инструкция 18 февраля 2027 По состоянию на 18 февраля 2027

Цели обработки ПДн в уведомлении РКН: примеры

Цели обработки персональных данных — обязательный раздел уведомления по ст. 22 ФЗ-152. Неверно указанные или избыточно широкие цели — основание для предписания РКН и штрафа по ст. 13.11 КоАП.

С 30.05.2025 действует ФЗ-420: неуведомление или несвоевременное уведомление о намерении обрабатывать ПДн — штраф для юрлица 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Несоответствие реальной обработки заявленным целям — ч. 1 ст. 13.11 (150 000–300 000 ₽).

Если вы юрист и проверяете уведомление оператора — ниже конкретные примеры формулировок целей, порядок их согласования с категориями ПДн и типовые ошибки, которые фиксирует РКН при проверках.

Уведомление по форме Приказа РКН №180 от 28.10.2022 содержит раздел «Цели обработки персональных данных». На практике операторы либо копируют чужие формулировки, либо указывают всё подряд — и то, и другое создаёт нарушение. Цели должны точно соответствовать реально осуществляемой обработке: категориям ПДн, перечню действий и правовым основаниям по ст. 6 ФЗ-152. В этой инструкции — последовательный порядок заполнения раздела с готовыми примерами.

Шаг 1. Определите, какие цели вы фактически реализуете

До заполнения уведомления составьте реестр операций с ПДн: какие данные, зачем, откуда, кому передаёте. Цель — это конкретный результат обработки, а не процесс. «Обработка персональных данных» сама по себе не является целью и не принимается РКН.

«Ст. 5 ФЗ-152: обработка ПДн должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка, несовместимая с целями сбора.»

Типовые цели для большинства операторов делятся на три группы. Первая — кадровые: исполнение трудового законодательства, ведение кадрового учёта, расчёт и выплата заработной платы, воинский учёт. Вторая — клиентские: заключение и исполнение договоров, оказание услуг, направление уведомлений по договору. Третья — организационные: обеспечение безопасности информационных систем, пропускной режим, бухгалтерский и налоговый учёт.

Важный принцип: цели не должны объединять несовместимые по существу задачи в одну формулировку. Нельзя писать «кадровый учёт и маркетинг» как единую цель — это разные правовые основания и разные категории субъектов.

Уведомление уже подано, но цели сформулированы расплывчато?

Неточные или избыточные формулировки целей фиксируются при плановых и внеплановых проверках РКН. Если реальная обработка шире заявленных целей — это ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Юристы DATUM проведут аудит уведомления, сравнят его с фактической обработкой и подготовят уведомление об изменении сведений по форме Приказа РКН №180.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Сопоставьте каждую цель с категорией ПДн и правовым основанием

Уведомление по Приказу РКН №180 требует для каждой цели указать: категорию субъектов, перечень ПДн, перечень действий (операций), правовое основание по ст. 6 (и ст. 10 — если спецкатегории), а при необходимости — условия передачи третьим лицам.

Примеры корректного сопоставления:

Цель: исполнение трудового договора и трудового законодательства. Субъекты: работники и соискатели. ПДн: ФИО, дата рождения, образование, трудовой стаж, ИНН, СНИЛС, реквизиты паспорта, сведения о составе семьи (для льгот). Основание: п. 5 ч. 1 ст. 6 ФЗ-152 (договор), п. 2 ч. 1 ст. 6 (исполнение обязанностей, возложенных законом).
Цель: расчёт и выплата заработной платы. Субъекты: работники. ПДн: банковские реквизиты, сведения об удержаниях, налоговый статус. Основание: п. 2 ч. 1 ст. 6 ФЗ-152 (ТК РФ, НК РФ).
Цель: заключение и исполнение договоров с клиентами. Субъекты: клиенты (физические лица). ПДн: ФИО, контактные данные, реквизиты документов. Основание: п. 5 ч. 1 ст. 6 ФЗ-152.
Цель: направление информации об акциях и предложениях (рекламная рассылка). Субъекты: клиенты, согласившиеся на рассылку. ПДн: email, телефон. Основание: п. 1 ч. 1 ст. 6 ФЗ-152 — согласие. Дополнительно — согласие на распространение по ст. 10.1 ФЗ-152.
Цель: организация пропускного режима и охрана объектов. Субъекты: работники, посетители. ПДн: ФИО, данные удостоверяющего документа, фотоизображение (биометрия при использовании СКУД с распознаванием лиц). Основание: п. 2 ч. 1 ст. 6 ФЗ-152; при биометрии — отдельное письменное согласие по ст. 11 ФЗ-152.
Цель: бухгалтерский и налоговый учёт. Субъекты: работники, контрагенты — физические лица. ПДн: ФИО, ИНН, реквизиты, суммы выплат. Основание: п. 2 ч. 1 ст. 6 ФЗ-152 (НК РФ, ФЗ-402).

