Статья 18 152‑ФЗ: Обязанности оператора при сборе персональных данных

Table of contents

• Что регулирует статья 18 152‑ФЗ
• Ключевые обязанности оператора по ст. 18
• Информирование субъекта при сборе ПД
• Согласие и формы на сайте: что указать
• Локализация ПД в РФ (ч. 5 ст. 18)
• Поручение обработки и внешние сервисы
• Связь со статьями 18.1 и 19
• Таблица: требования ст. 18 и практика
• Типичные ошибки и как их исправить
• Проверки и ответственность
• Чек‑лист соответствия ст. 18

Что регулирует статья 18 152‑ФЗ

Статья 18 Федерального закона «О персональных данных» (ФЗ 152 ст 18) устанавливает обязанности оператора именно на этапе сбора персональных данных. В отличие от статьи 18.1, которая детально описывает организационные меры и назначение ответственного, а также от статьи 19 о безопасности, ст. 18 152‑ФЗ о персональных данных фокусируется на корректном информировании субъектов, правилах получения данных и на локализации баз данных российских граждан.

Для контекста и актуальной терминологии см.: О законе 152‑ФЗ, Структура и статьи 152‑ФЗ, Текст закона (последняя редакция). Обратите внимание на возможные изменения 2025.

Ключевые обязанности оператора по ст. 18

Статья 18 152‑ФЗ закрепляет, что оператор обязан:

• до начала обработки информировать субъекта о себе и условиях обработки (цели, состав ПД, получатели, сроки и т.д.);
• при получении ПД не от субъекта — уведомить его об этом, за исключением предусмотренных законом случаев;
• обеспечивать законность цели и минимизацию данных, соотнося их с принципами обработки;
• соблюдать требования к получению согласия, если на это указывает закон (см. обработка без согласия и согласие на обработку ПД);
• выполнить требование локализации: «запись, систематизация, накопление, хранение, уточнение и извлечение» ПД граждан РФ — в базах данных на территории РФ (ч. 5 ст. 18);
• корректно оформлять отношения с привлеченными лицами при поручении обработки и при передаче третьим лицам.

Информирование субъекта при сборе ПД

При сборе ПД (через сайт, письменные формы, колл‑центр и т.д.) оператор предоставляет субъекту понятную информацию, в том числе:

• наименование/Ф.И.О. и адрес оператора, контакт для обращений;
• цели обработки и правовые основания;
• категории обрабатываемых персональных данных;
• предполагаемые пользователи/получатели данных;
• сроки и условия обработки/хранения, порядок уничтожения;
• сведения о трансграничной передаче (если планируется);
• права субъекта и способы их реализации (см. права субъектов ПД).

Практически это реализуется через:

• раздел «Политика обработки ПД» в открытом доступе;
• краткие уведомления у каждой формы (цель + ссылка на Политику/Согласие);
• механизмы связи (форма, email, телефон) для запросов субъекта.

Если ПД получены не от самого субъекта, оператор обычно обязан сообщить ему об этом до начала обработки, за исключением прямо установленных законом случаев. Детали и исключения проверяйте по актуальной редакции закона.

Согласие и формы на сайте: что указать

Чтобы соблюсти ст. 18 при сборе через сайт и не нарушить другие требования 152‑ФЗ:

• укажите цель сбора над кнопкой формы (например: «Ответ на запрос», «Оформление заказа»);
• разместите ссылку на Политику и форму согласия, если оно требуется;
• применяйте явные чекбоксы согласия для маркетинга и рассылок (отдельно от согласия на обработку для основной цели);
• минимизируйте состав полей — только необходимые для цели (см. формы и согласие);
• соблюдайте требования к сайту: SSL/HTTPS, cookie и баннеры, Яндекс.Метрика, Яндекс.Формы, мессенджеры, а также нюансы для Tilda, WordPress, Bitrix.

Полезно заранее подготовить пакет документов и шаблонов: Пакет документов 152‑ФЗ, Генератор политики и согласий, Документы для сайта.

Локализация ПД в РФ (ч. 5 ст. 18)

Часть 5 статьи 18 «Статья 18 152 ФЗ» требует, чтобы оператор при сборе персональных данных граждан РФ обеспечивал:

• запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение ПД с использованием баз данных, находящихся на территории России.

Это не запрещает последующее копирование в зарубежные сегменты для отдельных целей, но первичный контур обработки и хранения должен быть в РФ. Уточняйте допустимость трансграничной передачи и исключения в законе (правосудие, госфункции, журналистская деятельность и др.) по актуальному тексту.

Практика выполнения:

• выбирайте российских провайдеров: серверы, хостинг, ЦОД, облака (например, Yandex Cloud);
• фиксируйте локализацию в внутренних документах и договорах с подрядчиками;
• оформляйте трансграничную передачу при необходимости (см. трансграничная передача ПД);
• учитывайте, что информация о локализации может проверяться регулятором (см. уведомление Роскомнадзора, реестр операторов ПД).

