аналитика 21 августа 2026 По состоянию на 21 августа 2026

Восстановление прав как основание: защита от мошенничества

Обработка персональных данных в целях защиты от мошенничества и восстановления нарушенных прав — самостоятельное правовое основание по ст. 6 ФЗ-152, не требующее согласия субъекта.

С 30.05.2025 санкции по ст. 13.11 КоАП ужесточены: за обработку ПДн без надлежащего основания юрлицо рискует штрафом до 300 000 ₽, а при повторности — до 500 000 ₽. Ошибки в квалификации основания обработки — самый частый повод для протокола.

→ Если вы юрист и проверяете комплаенс компании, убедитесь, что каждый случай обработки ПДн для противодействия мошенничеству закреплён в ОРД с указанием конкретного правового основания.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо прежних 7. Для юриста, выстраивающего или проверяющего систему обработки ПДн, критически важно правильно разграничить основания: согласие, договор, законная обязанность, судопроизводство и жизненные интересы. Основание «защита прав субъекта или оператора» применяется в антифрод-процессах, верификации контрагентов, оспаривании сделок, а также в ситуациях восстановления нарушенных прав через суд. Ошибочно смешивать это основание с согласием — типичная ошибка, которую РКН находит при плановых и внеплановых проверках.

Какие правовые основания обработки ПДн допускает ФЗ-152?

Статья 6 ФЗ-152 устанавливает исчерпывающий перечень оснований обработки персональных данных. Согласие субъекта — лишь одно из одиннадцати. Для юриста важно понимать три группы оснований, наиболее востребованных в практике защиты прав и противодействия мошенничеству.

Первая группа — исполнение договора, стороной которого является субъект. Если физическое лицо заключает договор с оператором, обработка данных, необходимых для исполнения этого договора, не требует отдельного согласия. Это закреплено в п. 5 ч. 1 ст. 6 ФЗ-152. Антифрод-проверка при онлайн-платеже, идентификация при выдаче займа — типичные примеры.

Вторая группа — осуществление оператором прав и законных интересов или третьих лиц. Пункт 7 ч. 1 ст. 6 ФЗ-152 позволяет обрабатывать ПДн без согласия, если это необходимо для защиты законных интересов и если при этом не нарушаются права субъекта. Именно это основание применяется при проверке контрагента на мошеннические признаки, верификации транзакций, розыске должников в рамках досудебной процедуры.

Третья группа — судопроизводство и исполнение судебных актов. Пункт 3 ч. 1 ст. 6 позволяет обрабатывать ПДн в связи с производством по гражданскому, административному или уголовному делу. Это основание задействуется, когда оператор собирает доказательную базу против мошенника — получает сведения, необходимые для иска или заявления в правоохранительные органы.

«Ст. 6 ч. 1 п. 7 ФЗ-152: обработка ПДн допустима для достижения законных интересов оператора или третьих лиц при условии, что интересы и права субъекта не ущемляются.»

Принципиальная ошибка на практике — подменять эти основания согласием субъекта. Когда оператор получает согласие на «проверку в антифрод-системе» от лица, которое ему ещё не доверяет и чьи данные уже обрабатываются в рамках договора, — возникает дублирование правовых оснований. При проверке РКН инспектор вправе квалифицировать это как нарушение принципа минимизации (ст. 5 ФЗ-152) или как обработку, не соответствующую заявленным в уведомлении целям.

Проверяете комплаенс по основаниям обработки?

Если вы юрист и в ОРД компании основания обработки ПДн описаны обобщённо или смешаны, РКН при проверке составит протокол по ч. 1 ст. 13.11 КоАП — штраф до 300 000 ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как применяется основание защиты прав в антифрод-процессах?

Обработка ПДн для противодействия мошенничеству охватывает несколько типовых сценариев: верификацию личности при регистрации, мониторинг транзакций на предмет аномалий, проверку контрагентов по открытым реестрам, сбор и фиксацию доказательной базы при обнаружении мошеннической схемы.

Ключевое условие для применения п. 7 ч. 1 ст. 6 ФЗ-152 — соразмерность. Объём обрабатываемых данных должен быть необходим и достаточен для достижения конкретной цели защиты (ст. 5 ФЗ-152, принцип минимизации). Нельзя обосновать сбором «на всякий случай» или «для полноты профиля» — это нарушение принципа соответствия объёма целям.

Важно зафиксировать в локальных актах: какие именно данные обрабатываются, в какой системе, с каким сроком хранения и кто несёт ответственность. Без этого при проверке оператор не сможет доказать соблюдение п. 7 ч. 1 ст. 6 — инспектор расценит обработку как неправомерную по ч. 1 ст. 13.11 КоАП.

