аналитика 14 августа 2026 По состоянию на 14 августа 2026

Принцип несовместимости целей: запрет на объединение баз

Ст. 5 ФЗ-152 запрещает объединять базы персональных данных, собранных для несовместимых целей. Нарушение влечёт штраф до 300 000 ₽ по ч. 1 ст. 13.11 КоАП и риск предписания РКН о прекращении обработки.

Большинство нарушений выявляется не на этапе сбора, а при проверке ОРД: цели в уведомлении и реальный состав обрабатываемых данных не совпадают, базы клиентов и кадровые реестры объединены без правового основания.

Если вы юрист и проверяете комплаенс компании по 152-ФЗ — начните с картирования целей обработки и проверки совместимости баз.

Принцип несовместимости целей — один из семи принципов обработки персональных данных, закреплённых в ст. 5 ФЗ-152. На практике он нарушается чаще других: компании объединяют базу клиентов интернет-магазина с кадровым реестром, подключают CRM к системе расчёта зарплаты, передают данные маркетинговому подрядчику без чёткого разграничения целей. С 30.05.2025 санкции по ст. 13.11 КоАП существенно выросли, а повторное нарушение может повлечь оборотный штраф по ч. 15. В этом материале — разбор нормы, типичные ошибки операторов и стратегия устранения нарушений.

Что такое принцип несовместимости целей и где он закреплён?

Ст. 5 ФЗ-152 устанавливает, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей. Обработка ПДн, несовместимая с изначально заявленными целями, запрещена. Принцип прямо вытекает из п. 2 ч. 1 ст. 5: цели обработки должны быть конкретными и законными; обработка, несовместимая с целями сбора, не допускается.

«Ст. 5 ФЗ-152 — недопустимость объединения баз персональных данных, созданных для несовместимых между собой целей обработки. Обработка ПДн ограничивается достижением конкретных, заранее определённых и законных целей.»

Понятие «несовместимость целей» закон не раскрывает напрямую. РКН в своей правоприменительной практике трактует его широко: цели считаются несовместимыми, если данные, собранные в одном контексте (например, для исполнения договора по ст. 6 ФЗ-152), используются для иных целей, о которых субъект не был уведомлён и на которые не давал согласия. Ст. 3 ФЗ-152 определяет обработку как любое действие или совокупность действий с ПДн — включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение. Объединение баз охватывает как минимум систематизацию и накопление — то есть подпадает под это определение.

Применительно к цифровым продуктам это означает следующее: если пользователь зарегистрировался в интернет-магазине для оформления заказа, его данные нельзя автоматически включать в базу рассылки, передавать партнёрам для кросс-продаж или использовать для профилирования без отдельного правового основания.

Как принцип соотносится с другими нормами 152-ФЗ?

Принцип несовместимости целей не существует изолированно. Он пронизывает всю систему ФЗ-152 и напрямую связан с несколькими ключевыми нормами.

Ст. 6 ФЗ-152 — правовые основания обработки. Каждое основание из одиннадцати, перечисленных в ч. 1 ст. 6, привязано к конкретной цели: исполнение договора (п. 5) — к целям договора; выполнение возложенных полномочий (п. 2) — к задачам госоргана. Смена цели без смены или добавления основания автоматически создаёт нарушение ст. 5.

«Ст. 6 ФЗ-152 — обработка персональных данных допускается при наличии хотя бы одного из одиннадцати правовых оснований, включая согласие субъекта, исполнение договора или выполнение обязанностей оператора по законодательству.»

Ст. 9 ФЗ-152 — согласие субъекта. Если новая цель не охватывается действующим правовым основанием, оператор обязан получить отдельное согласие. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом и не может включаться в текст договора или политики конфиденциальности. Это означает, что «расширение» целей через дополнение договора или обновление политики уже не работает — нужен отдельный документ с обязательными реквизитами по ст. 9.

