Статья 6 152‑ФЗ: Условия обработки персональных данных

Статья 6 152‑ФЗ: Условия обработки персональных данных

Зачем нужна статья 6 и как она соотносится с другими нормами

Статья 6 152‑ФЗ о персональных данных определяет условия, при которых оператор вправе обрабатывать персональные данные (ПД) законно. По сути, это перечень правовых оснований и общих требований к аутсорсингу обработки. Вместе со статьями о принципах и целях обработки (принципы и цели, ст. 5) и особыми категориями ПД (ст. 10, ст. 11) она формирует «скелет» комплаенса для любой организации.

Если кратко: ст 6 закона № 152‑ФЗ отвечает на вопросы «на каком основании мы обрабатываем ПД?» и «можно ли поручить обработку подрядчику?», а также задает рамки для обработки без согласия субъекта. Для контекста рекомендуем общий обзор закона (о законе 152‑ФЗ) и его структуру (структура и статьи).

Часть 1 ст. 6 152‑ФЗ: законные основания обработки

Ч 1 ст 6 152‑ФЗ перечисляет ситуации, когда обработка ПД допустима. Ключевые основания, которые чаще всего применяются на практике:

• п 1 ст 6 ФЗ 152 — получение согласия субъекта ПД. Универсальное основание, когда ни одно иное не подходит или когда требуется отдельное согласие (например, на маркетинговые рассылки).
• п. 2 — исполнение требований международного договора или закона, а также выполнение функций/полномочий, возложенных на оператора, госорганы или органы МСУ. Пример: работодатель обрабатывает ПД в силу ТК РФ и НК РФ.
• п. 3 — отправление правосудия, исполнение судебных актов и актов иных органов, подлежащих исполнению по закону об исполнительном производстве.
• п. 4 — заключение и исполнение договора с субъектом ПД (включая преддоговорные меры по его запросу), а также договоров, по которым субъект выступает выгодоприобретателем или поручителем. Пример: интернет‑магазин принимает заказ, оформляет доставку.
• п 5 ст 6 152‑ФЗ — защита жизни, здоровья или иных жизненно важных интересов субъекта, если получить согласие невозможно. Пример: экстренная госпитализация пострадавшего.
• одно из оснований ч. 1 — реализация законных интересов оператора или третьих лиц либо достижение общественно значимых целей при условии, что не нарушаются права и свободы субъекта. Пример: антифрод‑проверки.
• одно из оснований ч. 1 — журналистская деятельность, законная деятельность СМИ, научная, литературная или иная творческая деятельность при соблюдении прав и свобод субъекта.
• одно из оснований ч. 1 — случаи, когда ПД подлежат опубликованию или обязательному раскрытию по федеральному закону (реестры, открытые данные по особым нормам и т. п.).

Важно: «общедоступные ПД» теперь регулируются специальной логикой. Нельзя автоматически считать любые данные «общедоступными»; распространение требует отдельного согласия по ст. 10.1 и соблюдения условий. Подробнее: общедоступные ПД и согласие на распространение ПД.

Часть 2 ст. 6 152‑ФЗ: обработка без согласия по закону

Ч 2 ст 6 152‑ФЗ подчеркивает, что в установленных федеральными законами случаях обработка может осуществляться без согласия субъекта. Это корреспондирует перечисленным основаниям ч. 1 (например, исполнение закона, правосудие, обязательное раскрытие). При этом применяются все общие принципы обработки (минимизация, целевое ограничение, точность, ограничение сроков) из ст. 5 и требования по безопасности ПД. Подробнее о случаях без согласия: обработка без согласия.

Поручение обработки по ст. 6: аутсорсинг и ответственность

Статья 6 также регулирует поручение обработки персональных данных другим лицам. Когда оператор привлекает подрядчика (колл‑центр, облачный сервис, курьерского партнера), необходимо:

• заключить договор поручения обработки с конкретными целями, перечнем операций, категориями ПД, мерами безопасности и обязанностью соблюдения конфиденциальности;
• обеспечить контроль и право аудита, установить порядок уведомления об инцидентах;
• проверить соблюдение подрядчиком требований 152‑ФЗ и подзаконных актов.

Поручение не меняет статуса оператора: он остается ответственным за организацию и законность обработки. Подрядчик действует как лицо, обрабатывающее ПД по поручению. Детали и образцы условий — в разделе Поручение обработки ПД. Передача ПД третьим лицам также должна соответствовать ст. 6 и целям обработки: передача третьим лицам.

Согласие или иное основание: как выбрать корректную базу

• Используйте договор (п. 4) для обработки, без которой невозможно заключение/исполнение договора: оформление заказа, доставка, оплата, гарантийный ремонт.
• Используйте «исполнение закона» (п. 2), когда обязанность прямо установлена (кадровый учет, бухгалтерия, налоговая отчетность, требования по противодействию мошенничеству, миграционные и иные регламенты).
• Используйте «защиту жизненно важных интересов» (п. 5) только в экстренных ситуациях при объективной невозможности получить согласие.
• Для маркетинга, коммуникаций и расширенных целей, не покрытых иными основаниями, оформляйте согласие (п. 1). См. согласие на обработку ПД и управление отказами: заявления и отзыв согласия.
• Для статистических/исследовательских целей обеспечьте обезличивание и запрет на принятие решений, влекущих последствия для субъекта. См. обезличивание ПД.

