Достижение целей договора: когда применимо
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: обработка ПДн без надлежащего правового основания квалифицируется по ч. 1 — штраф для юрлица 150 000–300 000 ₽, при повторности по ч. 1.1 — уже 300 000–500 000 ₽. Ошибочная опора на «достижение целей договора» там, где основание не применимо, — одна из наиболее частых причин нарушения. В этой статье разобраны условия применимости основания, его границы и риски неверного использования.
Что такое достижение целей договора как основание обработки ПДн?
Пункт 5 ч. 1 ст. 6 ФЗ-152 допускает обработку персональных данных без согласия субъекта, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем выступает субъект ПДн. Это основание также охватывает заключение договора по инициативе субъекта и ситуации, когда обработка нужна для заключения иных договоров с тем же субъектом.
Ключевое слово в норме — «необходима». Не просто «удобна», «полезна» или «позволяет улучшить сервис». Обработка должна быть объективно невозможна без тех данных, которые оператор собирает. Это критерий необходимости и соразмерности, закреплённый в ст. 5 ФЗ-152 как один из базовых принципов обработки.
Субъект ПДн по данному основанию — именно сторона договора (или выгодоприобретатель, поручитель). Данные третьих лиц — например, членов семьи покупателя или контактных лиц контрагента — под п. 5 ст. 6 не подпадают. Для них потребуется самостоятельное правовое основание, как правило согласие по ст. 9 ФЗ-152.
Каковы условия применимости этого основания на практике?
Юридическая проверка применимости основания включает четыре вопроса. Утвердительный ответ на все четыре — необходимое условие правомерности обработки по п. 5 ч. 1 ст. 6 ФЗ-152.
Первое. Существует ли заключённый или заключаемый договор? Основание работает как на этапе исполнения, так и на преддоговорной стадии — при обработке данных в связи с обращением субъекта с предложением заключить договор. Если договора нет и субъект его не инициировал — основание не применяется.
Второе. Является ли субъект ПДн стороной, выгодоприобретателем или поручителем? Если данные собираются в связи с договором, но субъект в нём не участвует — п. 5 ст. 6 не работает. Распространённая ошибка: оператор обрабатывает данные сотрудников контрагента, ссылаясь на договор с юрлицом. Сотрудники стороной договора не являются.
Третье. Является ли обработка конкретных данных необходимой для исполнения договора? Нужно оценивать каждую категорию данных отдельно. ФИО и адрес доставки при купле-продаже — необходимы. Дата рождения покупателя при той же купле-продаже — как правило нет, если только это не требование закона или специфика товара.
Четвёртое. Совместимы ли цели обработки с предметом договора? Принцип ст. 5 ФЗ-152 запрещает обрабатывать данные в целях, несовместимых с теми, для которых они собраны. Сбор ПДн для исполнения договора купли-продажи не даёт права использовать их для маркетинговых рассылок — это требует отдельного основания.
Проверяете правомерность оснований обработки в компании?
Если вы юрист и анализируете правовую базу обработки ПДн, типичная проблема — смешение оснований ст. 6 и избыточный сбор данных, которые не покрываются ни договором, ни согласием. Аудит DATUM проверяет соответствие каждого процесса обработки конкретному основанию по чек-листу из 38 пунктов и выдаёт приоритизированный план устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Где граница между договорным основанием и согласием субъекта?
Разграничение оснований по ст. 6 ФЗ-152 — практически значимый вопрос: неверный выбор основания ведёт либо к нарушению (если согласие требовалось, но не получено), либо к избыточной бюрократии (если согласие получено там, где было достаточно договора).
Принципиальное отличие: согласие по ст. 9 ФЗ-152 — это волевой акт субъекта, который он вправе отозвать в любой момент. Договорное основание — объективная необходимость исполнения взятых на себя обязательств. Если субъект отзывает согласие, оператор обязан прекратить обработку. Если тот же субъект является стороной действующего договора и обработка нужна для его исполнения — отзыв согласия не прекращает правомерность обработки по п. 5 ст. 6.
На практике конфликт возникает, когда оператор объединяет в одном документе согласие на обработку данных и договор. С 01.09.2025 это прямо запрещено: ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152 — согласие оформляется отдельным документом и не может включаться в текст договора, оферты или политики конфиденциальности. Ранее полученные согласия обратной силы норма не имеет.
