Перейти к содержанию
аналитика 11 сентября 2026 По состоянию на 11 сентября 2026

Принцип соответствия объёма целям: минимизация ПДн

Оператор вправе обрабатывать только те персональные данные, которые соответствуют заявленным целям обработки — не шире и не глубже. Это требование ст. 5 ФЗ-152, нарушение которого квалифицируется по ч. 1 ст. 13.11 КоАП: штраф от 150 000 до 300 000 ₽.
Принцип минимизации ПДн — не декларация, а конкретный критерий проверки Роскомнадзора. РКН оценивает: какие данные собираются, для каких целей, не избыточен ли перечень. Расхождение между реестром оператора и реальной обработкой — типичное основание для протокола.
Если вы юрист и проверяете комплаенс компании — ниже разбор принципа, норм и практики 2025–2026 с конкретными признаками нарушений.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи. Принцип соответствия объёма целям при этом остался одним из ключевых оснований для возбуждения дел — в связке с ч. 1 (обработка без законного основания или с несовместимыми целями) и ч. 3 (отсутствие политики обработки). Для юриста, сопровождающего оператора, понимание того, как работает этот принцип, — обязательная часть аудиторского инструментария.

Что такое принцип минимизации и откуда он следует?

Принцип соответствия объёма целям закреплён в п. 4 и п. 5 ст. 5 ФЗ-152. Норма устанавливает два взаимосвязанных требования. Первое: обрабатываемые ПДн должны соответствовать заявленным целям по составу и объёму. Второе: обработка не должна быть избыточной по отношению к этим целям.

«Ст. 5 ФЗ-152 — принципы обработки ПДн: объём и состав обрабатываемых данных должны соответствовать заявленным целям обработки; обработка, избыточная по отношению к этим целям, недопустима.»

Принцип минимизации производен от более широкой нормы ст. 3 ФЗ-152, которая определяет обработку как любое действие с ПДн — сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение. Каждое из этих действий должно быть обосновано целью.

Цель обработки, в свою очередь, задаётся при уведомлении РКН (ст. 22 ФЗ-152) и фиксируется в политике обработки персональных данных (ст. 18.1 ФЗ-152). Расхождение между задекларированной целью и фактическим перечнем обрабатываемых данных — это и есть нарушение принципа минимизации.

Как принцип минимизации соотносится с правовыми основаниями обработки?

Правовое основание обработки по ст. 6 ФЗ-152 — согласие, договор, закон или иное из 11 оснований — определяет допустимость обработки в принципе. Принцип минимизации действует поверх: даже при наличии согласия оператор не вправе собирать данные сверх необходимого для цели, под которую согласие получено.

Типичный пример: интернет-магазин получает согласие на обработку ПДн для доставки товара. Если в форму включено поле «дата рождения» или «ИНН», при том что они не нужны для исполнения договора доставки, — это избыточный сбор. Согласие есть, но принцип минимизации нарушен.

Согласие по ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025, действующей с 01.09.2025) оформляется отдельным документом. Перечень ПДн в согласии должен строго соответствовать заявленной цели. Если цель — «уведомления об акциях», а в согласии указаны место работы и паспортные данные, это нарушение сразу двух норм: ст. 5 (избыточность) и ст. 9 (несоответствие реквизитов).

Проводите аудит комплаенса — и не можете оценить, избыточен ли перечень данных?

Принцип минимизации — один из 38 пунктов чек-листа аудита соответствия 152-ФЗ. Расхождение между реестром РКН и реальной обработкой видно уже на этапе сверки уведомления с формами сбора. Юристы DATUM проведут аудит обработки ПДн, выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие признаки свидетельствуют о нарушении принципа минимизации?

Роскомнадзор при проверке анализирует несколько уровней соответствия. На каждом из них нарушение принципа минимизации может проявляться по-разному.