Что подготовить юристу для легализации антифрод-обработки

Локальный акт (приказ или регламент) с перечнем целей и объёма ПДн для антифрод-целей, ссылкой на основание — п. 7 ч. 1 ст. 6 ФЗ-152 или п. 5 ч. 1 ст. 6 (для договорных отношений)
Актуальное уведомление в реестре РКН (ст. 22 ФЗ-152) с указанием цели «защита законных интересов оператора» и соответствующих категорий данных
Политика обработки ПДн с разделом о мерах защиты прав субъектов при антифрод-обработке — по ч. 2 ст. 18.1 ФЗ-152
Записи о соразмерности: документально обоснованный минимальный набор данных для каждой антифрод-процедуры
Инструкция для сотрудников, обрабатывающих ПДн в антифрод-целях, с указанием сроков хранения и порядка уничтожения

Какова ответственность за неправомерную обработку ПДн с 30.05.2025?

С вступлением в силу ФЗ-420 от 30.11.2024 санкционная часть ст. 13.11 КоАП кардинально изменилась. Для юриста, консультирующего компанию, принципиально важны три уровня ответственности, актуальных для темы защиты прав и антифрода.

Первый уровень — обработка ПДн без надлежащего правового основания. По ч. 1 ст. 13.11 КоАП (в ред. с 30.05.2025) штраф для юрлица составляет 150 000–300 000 ₽. При повторном нарушении по ч. 1.1 — уже 300 000–500 000 ₽. Типичный сценарий: оператор ссылается на согласие для антифрод-проверки, но согласие не было получено надлежащим образом или было отозвано субъектом.

«Ст. 13.11 ч. 1 КоАП (ред. с 30.05.2025): обработка ПДн в случаях, не предусмотренных законом, или с целями, несовместимыми с заявленными, — штраф для юрлица 150 000–300 000 ₽.»

Второй уровень — нарушения, связанные с согласием. По ч. 2 ст. 13.11 штраф за обработку без письменного согласия (когда оно требуется) составляет 300 000–700 000 ₽. Это актуально, если оператор неверно определил основание и стал применять согласие там, где оно необходимо, но оформлено с нарушениями. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие должно быть оформлено отдельным документом — смешанные согласия в договорах и офертах недействительны.

Третий уровень — оборотный штраф при повторной утечке. По ч. 15 ст. 13.11 при повторном нарушении, связанном с утечкой данных (ч. 12–14), штраф составляет 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Для компании с выручкой 1 млрд ₽ это минимум 20 млн ₽ даже при минимальной ставке.

Уголовная ответственность по ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024) наступает за незаконное использование, передачу, сбор или хранение компьютерной информации с персональными данными. Максимальное наказание по ч. 5 — лишение свободы до 10 лет при наступлении тяжких последствий. Это принципиально меняет оценку рисков: физические лица, причастные к неправомерной обработке данных в антифрод- или иных целях, могут быть привлечены к уголовной ответственности.

Если вы юрист и получили от РКН запрос о проверке оснований обработки ПДн — у вас, как правило, 10 рабочих дней на ответ. Ошибка в квалификации основания сейчас стоит до 300 000 ₽, при повторности — до 500 000 ₽.

Заказать аудит 152-ФЗ

Как это работает на практике: типовые сценарии для юриста

Ниже — три ситуации, с которыми сталкиваются юристы при проверке системы обработки ПДн в части антифрода и восстановления прав.

Сценарий 1. Антифрод-система работает без зафиксированного основания. Компания электронной коммерции использует систему скоринга транзакций, которая обрабатывает ПДн покупателей: геолокацию, историю заказов, устройство. В уведомлении в реестре РКН цель «предотвращение мошенничества» не указана, в политике конфиденциальности — тоже. При плановой проверке РКН инспектор запрашивает сведения о целях. Оператор не может предъявить правовое основание по п. 7 ч. 1 ст. 6 ФЗ-152. Итог: протокол по ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽. Стратегия: до проверки — обновить уведомление в РКН, внести в политику раздел об антифрод-обработке, издать приказ с указанием основания и объёма данных.

Сценарий 2. Оператор собирает доказательную базу против мошенника — субъект требует уничтожения его ПДн. Субъект, в отношении которого заподозрено мошенничество (например, подал заявку на кредит с чужими документами), направляет требование уничтожить его ПДн. Оператор обязан по ч. 2 ст. 21 ФЗ-152 уничтожить данные при достижении цели или при отзыве согласия. Однако если обработка ведётся по п. 3 ч. 1 ст. 6 (судопроизводство) или по п. 7 ч. 1 ст. 6 (законный интерес защиты от мошенничества), требование субъекта не является безусловным. Оператор вправе сохранить данные на период судебного разбирательства или расследования. Стратегия: зафиксировать причину отказа в уничтожении в письменном ответе субъекту — со ссылкой на применяемое основание и срок сохранения.

