справочник 11 января 2027 По состоянию на 11 января 2027

Защита жизни как основание обработки (ст. 6 п. 6)

Обработка персональных данных без согласия субъекта допустима, если это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта либо других лиц, а получить согласие невозможно.

Основание закреплено в п. 6 ч. 1 ст. 6 ФЗ-152. Оно применяется узко: при одновременном наличии реальной угрозы и невозможности получить согласие. Злоупотребление этим основанием квалифицируется как нарушение по ч. 1 ст. 13.11 КоАП — штраф для юрлица до 300 000 ₽, при повторности — до 500 000 ₽.

→ Если вы юрист и выстраиваете документацию оператора — проверьте, не подменяет ли организация этим основанием обычное согласие.

С 30.05.2025 санкции по ст. 13.11 КоАП существенно выросли, а РКН последовательно проверяет правовые основания обработки при плановых и внеплановых проверках. Для юриста важно разграничивать п. 6 ч. 1 ст. 6 ФЗ-152 от смежных оснований — согласия по ст. 9, договорного основания по п. 5 и исполнения обязанностей по п. 2 — и фиксировать в ОРД конкретные условия применения каждого.

Что означает «защита жизни» как правовое основание?

Защита жизни как основание обработки персональных данных — это правовое основание по п. 6 ч. 1 ст. 6 ФЗ-152, позволяющее оператору обрабатывать персональные данные без согласия субъекта в ситуации, когда обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо третьих лиц, а получение согласия субъекта объективно невозможно.

Норма содержит два обязательных условия — они должны выполняться одновременно:

Угроза реальна и актуальна. Речь идёт о ситуации, непосредственно угрожающей жизни или здоровью. Гипотетическая или отложенная угроза основание не образует.
Получить согласие невозможно. Субъект без сознания, недееспособен в данный момент, недоступен и иной возможности получить согласие нет. Если согласие можно получить — оно обязательно.

«П. 6 ч. 1 ст. 6 ФЗ-152: обработка персональных данных допускается без согласия субъекта, если она необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или других лиц при условии, что получение согласия субъекта невозможно.»

Типичные ситуации применения основания: пациент поступил в бессознательном состоянии, сотрудник потерял сознание на рабочем месте, лицо с признаками острого состояния обратилось без документов. В каждом случае оператор обязан зафиксировать факт невозможности получения согласия и объём обрабатываемых данных — минимально необходимый для устранения угрозы.

Чем п. 6 отличается от других оснований обработки по ст. 6 ФЗ-152?

Ст. 6 ФЗ-152 содержит 11 правовых оснований обработки ПДн. Для юриста принципиально разграничить п. 6 от трёх смежных:

П. 1 (согласие) — базовое основание. Применяется всегда, когда угрозы нет и субъект доступен. П. 6 не заменяет п. 1 в штатных ситуациях.
П. 2 (исполнение обязанностей оператора) — применяется, когда обработка предписана законом (например, передача сведений в государственные органы). Угроза жизни при этом не обязательна.
П. 5 (договорное основание) — обработка нужна для исполнения договора с субъектом или по его инициативе. Угроза жизни не является условием.

Ключевой принцип соответствия объёма целям закреплён в ст. 5 ФЗ-152: объём обрабатываемых данных не должен превышать необходимый для достижения цели. При применении п. 6 это означает: как только угроза устранена или появилась возможность получить согласие — дальнейшая обработка без согласия незаконна.

Правовые основания в документации не разграничены?

Если в политике конфиденциальности или согласиях организации п. 6 используется как универсальная «заглушка» вместо надлежащего согласия — это нарушение ч. 1 ст. 6 ФЗ-152. При проверке РКН инспектор запрашивает правовое обоснование по каждой категории обрабатываемых данных. Несоответствие основания фактической обработке — прямой повод для протокола. Исправить это до проверки быстрее и дешевле, чем оспаривать штраф в суде.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как применять п. 6 в организации: требования к фиксации

Оператор персональных данных по ст. 3 ФЗ-152 — лицо, самостоятельно или совместно с другими определяющее цели и состав обрабатываемых ПДн. При применении п. 6 оператор несёт бремя доказывания правомерности обработки.

Что зафиксировать при обработке на основании п. 6

Описание угрозы жизни или здоровью: характер, время возникновения, источник информации об угрозе.
Основание невозможности получить согласие: состояние субъекта, попытки связи, иные обстоятельства.
Перечень и объём фактически обработанных ПДн — не шире минимально необходимого.
Момент прекращения обработки по данному основанию: устранение угрозы или получение согласия.
Ссылка на п. 6 ч. 1 ст. 6 ФЗ-152 в журнале обработки или внутреннем акте о конкретном случае.

Принципы обработки по ст. 5 ФЗ-152 обязывают оператора обрабатывать данные не дольше, чем необходимо. После устранения угрозы данные либо уничтожаются, либо обработка переводится на иное законное основание — при наличии такого основания и с уведомлением субъекта.

