Перейти к содержанию
аналитика 13 января 2029 По состоянию на 13 января 2029

Уведомление о платежах: ПДн

Уведомление о платежах — это передача персональных данных плательщика третьим лицам: банку, агрегатору, ЖКХ-системе или оператору связи. Каждое такое действие требует правового основания по ст. 6 ФЗ-152.
С 30.05.2025 за незаконную передачу ПДн без согласия оператор-юрлицо платит 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП; при повторности — 1–1,5 млн ₽. Уведомление РКН о намерении обрабатывать ПДн — обязанность по ст. 22 ФЗ-152, за неисполнение — 100 000–300 000 ₽ по ч. 10.
→ Если вы юрист и разбираете, кто и на каком основании передаёт ПДн в платёжных и смежных процессах — этот материал даёт отраслевую карту норм, рисков и практики 2025–2026 годов.

Платёжные уведомления пронизывают десятки отраслей: ЖКХ, телеком, транспорт, СМИ, государственные сервисы. Юрист, сопровождающий такого клиента, сталкивается с пересечением ФЗ-152, отраслевого законодательства и требований подзаконных актов РКН. В материале — карта типичных правовых ситуаций, анализ ролей операторов, критичные нормы и практика проверок 2025–2026 годов.

Какое правовое основание нужно для передачи ПДн при уведомлении о платеже?

Уведомление плательщика о транзакции — это действие с ПДн: передача, предоставление, доступ. По ст. 6 ФЗ-152 обработка ПДн допустима только при наличии одного из 11 оснований. Для платёжных уведомлений релевантны три из них.

Первое — согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152). Используется, когда оператор информирует клиента о статусе платежа через сторонний сервис push-уведомлений или SMS-агрегатор. С 01.09.2025 по ФЗ-156 согласие на передачу ПДн агрегатору оформляется отдельным документом — включение в договор оказания услуг или публичную оферту больше не допускается.

Второе — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). Если уведомление о платеже является условием исполнения договора с клиентом (например, обязательное информирование о списании по договору банковского обслуживания), согласие не требуется. Это основание, однако, не охватывает передачу ПДн третьему процессинговому партнёру — там нужен договор поручения по п. 3 ст. 6 ФЗ-152.

Третье — исполнение обязанности оператора (п. 2 ч. 1 ст. 6 ФЗ-152). Операторы связи, банки, управляющие компании ЖКХ в ряде случаев обязаны информировать субъекта по отраслевому закону. Это основание автономно — согласия не нужно, но объём передаваемых данных не должен превышать необходимый для исполнения такой обязанности.

«Ст. 6 ФЗ-152 — обработка ПДн допустима при наличии правового основания. Поручение обработки третьему лицу — только на основании договора, в котором перечислены цели, перечень действий и обязанность соблюдать конфиденциальность (п. 3 ст. 6 ФЗ-152).»

Принципиальная ошибка — считать, что SMS-агрегатор или push-платформа действует «сама по себе». С точки зрения ФЗ-152 это лицо, осуществляющее обработку по поручению оператора. Оператор несёт полную ответственность за действия такого лица. Если агрегатор допустил утечку — штраф платит оператор.

Юрист проверяет договоры с платёжными агрегаторами — что проверить по 152-ФЗ?

Договор с SMS-агрегатором, push-платформой или процессингом должен содержать обязательные реквизиты поручения по п. 3 ст. 6 ФЗ-152: цели обработки, перечень действий, обязанность конфиденциальности и уничтожения ПДн по окончании. Отсутствие любого реквизита — основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). DATUM проводит аудит пакета договоров с подрядчиками в рамках аудита соответствия 152-ФЗ.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие особенности у уведомлений о платежах в ЖКХ, телекоме и на транспорте?

Отраслевая специфика принципиальна: одна и та же операция «уведомление о платеже» может означать разный набор операторов, разные категории ПДн и разные основания обработки в зависимости от сектора.

