справочник 11 октября 2026 По состоянию на 11 октября 2026

Цели обработки ПДн: как сформулировать законно

Цель обработки персональных данных — конкретное, заранее определённое и законное основание, ради которого оператор собирает и использует сведения о субъекте.

Размытая или отсутствующая цель — самостоятельный состав нарушения по ч. 1 ст. 13.11 КоАП: штраф для юрлица от 150 000 до 300 000 ₽, при повторности — до 500 000 ₽.

Если вы юрист и сейчас проверяете политику или ОРД компании — ниже разбор обязательных реквизитов цели, типовых формулировок и критериев, по которым РКН признаёт цель незаконной.

Ст. 5 ФЗ-152 закрепляет принципы обработки персональных данных: цель должна быть конкретной, заранее определённой и законной, а объём обрабатываемых ПДн — соответствовать этой цели. На практике юристы сталкиваются с двумя полюсами: слишком узкой формулировкой, которую невозможно соблюсти, и слишком широкой — «в целях деятельности организации», — которую РКН квалифицирует как нарушение ст. 5 ФЗ-152. Этот справочник объясняет, как найти баланс.

Что такое цель обработки ПДн по ст. 3 и ст. 5 ФЗ-152?

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с иными лицами организует обработку ПДн. Обработка персональных данных по ст. 3 ФЗ-152 — любое действие с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Принципы обработки по ст. 5 ФЗ-152 включают требование: цель определяется до начала обработки и фиксируется в документах оператора. Недопустимо объединять базы ПДн с несовместимыми целями: например, обрабатывать клиентские данные в базе кандидатов на вакансии.

«Ст. 5 ФЗ-152: обработка ПДн ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка, несовместимая с целями сбора.»

Субъект персональных данных — физическое лицо, к которому относятся данные. Именно субъект вправе потребовать уточнить цель обработки или уничтожить ПДн, если цель достигнута (ст. 21 ФЗ-152). Оператор обязан ответить в течение 10 рабочих дней.

Какие правовые основания обработки ПДн установлены ст. 6 ФЗ-152?

Правовое основание обработки — норма закона или согласие субъекта, легитимирующие конкретную цель. Ст. 6 ФЗ-152 содержит 11 оснований. Юристу важно не путать основание с целью: основание отвечает на вопрос «почему вправе», цель — «зачем именно».

Основные основания:

Согласие субъекта (п. 1 ч. 1 ст. 6) — применимо, когда ни одно иное основание не подходит. С 01.09.2025 по ФЗ-156 согласие оформляется отдельным документом.
Исполнение договора (п. 5 ч. 1 ст. 6) — данные обрабатываются только в объёме, необходимом для исполнения обязательств перед субъектом.
Исполнение обязанностей оператора по законодательству (п. 2 ч. 1 ст. 6) — налоговые, трудовые, бухгалтерские обязательства.
Судопроизводство и исполнение судебных актов (п. 3 ч. 1 ст. 6).
Жизненно важные интересы субъекта (п. 6 ч. 1 ст. 6) — в случаях, когда получить согласие невозможно.

«Ст. 6 ФЗ-152: перечень оснований исчерпывающий. Обработка ПДн без одного из указанных оснований — нарушение, за которое предусмотрена административная ответственность по ч. 1 ст. 13.11 КоАП.»

Нашли в документах размытые цели или смешанные основания?

Если вы юрист и видите, что политика или ОРД компании содержат формулировку «в целях деятельности организации» — это основание для штрафа по ч. 1 ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с конкретными правками.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие категории ПДн влияют на формулировку цели?

Категории персональных данных определяют требования к правовому основанию и форме согласия.

Общие ПДн — ФИО, дата рождения, контакты, место работы. Обработка допустима по любому из оснований ст. 6 ФЗ-152.
Специальные категории (ст. 10 ФЗ-152) — состояние здоровья, расовая и национальная принадлежность, политические и религиозные взгляды, судимость. По общему правилу запрещены; разрешены только в случаях, прямо названных в ч. 2 ст. 10.
Биометрические ПДн (ст. 11 ФЗ-152) — изображение лица, голос, отпечатки, радужная оболочка. Требуют письменного согласия; хранение в информационных системах регулируется также ФЗ-572 о ЕБС.
ПДн несовершеннолетних — согласие дают родители или иные законные представители; целевое назначение должно быть связано с интересами ребёнка.

Категория ПДн влияет на уровень защищённости информационной системы (УЗ-1...УЗ-4 по ПП РФ №1119). Специальные категории при числе субъектов свыше 100 000 требуют УЗ-1 — самого высокого уровня.

Как правильно сформулировать цель обработки: типовые примеры

Цель должна содержать три компонента: кто является субъектом, какие данные затронуты и какой результат преследует оператор. Размытость любого из трёх — основание для претензии РКН.