Ст. 22 ФЗ-152 — уведомление РКН. Оператор обязан указать цели обработки в уведомлении о намерении осуществлять обработку ПДн. Если реальные цели шире заявленных в реестре — это самостоятельное нарушение, влекущее штраф по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽). При проверке инспектор РКН первым делом сравнивает фактический состав обрабатываемых данных с записью в реестре.

Ст. 10 ФЗ-152 — специальные категории. При объединении баз возникает дополнительный риск: если в одной из баз содержатся данные о состоянии здоровья, национальности или судимостях, объединённая база автоматически становится содержащей спецкатегорию. Это требует отдельных оснований по ч. 2 ст. 10 и существенно меняет режим обработки.

Проверяете соответствие баз данных принципам 152-ФЗ?

Юридическая оценка совместимости целей — часть полноценного аудита соответствия. Ошибка в картировании целей создаёт сразу несколько составов нарушений: по ч. 1 и ч. 10 ст. 13.11 КоАП. При повторности — оборотный штраф по ч. 15: от 1 до 3% годовой выручки, не менее 20 млн ₽.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Где на практике чаще всего нарушается запрет на объединение баз?

Анализ проверочной практики РКН и судебных дел по ст. 13.11 КоАП позволяет выделить пять устойчивых паттернов нарушения принципа несовместимости целей.

1. CRM и кадровый учёт в одной системе. Компания использует единую платформу для ведения клиентской базы и кадрового реестра. Данные сотрудников (паспортные данные, СНИЛС, медицинские сведения) попадают в ту же базу, что и контакты клиентов. Это объединение несовместимых целей: трудовые отношения (ст. 86–88 ТК РФ × ст. 6 ФЗ-152) и маркетинговая коммуникация имеют разные правовые основания и разные категории ПДн.

2. Рекламные рассылки по базе, собранной для исполнения договора. Интернет-магазин собирает email при оформлении заказа — правовое основание: ст. 6 ч. 1 п. 5 (исполнение договора). После доставки товара те же адреса используются для промо-рассылок. Цели — несовместимы. Для рассылки требуется либо отдельное согласие по ст. 9 ФЗ-152, либо иное правовое основание.

3. Передача данных партнёрам «для аналитики». Оператор передаёт клиентскую базу аффилированной компании или подрядчику без поручения на обработку (ст. 6 ч. 1 п. 3 ФЗ-152). При этом договор поручения отсутствует или содержит расширенный перечень целей, не соответствующий первоначальным. Получатель данных фактически становится самостоятельным оператором с непрозрачными целями обработки.

4. Обогащение данных из внешних источников. Компания дополняет собственную базу данными из открытых реестров, парсинга социальных сетей или купленных списков. Цели сбора исходных данных и цели их последующего обогащения заведомо несовместимы — субъект не уведомлялся и не давал согласия на такое использование.

5. Профилирование и скоринг на основе «незаявленных» данных. ML-модель обучается на данных, собранных для одной цели (например, обработка обращений в поддержку), и затем применяется для принятия автоматизированных решений в другом контексте (кредитный скоринг, ценообразование). Ст. 16 ФЗ-152 требует информирования субъекта и возможности оспорить автоматизированное решение — но эта норма не заменяет требование о совместимости целей.

Что проверить при картировании целей обработки

Каждая база данных имеет задокументированную цель обработки, совпадающую с уведомлением в реестре РКН (ст. 22 ФЗ-152).
Для каждой цели определено и задокументировано правовое основание из ст. 6 ФЗ-152; согласия оформлены отдельным документом по требованиям ст. 9 (ред. с 01.09.2025).
Отсутствует технический доступ между базами с несовместимыми целями на уровне СУБД, ETL-процессов и прав пользователей.
Договоры с подрядчиками, получающими ПДн, содержат поручение на обработку с чётким перечнем целей по ст. 6 ч. 1 п. 3 ФЗ-152.
Специальные категории ПДн (ст. 10 ФЗ-152) физически изолированы и обрабатываются только при наличии оснований по ч. 2 ст. 10.

