справочник 14 августа 2026 По состоянию на 14 августа 2026

Цифровая идентификация по ст. 18 ФЗ-152

Цифровая идентификация — это установление личности субъекта при дистанционном взаимодействии на основе обработки его персональных данных. Ст. 18 ФЗ-152 регулирует сбор, хранение и уточнение ПДн граждан РФ и требует локализации этих операций на серверах в России.

С 01.07.2025 (ФЗ-233) требования к локализации ужесточены: первичный сбор ПДн граждан РФ обязан происходить в российских базах данных. Нарушение — штраф 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП; повторное нарушение — 6–18 млн ₽.

Если вы юрист и проверяете комплаенс цифровой идентификации в компании — ниже разбор ключевых понятий, норм и типичных нарушений.

Цифровая идентификация пронизывает большинство бизнес-процессов: регистрация на сайте, верификация при оформлении договора, ЕСИА-авторизация, биометрические сервисы. Каждый из этих сценариев влечёт обработку ПДн и подпадает под требования ФЗ-152. Для юриста, проверяющего комплаенс, принципиально разграничить: что считается обработкой, на каком основании она допустима, и как ст. 18 ограничивает трансграничные операции.

Что такое цифровая идентификация с точки зрения ФЗ-152?

Единого термина «цифровая идентификация» в ФЗ-152 нет. Закон оперирует понятиями, закреплёнными в ст. 3 ФЗ-152: персональные данные — любая информация, относящаяся прямо или косвенно к определённому физическому лицу (субъекту ПДн); оператор — юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку ПДн; обработка ПДн — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

В контексте цифровой идентификации критичны два момента. Во-первых, даже одиночное действие — например, хранение логина и email в базе — уже является обработкой. Во-вторых, идентификатор (номер сессии, cookie-файл с привязкой к личности) может быть признан ПДн, если позволяет прямо или косвенно идентифицировать субъекта. Роскомнадзор последовательно придерживается этой позиции в разъяснениях.

«Ст. 3 ФЗ-152: персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Обработка — любое действие (операция) или совокупность действий с ПДн.»

Какие принципы и основания обработки применяются при идентификации?

Принципы обработки ПДн закреплены в ст. 5 ФЗ-152. Для цифровой идентификации наиболее значимы три из них.

Соответствие целям. Обработка допустима только для конкретных, заранее определённых целей. Если оператор собирает email для регистрации, он не вправе без отдельного основания использовать его для маркетинговых рассылок — это несовместимая цель.

Минимизация данных. Объём собираемых ПДн должен соответствовать цели. Требовать при онлайн-регистрации паспортные данные, если достаточно email, — нарушение принципа достаточности.

Срочность хранения. ПДн подлежат уничтожению или обезличиванию при достижении цели обработки или утрате необходимости в ней.

Правовые основания обработки ПДн перечислены в ст. 6 ФЗ-152. При цифровой идентификации чаще всего применяются: согласие субъекта (п. 1), исполнение договора, стороной которого является субъект (п. 5), и исполнение возложенных на оператора законодательством обязанностей (п. 2). Важно: основание должно существовать до начала обработки, а не подбираться постфактум.

«Ст. 6 ФЗ-152: обработка ПДн допустима при наличии хотя бы одного из 11 оснований. Согласие субъекта — одно из них, но не единственное и не универсальное.»

Проверяете комплаенс цифровых сервисов по 152-ФЗ?

Типичная ситуация: мобильное приложение собирает данные при регистрации, cookie-баннер не настроен, основание обработки в политике не указано. Каждый из этих фактов — самостоятельный состав нарушения по ст. 13.11 КоАП. Юристы DATUM проводят аудит обработки ПДн по чек-листу из 38 пунктов и выдают отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как ст. 18 ФЗ-152 ограничивает цифровую идентификацию?

Ст. 18 ФЗ-152 устанавливает обязанности оператора при сборе ПДн. Ч. 5 этой статьи — норма о локализации: запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан России должны осуществляться с использованием баз данных, физически расположенных на территории РФ.

