аналитика 14 августа 2026 По состоянию на 14 августа 2026

Принцип конкретных целей обработки: запрет общих формулировок

Принцип конкретных целей по ст. 5 ФЗ-152 означает: цель обработки должна быть определена до начала обработки, зафиксирована в документах и соответствовать правовому основанию. Размытые формулировки вроде «в целях улучшения сервиса» — нарушение.

РКН использует общие цели как основание для протокола по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽ за первичное нарушение). С 30.05.2025 повторное нарушение даёт ч. 1.1 — до 500 тыс. ₽.

Если вы юрист и проверяете комплаенс — проверьте: каждая цель в уведомлении РКН, согласии и политике должна быть верифицируемой и закрытой. → Разбираем, как это устроено.

Принцип конкретных целей — второй из семи принципов ст. 5 ФЗ-152 — на практике нарушается чаще других. Компании указывают цели «для осуществления деятельности» или «для обеспечения функционирования сайта» и считают, что этого достаточно. Роскомнадзор считает иначе: проверки 2024–2025 годов показали, что именно расплывчатые цели становятся самым частым поводом для предписаний. В этом материале — как устроен принцип, что считается конкретной целью по позиции РКН, и как типовые ошибки превращаются в административную ответственность.

Что такое принцип конкретных целей и как он закреплён в ст. 5 ФЗ-152?

Статья 5 ФЗ-152 устанавливает семь принципов обработки персональных данных. Принцип конкретных целей — один из ключевых: оператор обязан определить цели обработки до её начала и не может менять их произвольно в процессе. Цели должны быть заранее зафиксированы в уведомлении о намерении обрабатывать ПДн по ст. 22 ФЗ-152, в политике обработки, в согласии субъекта и в локальных актах.

Принцип конкретности неотделим от принципа несовместимости целей: ст. 5 прямо запрещает объединять базы данных, собранных под разные цели. Это означает: клиентская база для исполнения договора и маркетинговая база для рассылок — разные ИСПДн с разными правовыми основаниями. Смешивать нельзя.

«Ст. 5 ФЗ-152 требует, чтобы цели обработки были конкретными, заранее определёнными и законными. Обработка, несовместимая с целями, для которых собирались данные, не допускается.»

Третий элемент принципа — уничтожение данных при достижении цели. Если цель достигнута или от неё отказались, данные уничтожаются или обезличиваются. Хранить «на всякий случай» нельзя: это нарушение ст. 5 и ст. 21 ФЗ-152 одновременно.

Для юриста, проверяющего комплаенс, это означает: нужно верифицировать не только наличие цели в документах, но и её соответствие правовому основанию из ст. 6, объёму собираемых данных и сроку хранения.

Проводите комплаенс-проверку документации по 152-ФЗ?

Если вы юрист и в документах компании цели обработки сформулированы обобщённо — это риск предписания РКН ещё до плановой проверки. У РКН есть инструменты дистанционного мониторинга политик конфиденциальности на сайте. Штраф за нарушение принципа конкретности по ч. 1 ст. 13.11 КоАП — от 150 тыс. ₽, при повторном по ч. 1.1 — до 500 тыс. ₽.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие формулировки целей признаются недопустимыми по позиции РКН?

РКН в методических рекомендациях и актах проверок неоднократно обозначал критерии недопустимых целей. Практика 2024–2025 годов позволяет выделить устойчивые паттерны нарушений.

Общие функциональные цели — «обеспечение деятельности организации», «осуществление уставных задач», «организация работы». Такие формулировки не позволяют субъекту понять, для чего конкретно используются его данные, а оператору — определить правовое основание и состав данных.

Маркетинговые размытые цели — «улучшение качества обслуживания», «персонализация предложений», «аналитика использования сервиса». Проблема: каждая из них может охватывать десятки действий с данными — от анализа поведения до передачи третьим лицам. РКН требует расщепить такую цель на конкретные процессы с отдельными правовыми основаниями.

Технические цели-«заглушки» — «обработка в рамках информационной системы», «хранение в соответствии с требованиями законодательства». Формулировка, отсылающая к закону, не является самостоятельной целью: нужно указать конкретный нормативный акт и конкретное действие, которое он требует.

«Согласно позиции РКН (методические рекомендации и практика проверок), цель обработки должна быть сформулирована так, чтобы можно было определить: какие именно данные нужны, на каком основании, кем обрабатываются и когда подлежат уничтожению.»

Объединённые цели — когда в одном пункте политики указаны и договорные, и маркетинговые цели. Это нарушение принципа несовместимости: основания по ст. 6 ФЗ-152 разные (п. 5 — исполнение договора; п. 1 — согласие для маркетинга), а значит, данные должны обрабатываться раздельно.

Как принцип конкретных целей связан с правовыми основаниями ст. 6 ФЗ-152?