ЖКХ и ГИС ЖКХ. ТСЖ, управляющая компания и ресурсоснабжающая организация — самостоятельные операторы ПДн собственников. Каждый обязан подать уведомление в реестр РКН по ст. 22 ФЗ-152. Передача данных собственника (ФИО, лицевой счёт, сумма долга) в ГИС ЖКХ — исполнение требований ФЗ-209 от 21.07.2014, основание по п. 2 ч. 1 ст. 6 ФЗ-152. Передача тех же данных в коллекторское агентство — уже требует согласия собственника либо договора уступки права требования, из которого прямо следует такая передача.

Операторы связи. Данные абонентов — ФИО, адрес, реквизиты платежа — обрабатываются на основании договора об оказании услуг связи (п. 5 ч. 1 ст. 6 ФЗ-152). При этом операторы связи обязаны по ст. 12 ФЗ-152 уведомлять РКН о трансграничной передаче ПДн абонентов, если используют зарубежные биллинговые системы или платёжные шлюзы. Отдельная обязанность — хранение данных о соединениях для целей ФСБ по ст. 64 ФЗ «О связи»; эта обработка не требует согласия абонента, но ведётся строго в объёме, предусмотренном Приказом Министерства цифрового развития.

Транспорт и каршеринг. Каршеринговые операторы собирают ПДн пассажиров и водителей, включая геолокацию в реальном времени. Геолокация — это ПДн по позиции РКН (ст. 3 ФЗ-152: любая информация, относящаяся к определённому физическому лицу). Уведомление о списании с карты за поездку — обработка ПДн в рамках исполнения договора аренды транспортного средства. Геолокационный трек после завершения поездки хранить не обязательно; его хранение должно быть обосновано в политике обработки ПДн и политике хранения.

«Ст. 13 ФЗ-152 — государственные органы, организации, уполномоченные на защиту прав субъектов ПДн; ст. 12 ФЗ-152 — трансграничная передача ПДн допускается после уведомления РКН, если страна-получатель не обеспечивает адекватный уровень защиты.»

СМИ. Редакции и издатели не освобождены от ФЗ-152. Согласно ст. 6 ФЗ-152, обработка ПДн в редакционных целях — это отдельное основание (п. 8 ч. 1 ст. 6: обработка в журналистской деятельности, если это не нарушает права субъекта). Однако при подписке и приёме платежей за контент редакция действует как обычный оператор ПДн и обязана уведомить РКН, соблюдать требования к согласиям и политике.

Госсектор. Государственные информационные системы (ГИС), через которые проходят платёжные уведомления (порталы госуслуг, ГИС ЖКХ, системы налогового администрирования), действуют на основании специальных норм. Граждане вправе требовать ограничения обработки своих ПДн в ГИС, однако в части обязательных платёжных уведомлений такое требование может быть правомерно отклонено — если обработка необходима для исполнения законодательно установленных функций органа.

Что проверить юристу при аудите платёжных уведомлений

  • Уведомление в реестре РКН по ст. 22 ФЗ-152 подано и актуально — для каждого оператора в цепочке (УК, ТСЖ, оператор связи, агрегатор).
  • Договоры с SMS/push-агрегаторами и процессинговыми партнёрами содержат реквизиты поручения по п. 3 ст. 6 ФЗ-152: цели, перечень действий, обязанность конфиденциальности.
  • Согласия на обработку ПДн в платёжных целях оформлены отдельным документом с 01.09.2025 по ФЗ-156 (не включены в договор или оферту).
  • Политика обработки ПДн опубликована на сайте и содержит раздел о трансграничной передаче (если используются зарубежные платёжные шлюзы) по ст. 18.1 ФЗ-152.
  • Срок хранения платёжных данных обоснован и закреплён во внутреннем регламенте; геолокационные треки не хранятся дольше необходимого (ст. 5 ФЗ-152, принцип достаточности).

Как правильно квалифицировать роль оператора при уведомлении о платеже?