Для цифровой идентификации это означает следующее. Если сервис аутентификации (OAuth-провайдер, SSO-платформа, CRM) размещён в зарубежном облаке, а операции по ст. 18 ч. 5 выполняются там — это нарушение требования локализации вне зависимости от наличия дублирующей российской базы.

С 01.07.2025 ФЗ-233 уточнил: первичный сбор ПДн граждан РФ должен происходить в российских базах. Передача данных за рубеж после локализации допустима, но лишь при соблюдении условий трансграничной передачи по ст. 12 ФЗ-152 — уведомление РКН и (при необходимости) его согласование.

«Ст. 18 ч. 5 ФЗ-152: при сборе ПДн граждан РФ оператор обязан обеспечить запись, хранение и иные операции с использованием баз данных в РФ. Нарушение — ч. 8 ст. 13.11 КоАП: штраф для юрлица 1–6 млн ₽.»

Какие категории ПДн используются при идентификации?

Выбор правового режима зависит от того, к какой категории относятся данные.

Общие ПДн — ФИО, email, телефон, дата рождения, IP-адрес в связке с именем. Обрабатываются на общих основаниях ст. 6 ФЗ-152. Именно они используются в большинстве сценариев регистрации и авторизации.

Специальные категории ПДн (ст. 10 ФЗ-152) — состояние здоровья, национальность, религиозные взгляды, судимость. Обработка по общему правилу запрещена. В цифровой идентификации встречается при медицинских сервисах и системах допуска. Требует прямого письменного согласия или иного основания п. 2 ст. 10.

Биометрические ПДн (ст. 11 ФЗ-152) — данные, позволяющие установить личность физиологическими или биологическими характеристиками: изображение лица, голос, отпечатки пальцев, рисунок радужной оболочки. Обработка — только с письменного согласия субъекта (исключения в ч. 2 ст. 11). Биометрическая идентификация через единую биометрическую систему (ЕБС) регулируется ФЗ-572 от 29.12.2022.

Что проверить юристу при аудите цифровой идентификации

Наличие оператора в реестре РКН (pd.rkn.gov.ru) и актуальность указанных целей обработки
Соответствие политики конфиденциальности требованиям ч. 2 ст. 18.1 ФЗ-152: все обязательные разделы, дата актуализации
Правовое основание для каждой категории собираемых данных: согласие, договор, закон — до начала обработки
Локализация: серверы для первичного сбора ПДн граждан РФ физически в России (ст. 18 ч. 5)
Отдельное письменное согласие при обработке биометрии (ст. 11 ФЗ-152) и наличие его обязательных реквизитов по ст. 9

Если в компании используется зарубежный SSO или облачная CRM с данными граждан РФ — требования ст. 18 ч. 5 уже могут нарушаться. Штраф по ч. 8 ст. 13.11 КоАП — 1–6 млн ₽. Юристы DATUM соберут ОРД и оценят локализацию за фиксированную стоимость.

Заказать аудит 152-ФЗ

Согласие субъекта при цифровой идентификации: что изменилось с 01.09.2025?

С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025): согласие на обработку ПДн оформляется отдельным документом и не может быть объединено с договором, офертой или политикой конфиденциальности. Это кардинально меняет типовые формы онлайн-регистрации.

Обязательные реквизиты согласия по ст. 9: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок действия согласия, способ его отзыва. Согласие, которое до 01.09.2025 было встроено в чекбокс «принимаю условия» рядом с договором, теперь юридически недействительно для новых субъектов.

Обратной силы норма не имеет: согласия, полученные до 01.09.2025, переоформлять не требуется. Однако при новой регистрации или перезаключении договора оператор обязан получить согласие в новом формате.

Типичные нарушения и ответственность

Практика проверок РКН и судебная практика 2025–2026 годов выявляют устойчивые паттерны нарушений при цифровой идентификации.

Нарушение локализации (ст. 18 ч. 5 ФЗ-152). Оператор использует зарубежный сервис аутентификации, не имея российской копии базы. Состав по ч. 8 ст. 13.11 КоАП: штраф для юрлица 1–6 млн ₽. При повторном нарушении — 6–18 млн ₽ по ч. 9.