Цель обработки и правовое основание — не независимые элементы. Каждая конкретная цель влечёт определённое основание из перечня ст. 6 ФЗ-152, и наоборот: выбранное основание ограничивает допустимые цели.

Исполнение договора (п. 5 ст. 6) покрывает только обработку, необходимую для выполнения обязательств. Данные, которые собираются «заодно» — для последующих рассылок, аналитики, передачи партнёрам — под это основание не подпадают. Для каждой из таких целей нужно отдельное основание: как правило, согласие по ст. 9 ФЗ-152.

Согласие (п. 1 ст. 6, ст. 9 ФЗ-152) требует, чтобы цель была указана прямо в тексте согласия. С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156 от 24.06.2025 — его нельзя включить в договор, оферту или политику. Если цель в согласии размыта, само согласие становится ненадлежащим, что квалифицируется по ч. 2 ст. 13.11 КоАП — штраф 300–700 тыс. ₽ для юрлица.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие оформляется отдельным документом и должно содержать, в том числе, конкретную цель обработки персональных данных.»

Обязанность, возложенная законом (п. 2 ст. 6), применяется, когда конкретный нормативный акт прямо предписывает обработку. Ссылка на закон в этом случае и есть цель — но её нужно указать точно: «обработка в целях исполнения обязательств налогового агента по ст. 226 НК РФ», а не «в целях соблюдения законодательства».

Типичная ошибка в документах HR: согласие работника объединяет данные для расчёта зарплаты (основание — закон), для доступа в здание через СКУД (основание — согласие или договор) и для публикации на корпоративном портале (основание — согласие на распространение по ст. 10.1 ФЗ-152). Три разные цели — три разных правовых режима.

Если вы юрист и в согласиях работников или клиентов цели указаны обобщённо — с 01.09.2025 это основание для штрафа по ч. 2 ст. 13.11 (300–700 тыс. ₽). Срок переоформления старых согласий — уже истёк.

Заказать аудит 152-ФЗ

Какие сценарии нарушений принципа чаще всего выявляет РКН?

Сценарий 1. Политика конфиденциальности на сайте. Компания публикует политику с целью «обработка персональных данных пользователей сайта в целях предоставления услуг». Инспектор РКН запрашивает пояснения: какие именно услуги, какой состав данных, на каком основании, в каких системах. Компания не может ответить конкретно — политика не соответствует требованиям ч. 2 ст. 18.1 ФЗ-152. Итог: предписание об устранении нарушений и протокол по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽ за ненадлежащую политику) с возможным протоколом по ч. 1 ст. 13.11 (150–300 тыс. ₽). Стратегия: расписать политику по целям и основаниям в табличном виде, добавить раздел о сроках хранения по каждой цели.

Сценарий 2. Уведомление в реестре РКН и расхождение с реальной обработкой. Оператор зарегистрирован в реестре со стандартным набором целей («ведение кадрового делопроизводства», «исполнение договоров с контрагентами»). При проверке выясняется, что компания ведёт SMS-рассылки маркетингового характера, передаёт данные аффилированным лицам и использует CRM иностранного вендора. Ни одна из этих операций не отражена в уведомлении. Итог: протокол по ч. 1 ст. 13.11 за несовместимую с целями обработку и по ч. 10 ст. 13.11 (100–300 тыс. ₽) за неуведомление об изменении сведений. Стратегия: аудит фактической обработки с последующим обновлением уведомления и пересмотром правовых оснований.

Сценарий 3. Согласие на обработку с несколькими целями в одном документе. До 01.09.2025 это была распространённая практика: одно согласие охватывало и исполнение договора, и маркетинг, и передачу партнёрам. После ФЗ-156 такое согласие недействительно как форма по ст. 9 ФЗ-152. Если регулятор выявит согласие, выданное после 01.09.2025 с объединёнными целями, — штраф по ч. 2 ст. 13.11 составит 300–700 тыс. ₽. При повторном нарушении по ч. 2.1 — 1–1,5 млн ₽. Стратегия: для каждой самостоятельной цели — отдельное согласие с конкретной формулировкой.

Что подготовить юристу для проверки соответствия принципу конкретных целей

Карту обработки ПДн: перечень всех целей с указанием правового основания, состава данных и срока хранения по каждой цели.
Актуальную политику конфиденциальности с разделами по каждой цели — согласно требованиям ч. 2 ст. 18.1 ФЗ-152.
Уведомление в реестре РКН (pd.rkn.gov.ru) с целями, соответствующими фактической обработке — не устаревшее.
Согласия субъектов в редакции после 01.09.2025: отдельный документ, конкретная цель, перечень действий, срок, способ отзыва.
Приказ о назначении ответственного по ст. 22.1 ФЗ-152 и журнал обращений субъектов с входящими запросами за 12 месяцев.

Как на практике применяется принцип в 2025–2026 годах?