Уровень 1 — формы сбора данных. Анкеты при регистрации, заявки на сайте, согласия работников содержат поля, не обоснованные ни одной задекларированной целью. Поле «национальность» в форме записи к врачу при отсутствии специфики услуги — типичный пример.

Уровень 2 — реестр операторов. В уведомлении указан один перечень ПДн, а в формах сбора или ИСПДн обрабатываются дополнительные категории. РКН сверяет реестр с реальной практикой при плановых и внеплановых проверках.

Уровень 3 — сроки хранения. Данные хранятся после достижения цели, под которую собирались. Ст. 5 ФЗ-152 прямо указывает: ПДн подлежат уничтожению или обезличиванию при достижении цели обработки или утрате необходимости в ней.

Уровень 4 — категории данных. Оператор собирает специальные категории по ст. 10 ФЗ-152 (здоровье, биометрия) без правового основания, специфичного для этих категорий. Это одновременно нарушение ст. 5 и ст. 10.

Признаки нарушения принципа минимизации: что проверить

  • Формы сбора содержат поля, не обоснованные ни одной целью из уведомления РКН
  • Перечень ПДн в согласии шире, чем требует цель обработки, указанная в том же документе
  • ПДн хранятся после достижения цели — отсутствует регламент уничтожения с конкретными сроками
  • Специальные категории ПДн (ст. 10 ФЗ-152) собираются без специального правового основания
  • Реестр оператора в РКН не обновлён после расширения фактической обработки

Что говорит судебная практика 2025–2026 о нарушениях принципа минимизации?

Правоприменение по ФЗ-420 накапливается постепенно. По данным InfoWatch за начало 2026 года, за весь 2025 год по новым нормам ст. 13.11 КоАП назначено шесть административных штрафов на общую сумму около 570 тыс. ₽. Суды и регулятор формируют практику.

Кейс 1. В деле Арбитражного суда Москвы (дело № А40-351064/2025, оператор — образовательная платформа с признаками микропредприятия) утечка данных более 100 000 субъектов квалифицирована по ч. 14 ст. 13.11 КоАП — диапазон штрафа 10–15 млн ₽. С учётом статуса микропредприятия и расчёта по правилам для ИП суд назначил 400 000 ₽. Принципиальный вывод: масштаб обрабатываемой базы сам по себе становится отягчающим обстоятельством, если оператор не обосновал необходимость сбора такого объёма данных.

Кейс 2. В деле Арбитражного суда Санкт-Петербурга и Ленинградской области (дело № А56-4733/2026) оператор — цифровая платформа инвестпроектов — после хакерской атаки утратил данные около 70 000 субъектов: ФИО, должность, служебный email, телефон. Квалификация — ч. 14 ст. 13.11 КоАП. Суд принял во внимание смягчающие обстоятельства. Показательно: перечень утёкших полей (должность, служебный email) поставил вопрос о том, было ли обоснование хранения должностной информации для целей платформы.

Если вы юрист и проверяете, соответствует ли перечень ПДн заявленным целям обработки, — типовой аудит занимает от 5 рабочих дней и закрывает 38 пунктов требований 152-ФЗ. Расхождение между реестром и реальной практикой выявляется на первом этапе.

Заказать аудит 152-ФЗ

Матрица сценариев: как нарушение принципа минимизации выглядит на практике

Сценарий 1 — избыточный сбор при регистрации на сайте. Интернет-сервис собирает при регистрации ФИО, email, телефон, дату рождения, город и пол. Цель в уведомлении РКН — «предоставление доступа к личному кабинету». При плановой проверке инспектор запрашивает обоснование каждого поля. Дата рождения и пол не обоснованы для доступа к кабинету. Итог: протокол по ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽. Стратегия: до проверки провести аудит форм сбора и сопоставить каждое поле с конкретной целью из уведомления.

