187 от 14.11.2022.

Какова ответственность ТСЖ и оператора связи при утечке ПДн в 2026 году?

С 30.05.2025 размер штрафа зависит от числа затронутых субъектов, а не только от состава нарушения. Это принципиально меняет картину риска для операторов с крупными абонентскими базами.

Оператор связи федерального уровня хранит данные десятков миллионов абонентов. Утечка даже небольшого сегмента базы — от 100 000 субъектов — квалифицируется по ч. 14 ст. 13.11 КоАП: штраф 10–15 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной выручки за предшествующий год, не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% при быстрой уплате по ст. 32.2 КоАП к оборотному штрафу не применяется.

ТСЖ и УК работают с существенно меньшими базами — как правило, от нескольких сотен до нескольких тысяч субъектов. Утечка ПДн собственников от 1 000 до 10 000 человек — ч. 12 ст. 13.11, штраф 3–5 млн ₽. Для ТСЖ как некоммерческой организации это может означать фактическую неплатёжеспособность.

Неуведомление РКН об утечке в течение 24 часов — отдельный состав по ч. 11 ст. 13.11: штраф 1–3 млн ₽ независимо от числа субъектов. Этот штраф назначается дополнительно к штрафу за саму утечку.

Если вы юрист и анализируете риски для оператора с базой от 10 000 субъектов — ч. 13–15 ст. 13.11 КоАП делают цену ошибки в ОРД неприемлемой. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Как это применяется на практике

Сценарий 1. Оператор связи, Приволжский ФО, осень 2025. Региональный интернет-провайдер продавал агрегированные геолокационные данные абонентов рекламной платформе. Данные были «обезличены» исключительно внутренним регламентом без применения методов по приказу РКН. РКН квалифицировал передачу как распространение ПДн без согласия субъектов по ст. 10.1 ФЗ-152 и возбудил дело по ч. 1 ст. 13.11 КоАП. Параллельно следователи рассматривали состав по ст. 272.1 УК. Компания была вынуждена прекратить коммерческую передачу геоданных и провести полный пересмотр договоров с рекламными партнёрами.

Сценарий 2. ТСЖ, Уральский ФО, начало 2026. ТСЖ передало реестр собственников с контактами и данными о задолженности сторонней управляющей компании при смене управления домом без надлежащего правового основания — соглашение о поручении обработки по ст. 6 ч. 3 ФЗ-152 не было оформлено. РКН при плановой проверке выявил нарушение. По ч. 1 ст. 13.11 КоАП назначен штраф в диапазоне, соответствующем минимальному порогу для юрлица. Юрист ТСЖ разработал типовое соглашение о поручении обработки и регламент передачи данных при смене управляющей организации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки ПДн по 38 пунктам с отраслевой спецификой
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования на утечку
DPO-аутсорсинг — абонентское сопровождение функции ответственного по ст. 22.1 ФЗ-152

Частые вопросы

1. Кто является оператором ПДн — ТСЖ или управляющая компания?

Оператором является та организация, которая самостоятельно определяет цели и способы обработки ПДн собственников. Если ТСЖ нанимает УК для технического управления домом, но сохраняет реестр жильцов у себя — ТСЖ остаётся оператором, а УК обрабатывает данные по поручению на основании соглашения по ст. 6 ч. 3 ФЗ-152. Если УК самостоятельно ведёт реестр и определяет цели — она становится соопоручителем или самостоятельным оператором. Отсутствие письменного соглашения о поручении — нарушение ст. 6 ч. 3.

2. Освобождены ли СМИ от обязанности уведомлять РКН об обработке ПДн?

Ст. 22 ч. 2 ФЗ-152 предусматривает исключения из обязанности уведомления, в том числе для обработки ПДн исключительно в редакционных целях СМИ. Однако это исключение распространяется только на журналистскую деятельность. Если редакция одновременно ведёт подписную базу читателей, обрабатывает данные рекламодателей или формирует клиентскую CRM — эти виды обработки под исключение не подпадают, и уведомление подаётся в обычном порядке через pd.rkn.gov.ru.

3. Как оператору связи передавать данные ФСБ без нарушения ФЗ-152?

Передача данных абонентов ФСБ в рамках СОРМ не требует согласия субъекта — законное основание установлено ФЗ-126 «О связи» и ФЗ-144 «Об ОРД». С точки зрения ст. 6 ФЗ-152 это самостоятельное основание обработки. Оператор не вправе уведомлять абонента о факте проведения ОРМ. Ключевое требование — организационное разделение СОРМ-сегмента и коммерческих баз: смешение инфраструктуры нарушает принцип несовместимости целей по ст. 5 ч. 1 п. 4 ФЗ-152 и создаёт риск привлечения по ч. 1 ст. 13.11 КоАП.

4. Какие данные собирает каршеринг и нужно ли согласие на геолокацию?

Каршеринг собирает паспортные данные, данные водительского удостоверения, историю поездок и геолокацию в реальном времени. Обработка в рамках договора аренды — ст. 6 ч. 1 п. 5 ФЗ-152, согласие не нужно. Геолокация, используемая для маркетинговых целей или передаваемая третьим лицам (страховщикам, рекламным сетям) сверх нужд исполнения договора, требует отдельного согласия по ст. 9. Хранение геотрека после закрытия аккаунта без отдельного правового основания нарушает ст. 5 ч. 1 п. 7 ФЗ-152.

5. Что хранить о собственниках квартир и как долго?

ТСЖ и УК обрабатывают данные, необходимые для исполнения договора управления и передачи сведений в ГИС ЖКХ: ФИО, контакты, площадь помещения, лицевой счёт, данные о задолженности. Срок хранения определяется сроком действия договора плюс период исковой давности (три года по ГК РФ) для данных, необходимых при расчётах. Хранение данных сверх этого срока без отдельного обоснования нарушает принцип ст. 5 ч. 1 п. 7 ФЗ-152 и создаёт основание для предписания РКН об уничтожении.

Итог

СОРМ не освобождает оператора связи от соблюдения ФЗ-152 за пределами СОРМ-интерфейса. ТСЖ, каршеринговые сервисы, СМИ и транспортные операторы работают в условиях двойного регулирования: отраслевой закон задаёт специальный режим для отдельных потоков данных, а ФЗ-152 охватывает всё, что за этими рамками. С 30.05.2025 цена нарушения выросла кратно: оборотный штраф по ч. 15 ст. 13.11 КоАП при повторной утечке крупной базы достигает 500 млн ₽.

DATUM сопровождает операторов ПДн в телекоме, ЖКХ, транспорте и медиасекторе: аудит с учётом отраслевой специфики, разработка ОРД, постановка процессов уведомления об инцидентах и DPO-аутсорсинг.

АГ

Антон Громов

Аналитик · Технологии и ИБ

Аналитик DATUM по технологиям и ИБ. Специализация — техническая сторона 152-ФЗ: УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание для ML, реагирование на утечки за 24/72 часа, ст. 272.1 УК.