Статья 10.1 152‑ФЗ: распространение и общедоступные персональные данные

Table of contents

• Что регулирует статья 10.1
• Ключевые термины и место нормы в законе
• Согласие на распространение: требования и структура
• Общедоступные ПДн vs ПДн, разрешенные для распространения
• Обязанности оператора и техническая реализация
• Часть 9 ст. 10.1: прекращение распространения и уведомления
• Связанные нормы: ст. 10 и ст. 11 152‑ФЗ
• Типичные ошибки и практические кейсы
• Чек‑лист внедрения в компании
• Ответственность и проверки
• Итоги и что делать дальше

---

Что регулирует статья 10.1

Статья 10.1 152‑ФЗ — ключевая норма о «персональных данных, разрешенных субъектом для распространения». Она определяет, на каких условиях и с какими ограничениями допускается распространение персональных данных (ПДн) неопределенному кругу лиц, в том числе через интернет, СМИ, агрегаторы и социальные сети. Главная идея — «privacy by default»: по умолчанию распространение запрещено, и требуется отдельное, специальное согласие субъекта.

По запросу вы можете изучить сам закон и его актуальные обновления: о законе 152‑ФЗ, структура и статьи, полный текст (последняя редакция), а также изменения 2025.

Ключевые термины и место нормы в законе

Чтобы корректно применять ст. 10.1 152‑ФЗ, важно различать:

• «Обработка» и «распространение» (раскрытие неопределенному кругу лиц).
• «Предоставление» (конкретным третьим лицам) и «поручение» обработки.
• «Общедоступные персональные данные» и ПДн, «разрешенные для распространения» субъектом.

Смотри также: глоссарий 152‑ФЗ, принципы и цели обработки, передача третьим лицам.

Согласие на распространение: требования и структура

Согласие на распространение 152‑ФЗ — самостоятельное и отличное от обычного согласия на обработку ПДн. Его нельзя «прятать» в общий текст политики или однотипную галочку. Нужна явная, отделимая воли субъекта, с возможностью установить запреты и условия.

Рекомендуемая структура согласия (общая логика без избыточных формализмов):

• Идентификация субъекта ПДн (ФИО и контакты/идентификатор).
• Данные об операторе (наименование, ИНН/ОГРН, адрес, контакты).
• Перечень персональных данных, которые субъект разрешает распространить (поименно, не обобщенно: например, «ФИО», «должность», «фотография», «профиль в соцсети», «комментарий/отзыв»).
• Виды действий: публикация на сайте, пересылка в соцсети, размещение в каталоге/агрегаторе, репосты и т. п.
• Условия и запреты субъекта: кому можно/нельзя раскрывать, география, срок публичного доступа, запрет на передачу третьим лицам, запрет на коммерческую рассылку и рекламу, запрет на автоматизированную обработку/профилирование и пр.
• Срок действия согласия и порядок его отзыва/изменения.
• Способ подтверждения (подпись, код, чек‑бокс с фиксацией лога, усиленная/простая электронная подпись и т. п.).

Полезные материалы и шаблоны: согласие на распространение ПДн, согласие на обработку ПДн, заявления и отзыв согласия, шаблоны и формы.

Общедоступные ПДн vs ПДн, разрешенные для распространения

Часто путают «общедоступные персональные данные 152‑ФЗ» и ПДн, «разрешенные субъектом для распространения» по ст. 10.1. Различия принципиальны:

Критерий	ПДн, разрешенные субъектом для распространения (ст. 10.1)	Общедоступные персональные данные
Основание	Отдельное согласие субъекта с условиями и запретами	Данные, сделанные общедоступными самим субъектом или по закону
Режим по умолчанию	Распространение запрещено, пока нет отдельного согласия	Не означает автоматического права на дальнейшее распространение кем угодно
Условия/запреты	Субъект вправе детально устанавливать	Условия могут вытекать из способа публикации/закона
Примеры	Публикация фото сотрудника на сайте; отзыв на витрине	Госреестры, открытые объявления, публичные профили (с оговорками)

Даже если данные «общедоступны», оператору все равно нужно проверить законность «распространения» и уважать запреты субъекта. Подробнее: общедоступные ПДн.

Обязанности оператора и техническая реализация

Оператор, который планирует 152‑ФЗ распространение персональных данных, обязан:

• Получить отдельное согласие на распространение, до публикации.
• Реализовать в интерфейсе понятные «настройки приватности по умолчанию» — скрыто, пока субъект сам явно не разрешит публиковать.
• Отразить процессы в документах: политика обработки ПДн, обязанности оператора, внутренний контроль и обучение.
• Маркировать и разделять ПДн по режимам (для служебного использования / для распространения), обеспечивать ограничение доступа.
• Вести логи получения/изменения/отзыва согласий, хранить доказательства верификации личности.
• Соблюдать меры безопасности ИСПДн и принципы минимизации.

Краткая памятка по срокам и действиям:

Обязанность	Срок	Где зафиксировать
Получить согласие до публикации	До любого раскрытия	Форма согласия, лог событий
Публиковать/хранить условия, установленные субъектом	Без неоправданной задержки	UI/настройки видимости, база согласий
Прекратить распространение после отзыва/изменения условий	См. ч. 9 ст. 10.1 — 3 рабочих дня	Регламент удаления/блокировки
Уведомить ранее получивших ПДн третьих лиц	См. ч. 9 ст. 10.1 — 7 рабочих дней (распространенная практика)	Шаблоны уведомлений, реестр рассылок

Сопутствующие темы: формы на сайте и согласие, требования к сайту, cookie и баннеры, Яндекс.Метрика и 152‑ФЗ, мессенджеры.

