справочник 12 февраля 2027 По состоянию на 12 февраля 2027

Технические vs неавтоматизированные ПДн: разница

Способ обработки ПДн — автоматизированный или неавтоматизированный — определяет набор мер защиты, состав ОРД и потенциальный состав правонарушения по ст. 13.11 КоАП.

Ст. 3 ФЗ-152 разграничивает два режима обработки. Для неавтоматизированной обработки установлены отдельные требования по хранению материальных носителей. Их нарушение образует самостоятельный состав — ч. 6 ст. 13.11 КоАП (до 100 000 ₽).

Если вы юрист и выявляете режимы обработки в компании — начните с ревизии оснований по ст. 6 ФЗ-152 и разграничения источников ПДн. Аудит DATUM охватывает оба режима.

Разграничение автоматизированной и неавтоматизированной обработки — базовый шаг при построении системы соответствия 152-ФЗ. На практике большинство операторов смешивают оба режима: CRM хранит записи о клиентах, а бумажные анкеты лежат в архиве. Требования к защите и документированию при этом различаются. В этом справочнике — ключевые понятия ст. 3 ФЗ-152, принципы ст. 5, основания ст. 6 и последствия для каждого режима.

Что такое обработка ПДн по ст. 3 ФЗ-152?

Обработка персональных данных по ст. 3 ФЗ-152 — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Перечень открытый по смыслу — важна фактическая операция, а не её название.

Автоматизированная обработка — обработка с помощью средств вычислительной техники. Под это определение подпадает любая обработка в информационных системах: 1С, CRM, ERP, облачные сервисы, мобильные приложения, интранет-порталы.

Неавтоматизированная обработка — обработка без применения вычислительной техники. Типовые примеры: бумажные анкеты, личные дела работников в бумажном виде, картотеки, журналы регистрации на бумаге.

«Ст. 3 ФЗ-152 определяет обработку ПДн как любое действие или совокупность действий с ПДн, совершаемых с использованием средств автоматизации или без их использования.»

Смешанный режим — когда данные сначала собираются на бумаге, а затем вносятся в систему — считается автоматизированной обработкой в части системы и неавтоматизированной в части бумажного этапа. Оба этапа требуют отдельного документирования.

Проверяете режимы обработки ПДн в компании?

Если вы юрист и разграничиваете автоматизированную и неавтоматизированную обработку в рамках аудита — важно охватить все источники ПДн: базы данных, архивы, бумажные формы, сторонние системы подрядчиков. Каждый пропущенный источник — потенциальный состав по ст. 13.11 КоАП. Аудит DATUM включает картографирование всех потоков ПДн по чек-листу из 38 пунктов.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие принципы обработки применяются к обоим режимам?

Ст. 5 ФЗ-152 устанавливает семь принципов обработки, которые распространяются и на автоматизированную, и на неавтоматизированную обработку без исключений.

Принцип законности и справедливости: Обработка допустима только при наличии правового основания по ст. 6, ст. 10 или ст. 11 ФЗ-152.
Принцип конкретности целей: Цели обработки должны быть определены до начала сбора ПДн и зафиксированы в документах оператора.
Принцип несовместимости целей: Запрещено объединять базы ПДн, собранные для несовместимых целей. Это правило актуально при слиянии ИТ-систем и переносе бумажных архивов в цифровой формат.
Принцип соответствия объёма: Состав и объём обрабатываемых ПДн должны соответствовать заявленным целям. Избыточный сбор — нарушение ч. 1 ст. 13.11 КоАП.
Принцип точности: Оператор обязан принимать меры по уточнению, обновлению и уничтожению недостоверных или неполных ПДн.
Принцип ограничения хранения: ПДн хранятся не дольше, чем требует цель обработки. Для бумажных носителей это означает физическое уничтожение после истечения срока.
Принцип уничтожения или обезличивания: По достижении цели или при отзыве согласия ПДн уничтожаются или обезличиваются — независимо от носителя.

