Общедоступные ПДн и их распространение: как не нарушить ст. 10.1

Общедоступные ПДн и их распространение: как не нарушить ст. 10.1

---

Коротко о сути: что изменилось

Раньше компании широко опирались на понятие «общедоступные персональные данные»: если человек сам разместил информацию в сети, казалось, ее можно свободно перепубликовать. Сейчас такой подход рискован. В ст. 10.1 152‑ФЗ введен особый режим обработки персональных данных, которые субъект разрешил для распространения. Нужна отдельная процедура и отдельное согласие на распространение 152 ФЗ, с возможностью субъекта ограничить условия и запретить дальнейшую публикацию.

Если кратко: «нашли в интернете» не означает «можно распространять». Прежде чем делать репост, витрину сотрудников, базу контактов или кейс с именами клиентов, необходимо убедиться, что у вас есть надлежащее согласие и соблюдены ограничения.

![Схема получения согласия и распространения ПДн — иллюстрация]

Для контекста см. также: о законе 152‑ФЗ, структура и статьи, текст 152‑ФЗ, глоссарий.

Что такое «общедоступные ПДн» сегодня

Термин «общедоступные» сохранился в обиходе, но юридически акцент смещен: закон оперирует понятием «персональные данные, разрешенные субъектом для распространения». Это данные, по которым человек дал отдельное волеизъявление — определить, что именно можно публиковать для неограниченного круга лиц, и на каких условиях.

Ключевые выводы:

• «Общедоступные персональные данные 152 ФЗ» — не значит «ничем не защищенные». Наоборот, их распространение регулируется строже, чем обычная обработка.
• Сам факт, что субъект опубликовал данные у себя (например, в соцсети), не дает право вам их собирать и повторно распространять без проверки согласия и условий.
• Для специальных категорий (здоровье, убеждения и т. п.) и биометрии действуют дополнительные ограничения закона, см. ст. 10 и биометрические ПДн.

Полезно помнить общие принципы: минимизация, соразмерность и законность обработки, см. ст. 5 152‑ФЗ и принципы и цели обработки.

Распространение, передача, публикация: в чем разница

Чтобы не ошибиться с правовым режимом, различайте термины:

Действие	Что это	Что нужно
Передача третьим лицам	Направление ПДн конкретному ограниченному получателю	Основание по 152‑ФЗ (договор/закон/согласие), см. передача третьим лицам
Распространение	Предоставление ПДн неограниченному кругу лиц (публикация на сайте, открытый пост, витрина)	Отдельное согласие на распространение 152 ФЗ с условиями и запретами
Публикация у себя	Размещение ПДн субъектом на своей странице	Это не делает ваши дальнейшие действия законными автоматически

Важно: «152 ФЗ распространение персональных данных» — это отдельный институт, и он не подменяет базовые режимы обработки, см. обработка без согласия и политика обработки ПДн.

Согласие на распространение (ст. 10.1): как и когда оформлять

Отдельное согласие — обязательное условие, если вы делаете информацию доступной неопределенному кругу лиц. Оно должно быть самостоятельным (не «спрятанным» в общем согласии на обработку) и включать:

• перечень конкретных ПДн, разрешенных для распространения;
• цели и способы распространения (сайт, соцсети, наружные носители и т. п.);
• категории и/или круг возможных получателей;
• установленные субъектом запреты и условия (например, запрет на передачу агрегаторам, запрет на индексацию, запрет на использование в рекламе);
• порядок изменения и отзыва согласия.

Практика:

• Форма с «гранулярными» чекбоксами в личном кабинете/веб-форме. См. формы на сайте и согласие и документы для сайта.
• Фиксация логов и версии условий, чтобы доказать, что вы соблюдали запреты.
• Возможность быстрого отзыва — см. отзыв согласия.

Совместите согласие с UX: по умолчанию лучше не отмечать галочки распространения. Это соответствует принципам добросовестности и минимизации.

Подробнее о шаблонах: согласие на распространение ПДн и шаблоны и формы.

Обязанности по ч. 9 ст. 10.1: проверка ограничений и работа с ЕИС

Ч. 9 ст. 10.1 152‑ФЗ (часто пишут и как «ч 9 ст 10.1 152 фз») закрепляет ключевую обязанность: прежде чем распространять ПДн, оператор должен убедиться в наличии согласия субъекта и соблюдать установленные им ограничения. На практике это означает:

• проверку и учет ограничений, заданных субъектом (в т. ч. через единую информационную систему учета согласий — «ЕИС»);
• прекращение распространения и удаление ПДн при отзыве или изменении условий в разумные сроки (как правило, не позднее нескольких рабочих дней — конкретные SLA закрепляйте во внутренних регламентах);
• если вы передали ПДн другим лицам, — уведомить получателей о запретах и об отзыве, и добиться прекращения дальнейшего распространения.

Иными словами, переразмещая данные, найденные «в открытом доступе», вы отвечаете за то, что не нарушили запреты субъекта. Отсутствие проверки — риск претензий и штрафов, см. ответственность и штрафы и КоАП 13.11.

