справочник 14 февраля 2027 По состоянию на 14 февраля 2027

Цели обработки в уведомлении РКН по Приказу №180

Цели обработки персональных данных — обязательный реквизит уведомления в Роскомнадзор по форме Приказа РКН №180. Без точных формулировок уведомление возвращается или порождает основание для проверки.

Ст. 22 ФЗ-152 обязывает оператора уведомить РКН до начала обработки. Несоответствие заявленных целей реальной обработке — состав нарушения по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽), а при повторности — до 500 000 ₽.

Если вы юрист, проверяющий комплаенс: разберём, как корректно сформулировать цели, чего РКН ожидает в реквизите, и где чаще всего возникают расхождения.

Уведомление по Приказу РКН №180 от 28.10.2022 включает раздел «Цели обработки». Ошибки в этом разделе — один из наиболее частых поводов для предписаний по итогам плановых и внеплановых проверок. Справочник охватывает понятийную базу по ст. 3, 5, 6 ФЗ-152, требования к формулировке целей, типичные нарушения и связанные риски по ст. 13.11 КоАП.

Что такое цель обработки персональных данных по ст. 3 и ст. 5 ФЗ-152?

Цель обработки персональных данных — конкретная, заранее определённая и законная задача, ради которой оператор собирает и использует сведения о субъекте. Понятие вытекает из ст. 3 ФЗ-152, которая определяет обработку как любое действие с ПДн, и принципа целевого ограничения из ст. 5 ФЗ-152.

Ст. 5 ФЗ-152 устанавливает семь принципов обработки. Два из них непосредственно связаны с целеполаганием:

Конкретность цели — цель должна быть определена до начала сбора данных, а не сформулирована задним числом под уже имеющуюся базу.
Соответствие объёма целям — состав и объём обрабатываемых данных должны быть достаточными и не избыточными по отношению к заявленной цели.

Кроме того, ст. 5 запрещает объединять базы ПДн, собранных для несовместимых целей. Это означает, что цель кадрового учёта и цель маркетинговых рассылок не могут обеспечиваться одной базой без разграничения доступа и правового основания.

«Ст. 5 ФЗ-152: обработка ПДн должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка, несовместимая с целями сбора.»

Какие цели обработки указывать в уведомлении РКН по форме Приказа №180?

Уведомление об обработке персональных данных — документ, который оператор направляет в Роскомнадзор по форме, утверждённой Приказом РКН №180 от 28.10.2022. Форма содержит поле «Цели обработки» как самостоятельный обязательный реквизит.

РКН ожидает формулировки, которые:

соответствуют правовому основанию обработки из ст. 6 ФЗ-152 (например, исполнение договора, согласие субъекта, исполнение законодательного обязательства);
описывают реальную деловую задачу, а не абстрактный процесс («обработка в целях обработки» — недопустимо);
охватывают все фактически обрабатываемые категории ПДн, указанные в других полях уведомления;
не шире, чем позволяет правовое основание из ст. 6 ФЗ-152.

Типичные формулировки, принимаемые РКН: «осуществление трудовых отношений», «исполнение договора с клиентом», «ведение бухгалтерского учёта», «оказание медицинской помощи», «направление информационных рассылок при наличии согласия субъекта». Каждая такая цель должна соотноситься с конкретным правовым основанием из ст. 6 ФЗ-152.

Уведомление уже подано, но формулировки целей вызывают сомнения?

Расхождение между заявленными целями и реальной обработкой — основание для штрафа по ч. 1 ст. 13.11 КоАП при плановой проверке РКН. Если уведомление подавалось без юридического сопровождения, стоит проверить его актуальность. Изменение сведений направляется в РКН в том же порядке по Приказу №180.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие правовые основания обработки ПДн по ст. 6 ФЗ-152 определяют допустимые цели?

Правовое основание обработки — норма закона или акт субъекта, придающий законность обработке ПДн в конкретной ситуации. Ст. 6 ФЗ-152 содержит одиннадцать оснований.