Кейс 1. Торговая компания (Сибирский ФО, осень 2025) прошла внеплановую проверку РКН. Цели в уведомлении и политике были сформулированы в трёх пунктах: «исполнение договоров», «кадровое делопроизводство», «соблюдение законодательства». При проверке выяснилось, что компания также ведёт e-mail-рассылки и передаёт данные трём подрядчикам без отражения в документах. Инспектор вынес предписание и составил протокол по ч. 1 ст. 13.11 КоАП. Юрист компании согласовал с DATUM план устранения: расширил уведомление, разграничил согласия по целям, заключил договоры поручения. На момент рассмотрения дела нарушения были устранены — суд применил ст. 4.1.1 КоАП и заменил штраф на предупреждение. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Медицинская клиника (Центральный ФО, начало 2026) указала в согласии пациента единую цель: «оказание медицинских услуг». При плановой проверке РКН установил, что в рамках той же ИСПДн ведётся маркетинговая рассылка с предложениями новых процедур и данные передаются страховой компании-партнёру. Оба процесса выходят за пределы цели «оказание медицинской помощи» по ст. 10 ФЗ-152 (специальная категория данных). Протокол был составлен по ч. 2 ст. 13.11 (обработка без надлежащего согласия). Стоимость разработки комплекта раздельных согласий и актуализации политики составила существенно меньше размера штрафа. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверим цели, основания и состав ПДн по чек-листу из 38 пунктов.
Комплект ОРД под ключ — разработаем политику, согласия и карту обработки с конкретными целями.
DPO-аутсорсинг — возьмём функцию ответственного на абонентское обслуживание по ст. 22.1 ФЗ-152.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — это любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Для каждого вида действий должна быть своя цель и своё правовое основание. Распространённая ошибка — считать, что хранение данных, полученных для исполнения договора, не требует отдельного обоснования: ст. 5 ФЗ-152 прямо указывает на необходимость уничтожения данных при достижении цели.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 перечисляет одиннадцать правовых оснований. Наиболее используемые для коммерческих операторов: согласие субъекта (п. 1), исполнение договора, стороной которого является субъект (п. 5), исполнение обязанности, возложенной законом (п. 2). Каждое основание имеет пределы: согласие охватывает только то, на что субъект явно согласился; договорное основание — только данные, необходимые для исполнения обязательств. Смешивать основания в рамках одного массива данных без разграничения целей нельзя.

3. Что грозит за нарушение принципа конкретных целей?

Обработка ПДн в случаях, не предусмотренных законом, или несовместимая с заявленными целями квалифицируется по ч. 1 ст. 13.11 КоАП — штраф для юрлица 150–300 тыс. ₽. При повторном нарушении (ч. 1.1 ст. 13.11 в редакции с 30.05.2025) — 300–500 тыс. ₽. Если при этом отсутствует надлежащее согласие — добавляется ч. 2 ст. 13.11 (300–700 тыс. ₽). Нарушения не конкурируют: протоколы составляются по каждому основанию отдельно.

4. Нужно ли уведомлять РКН малому бизнесу об обработке ПДн?

По ст. 22 ФЗ-152 уведомление обязательно для всех операторов, за исключением прямо перечисленных в ч. 2 ст. 22 случаев. Малый бизнес не входит в перечень исключений автоматически: важен характер обработки. Если компания собирает данные клиентов, ведёт базу работников или использует CRM — уведомление подаётся. Неуведомление в 2025 году квалифицируется по ч. 10 ст. 13.11 КоАП — штраф 100–300 тыс. ₽ для юрлица.

5. С какого возраста нужно согласие на обработку ПДн?

По общему правилу ст. 9 ФЗ-152 согласие даёт сам субъект. Дееспособность по ГК РФ наступает в 18 лет; с 14 до 18 лет несовершеннолетний вправе давать согласие самостоятельно по вопросам, в которых он действует без согласия родителей (ст. 26 ГК). Для детей до 14 лет согласие даёт законный представитель. При обработке данных несовершеннолетних — повышенные требования к форме и содержанию документа, а сами данные могут относиться к специальной категории при наличии сведений о состоянии здоровья.

Итог

Принцип конкретных целей — не формальность. Он определяет структуру всей системы обработки ПДн: от уведомления в реестре РКН до текста согласия и архивной политики. Размытая цель в любом из документов создаёт уязвимость, которую РКН эксплуатирует при каждой проверке — плановой или внеплановой.

Юрист, проверяющий комплаенс компании, должен идти не от формальных документов, а от фактической карты обработки: что собирается, где хранится, кому передаётся и для чего. Только после этого можно верифицировать, что цели в документах соответствуют реальности, а каждая цель подкреплена надлежащим основанием по ст. 6 ФЗ-152. Практика DATUM по сопровождению операторов в части принципа конкретных целей охватывает более 300 компаний — от e-commerce до медицины и финансового сектора.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025, обработка через КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.

14 августа 2026 года