На каком основании можно обрабатывать ПДн?

Ст. 6 ФЗ-152 перечисляет одиннадцать правовых оснований. Для большинства операторов актуальны четыре.

Согласие субъекта (п. 1 ст. 6, ст. 9 ФЗ-152): С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом — не включается в договор, оферту или политику конфиденциальности. Требования к реквизитам: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Обработка без соответствующего согласия или с нарушением состава — ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽ для юрлица).
Исполнение договора (п. 5 ст. 6 ФЗ-152): Обработка допустима, если субъект является стороной договора или выгодоприобретателем. Основание не требует согласия, но объём ПДн должен строго соответствовать предмету договора.
Исполнение обязанности оператора (п. 2 ст. 6 ФЗ-152): Применяется, когда обработка предусмотрена федеральным законом. Типичный пример — передача данных о работниках в ПФР, ФНС, СФР.
Поручение обработки (п. 3 ст. 6 ФЗ-152): Оператор вправе поручить обработку третьему лицу на основании договора или иного правового документа. Поручение не освобождает оператора от ответственности перед субъектом.

Что проверить при ревизии режимов обработки

Составить реестр всех источников ПДн: ИТ-системы, бумажные архивы, формы на сайте, КЭДО.
Для каждого источника определить правовое основание по ст. 6 ФЗ-152 и зафиксировать в матрице обработки.
Проверить, что согласия работников и клиентов с 01.09.2025 оформлены отдельными документами по ФЗ-156.
Убедиться, что для бумажных носителей выполнены условия хранения по ч. 6 ст. 13.11 КоАП: ограниченный доступ, журнал выдачи, сроки уничтожения.
Актуализировать уведомление в реестре РКН — перечень оснований и способов обработки должен отражать фактическое положение дел.

Чем отличаются требования к защите при разных режимах?

Автоматизированная обработка подпадает под требования ПП РФ №1119: оператор определяет уровень защищённости (УЗ-1 — УЗ-4) исходя из категории ПДн, типа угроз и числа субъектов (пороговое значение — 100 000). Меры защиты конкретизирует Приказ ФСТЭК №21 — 109 мер в 15 группах.

Неавтоматизированная обработка регулируется отдельно. Ключевое требование — условия хранения материальных носителей, исключающие неправомерный доступ. Нарушение этого требования, повлёкшее несанкционированный доступ к ПДн, образует состав ч. 6 ст. 13.11 КоАП — штраф для юрлица до 100 000 ₽.

«Ч. 6 ст. 13.11 КоАП: несоблюдение условий хранения материальных носителей ПДн при неавтоматизированной обработке, если это повлекло неправомерный доступ к ПДн, — штраф для юрлица 50 000 — 100 000 ₽.»

На практике нарушения по ч. 6 фиксируются при проверках кадровых служб: личные дела в открытых стеллажах, журналы с ПДн без замка, документы на переработку без акта об уничтожении.

Если вы юрист и выявили бумажный архив ПДн без регламента хранения — это готовый состав по ч. 6 ст. 13.11. Документы нужны до прихода инспектора РКН, а не после. Юристы DATUM соберут комплект ОРД под ключ, включая регламент работы с материальными носителями.

Собрать ОРД под ключ

Типовые ситуации

Ситуация 1. Смешанный режим без разграничения в уведомлении РКН. Оператор внёс в реестр только автоматизированную обработку. При проверке инспектор выявил бумажные анкеты клиентов. Основание обработки на бумажном этапе отсутствует в уведомлении — фактическая обработка шире заявленного. Риск: ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽) за обработку в случаях, не предусмотренных законом. Стратегия: актуализировать уведомление через форму по Приказу РКН №180, добавить раздел о неавтоматизированной обработке и правовые основания.