Квалификация роли — ключевой вопрос для юриста. От неё зависит: кто подаёт уведомление в РКН, кто несёт ответственность за утечку и кто отвечает субъекту на запрос по ст. 20 ФЗ-152 в течение 10 рабочих дней.

Сценарий 1. ТСЖ vs УК: кто оператор?

На практике ТСЖ нередко передаёт расчётные функции управляющей компании или расчётному центру. Ситуация: жилец получает SMS о начислении долга от имени ТСЖ, но данные обрабатывает УК. Если договор между ТСЖ и УК не содержит условий поручения по п. 3 ст. 6 ФЗ-152, УК фактически обрабатывает ПДн без правового основания. РКН при плановой проверке квалифицирует это как нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Стратегия: включить в договор с УК условия поручения и обязать УК подать собственное уведомление в реестр РКН либо чётко обозначить её роль обработчика, действующего по инструкциям ТСЖ.

Сценарий 2. Оператор связи и передача данных ФСБ.

Операторы связи обязаны предоставлять ФСБ доступ к данным о соединениях по ФЗ «О связи» и соответствующим постановлениям Правительства. Это основание по п. 3 ч. 1 ст. 6 ФЗ-152 (исполнение судебного акта или обязанности по закону). Одновременно оператор должен соблюдать принцип минимизации ПДн по ст. 5 ФЗ-152 и не передавать данные сверх установленного объёма. Типичная ошибка — расширительное толкование запроса ФСБ и передача сведений о платёжных реквизитах абонента, не связанных с запросом. Стратегия: внутренний регламент передачи данных по запросам госорганов с фиксацией объёма и оснований каждой передачи.

Сценарий 3. СМИ и уведомление РКН.

Онлайн-издание считает, что освобождено от уведомления РКН как СМИ. Инспектор РКН при плановой проверке устанавливает: издание принимает платежи за подписку, обрабатывает ПДн подписчиков (имя, email, карточные данные через агрегатор) и не включено в реестр операторов. Нарушение — ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽. Стратегия: даже при редакционной деятельности подать уведомление по ст. 22 ФЗ-152 в части платёжных и подписочных процессов и закрепить разграничение в политике обработки ПДн.

Если вы юрист и разбираете структуру операторов в платёжной цепочке клиента — аудит DATUM охватывает все роли: кто оператор, кто обработчик, какой договор нужен. Уведомление в реестре РКН по ст. 22 ФЗ-152 — один из первых пунктов чек-листа.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Управляющая компания в Сибирском федеральном округе (осень 2025) направляла SMS-уведомления о задолженности собственникам через сторонний агрегатор без договора поручения и без включения агрегатора в уведомление в реестр РКН. При плановой проверке РКН установил нарушение ч. 1 ст. 13.11 КоАП и ч. 10 ст. 13.11 КоАП. Штраф по обоим составам — в диапазоне нескольких сотен тысяч рублей. После привлечения юристов договор с агрегатором переоформлен как поручение с полным перечнем реквизитов; уведомление в реестр РКН подано. При последующей проверке нарушений не выявлено.

Кейс 2. Региональный оператор каршеринга (Северо-Западный федеральный округ, начало 2026) хранил геолокационные треки поездок в течение трёх лет без указания срока хранения в политике обработки ПДн. Пользователь направил запрос на уничтожение ПДн по ст. 21 ФЗ-152. Оператор не ответил в установленный срок. РКН возбудил дело по ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽ за невыполнение требования субъекта). По итогам сопровождения юристами: политика переработана, сроки хранения треков сокращены до 90 дней и зафиксированы, ответ субъекту направлен в пределах 10 рабочих дней.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка всей цепочки обработки ПДн в платёжных процессах, отчёт с планом устранения нарушений.
  • Комплект ОРД под ключ — политика, согласия, договоры поручения с агрегаторами, регламенты хранения.
  • DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы субъектам и взаимодействие с РКН.