Специальные категории ПДн и биометрия при угрозе жизни

Медицинские данные относятся к специальным категориям по ст. 10 ФЗ-152. По общему правилу их обработка запрещена. Исключение — п. 4 ч. 2 ст. 10: обработка необходима для защиты жизни и здоровья субъекта или третьих лиц, а получить согласие невозможно.

Это исключение корреспондирует п. 6 ч. 1 ст. 6, но является самостоятельной нормой для специальных категорий. Юрист должен указывать оба основания одновременно: п. 6 ч. 1 ст. 6 (общее основание обработки) и п. 4 ч. 2 ст. 10 (специальное разрешение для медданных).

Если организация обрабатывает медицинские данные без согласия — каждый случай должен быть задокументирован. Отсутствие документации при проверке РКН приравнивается к отсутствию основания. Штраф по ч. 1 ст. 13.11 — до 300 000 ₽, по ч. 2 (без письменного согласия, когда оно требуется) — до 700 000 ₽.

Заказать аудит 152-ФЗ

Типовые ситуации применения основания

Ситуация 1. Скорая помощь и бессознательный пациент. Медицинская организация обрабатывает данные пациента, поступившего без сознания: ФИО, группу крови, анамнез из медицинских документов при них. Основание — п. 6 ч. 1 ст. 6 и п. 4 ч. 2 ст. 10 ФЗ-152. После стабилизации состояния организация обязана получить согласие на дальнейшую обработку или прекратить её. Фиксация в журнале — обязательна. Вероятный исход при проверке без документации — протокол по ч. 2 ст. 13.11 КоАП.

Ситуация 2. Производственный инцидент. Сотрудник потерял сознание на складе; HR и служба охраны труда передают данные в скорую: ФИО, возраст, сведения о хронических заболеваниях из личного дела. Угроза жизни документально зафиксирована (акт). После оказания помощи — обработка по п. 6 прекращается; сведения о здоровье из личного дела хранятся по иному основанию (трудовое законодательство). Стратегия: в журнале обработки — отдельная запись по каждому случаю применения п. 6.

Ситуация 3. Коммерческая организация без медицинского профиля. Организация включает в политику конфиденциальности п. 6 как одно из оснований обработки клиентских данных без конкретизации случаев. Инспектор РКН расценивает это как нарушение ст. 5 ФЗ-152 (несоответствие объёма и цели). Исход — предписание об устранении и протокол по ч. 1 ст. 13.11 КоАП. Стратегия: указывать п. 6 только при наличии реального регламента для чрезвычайных ситуаций; не включать в стандартную политику как универсальное основание.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — это любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже хранение данных без их активного использования является обработкой и требует правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит 11 правовых оснований. Основные: согласие субъекта (п. 1), исполнение закона или обязанностей оператора (п. 2), судопроизводство (п. 3), исполнение договора с субъектом (п. 5), защита жизни (п. 6), журналистская деятельность (п. 8). Обработка без хотя бы одного из этих оснований является нарушением и влечёт штраф по ч. 1 ст. 13.11 КоАП — для юрлица 150 000–300 000 ₽.

3. Что грозит за нарушение 152-ФЗ?

Ответственность многоуровневая. По ст. 13.11 КоАП (в редакции с 30.05.2025) — 18 составов: от 30 000 ₽ за отсутствие политики (ч. 3) до оборотного штрафа 1–3% выручки, не менее 20 млн ₽, при повторной утечке (ч. 15). С 11.12.2024 действует ст. 272.1 УК: незаконное использование ПДн из компьютерных систем — до 10 лет лишения свободы (ч. 5). Физические лица — должностные и ответственные за обработку — несут ответственность наряду с организацией.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 — да. Исключения перечислены в ч. 2 ст. 22: обработка данных работников в трудовых целях, данных по договору с субъектом без передачи третьим лицам, ряд иных ограниченных случаев. Если организация обрабатывает данные клиентов, покупателей, посетителей сайта — уведомление обязательно. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП: 100 000–300 000 ₽ для юрлица.

Итог

П. 6 ч. 1 ст. 6 ФЗ-152 — узкоспециальное основание с двумя обязательными условиями: реальная угроза жизни или здоровью и объективная невозможность получить согласие. Применять его вне этих условий — значит создавать риск штрафа по ч. 1 ст. 13.11 КоАП. Юрист, выстраивающий комплаенс оператора, должен отразить регламент применения п. 6 в ОРД и разграничить его со смежными основаниями в политике обработки персональных данных.

Практика DATUM охватывает полный цикл документирования правовых оснований обработки — от аудита до сборки пакета ОРД под конкретную деятельность оператора.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правовых оснований по каждой категории обрабатываемых данных
Комплект ОРД под ключ — политика, согласия, регламенты с актуальными основаниями по ст. 6
DPO-аутсорсинг — сопровождение обращений субъектов и взаимодействие с РКН

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.

11 января 2027 года