«Ст. 22 ФЗ-152: оператор обязан уведомить РКН до начала обработки ПДн. В уведомлении указываются, в том числе, цели обработки, категории ПДн, перечень действий. Подача — через pd.rkn.gov.ru с УКЭП или через ЕСИА.»

Как правильно сформулировать цели: типовые ошибки юристов

РКН при проверках фиксирует несколько повторяющихся нарушений в разделе целей уведомления. Знание этих ошибок позволяет проверить уведомление клиента за 15 минут.

Ошибка 1 — слишком широкая формулировка. «Обеспечение деятельности организации» или «выполнение уставных задач» не являются целями в понимании ст. 5 ФЗ-152. Такие формулировки не позволяют определить, какая именно обработка разрешена. РКН вправе потребовать уточнения.

Ошибка 2 — цель без привязки к категории субъектов. Если в уведомлении заявлена цель «обработка ПДн в маркетинговых целях», но не указаны субъекты (клиенты, пользователи сайта) и правовое основание (согласие), РКН расценивает это как неполное уведомление.

Ошибка 3 — не указана цель при фактической обработке. Компания ведёт видеонаблюдение в офисе, но в уведомлении цели «обеспечение безопасности на объекте» нет. Реальная обработка шире заявленной — нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

Ошибка 4 — отсутствие отдельной цели для спецкатегорий. Если оператор обрабатывает сведения о состоянии здоровья (например, в медицинской организации или при оформлении больничных листов), это спецкатегория по ст. 10 ФЗ-152. Правовое основание должно быть из ч. 2 ст. 10, а не просто из ст. 6.

Если вы юрист и проверяете уведомление клиента — несоответствие целей и фактической обработки обнаруживается при сопоставлении реестра операций с текстом уведомления. Это занимает до 3 часов работы, но избавляет от штрафа 150 000–300 000 ₽ по ч. 1 ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

Шаг 3. Проверьте согласования: ст. 18.1, политика и ответственный по ст. 22.1

Цели в уведомлении РКН должны совпадать с целями, указанными в политике конфиденциальности (ст. 18.1 ФЗ-152) и в формах согласий субъектов (ст. 9 ФЗ-152). Расхождение между тремя документами — отдельное нарушение.

«Ст. 18.1 ФЗ-152: оператор обязан публиковать политику обработки ПДн с неограниченным доступом. В политике должны быть указаны цели обработки, категории субъектов, сроки и порядок уничтожения — те же параметры, что и в уведомлении.»

С 01.09.2025 действуют изменения по ФЗ-156 от 24.06.2025: согласие субъекта оформляется только отдельным документом. Его нельзя включать в трудовой договор, оферту или политику конфиденциальности. Реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель обработки (должна совпадать с целью в уведомлении), перечень ПДн, перечень действий, срок, способ отзыва.

Ответственный за организацию обработки ПДн назначается по ст. 22.1 ФЗ-152 — приказом руководителя. Его данные указываются в уведомлении РКН. Если ответственный сменился, необходимо подать уведомление об изменении сведений.

Что проверить перед подачей уведомления

Каждая цель сформулирована конкретно и привязана к категории субъектов, перечню ПДн и правовому основанию по ст. 6 ФЗ-152.
Цели в уведомлении совпадают с целями в политике конфиденциальности по ст. 18.1 и в формах согласий по ст. 9 ФЗ-152.
Согласия субъектов с 01.09.2025 оформлены отдельным документом — не встроены в договор или оферту (ФЗ-156 от 24.06.2025).
Назначен ответственный по ст. 22.1 ФЗ-152, его данные актуальны в уведомлении.
Реальная обработка не выходит за рамки заявленных целей — проверьте по реестру операций.

Шаг 4. Подайте уведомление или уведомление об изменении сведений

Уведомление подаётся через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. Форма установлена Приказом РКН №180 от 28.10.2022. Срок включения оператора в реестр — 30 дней с момента подачи.

Если оператор уже включён в реестр, но цели изменились (добавились новые операции, исключены старые или уточнены формулировки) — подаётся уведомление об изменении сведений по той же форме. Неуведомление об изменениях приравнивается к неполноте сведений в реестре и может квалифицироваться по ч. 10 ст. 13.11 КоАП.

«Ч. 10 ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025): неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку ПДн — штраф для юрлица 100 000–300 000 ₽.»