Сценарий 2 — хранение данных после истечения срока. Медицинская клиника хранит ПДн пациентов — в том числе данные о здоровье — бессрочно, без регламента уничтожения. Цель обработки — «оказание медицинских услуг». После закрытия дела пациента данные не уничтожаются. Нарушение: ст. 5 ФЗ-152 (хранение сверх срока), ст. 10 ФЗ-152 (спецкатегория без актуального основания). Санкция может квалифицироваться по ч. 1 ст. 13.11 в совокупности с ч. 6 при неавтоматизированной обработке. Стратегия: разработать регламент уничтожения с конкретными сроками по каждой категории данных.

Сценарий 3 — расширение обработки без обновления реестра. Компания добавила новый продукт — программу лояльности — и начала собирать историю покупок и предпочтения клиентов. В уведомлении РКН этот перечень не указан. РКН при внеплановой проверке (по жалобе субъекта) выявляет расхождение. Итог: предписание + протокол по ч. 1 ст. 13.11. Стратегия: при любом расширении обработки — актуализировать уведомление по ст. 22 ФЗ-152 и политику по ст. 18.1.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — это любое действие или совокупность действий: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление или уничтожение. Это определение охватывает как автоматизированную, так и неавтоматизированную обработку. Даже хранение бумажных анкет без какой-либо дальнейшей работы с ними — это обработка, на которую распространяются все требования 152-ФЗ, в том числе принцип минимизации.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит 11 правовых оснований: согласие субъекта, договор с субъектом, исполнение законодательно возложенных обязанностей, жизненно важные интересы, задачи правосудия, государственные функции и ряд других. Согласие по ст. 9 ФЗ-152 в редакции ФЗ-156, действующей с 01.09.2025, оформляется отдельным документом. При любом основании объём обрабатываемых данных ограничен принципом минимизации: только то, что необходимо для конкретной цели.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность — по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (с 30.05.2025). За обработку с нарушением принципа соответствия целям — ч. 1 ст. 13.11: штраф для юрлица 150 000–300 000 ₽, при повторности (ч. 1.1) — 300 000–500 000 ₽. За повторную утечку — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Уголовная ответственность за незаконное использование ПДн — по ст. 272.1 УК РФ (с 11.12.2024), до 10 лет лишения свободы по ч. 5.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 уведомление обязательно для всех операторов до начала обработки ПДн. Закрытый перечень исключений (ч. 2 ст. 22) охватывает ограниченные случаи: данные работников в рамках трудовых отношений, ПДн в рамках договора с субъектом, без передачи третьим лицам, и ряд других. Малый бизнес, использующий CRM с данными клиентов или ведущий базу рассылок, под эти исключения, как правило, не подпадает. Неуведомление — штраф по ч. 10 ст. 13.11: 100 000–300 000 ₽ для юрлица.

5. С какого возраста нужно согласие на ПДн?

По ст. 9 ФЗ-152 согласие на обработку ПДн вправе давать лица, достигшие 18 лет (полная дееспособность). Для несовершеннолетних до 18 лет согласие даёт законный представитель — родитель или опекун. На практике для сервисов, ориентированных на аудиторию 14–17 лет, требуется разработать отдельную форму согласия законного представителя и механизм проверки возраста субъекта. Обработка ПДн несовершеннолетних без согласия представителя — нарушение ст. 9 в совокупности с ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 ₽).

Итог

Принцип минимизации ПДн — практический инструмент контроля, а не декларативная норма. Он применяется на всех этапах: при проектировании форм сбора, при составлении уведомления в РКН, при разработке политики обработки, при установлении сроков хранения. Нарушение выявляется при сверке трёх документов: уведомление РКН, политика обработки и реальные формы сбора. Расхождение между ними — типичное основание для протокола по ч. 1 ст. 13.11 КоАП.

Практика DATUM включает аудиты соответствия 152-ФЗ, в которых проверка принципа минимизации занимает отдельный блок чек-листа. Типичное расхождение между задекларированным и реальным перечнем ПДн выявляется в большинстве первичных аудитов у операторов, ранее не проходивших проверку РКН.

Услуги DATUM по теме

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

11 сентября 2026 года