Сценарий 3. Передача ПДн третьему лицу для восстановления прав. Компания передаёт данные о предполагаемом мошеннике (ФИО, реквизиты) в коллекторское агентство или детективную службу для установления местонахождения должника. По умолчанию — это поручение обработки по п. 3 ст. 6 ФЗ-152, требующее заключения договора поручения с обязательными условиями по ст. 6 ч. 3. Если договора нет или он не содержит перечня поручаемых действий — нарушение ч. 3 ст. 6 ФЗ-152. Итог при проверке: протокол по ч. 1 ст. 13.11. Стратегия: оформить договор поручения с перечнем действий, ответственностью обработчика и обязанностью уничтожить данные по завершении поручения.

Кейс 1. Юрист финтех-компании (Центральный ФО, начало 2026) при подготовке к плановой проверке РКН обнаружил, что антифрод-модуль обрабатывает 14 категорий данных пользователей, при этом в уведомлении в реестре указано только 6. По итогам экстренного аудита уведомление обновили, политику переработали, приказ об антифрод-обработке издали за 3 недели до проверки. Инспектор нарушений не зафиксировал.

Кейс 2. Оператор маркетплейса (Сибирский ФО, осень 2025) получил жалобу субъекта: компания использовала его ПДн для передачи партнёру-детективному агентству без договора поручения. РКН возбудил дело по ч. 1 ст. 13.11 КоАП. Штраф по итогам рассмотрения составил суммы в нижней части диапазона, поскольку нарушение было устранено до вынесения постановления. Договор поручения был оформлен задним числом — что суд принял во внимание как смягчающее обстоятельство, однако не как основание для освобождения от ответственности.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки ПДн, чек-лист из 38 пунктов
Комплект ОРД под ключ — регламент антифрод-обработки, политика, приказы, договоры поручения
DPO-аутсорсинг — постоянный контроль соответствия, ответы на запросы субъектов

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — это любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Просмотр базы данных, передача записи коллеге, резервное копирование, архивирование — всё это обработка. Отсутствие автоматизации не освобождает от требований 152-ФЗ: неавтоматизированная обработка также регулируется законом (ст. 3 ч. 3).

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 устанавливает 11 оснований. Для практики защиты прав и антифрода наиболее применимы: исполнение договора с субъектом (п. 5), достижение законных интересов оператора или третьих лиц при условии соразмерности (п. 7), исполнение обязанности по законодательству РФ (п. 2) и осуществление судопроизводства (п. 3). Согласие субъекта (п. 1) применяется как остаточное основание — когда ни одно из остальных десяти не подходит.

3. Что грозит за нарушение 152-ФЗ?

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей. Для юрлиц базовый штраф за обработку без надлежащего основания — 150 000–300 000 ₽ (ч. 1), при повторности — 300 000–500 000 ₽ (ч. 1.1). Обработка без письменного согласия, когда оно требуется, — 300 000–700 000 ₽ (ч. 2). За повторную утечку — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Уголовная ответственность по ст. 272.1 УК РФ (с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

Обязанность уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) распространяется на большинство операторов. Исключения — ст. 22 ч. 2: в частности, если данные обрабатываются исключительно в рамках трудовых отношений или договора с субъектом и не передаются третьим лицам. Однако если компания проводит антифрод-верификацию или ведёт базу клиентов — она, как правило, обязана состоять в реестре. Неуведомление с 30.05.2025 влечёт штраф по ч. 10 ст. 13.11 КоАП: 100 000–300 000 ₽ для юрлица.

5. С какого возраста нужно согласие на ПДн?

По ст. 9 ФЗ-152 дееспособный субъект даёт согласие самостоятельно. Для несовершеннолетних до 18 лет согласие, как правило, даёт законный представитель — родитель или опекун. Исключение: 14–18 лет — в случаях, когда несовершеннолетний обладает дееспособностью в полном объёме (эмансипация) или заключает самостоятельно допускаемые законом сделки. В антифрод-практике это критично для онлайн-сервисов, доступных несовершеннолетним: формы согласия должны предусматривать проверку возраста и порядок получения согласия родителя.

Итог

Восстановление прав и защита от мошенничества — законные цели обработки ПДн по ст. 6 ФЗ-152, но их применение требует точной квалификации основания, соразмерного объёма данных и документального закрепления в ОРД. Смешение оснований, отсутствие актуального уведомления в реестре РКН или неправильно оформленный договор поручения — каждый из этих недостатков даёт повод для протокола с 30.05.2025 по новым частям ст. 13.11 КоАП.

Юристы DATUM сопровождают операторов на всех этапах: от первичного аудита оснований обработки до защиты позиции компании при проверке РКН и в арбитраже по ст. 13.11 КоАП.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.

21 августа 2026 года