Поручение обработки и внешние сервисы

Если вы используете CRM, кол‑трекинг, облачную телефонию, сервисы рассылок, хостинг и др., вы поручаете обработку ПД третьим лицам. Статья 18 здесь стыкуется с общими правилами договора поручения обработки:

• заключите договор/инструкцию (см. поручение обработки ПДН);
• проверьте локализацию этих сервисов и условия трансграничной передачи;
• укажите в Политике перечень категорий получателей и целей передачи третьим лицам;
• при необходимости включите сервисы в уведомление в РКН (см. уведомление Роскомнадзора).

Оператор несет основную ответственность за соответствие, даже если техническую обработку выполняет подрядчик.

Связь со статьями 18.1 и 19

• Статья 18.1 детализирует организационные меры: внутренний контроль, обучение, публикация политики, локальные акты и т.д. Там же упоминается «ответственный 152‑ФЗ» — назначаемое лицо, курирующее процессы.
• Статья 19 и профильные акты (ФСТЭК/ФСБ) — про меры безопасности ПД, уровни защищенности ИСПДн, модель угроз, криптографию, требования ФСТЭК и ФСБ.

Таким образом, ст. 18 отвечает за корректный сбор и информирование, 18.1 — за организацию процессов, 19 — за техническую и организационную защиту.

Таблица: требования ст. 18 и практика

Требование ст. 18	Как выполнить на практике
Информировать субъектов о целях, операторах, сроках	Политика + краткие уведомления у форм, контакт для запросов
Уведомлять, если ПД получены не от субъекта	Скрипт/процедура уведомления, фиксация исключений в документах
Минимизировать состав данных под цель	Пересмотреть формы: убрать лишние поля; опираться на принципы обработки
Согласие при необходимости	Отдельные чекбоксы и шаблоны: согласие на обработку, на распространение
Локализация ПД граждан РФ	Хостинг/облако в РФ: серверы и ЦОД, облака
Передача третьим лицам по правилам	Договор поручения, реестр получателей, трансграничная передача

Типичные ошибки и как их исправить

• Нет краткого уведомления у форм, только длинная Политика. Решение: добавить 1–2 строки с целью и ссылкой на Политику/Согласие.
• Использование зарубежного хостинга как единственной БД для ПД граждан РФ. Решение: перенести первичный контур в РФ, настроить зеркалирование при необходимости.
• Отсутствует процедура уведомления субъекта, когда ПД получены не от него. Решение: регламент + шаблон уведомления.
• Одинаковое согласие для всех целей, включая маркетинг. Решение: разделить согласия по целям; внедрить granular opt‑in.
• Передача ПД подрядчикам без договора поручения. Решение: оформить поручение/ДПА; проверить локализацию подрядчика.
• Куки‑трекинг без информирования и настроек. Решение: внедрить баннер и настройки (см. cookie и баннеры, Яндекс.Метрика).

Для быстрого аудита сайта используйте: онлайн‑проверка по 152‑ФЗ и аудит сайта.

Проверки и ответственность

Соблюдение ст. 18 проверяет Роскомнадзор (планово/внепланово). Возможные последствия нарушений: предписания, штрафы, ограничение или блокировка ресурсов, особенно при несоблюдении локализации. Изучите:

• Проверки Роскомнадзора и подготовка к проверке;
• Ответственность и штрафы по 152‑ФЗ, включая ст. 13.11 КоАП;
• действия при инцидентах: инциденты и утечки ПД, уведомление Роскомнадзора.

Чек‑лист соответствия ст. 18

• Цели и состав ПД сформулированы, избыточность устранена.
• Политика в открытом доступе; уведомления у форм присутствуют.
• Согласия на обработку и маркетинг раздельны и документируются; есть порядок отзыва согласия.
• Налажена процедура уведомления субъекта, если ПД получены не от него.
• Локализация реализована: БД в РФ, договоры с провайдерами обновлены.
• Поручения обработки оформлены; реестр получателей актуален.
• Настроены безопасность и контроль (см. внутренний контроль и обучение, меры безопасности).
• Сроки хранения определены; есть порядок уничтожения/блокировки ПД и прекращения обработки.

Ищете полный комплект? Посмотрите Пакет документов, Обучение и курсы, Аудит соответствия и Консалтинг и документы под ключ.

---

Краткий вывод и следующий шаг Статья 18 152‑ФЗ — это точка входа в законное обращение с персональными данными: корректный сбор, прозрачное информирование и локализация. Приведите формы и процессы в соответствие, закрепите это документально, а технический контур держите в РФ. Нужна помощь с быстрой проверкой и документами? Оставьте заявку — мы подготовим персональный план соответствия и настроим все "под ключ".