Обработка без правового основания (ст. 6 ФЗ-152). Оператор собирает при регистрации данные, избыточные для заявленной цели, либо продолжает хранение после достижения цели. Состав по ч. 1 ст. 13.11 КоАП: штраф 150 000–300 000 ₽; повторное — 300 000–500 000 ₽ по ч. 1.1.

Отсутствие или ненадлежащее согласие. Галочка в форме регистрации, объединённая с договором присоединения, после 01.09.2025 не является согласием по ст. 9 ФЗ-152. Состав по ч. 2 ст. 13.11: штраф 300 000–700 000 ₽; повторное — 1 000 000–1 500 000 ₽ по ч. 2.1.

Нарушение при обработке биометрии. Сервис распознавания лиц в СКУД без письменного согласия сотрудников. Состав по ч. 16 ст. 13.11 КоАП (точный диапазон штрафа для юрлиц — верифицировать перед применением; ориентиры: существенно выше общего состава).

В арбитражной практике 2025–2026 годов суды последовательно признают: оператор несёт ответственность за действия подрядчика, которому поручена обработка ПДн. Факт заключения договора поручения обработки по ст. 6 ФЗ-152 не снимает ответственности с оператора за нарушения, допущенные обработчиком.

Кейс. Компания из Центрального федерального округа (осень 2025) использовала облачный идентификационный сервис европейского провайдера для авторизации пользователей мобильного приложения. При плановой проверке РКН установил: первичный сбор ПДн граждан РФ производился на серверах за рубежом без российской базы. Дело квалифицировано по ч. 8 ст. 13.11 КоАП; штраф исчислен в диапазоне нескольких миллионов рублей. Переход на российского провайдера аутентификации занял четыре месяца после вынесения предписания — в этот период оператор продолжал нести риск повторного состава.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка цифровых сервисов по 38 пунктам, отчёт с планом устранения
Комплект ОРД под ключ — политика, согласия, приказы, договоры с обработчиками
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработкой по ст. 3 ФЗ-152 признаётся любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже хранение email-адреса в базе без каких-либо иных операций — уже обработка ПДн, требующая правового основания.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 предусматривает 11 оснований. При цифровой идентификации чаще всего применяются: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанностей оператора по закону (п. 2). Основание должно существовать до начала обработки: подбирать его постфактум при проверке РКН недопустимо.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП (в редакции с 30.05.2025): 18 частей, штрафы для юрлиц — от 30 тыс. ₽ (ч. 3, отсутствие политики) до 15 млн ₽ (ч. 14, утечка более 100 000 субъектов). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. С 11.12.2024 действует ст. 272.1 УК РФ: незаконное использование ПДн из компьютерных систем — до 10 лет лишения свободы (ч. 5).

4. Нужно ли уведомлять РКН малому бизнесу?

Общее правило ст. 22 ФЗ-152: оператор обязан уведомить РКН до начала обработки ПДн. Исключения перечислены в ч. 2 ст. 22 — они узкие: данные только работников компании, данные для разовых договоров без передачи третьим лицам, и ряд других. Малый бизнес, ведущий клиентскую базу или CRM, под исключения, как правило, не подпадает. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единую возрастную планку, однако исходит из общей дееспособности по ГК РФ. До 14 лет согласие дают родители или законные представители. С 14 до 18 лет согласие несовершеннолетнего действительно, но для ряда операций (например, при обработке в целях заключения договора) требуется согласие представителя. Операторы цифровых сервисов для детей обязаны предусмотреть механизм верификации возраста и получения согласия от представителя.

Итог

Цифровая идентификация — зона концентрации рисков по ФЗ-152: здесь пересекаются требования к локализации (ст. 18 ч. 5), к правовым основаниям (ст. 6), к согласию (ст. 9 в ред. с 01.09.2025) и к специальным категориям (ст. 10–11). Каждое из этих требований самостоятельно порождает состав нарушения по ст. 13.11 КоАП с существенными штрафами.

Юристы DATUM сопровождают аудит цифровых сервисов на предмет соответствия ФЗ-152: от проверки правовых оснований обработки до оценки инфраструктуры на соответствие требованиям локализации. Опыт работы по 152-ФЗ с 2014 года.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

14 августа 2026 года