Практические сценарии: как это применяется

Сценарий 1. Ритейлер расширяет обработку на программу лояльности. Компания указала в уведомлении только кадровые и договорные цели. Запустила программу лояльности с рассылками. РКН при плановой проверке установил, что email-адреса клиентов обрабатываются в маркетинговых целях, которых нет в реестре. Стратегия: немедленно подать уведомление об изменении сведений, добавить цель «направление информационных и рекламных материалов» с правовым основанием — согласие по п. 1 ч. 1 ст. 6 ФЗ-152. Параллельно проверить наличие отдельных согласий по ФЗ-156.

Сценарий 2. Производственное предприятие с СКУД. Предприятие ввело биометрическую идентификацию сотрудников на проходной (распознавание лиц). В уведомлении цель «организация пропускного режима» есть, но обработка биометрических ПДн не выделена, отдельного письменного согласия нет. Риск: ч. 2 ст. 13.11 КоАП — 300 000–700 000 ₽ за обработку без письменного согласия. Стратегия: получить письменные согласия по ст. 11 ФЗ-152 от каждого работника, дополнить уведомление категорией «биометрические ПДн» с указанием оснований.

Сценарий 3. Оператор без уведомления в реестре. Компания работает три года, уведомление в РКН не подавалось — считали, что не нужно (исключение по ст. 22 ФЗ-152 неверно интерпретировали). РКН поступила жалоба субъекта. Стратегия: срочно составить реестр операций, определить цели, категории, основания и подать первичное уведомление до возбуждения дела — это смягчающее обстоятельство по ст. 4.1 КоАП.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный пакет включает: политику обработки ПДн по ст. 18.1 ФЗ-152 с публичным доступом; уведомление в реестре РКН по ст. 22 ФЗ-152; формы согласий субъектов по ст. 9 ФЗ-152 (с 01.09.2025 — отдельным документом по ФЗ-156); приказ о назначении ответственного по ст. 22.1; регламент реагирования на обращения субъектов и на инциденты; реестр операций обработки ПДн. Это 6 основных документов; полный пакет ОРД насчитывает значительно больше позиций в зависимости от масштаба и отрасли.

2. Как составить политику обработки ПДн?

Политика должна содержать наименование и реквизиты оператора, цели обработки, категории субъектов и перечень ПДн по каждой цели, правовые основания, сроки хранения и порядок уничтожения ПДн, порядок реализации прав субъектов, сведения об ответственном по ст. 22.1 ФЗ-152. Цели в политике должны дословно совпадать с целями в уведомлении РКН. Несоответствие — нарушение принципа ст. 5 ФЗ-152, фиксируется при проверке.

3. Кого назначить ответственным по ст. 22.1?

Оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн, приказом руководителя. Закон не требует специального образования, но ч. 4 ст. 22.1 ФЗ-152 указывает на необходимость квалификации в области защиты ПДн. На практике назначают юриста, специалиста по ИБ или HR-руководителя. Данные ответственного подаются в РКН в уведомлении и должны актуализироваться при смене.

4. Можно ли использовать шаблон политики из интернета?

Использование чужого шаблона без адаптации — распространённая ошибка. Политика должна отражать реальную обработку конкретного оператора: его цели, категории субъектов, перечень ПДн, сроки. Типовой шаблон, как правило, содержит избыточные цели и несуществующие основания. При проверке РКН сопоставляет политику с уведомлением и фактической обработкой — расхождения ведут к предписаниям.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие субъекта оформляется исключительно отдельным документом. Его нельзя включать в трудовой договор, оферту, пользовательское соглашение или политику конфиденциальности. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва. Согласия, полученные до 01.09.2025, сохраняют силу — обратной силы закон не имеет.

Итог

Корректно заполненный раздел целей уведомления РКН — это не формальность. Каждое расхождение между уведомлением, политикой, согласиями и фактической обработкой образует самостоятельный состав нарушения по ст. 13.11 КоАП. После ФЗ-420 с 30.05.2025 санкции по первичным нарушениям составляют 150 000–700 000 ₽ за состав, по повторным — кратно больше.

Юристы DATUM сопровождают операторов ПДн при подготовке уведомлений, актуализации ОРД после ФЗ-156 и ФЗ-420, а также при проверках РКН. Практика по 152-ФЗ с 2014 года.

Услуги DATUM по теме

Комплект ОРД под ключ — политика, согласия, приказы, регламенты по актуальным требованиям
Аудит соответствия 152-ФЗ — проверка уведомления, ОРД и фактической обработки по чек-листу
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

18 февраля 2027 года