Часть 9 ст. 10.1: прекращение распространения и уведомления

Формулировка «ч 9 ст 10.1 152 фз» закрепляет оперативные обязанности оператора при отзыве согласия или изменении условий субъектом:

• В срок не позднее трех рабочих дней оператор прекращает распространение соответствующих ПДн и удаляет/блокирует их из публичного доступа.
• В разумный срок (на практике — не позднее семи рабочих дней) оператор доводит новые условия/запреты до сведения лиц, которым ПДн ранее были раскрыты, и принимает меры по прекращению их дальнейшего распространения.

Практические шаги оператора:

1. Немедленная блокировка и снятие публикаций (страницы, карточки, аватары, отзывы, архивы, CDN).
2. Очистка кэшей и индексации: robots/noindex, инструменты удаления в поисковых системах, обновление sitemap.
3. Уведомления третьих лиц: площадки, партнёры, соцсети, агрегаторы — с требованием удалить/ограничить.
4. Фиксация доказательств: скриншоты до/после, письма, регистрационные номера заявок, логи.
5. Прекращение обработки и переход к прекращению/уничтожению и блокировке/удалению в части, которая касалась распространения.

Если отзыв касается части полей, нужно сохранить публикацию только в разрешенных границах (например, оставить ФИО, скрыть фото). При невозможности немедленного удаления у третьих лиц — доказуйте принятые меры и продолжайте добиваться удаления. Если произошла утечка или нарушение сроков — см. действия при нарушении ПДн.

Связанные нормы: ст. 10 и ст. 11 152‑ФЗ

• Ст. 10 152‑ФЗ (специальные категории ПДн) вводит дополнительные ограничения для чувствительных данных: здоровье, взгляды, интимная жизнь и пр. Наличие согласия на распространение не отменяет эти запреты. Подробнее: статья 10, специальные категории ПДн, медицинские ПДн.
• Ст. 11 152‑ФЗ (биометрические ПДн) — фото/видео/голос и иные характеристики. Их публикация часто равна распространению, а обработка требует особых оснований. См.: статья 11, биометрические ПДн.

Часто ищут «ст 10 11 152 фз» вместе — это логично: публикация фото сотрудника (биометрия) одновременно подпадает под ст. 10.1 (распространение) и ст. 11 (особый режим биометрии).

Типичные ошибки и практические кейсы

• Одна «галочка на всё». Смешивание обычного согласия на обработку с «согласием на распространение 152‑ФЗ». Нужно разнести.
• Отсутствие явных запретов/условий в интерфейсе. По умолчанию режим должен быть «скрыто», пока субъект не разрешит.
• Публикация фото/отзывов сотрудников и клиентов без отдельного согласия. Риски усиливаются для детей: см. дети и ПДн, фото детского сада.
• Репосты из соцсетей и витрин: «там уже публично» — не оправдание для вторичного распространения без учета условий субъекта.
• Рекламные рассылки и таргет на основе «общедоступных» профилей без отдельного осн основания — см. реклама и ПДн.
• Неподтвержденная личность субъекта при согласии/отзыве: потом трудно доказать законность.

Чеклист внедрения в компании

• Проведите аудит данных и каналов публикации: сайт, блог, соцсети, каталоги, партнерские сети (аудит сайта, онлайн‑проверка).
• Разделите юридические режимы: служебная обработка, обработка с согласия, обработка без согласия, распространение (обработка без согласия, поручение обработки).
• Внедрите отдельные формы и логику согласий на распространение; настройте «приватность по умолчанию».
• Обновите документацию: политика, пакет документов, чек‑лист 152‑ФЗ.
• Настройте регламент по ч. 9 ст. 10.1 (3 и 7 дней), ответственных и шаблоны уведомлений.
• Обучите сотрудников: внутренний контроль и обучение.

Ответственность и проверки

Нарушение ст. 10.1 (неполучение отдельного согласия, игнорирование запретов субъекта, нарушение сроков по ч. 9) квалифицируется по ст. 13.11 КоАП РФ — см. КоАП 13.11 и ПДн. Возможны предписания, штрафы, блокировки отдельных публикаций, а также иски о защите нематериальных благ и компенсации морального вреда. Практику см. здесь: судебная практика. Как проходят проверки: Роскомнадзор: уведомления и проверки, проверки Роскомнадзора, подготовка к проверке.

Итоги и что делать дальше

Статья 10.1 152‑ФЗ задает высокий стандарт для распространения ПДн: отдельное согласие, настройка приватности по умолчанию, соблюдение запретов субъекта и быстрые сроки реакции по ч. 9 ст. 10.1. Разграничивайте «общедоступные» данные и «разрешенные для распространения», фиксируйте согласия и автоматизируйте отзыв/удаление.

Нужна помощь с внедрением? Воспользуйтесь нашим генератором политики и согласий или закажите консалтинг и документы под ключ. Для комплексной проверки — аудит соответствия 152‑ФЗ. Мы поможем безопасно и законно организовать 152‑ФЗ распространение персональных данных.