Связанные нормы: специальные категории, биометрия, общедоступные ПД, трансграничка

• Специальные категории ПД: здоровье, убеждения, интимная жизнь — особые основания и запреты: специальные категории ПД, медицинские ПД.
• Биометрические ПД: отдельные условия и запреты, учет новых изменений: биометрические ПД.
• Общедоступные/распространение: нужна отдельная правовая база (ст. 10.1): общедоступные ПД, согласие на распространение.
• Трансграничная передача: оценка юрисдикции, уведомление и ограничения: трансграничная передача ПД.
• Принципы и цели: проверка совместимости целей и минимизация состава ПД: принципы и цели обработки.

Таблица: типовые кейсы и правовые основания (ч. 1 ст. 6)

Ситуация	Основание (ч. 1 ст. 6)	Документы/действия
Интернет‑магазин обрабатывает заказ	Договор (п. 4)	Оферта/договор, политика, поручения курьеру, меры безопасности
Рассылки с акциями	Согласие (п. 1)	Форма согласия, журнал логов, механизм отписки
Кадровый учет	Исполнение закона (п. 2)	ЛНА, политика, уведомление РКН при необходимости, меры ИСПДн
Экстренная госпитализация	Защита жизненно важных интересов (п. 5)	Медицинская документация, ограничение объема данных
Публикация сведений по закону (реестр)	Обязательное раскрытие	Ссылка на норму закона, регламент публикации
Журналистское расследование	Деятельность СМИ/журналистика	Редполитики, проверка соблюдения прав и свобод
Антифрод‑проверка платежей	Законные интересы	Оценка баланса интересов, DPIA/модель угроз, логирование
Аутсорсинг колл‑центра	Поручение обработки	Договор поручения, инструкции, аудит

Типичные ошибки операторов и риски

• Неверный выбор основания: попытка «натянуть» договор на маркетинг, когда нужно отдельное согласие. Итог — претензии РКН и штрафы. См. ответственность и штрафы.
• «Общедоступность по умолчанию»: публикация контактов клиентов без согласия на распространение (ст. 10.1). См. общедоступные ПД.
• Нет договора поручения с подрядчиком или он формальный. Нарушение ст 6 152 ФЗ о персональных данных ведет к рискам утечки и санкциям. Подробнее: обязанности оператора и проверки Роскомнадзора.
• Несоблюдение принципов минимизации, избыточный сбор ПД по сравнению с целью — нарушение ст. 5. Требуются политика обработки ПД и регламенты.

Чек‑лист применения ст. 6: документы и действия

• Зафиксируйте цели и правовые основания обработки (матрица процессов). См. чек‑лист 152‑ФЗ.
• Определите, где нужно согласие (п. 1), а где — договор/закон (п. 2, п. 4 и др.). Подготовьте формы: согласие на обработку ПД, согласие на распространение.
• Оформите договоры поручения и проверку подрядчиков: поручение обработки ПД.
• Обновите локальные акты и публичные документы: политика обработки ПД, пакет документов 152‑ФЗ.
• Проверьте необходимость уведомления и регистрации: уведомление Роскомнадзора, реестр операторов ПД.
• Проведите аудит безопасности ИСПДн: меры безопасности ПД, уровни защищенности ИСПДн, модель угроз, криптография и шифрование.
• Для сайтов — проверьте соответствие: требования к сайту, SSL/HTTPS, cookie и баннеры, онлайн‑проверка сайта.

Источники и актуальность текста закона

Для корректного применения статьи 6 важно сверяться с действующей редакцией и учитывать последние поправки. Используйте:

• Текст 152‑ФЗ: последняя редакция
• Изменения 2025
• Соседние нормы: ст. 4, ст. 5, ст. 7, ст. 9, ст. 10.1

Вывод и что делать дальше

Статья 6 152‑ФЗ о персональных данных задает фундамент: без корректного основания обработка незаконна, даже если вы соблюдаете безопасность. Проверьте, что ваши процессы подпадают под ч. 1 ст. 6 152‑ФЗ, корректно используйте п 1 ст 6 ФЗ 152 (согласие) и иные пункты, а поручение обработки оформляйте договором и контролем.

Нужна помощь? Пройдите экспресс‑аудит и соберите комплект документов:

• Генератор политики и согласий
• Консалтинг и документы под ключ
• Аудит соответствия 152‑ФЗ и онлайн‑проверка сайта

Это самый быстрый путь к снижению рисков, подготовке к проверке и устойчивому комплаенсу.