Ситуация 2. Согласие в трудовом договоре после 01.09.2025. HR-служба продолжает включать согласие работника в текст трудового договора. С 01.09.2025 такое согласие не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. При проверке или жалобе субъекта — состав ч. 2 ст. 13.11 (до 700 000 ₽ для юрлица). Стратегия: переоформить согласия отдельными документами с обязательными реквизитами; старые согласия, полученные до 01.09.2025, переоформлять не требуется — ФЗ-156 обратной силы не имеет.

Ситуация 3. Уничтожение бумажных носителей без акта. Организация утилизирует личные дела уволенных работников через обычный шредер без составления акта. Срок хранения личного дела — 75 лет по типовым перечням. Досрочное уничтожение и отсутствие документации — нарушение принципа ограничения хранения (ст. 5 ФЗ-152) и условий хранения носителей. Стратегия: ввести регламент уничтожения с актом, проверить сроки хранения по перечням Росархива.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой считается любое действие с ПДн — сбор, запись, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Перечень охватывает и автоматизированные операции (в ИТ-системах), и ручные (с бумажными документами). Даже однократный просмотр данных сотрудником в рамках должностных обязанностей является обработкой и должен быть предусмотрен локальными актами оператора.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает одиннадцать оснований. Для большинства операторов актуальны: согласие субъекта (ст. 9, с 01.09.2025 — отдельный документ по ФЗ-156), исполнение договора с субъектом (п. 5 ст. 6), исполнение обязанности оператора по закону (п. 2 ст. 6) и поручение обработки третьему лицу (п. 3 ст. 6). Каждое основание должно быть зафиксировано в матрице обработки и отражено в уведомлении РКН.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП в редакции с 30.05.2025 — от 30 000 ₽ (ч. 3, отсутствие политики) до 500 млн ₽ (ч. 15, оборотный штраф за повторную утечку). Нарушение хранения бумажных носителей — ч. 6 ст. 13.11 (50 000 — 100 000 ₽). При незаконном использовании или передаче компьютерной информации с ПДн возможна уголовная ответственность по ст. 272.1 УК РФ (введена с 11.12.2024) — до 10 лет лишения свободы по тяжкому составу.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 уведомление в реестр РКН обязательно для всех операторов до начала обработки. Исключения перечислены в ч. 2 ст. 22: обработка только данных работников в рамках трудового договора, обработка данных, полученных в связи с разовым договором, обработка общедоступных ПДн. Малый бизнес, обрабатывающий ПДн клиентов через сайт или CRM, под исключения не подпадает. Неуведомление — состав ч. 10 ст. 13.11 КоАП (100 000 — 300 000 ₽).

5. С какого возраста нужно согласие на ПДн?

По общему правилу ФЗ-152 субъект ПДн вправе давать согласие с 18 лет. Обработка ПДн лиц до 18 лет требует согласия родителя или законного представителя. Для несовершеннолетних от 14 до 18 лет согласие может давать сам субъект, но оператор должен убедиться в достаточной правоспособности в конкретных правоотношениях — с учётом ст. 26 ГК РФ. Особые требования установлены для образовательных организаций и медицинских учреждений.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — картографирование потоков ПДн, проверка оснований и режимов обработки
Комплект ОРД под ключ — политика, согласия, регламент работы с носителями, приказы
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании

Итог

Автоматизированная и неавтоматизированная обработка ПДн — два самостоятельных режима с разными требованиями к защите, документированию и основаниям по ст. 6 ФЗ-152. Смешение режимов без их явного разграничения в ОРД и уведомлении РКН создаёт пробелы, каждый из которых инспектор вправе квалифицировать как отдельный состав ст. 13.11 КоАП.

DATUM сопровождает операторов в построении системы соответствия 152-ФЗ с охватом обоих режимов: от картографирования потоков ПДн до формирования комплекта ОРД и актуализации уведомления в РКН.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Согласия работников по ст. 9 152-ФЗ в ред. ФЗ-156, КЭДО, биометрия в СКУД, передача в зарплатных проектах. Проверки РКН в HR-департаментах.

12 февраля 2027 года