Статья 15 152‑ФЗ: Особенности автоматизированной обработки

Статья 15 152‑ФЗ: особенности автоматизированной обработки и профилирования

Что регулирует ст. 15 152‑ФЗ

Статья 15 152‑ФЗ («статья 15 152 ФЗ», «ст 15 152 ФЗ») устанавливает особенности обработки персональных данных с использованием средств автоматизации, то есть в информационных системах персональных данных (ИСПДн). На практике ст. 15 применяется в связке с другими нормами закона — прежде всего со статьями о правах субъектов и мерах безопасности.

Важно: запрет на принятие решений, порождающих правовые последствия для граждан исключительно на основе автоматизированной обработки, детально раскрыт в ст. 16. Поэтому, говоря об «автоматизированной обработке 152 ФЗ», всегда учитывайте как ст. 15, так и ст. 16.

Полный текст закона см. здесь: 152‑ФЗ: последняя редакция
Обзор по структуре и всем статьям: Структура и статьи 152‑ФЗ

Ключевые понятия: автоматизированная обработка и профилирование

Автоматизированная обработка — операции с ПДн с использованием вычислительной техники и ПО (ИСПДн), включая сбор, запись, систематизацию, хранение, изменение, извлечение и т. п. См. также: ИСПДн: определение и требования и Глоссарий 152‑ФЗ.
Профилирование 152‑ФЗ — практический термин для обозначения автоматизированной обработки персональных данных с целью оценки аспектов личности (интересы, предпочтения, платежеспособность, риски), часто применяемой в кредитном скоринге, таргетированной рекламе и антифроде. Для соблюдения закона ключевое — корректно определить цели и правовые основания такой обработки и минимизировать риски дискриминации.

![Схема автоматизированной обработки персональных данных: сбор → хранение → анализ (профилирование) → решение → уведомление субъекта]

Правовые основания и границы допустимого

Чтобы автоматизированная обработка была законной, необходимы цели и основания из 152‑ФЗ:

Получить CloudPayments бесплатно

Базовые условия обработки: ст. 6 и принципы
Согласие субъекта: ст. 9 и готовые формы: Согласие на обработку ПДн
Спецкатегории данных: ст. 10, биометрия — ст. 11
Данные, разрешенные для распространения: ст. 10.1
Трансграничная передача: ст. 12

Если вы проводите профилирование (например, персонализированная реклама или скоринг), убедитесь, что цели обработки раскрыты в политике и согласиях, а также соблюдены ограничения ст. 16 (см. далее).

Решения на основе ИИ/ML: когда нельзя «только автоматикой»

Ст. 16 152‑ФЗ запрещает принимать решения, порождающие правовые последствия для субъекта или иначе затрагивающие его права и законные интересы, исключительно на основе автоматизированной обработки. Исключения:

имеется письменное согласие субъекта; или
такая возможность прямо предусмотрена федеральным законом.

Что считать «правовыми последствиями»? Примеры: отказ в выдаче кредита, отклонение кандидата при найме, автоматическое изменение тарифа, блокировка услуги. В таких сценариях оператору необходимо обеспечить «вмешательство человека» и механизм оспаривания.

Свяжите эту норму с обязанностями по прозрачности и безопасности: ст. 14 — права субъекта, ст. 18.1 — обязанности оператора, ст. 19 — меры безопасности.

Права субъекта при автоматизированной обработке

Субъект ПДн имеет право:

получать информацию об обработке и источниках данных — см. ст. 14 и общую страницу Права субъектов ПДн;
требовать уточнения, блокирования, уничтожения — см. уничтожение и блокировка;
отозвать согласие — отзыв согласия и заявления и формы;
оспорить решения, принятые автоматически, и потребовать участия человека (с учетом ст. 16);
ограничить распространение персональных данных — см. ст. 10.1.

Обязанности оператора и безопасность ИСПДн

Оператор, проводящий автоматизированную обработку 152‑ФЗ, обязан:

соблюдать принципы и минимизацию данных — принципы обработки;
определить уровень защищенности ИСПДн — уровни защищенности, подготовить модель угроз, обеспечить криптографию при необходимости;
выполнять требования регуляторов — ФСТЭК и ФСБ;
обезличивать данные, когда это возможно — обезличивание ПДн;
направить уведомление в Роскомнадзор (если требуется) — уведомление о обработке и проверка в реестре операторов;
правильно оформлять передачу и поручение — передача третьим лицам, поручение обработки, в т.ч. при облачной модели — облака и 152‑ФЗ.

Отдельно обращайте внимание на веб‑сценарии: cookie‑профилирование, формы, аналитика — cookie и баннеры, Яндекс.Метрика, формы на сайте, требования к сайту, SSL/HTTPS.

Профилирование 152‑ФЗ: типовые кейсы и риски

Банковский и страховой скоринг — высокие правовые последствия; без письменного согласия субъекта или специальной нормы закона нельзя полагаться только на алгоритм. См. отраслевую страницу: Банки и 152‑ФЗ.
Таргетированная реклама и рекомендации — требуется корректное информирование и согласие, прозрачность целей и отказ от навязчивости. Подробнее: Реклама и ПДн.
HR‑скрининг резюме — применяйте «человека в контуре», фиксируйте критерии, избегайте скрытой дискриминации. См. Кадры и 152‑ФЗ.
Образование и ЭДО — отдельные категории и дети: Дети и ПДн, Образование.
Здравоохранение — повышенные риски (медицинские и биометрические данные): Медицинские ПДн, Биометрические ПДн, Здравоохранение.