Какие санкции применяются за нарушение принципа несовместимости целей?

Нарушение принципа несовместимости целей квалифицируется прежде всего по ч. 1 ст. 13.11 КоАП (в редакции с 30.05.2025): обработка ПДн в случаях, не предусмотренных законом, либо несовместимая с целями — штраф для юридического лица от 150 000 до 300 000 ₽. Повторное нарушение — ч. 1.1 ст. 13.11 — от 300 000 до 500 000 ₽.

«Ч. 1 ст. 13.11 КоАП (ред. с 30.05.2025) — обработка персональных данных в случаях, не предусмотренных законодательством, или несовместимая с целями сбора: штраф для юрлица 150 000–300 000 ₽; повторное (ч. 1.1) — 300 000–500 000 ₽.»

Параллельно могут применяться смежные составы. Если объединение баз сопровождалось обработкой без письменного согласия (а согласие было необходимо) — ч. 2 ст. 13.11: 300 000–700 000 ₽; повторное (ч. 2.1) — 1 000 000–1 500 000 ₽. Если цели не соответствуют записи в реестре РКН — ч. 10 ст. 13.11: 100 000–300 000 ₽. Если в объединённой базе появились спецкатегории ПДн без надлежащего основания — ч. 1 с учётом ст. 10 ФЗ-152, плюс потенциально ч. 16 при наличии биометрии.

Отдельный риск — оборотный штраф по ч. 15 ст. 13.11: применяется при повторном совершении нарушений по ч. 12–14 (утечки) лицом, ранее привлекавшимся по аналогичным составам. Прямой связи с несовместимостью целей нет, однако объединение баз нередко становится причиной утечки данных из более широкого пула, чем предполагалось, — что повышает число затронутых субъектов и переводит дело в категорию ч. 12–14 (от 3 до 15 млн ₽). При повторности включается оборотная шкала: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

Если вы юрист и обнаружили, что в компании несколько баз данных обрабатываются с пересечением целей — это уже нарушение ч. 1 ст. 13.11 КоАП. Юристы DATUM проведут аудит по чек-листу из 38 пунктов и сформируют план устранения нарушений до проверки РКН.

Заказать аудит 152-ФЗ

Как выглядит нарушение на практике: три сценария

Сценарий 1. CRM с автоматической передачей данных в рассылочный сервис.

Ситуация: интернет-ретейлер настраивает автоматическую синхронизацию между CRM и ESP-платформой (сервис email-рассылок). Любой новый покупатель автоматически попадает в рассылочную базу. Правовое основание в CRM — исполнение договора (ст. 6 ч. 1 п. 5 ФЗ-152); для рассылки нужно отдельное согласие по ст. 9. Доказательства нарушения: лог синхронизации, отсутствие формы согласия на рассылку, протокол РКН по результатам жалобы субъекта. Вероятный исход: штраф по ч. 1 ст. 13.11 (150 000–300 000 ₽) + предписание об устранении. Стратегия: отключить синхронизацию, добавить отдельный чекбокс согласия, переоформить ОРД с разграничением целей.

Сценарий 2. Объединённая база клиентов и сотрудников для BI-аналитики.

Ситуация: BI-система компании агрегирует данные из нескольких источников, включая кадровый учёт (СНИЛС, паспортные данные, зарплата) и клиентскую базу. Данные сотрудников — спецкатегория в части зарплаты как финансовой информации и потенциально в части медицинских данных. Доказательства: схема потоков данных в СУБД, выгрузки аналитических дашбордов. Вероятный исход: нарушение ч. 1 ст. 13.11 + риск ч. 1 по ст. 10 (спецкатегории без надлежащего основания); при утечке — ч. 12–14 ст. 13.11. Стратегия: физическое разграничение хранилищ данных, псевдонимизация до агрегации, отдельные правовые основания для каждого потока.

Сценарий 3. Передача данных в аналитическое агентство без поручения.