Частые вопросы

1. Кто оператор: ТСЖ или УК?

Оператором признаётся то лицо, которое самостоятельно определяет цели и состав обработки ПДн. Если ТСЖ передаёт расчётные функции УК без оформления поручения по п. 3 ст. 6 ФЗ-152, оба субъекта рискуют быть признаны самостоятельными операторами — каждый обязан подать уведомление в реестр РКН по ст. 22 ФЗ-152. На практике РКН квалифицирует отсутствие договора поручения как нарушение ч. 1 ст. 13.11 КоАП со штрафом 150 000–300 000 ₽ для юрлица.

2. Освобождены ли СМИ от уведомления РКН?

Нет. Редакционная деятельность предоставляет основание для обработки ПДн в журналистских целях по п. 8 ч. 1 ст. 6 ФЗ-152, но не освобождает издателя от обязанности уведомить РКН, если он обрабатывает ПДн подписчиков, рекламодателей или сотрудников в коммерческих или административных целях. За отсутствие уведомления — ч. 10 ст. 13.11 КоАП, штраф до 300 000 ₽.

3. Как оператору связи передавать данные ФСБ без нарушения 152-ФЗ?

Передача данных ФСБ по законному запросу — основание по п. 2 или п. 3 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности или исполнение полномочий госоргана). Согласие абонента не требуется. Однако оператор обязан соблюдать принцип минимизации по ст. 5 ФЗ-152 и передавать ровно тот объём данных, который предусмотрен запросом и применимым подзаконным актом. Каждую передачу следует фиксировать во внутреннем журнале — это документальное доказательство законности обработки при проверке РКН.

4. Какие данные собирает каршеринг и нужно ли особое согласие?

Каршеринг обрабатывает: ФИО, паспортные данные, водительское удостоверение, номер карты, геолокацию в реальном времени и историю поездок. Геолокация — ПДн по позиции РКН (ст. 3 ФЗ-152). Обработка ПДн водителя в рамках договора аренды ТС — основание по п. 5 ч. 1 ст. 6 ФЗ-152. Если данные используются для маркетинга или передаются партнёрам — требуется отдельное согласие, оформленное с 01.09.2025 обособленным документом по ФЗ-156. Геолокационный трек после поездки должен иметь обоснованный срок хранения в политике.

5. Что хранить о собственниках в ЖКХ и как долго?

УК и ТСЖ вправе хранить ФИО, адрес, лицевой счёт, сведения о задолженности и истории платежей собственника — это необходимо для исполнения договора управления и требований законодательства о ЖКХ. Срок хранения финансовых документов — не менее 5 лет (по нормам бухгалтерского учёта). ПДн, которые не нужны для указанных целей (например, паспортные данные членов семьи сверх минимума), следует уничтожить по ст. 5 ФЗ-152. Конкретные сроки закрепляются в политике обработки ПДн и номенклатуре дел.

Итог

Уведомление о платежах как бизнес-процесс затрагивает несколько операторов ПДн одновременно — агрегатора, банк, управляющую организацию, госсистему. Для каждого звена цепочки необходимы отдельное уведомление в реестре РКН, договор поручения с нижестоящим обработчиком и согласие субъекта в тех случаях, когда иное основание не применимо. С 30.05.2025 штрафы по ст. 13.11 КоАП кратно выросли: нарушение ч. 2 — до 700 000 ₽, повторность — до 1,5 млн ₽, неуведомление о намерении обрабатывать — до 300 000 ₽.

Практика DATUM включает сопровождение операторов в ЖКХ, телекоме, транспорте и медиа: аудит цепочек обработки ПДн, оформление ОРД под отраслевую специфику, подготовку к проверкам РКН и защиту от штрафов по ст. 13.11 КоАП в арбитраже.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП в ред. ФЗ-420 от 30.11.2024, защита от оборотных штрафов. Подсудность после ФЗ-508 — мировые судьи.

13 января 2029 года