Разграничение между п. 5 (договор) и п. 2 (обязанность оператора, установленная законом) тоже требует внимания. Например, при трудовых отношениях работодатель обрабатывает ряд данных работника во исполнение ТК РФ — это п. 2 ст. 6, а не договорное основание. Смешение оснований не является нарушением само по себе, но затрудняет ответ на запрос субъекта об основаниях обработки его данных.
Что проверить при использовании договорного основания
- Субъект ПДн является стороной, выгодоприобретателем или поручителем по договору — либо инициировал его заключение.
- Каждая категория собираемых данных объективно необходима для исполнения договора — избыточные данные исключены или перенесены на отдельное основание.
- Цели обработки не выходят за пределы предмета договора — рассылки, аналитика, профилирование требуют отдельного согласия.
- Данные третьих лиц (членов семьи, контактных лиц, сотрудников контрагента) обрабатываются по самостоятельным основаниям.
- После исполнения или расторжения договора установлен срок и порядок уничтожения данных по ст. 21 ФЗ-152.
Типовые ошибки операторов при использовании п. 5 ст. 6 ФЗ-152
Анализ протоколов РКН и судебных решений 2024–2026 годов позволяет выделить несколько устойчивых ошибок, которые повторяются вне зависимости от отрасли.
Расширительное толкование «необходимости». Операторы нередко включают в перечень обрабатываемых данных биометрию, национальность, сведения о здоровье, ссылаясь на договор. Между тем специальные категории данных по ст. 10 ФЗ-152 требуют письменного согласия или иного специального основания — договорное основание их не перекрывает.
Обработка данных после прекращения договора. Договорное основание действует в течение срока действия договора и разумного периода, необходимого для исполнения вытекающих из него обязательств. Хранение данных «на будущее» или для формирования клиентской базы после расторжения договора требует отдельного основания — чаще всего согласия или требований законодательства о сроках хранения документов.
Обработка данных представителей юрлица. При заключении договора с организацией оператор получает данные директора, бухгалтера, менеджера. Организация — сторона договора, но не субъект ПДн по смыслу ФЗ-152 (юрлица под действие закона не подпадают). Данные физических лиц — представителей контрагента — обрабатываются по отдельному основанию, и суды это подтверждают.
Передача данных третьим лицам как «необходимая для исполнения». Договорное основание позволяет обрабатывать данные оператором в рамках его обязательств. Передача данных субподрядчикам, партнёрам, аффилированным структурам требует отдельной правовой конструкции — поручения на обработку по п. 3 ст. 6 ФЗ-152 с заключением соответствующего договора-поручения.
Если юрист выявил ошибки в правовых основаниях обработки и нужно собрать корректный пакет ОРД — специалисты DATUM подготовят документацию под конкретные процессы обработки с разграничением оснований по ст. 6 ФЗ-152.
Собрать ОРД под ключКак это работает на практике: три сценария
Сценарий 1. Интернет-магазин обрабатывает ПДн покупателя. Ситуация: покупатель оформляет заказ, соглашается с офертой. Оператор собирает ФИО, адрес доставки, телефон, email. Основание — п. 5 ст. 6 ФЗ-152, договор купли-продажи. Доказательства правомерности: текст оферты, перечень ПДн в политике конфиденциальности, уведомление в реестре РКН. Вероятный исход при проверке: нарушений нет при условии, что собираемые данные соответствуют перечню в уведомлении и не используются для рассылок без согласия. Стратегия: разграничить процессы — отдельная политика для договорной обработки, отдельное согласие для маркетинга.
Сценарий 2. Работодатель собирает данные работника при трудоустройстве. Ситуация: HR просит заполнить анкету с данными, выходящими за пределы требований ТК РФ, — сведения о родственниках, наличии автомобиля, состоянии здоровья. Основание — смешение п. 2 (исполнение обязанности по ТК) и п. 5 (трудовой договор). Доказательства нарушения: избыточные категории данных не предусмотрены ни законом, ни трудовым договором. Вероятный исход: квалификация по ч. 1 ст. 13.11 КоАП — обработка с нарушением принципа соразмерности по ст. 5 ФЗ-152, штраф 150 000–300 000 ₽. Стратегия: пересмотреть анкету, перенести специальные категории на письменное согласие по ст. 10 ФЗ-152.
Сценарий 3. B2B-оператор обрабатывает данные представителей контрагента. Ситуация: компания заключает договор поставки с ООО, получает данные директора и менеджера контрагента. Ссылается на п. 5 ст. 6 — договор с юрлицом. Доказательства ошибки: физические лица — не стороны договора, юрлицо субъектом ПДн не является. Вероятный исход: при проверке РКН — предписание привести обработку в соответствие с законом, при неисполнении — протокол по ч. 5 ст. 13.11, штраф 50 000–90 000 ₽. Стратегия: включить в договор с контрагентом условие о передаче данных представителей либо получить прямые согласия физических лиц по ст. 9 ФЗ-152.