Пошаговая модель комплаенса для оператора

1. Картирование сценариев распространения

• Каталог страниц/виджетов, где ПДн видны любому (новости с ФИО, раздел «Команда», отзыв с именем, карточка сотрудника, онлайн-трансляция, витрина заказчиков).

1. Проектирование согласия

• Раздельная форма под распространение, связанная с конкретными данными и площадками. Учитывайте device/каналы (сайт, соцсети, печать).
• Хранение «снимка» согласия и логов.

1. Реализация ограничений

• Технические флаги: «запрет индексации», «запрет репоста», «только внутри сайта», «анонимизация», см. также обезличивание ПДн.
• Быстрая де-публикация и корректное «404/410» при отзыве.

1. Договорные меры

• С партнерами и подрядчиками прописать запреты субъекта и обязанность удалить записи при отзыве.
• Если есть обмен с сервисами/платформами — оформляйте это как передачу третьим лицам с особыми условиями.

1. Документы и обучение

• Обновите политику обработки ПДн, опишите режим по ст. 10.1.
• Проведите инструктаж сотрудников (PR/HR/маркетинг), см. внутренний контроль и обучение.

1. Реакция на изменение согласия

• Канал приема обращений субъекта, сроки и ответственные.
• Регламент уничтожения/блокировки, см. уничтожение и блокировка ПДн и сроки хранения.

Типовые сценарии и практические примеры

• Раздел «Команда» на сайте. Публикация ФИО, фото, должностей — это распространение. Нужно отдельное согласие на распространение 152 ФЗ с указанием площадок (сайт/соцсети). При отзыве — удаление карточки и кэшей в разумные сроки.
• Кейсы с упоминанием клиентов. Если есть ФИО контактного лица — это ПДн. Укажите, где и как будет опубликовано, запретите индексацию по запросу субъекта.
• Отзывы пользователей. Готовьте выбор: имя, инициалы или «анонимно». По умолчанию — анонимно.
• HR и вакансии. Не выкладывайте резюме с персональными данными в открытый доступ без отдельного согласия. Для обмена с агрегаторами — это уже передача третьим лицам, а открытая витрина — распространение.
• Соцсети. Репост чужих постов с ПДн — тоже распространение. Проверьте ограничения и будьте готовы удалить по требованию.
• Видеотрансляции/фотоотчеты. Лица посетителей — ПДн (а иногда биометрия). Нужны понятные условия участия, альтернативы, зоны без съемки. См. видеонаблюдение и 152‑ФЗ.

При невозможности собрать согласие — рассматривайте обезличивание: уберите или искажайте признаки, которые идентифицируют человека, см. обезличивание ПДн.

Частые ошибки и риски

• «Это же в открытом доступе — значит можно». Нет. Ч. 9 ст. 10.1 требует учитывать запреты и условия субъекта, а также прекращать распространение по его воле.
• Объединение общих согласий. Согласие на обычную обработку и на распространение должны быть разделены.
• Нет механизма быстрого отзыва или де-публикации. Риск жалобы в РКН и штрафов.
• Публикация сверх необходимого. Нарушение принципов минимизации, см. ст. 5.
• Игнорирование подрядчиков. Партнер продолжает хранить копию, хотя вы удалили у себя — это тоже нарушение. Закрепляйте обязанности в договорах.
• Сбор «на всякий случай» и отправка за рубеж. Для открытой публикации за пределами РФ учитывайте трансграничную передачу.

Последствия: предписания, блокировка отдельных страниц, административные штрафы по КоАП 13.11, репутационные потери. В случае утечек — дополнительные меры и уведомления, см. инциденты и утечки ПДн.

Мини-чек-лист внедрения

• Инвентаризировать все места публикации ПДн.
• Разделить согласия: обычное и на распространение (ст. 10.1). См. согласие на распространение ПДн.
• Реализовать настройку условий и запретов для субъекта (opt-in, granular).
• Наладить проверку ограничений (в т. ч. через ЕИС, если используете).
• Обновить политику и публичные документы сайта, учесть cookie и баннеры и требования к сайту.
• Обучить PR/HR/маркетинг. Провести внутренний контроль.
• Настроить процедуру отзыва с удалением у партнеров.
• Проверить готовность к проверке РКН, см. проверки Роскомнадзора и чек‑лист 152‑ФЗ.

Итоги и что делать дальше

Режим «общедоступных» данных больше не тождествен «можно все». Ст. 10.1 152‑ФЗ требует отдельного согласия и строгого учета условий субъекта, а ч. 9 ст. 10.1 — проверки ограничений и прекращения распространения по первому требованию. Это касается любого публичного размещения: от раздела «Команда» до кейсов, отзывов и постов в соцсетях.

Что дальше:

• Проведите экспресс‑аудит страниц и процессов. Воспользуйтесь нашим чек‑листом и онлайн‑проверкой сайта.
• Подготовьте пакет документов и формы согласий: пакет документов 152‑ФЗ и генератор политики и согласий.
• Если нужен быстрый и безопасный запуск — закажите консалтинг и документы под ключ.

Следите за обновлениями: см. изменения 2025. А если у вас есть вопросы по конкретным сценариям, загляните в вопросы и ответы или напишите нам — поможем выстроить процесс без рисков.