Матрица допустимости автоматизированных решений

Сценарий	Допустимость по ст. 15–16	Что оформить/учесть
Кредитный скоринг (решение по кредиту)	Только с участием человека; либо письменное согласие субъекта/прямая норма закона	Письменное согласие; локальные акты; протокол вмешательства человека; безопасная ИСПДн
Антифрод транзакций	Допустимо; правовое основание — защита прав/законных интересов оператора	Описание целей; минимизация; журналы инцидентов; модель угроз
Таргетированная реклама по cookie	Допустимо при информировании и согласии	Баннер cookie; политика; возможность отказа; контроль сторонних скриптов
Авто‑отказ в найме	Недопустим без «человека в контуре»	HR‑процедуры; критерии принятия решения; уведомление и канал оспаривания
Модерация с блокировкой услуги	Высокий риск; требуется человеческая проверка	Регламент эскалации; уведомление субъекта; логирование причин

Документирование и контроль

Для соответствия ст. 15 152‑ФЗ оформите и поддерживайте:

Политику обработки ПДн — Политика обработки персональных данных и шаблоны, политика конфиденциальности (шаблон);
Реестр процессов обработки и описание алгоритмов профилирования (цели, основания, критерии);
Пакет процедур и инструкций — Пакет документов 152‑ФЗ, Обязанности оператора, Внутренний контроль и обучение, Ответственный за ПДн;
Процедуры хранения и уничтожения — Сроки хранения, Прекращение обработки, Уничтожение и блокировка;
Готовность к проверкам — Проверки Роскомнадзора, Подготовка к проверке, Судебная практика.

Следите за изменениями законодательства: Изменения 2025 и связанные законы.

Ошибки и ответственность

Частые нарушения при автоматизации и профилировании:

отсутствие письменного согласия при «исключительно автоматическом» принятии решения;
непрозрачные критерии профилирования, дискриминационные признаки;
использование обучающих датасетов без правового основания;
хранилище логов/моделей вне периметра ИСПДн;
сбор избыточных данных (нет соответствия целям);
неуведомление Роскомнадзора при обязанности уведомления.

За нарушение — административная ответственность: штрафы по 152‑ФЗ, в т.ч. КоАП 13.11. При утечках действуйте по регламенту: Инциденты и утечки ПДн, Действия при нарушении.

Практические шаги для бизнеса

Инвентаризируйте автоматизированные сценарии (сбор → хранение → анализ → решение). Используйте чек‑лист.
Проверьте правовые основания и согласия (включая профилирование и рекламу) — Согласие на обработку, распространение.
Включите «человека в контуре» там, где возможны правовые последствия — со ссылкой на ст. 16.
Усильте безопасность ИСПДн: меры безопасности, уровни защищенности, требования ФСТЭК и ФСБ.
Проведите аудит сайта: онлайн‑проверка, аудит сайта, требования к сайту. Для CMS: Tilda, WordPress, Bitrix.
Обновите документы: пакет документов, документы для сайта, генератор политики и согласий.
При необходимости — независимый аудит: Аудит соответствия.

FAQ по ст. 15 152‑ФЗ

Вопрос: Нужна ли отдельная галочка именно на «профилирование 152 ФЗ»? Ответ: Закон требует определить цели и основания обработки. Если профилирование выделяется как отдельная цель (реклама, скоринг), практично получить явное согласие и описать логику/последствия в политике. Это снижает риски претензий.

Вопрос: Когда нужно уведомлять Роскомнадзор при автоматизации? Ответ: В большинстве случаев — до начала обработки, за исключением предусмотренных законом случаев. Оцените обязанность по ст. 22 и направьте уведомление, проверьте себя в реестре.

Вопрос: Можно ли использовать облачные ИИ‑сервисы для профилирования? Ответ: Да, при соблюдении 152‑ФЗ: оформите поручение обработки, убедитесь в местоположении ресурсов, уровне защиты и трансграничных ограничениях — облака, трансграничная передача.

Вопрос: Достаточно ли обезличивания, чтобы свободно обучать модели? Ответ: Обезличивание снижает риски, но должно быть выполнено корректно и необратимо для ваших целей — см. обезличивание ПДн. В противном случае продолжает действовать 152‑ФЗ в полном объеме.

Вывод и что делать дальше

Статья 15 152‑ФЗ задает рамку для законной автоматизации обработки персональных данных. В связке со ст. 16 она ограничивает «исключительно автоматические» решения, а с ст. 18.1 и ст. 19 — предъявляет высокие требования к безопасности ИСПДн. Грамотное описание целей, получение согласий, «человек в контуре» и техническая защита — база для устойчивого профилирования.

Нужна помощь с практической настройкой процессов и документов под ст. 15? Закажите аудит и внедрение «под ключ»: Консалтинг и документы, Услуги в Москве, либо начните с онлайн‑проверки сайта.

Получить CloudPayments бесплатно