Ситуация: маркетинговый подрядчик получает выгрузку клиентской базы для «анализа аудитории». Договор поручения отсутствует, цели не ограничены. Подрядчик использует данные в интересах других заказчиков. Доказательства: договор без условий о поручении, скриншоты переписки, жалоба субъекта в РКН. Вероятный исход: ч. 1 ст. 13.11 для оператора + самостоятельная ответственность подрядчика как нового оператора; при утечке — оборотный риск. Стратегия: заключить договор поручения по ст. 6 ч. 1 п. 3 ФЗ-152 с исчерпывающим перечнем допустимых целей и мер защиты.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Ст. 3 ФЗ-152 определяет обработку как любое действие или совокупность действий с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление или уничтожение. Важно, что объединение баз охватывает как минимум систематизацию и накопление — и потому является обработкой с точки зрения закона, даже если данные физически не копируются, а лишь становятся доступны в рамках одного запроса.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает одиннадцать правовых оснований: согласие субъекта (п. 1), исполнение обязанностей по законодательству (п. 2), исполнение договора с субъектом (п. 5), достижение публичных целей госорганами (пп. 3, 4) и ряд специальных оснований. Ключевой принцип: каждое правовое основание привязано к конкретной цели. При смене цели требуется либо новое основание, либо отдельное согласие по ст. 9 ФЗ-152.

3. Что грозит за нарушение принципа несовместимости целей?

Базовый состав — ч. 1 ст. 13.11 КоАП (ред. с 30.05.2025): 150 000–300 000 ₽ для юрлица. Повторное — ч. 1.1: 300 000–500 000 ₽. Если нарушение сопровождается обработкой без согласия — дополнительно ч. 2 (300 000–700 000 ₽) или ч. 2.1 (1–1,5 млн ₽) при повторности. Если цели не соответствуют реестру РКН — ч. 10 (100 000–300 000 ₽). При утечке из объединённой базы — ч. 12–14 (3–15 млн ₽) и потенциально оборотный штраф по ч. 15 при повторности.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152, уведомление обязательно для любого оператора до начала обработки ПДн. Исключения перечислены в ч. 2 ст. 22: часть из них применима к малому бизнесу (например, обработка только данных собственных сотрудников в целях трудового договора). Однако при обработке клиентских данных или данных посетителей сайта исключения, как правило, не применяются. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП: 100 000–300 000 ₽.

5. С какого возраста нужно согласие на обработку ПДн?

По общему правилу ст. 9 ФЗ-152, согласие даёт сам субъект. Для несовершеннолетних до 14 лет согласие оформляется законным представителем (родителем, опекуном). Для лиц от 14 до 18 лет вопрос решается в зависимости от контекста: для части сделок, которые они вправе совершать самостоятельно по ГК РФ, собственного согласия достаточно; в остальных случаях требуется согласие представителя. Особые требования установлены для обработки данных несовершеннолетних в образовательных организациях.

Итог

Принцип несовместимости целей — не декларативная норма, а рабочий инструмент проверки РКН. Инспектор сравнивает реестровую запись с фактическим составом баз, оценивает наличие договоров поручения и проверяет, есть ли у каждого потока данных задокументированное правовое основание. Объединение баз с несовместимыми целями создаёт одновременно несколько составов нарушений по ст. 13.11 КоАП — и увеличивает число субъектов в потенциальной утечке, что прямо влияет на размер штрафа.

Юристы DATUM сопровождают аудиты соответствия 152-ФЗ для операторов различных отраслей: от e-commerce и SaaS до ретейла и производства. В рамках аудита проводится полное картирование целей обработки, проверка совместимости баз и оценка правовых оснований по ст. 6 ФЗ-152.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — картирование целей, оценка правовых оснований, отчёт с планом устранения
Комплект ОРД под ключ — политика, согласия, приказы, регламенты с разграничением целей обработки
DPO-аутсорсинг — постоянный контроль соответствия баз принципам ст. 5 ФЗ-152

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности.

14 августа 2026 года