Что включить в формулировку цели

Наименование субъекта ПДн (работник, клиент, посетитель сайта, контрагент — физическое лицо).
Конкретное действие оператора: заключение трудового договора, исполнение договора купли-продажи, направление рекламной рассылки.
Правовое основание: норма закона (ст. 6 или ст. 9 ФЗ-152) или ссылка на договор.
Срок обработки: «до достижения цели», «в течение срока действия договора + 5 лет» и т. п.
Перечень категорий ПДн, соответствующих цели и не выходящих за её рамки.

Примеры корректных формулировок:

«Обработка ПДн работников в целях ведения кадрового учёта и исполнения обязанностей работодателя по трудовому законодательству (ст. 86–88 ТК РФ, п. 2 ч. 1 ст. 6 ФЗ-152).»
«Обработка ПДн клиентов — физических лиц в целях исполнения договора розничной купли-продажи, в том числе доставки товара и направления информации о заказе (п. 5 ч. 1 ст. 6 ФЗ-152).»
«Обработка контактных данных посетителей сайта в целях направления коммерческих предложений на основании отдельного письменного согласия (п. 1 ч. 1 ст. 6, ст. 9 ФЗ-152).»

Примеры незаконных формулировок, которые РКН выявляет при проверке:

«В целях деятельности организации» — нет конкретики, нарушает ст. 5 ФЗ-152.
«Для улучшения качества обслуживания» — абстрактная, не связана с правовым основанием.
«В маркетинговых целях» без указания конкретного вида коммуникации и основания — создаёт риск по ч. 1 ст. 13.11 КоАП.

Если вы юрист и готовите ОРД под проверку РКН — проверьте, что каждая цель в политике конфиденциальности подкреплена конкретным правовым основанием по ст. 6 ФЗ-152. Пакет документов под ключ — от 45 000 ₽.

Собрать ОРД под ключ

Типовые ситуации: как нарушение цели приводит к штрафу

Ситуация 1. База клиентов используется для HR-рассылки. Компания собрала ПДн клиентов для исполнения договора (п. 5 ч. 1 ст. 6 ФЗ-152), а затем направила им предложение о трудоустройстве. Это — обработка, несовместимая с целью сбора, нарушение ст. 5 ФЗ-152. Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽. Стратегия: получить отдельное согласие на рассылку вакансий или использовать иную базу.

Ситуация 2. Политика содержит «любые цели» без конкретики. При плановой проверке РКН инспектор устанавливает, что политика конфиденциальности описывает цели через общие фразы. Это нарушение ч. 2 ст. 18.1 ФЗ-152 — ненадлежащее опубликование политики. Вероятный исход: предписание об устранении + штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽). Стратегия: переработать политику до проверки, включив конкретные цели по каждой категории субъектов.

Ситуация 3. Согласие не содержит цели. Форма согласия на сайте не включала перечень целей обработки. После жалобы субъекта РКН возбудил дело по ч. 2 ст. 13.11 КоАП. Штраф для юрлица — от 300 000 до 700 000 ₽. Стратегия: привести согласие к требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 (отдельный документ с 01.09.2025).

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка персональных данных по ст. 3 ФЗ-152 — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача третьим лицам, обезличивание, блокирование, удаление и уничтожение. Простое хранение базы данных с именами и телефонами клиентов уже является обработкой и требует правового основания.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает исчерпывающий перечень из 11 оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение закона (п. 2), судопроизводство (п. 3), исполнение договора с субъектом (п. 5). Обработка без одного из перечисленных оснований образует состав нарушения по ч. 1 ст. 13.11 КоАП.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП в редакции с 30.05.2025 — от 30 000 до 700 000 ₽ за базовые составы; за утечку от 1 000 до 10 000 субъектов — от 3 000 000 до 5 000 000 ₽ (ч. 12); при повторной утечке — оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽ (ч. 15). Уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы (ч. 5, тяжкие последствия).

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу — да. Ст. 22 ФЗ-152 обязывает оператора уведомить Роскомнадзор до начала обработки ПДн. Исключения перечислены в ч. 2 ст. 22: в частности, обработка только в рамках трудового договора или только данных членов (участников) организации. Большинство компаний под исключения не подпадают. Неуведомление — штраф от 100 000 до 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единый возрастной порог. На практике применяется принцип дееспособности: до 14 лет согласие дают законные представители, с 14 до 18 лет — с письменного согласия родителей или иных представителей, если иное не предусмотрено законом. Для информационных систем в сфере образования — отдельные требования по согласиям родителей.

Итог

Корректная формулировка цели обработки ПДн — не формальность, а элемент правовой защиты оператора. Цель должна быть конкретной, привязанной к основанию по ст. 6 ФЗ-152, соответствовать категориям обрабатываемых данных и быть зафиксированной в политике и согласиях до начала обработки.

Юристы DATUM сопровождают операторов при разработке ОРД, проверках РКН и защите по ст. 13.11 КоАП. Аудит соответствия — от 100 000 ₽, комплект ОРД — от 45 000 ₽.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка целей, оснований и документов оператора
Комплект ОРД под ключ — политика, согласия, приказы с корректными целями
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

11 октября 2026 года