Основания, наиболее значимые при заполнении уведомления:

Согласие субъекта (п. 1 ч. 1 ст. 6) — применяется для обработки в маркетинговых, рекламных и иных целях, не вытекающих из закона или договора. С 01.09.2025 по ФЗ-156 согласие оформляется отдельным документом, не включается в договор или политику.
Исполнение договора с субъектом (п. 5 ч. 1 ст. 6) — применяется при продаже товаров, оказании услуг, когда субъект является стороной договора.
Исполнение обязанности оператора по законодательству РФ (п. 2 ч. 1 ст. 6) — охватывает кадровый учёт, налоговую отчётность, бухгалтерию, воинский учёт.
Защита жизни и здоровья (п. 7 ч. 1 ст. 6) — основание для экстренной обработки при невозможности получить согласие.

Цель в уведомлении не может быть шире правового основания. Если оператор обрабатывает ПДн для рассылок на основании согласия, но цель в уведомлении сформулирована как «работа с клиентами» — это расхождение, фиксируемое при проверке.

Что такое субъект и оператор ПДн по ст. 3 ФЗ-152?

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки (ст. 3 ФЗ-152). Именно оператор несёт обязанность по уведомлению РКН по ст. 22 ФЗ-152 и ответственность за соответствие целей реальной практике.

Субъект персональных данных — физическое лицо, к которому относятся обрабатываемые данные. Субъект обладает правом на информацию об обработке (ст. 14 ФЗ-152), правом на уточнение и уничтожение ПДн (ст. 21 ФЗ-152), правом на ответ оператора в течение 10 рабочих дней (ст. 20 ФЗ-152).

Разграничение оператор — обработчик (лицо, осуществляющее обработку по поручению) критично при заполнении уведомления: обработчик по ст. 6 ФЗ-152 не направляет самостоятельное уведомление, но обязан соблюдать цели и порядок, установленные оператором.

Что проверить в уведомлении РКН по разделу «Цели обработки»

Каждая цель соответствует правовому основанию из ст. 6 ФЗ-152 — конкретному пункту, а не «закону в целом».
Состав категорий ПДн в уведомлении не выходит за рамки заявленных целей.
Для специальных категорий ПДн (ст. 10 ФЗ-152) указано основание из ч. 2 ст. 10, а не общее из ст. 6.
При обработке ПДн в маркетинговых целях — наличие отдельного согласия по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025).
Изменение фактических целей обработки отражено в актуальной форме уведомления об изменении сведений.

Что грозит оператору за несоответствие целей в уведомлении реальной обработке?

Обработка ПДн в случаях, не предусмотренных законодательством, или несовместимая с заявленными целями — состав правонарушения по ч. 1 ст. 13.11 КоАП. В редакции, действующей с 30.05.2025 (ФЗ-420 от 30.11.2024), штраф для юридического лица составляет 150 000–300 000 ₽.

При повторном нарушении применяется ч. 1.1 ст. 13.11 КоАП: штраф 300 000–500 000 ₽. Инициировать дело вправе РКН при плановой или внеплановой проверке, а также при рассмотрении жалобы субъекта. С 28.12.2025 (ФЗ-508) дела по ст. 13.11 рассматривают мировые судьи — возврат к порядку, действовавшему до 30.05.2025.

Дополнительный риск — неуведомление о намерении обрабатывать ПДн (ч. 10 ст. 13.11 КоАП): 100 000–300 000 ₽. Если оператор расширил фактические цели обработки, не направив уведомление об изменении сведений по Приказу №180, — возникает этот же состав.

«Ч. 1 ст. 13.11 КоАП (ред. с 30.05.2025): обработка ПДн в случаях, не предусмотренных законодательством, либо несовместимая с целями, — штраф для юрлица 150 000–300 000 ₽.»

Если вы юрист, проверяющий комплаенс компании по 152-ФЗ: расхождение целей в уведомлении с фактической обработкой выявляется при первой же проверке РКН. До проверки у оператора есть возможность направить уведомление об изменении сведений и скорректировать ОРД. После — только защита в производстве по ст. 13.11.