Как это применяется на практике: судебные решения 2025–2026 годов
Кейс 1. Торговая компания (Приволжский ФО, начало 2026) при проверке РКН не смогла обосновать обработку данных о семейном положении и составе семьи клиентов, ссылаясь на договор розничной купли-продажи. Арбитражный суд региона подтвердил: данные выходят за пределы необходимых для исполнения договора. Назначен штраф по ч. 1 ст. 13.11 КоАП в нижней части диапазона. Оператор устранил нарушение, перенеся сбор семейных данных в отдельную форму с согласием для программы лояльности.
Кейс 2. IT-компания (Северо-Западный ФО, осень 2025) обрабатывала данные контактных лиц клиентов — юрлиц (менеджеров, технических специалистов) исключительно на основании договора с организацией-клиентом. После получения запроса от физического лица об основаниях обработки его ПДн юрист компании провёл внутренний аудит. Выявлено отсутствие правового основания для обработки данных физических лиц — представителей контрагентов. Компания до обращения РКН привела документацию в соответствие: заключила дополнительные соглашения с контрагентами и получила согласия там, где соглашение невозможно. Плановая проверка РКН нарушений не выявила.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка правовых оснований обработки по всем процессам компании
- Комплект ОРД под ключ — разработка политики, согласий и внутренних регламентов под конкретные основания ст. 6
- DPO-аутсорсинг — абонентское ведение функции ответственного по ст. 22.1 ФЗ-152
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
По ст. 3 ФЗ-152 обработкой считается любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. При этом не имеет значения, автоматизированы ли эти действия. Даже хранение бумажных анкет клиентов — обработка ПДн, требующая правового основания.
2. На основании чего можно обрабатывать ПДн?
Статья 6 ФЗ-152 содержит 11 оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора, стороной которого он является (п. 5), исполнение обязанности оператора по закону (п. 2), защита жизни или здоровья (п. 6). Выбор основания влияет на права субъекта: при договорном основании отзыв согласия не прекращает обработку, если договор действует.
3. Что грозит за нарушение 152-ФЗ?
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей с разными составами. Обработка без надлежащего основания — ч. 1, штраф для юрлица 150 000–300 000 ₽, при повторности по ч. 1.1 — 300 000–500 000 ₽. Обработка без письменного согласия, когда оно требуется, — ч. 2, до 700 000 ₽. При повторной утечке — оборотный штраф по ч. 15 до 500 млн ₽. С 11.12.2024 действует ст. 272.1 УК — уголовная ответственность за незаконный оборот ПДн, до 10 лет лишения свободы.
4. Нужно ли уведомлять РКН малому бизнесу?
По общему правилу ст. 22 ФЗ-152 оператор обязан уведомить РКН до начала обработки ПДн. Исключения из ч. 2 ст. 22 носят узкий характер — обработка только данных работников оператора в рамках трудовых отношений, разовая обработка без систематизации и ряд других. Большинство компаний, включая малый бизнес с сайтом или базой клиентов, под исключения не подпадают. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП: 100 000–300 000 ₽.
5. С какого возраста нужно согласие на обработку ПДн?
Согласие на обработку ПДн по ст. 9 ФЗ-152 вправе дать дееспособное лицо. Полная дееспособность наступает с 18 лет или при эмансипации. Для несовершеннолетних до 18 лет согласие дают родители или законные представители. Специального порогового возраста в ФЗ-152 для общих случаев нет, однако ряд сервисов (образовательные платформы, медицинские организации) применяет требования отраслевого законодательства, которые могут устанавливать дополнительные условия.
Итог
Достижение целей договора как основание обработки ПДн — конкретный инструмент с чёткими границами применения. Критерий — объективная необходимость обработки для исполнения договора с субъектом. Расширение за эти границы создаёт нарушение вне зависимости от намерений оператора. Три наиболее частые ошибки: избыточный сбор данных, включение данных третьих лиц и продолжение обработки после прекращения договора.
Практика DATUM по ст. 6 ФЗ-152 — разграничение оснований обработки в рамках аудитов и формирование ОРД, корректно распределяющей данные по правовым основаниям. Юристы DATUM сопровождают как первичный аудит, так и актуализацию документации после изменений законодательства 2025–2026 годов.
14 октября 2026 года