Заказать аудит 152-ФЗ

Типичные ситуации при проверке РКН по разделу целей

Ситуация 1. Оператор указал единственную цель «работа с клиентами». РКН при проверке установил, что компания также ведёт рассылки, передаёт данные партнёрам по агентским договорам и хранит данные уволенных сотрудников. Ни одна из этих операций не охватывается заявленной целью. Составлен протокол по ч. 1 ст. 13.11. Стратегия: в ходе проверки — представить доказательства принятых мер, направить уведомление об изменении сведений одновременно с возражениями на протокол, заявить о применении ст. 4.1.1 КоАП при первичности нарушения.

Ситуация 2. Оператор обрабатывает специальные категории ПДн (данные о здоровье работников), не указав их в уведомлении. Основание по ст. 6 ФЗ-152 не охватывает специальные категории — для них действует ст. 10 ФЗ-152. Отсутствие корректного основания в уведомлении и отдельного согласия создаёт риск по ч. 2 ст. 13.11 (300 000–700 000 ₽). Стратегия: актуализировать уведомление, разработать форму согласия под ст. 9 и ст. 10 ФЗ-152.

Ситуация 3. Оператор направил уведомление при создании компании, но за три года расширил перечень обрабатываемых ПДн — добавил биометрию СКУД и рассылки. Уведомление об изменении сведений не направлялось. При проверке зафиксированы расхождения по целям, категориям и правовым основаниям. Риск: протоколы по ч. 1 и ч. 10 ст. 13.11 одновременно. Стратегия: провести аудит соответствия, подать актуализированное уведомление до даты составления протокола.

Частые вопросы

1. Что считается обработкой ПДн по ФЗ-152?

По ст. 3 ФЗ-152 обработкой признаётся любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Распечатать анкету клиента или передать базу подрядчику — это обработка. Соответственно, каждое из этих действий должно быть охвачено заявленной целью в уведомлении РКН.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит одиннадцать правовых оснований. Чаще всего применяются: согласие субъекта (п. 1), исполнение законодательного обязательства оператора (п. 2), участие субъекта в судопроизводстве (п. 3), исполнение договора с субъектом (п. 5). Для специальных категорий ПДн (ст. 10 ФЗ-152) и биометрии (ст. 11 ФЗ-152) действуют отдельные, более жёсткие требования к основаниям.

3. Что грозит за нарушение 152-ФЗ?

За обработку ПДн в незаконных целях или несовместимую с заявленными — штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽ (для юрлица). За повторное нарушение — до 500 000 ₽ по ч. 1.1. За утечку от 1 000 субъектов — от 3 000 000 до 15 000 000 ₽ в зависимости от объёма (ч. 12–14 ст. 13.11). При повторной утечке — оборотный штраф по ч. 15 ст. 13.11: 1–3% годовой выручки, не менее 20 000 000 ₽. С 11.12.2024 введена уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

Обязанность уведомить РКН по ст. 22 ФЗ-152 распространяется на всех операторов ПДн вне зависимости от размера. Исключения исчерпывающе перечислены в ч. 2 ст. 22 ФЗ-152: в частности, обработка ПДн работников исключительно в рамках трудовых отношений, обработка на основании договора с субъектом без передачи третьим лицам и ряд других. Если деятельность выходит за рамки этих исключений — уведомление обязательно. Штраф за неуведомление — 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на обработку ПДн?

ФЗ-152 прямо не устанавливает единый возрастной порог для согласия. По общему правилу гражданского законодательства полная дееспособность наступает с 18 лет. Несовершеннолетние от 14 до 18 лет вправе давать согласие самостоятельно лишь на действия, предусмотренные ст. 26 ГК РФ; в остальных случаях требуется согласие законного представителя. При обработке ПДн детей в образовательных и медицинских организациях действуют дополнительные требования подзаконных актов.

Итог

Цель обработки в уведомлении РКН — не формальность, а базовый принцип ФЗ-152, закреплённый в ст. 5. Расхождение между заявленными целями и реальной обработкой — один из наиболее распространённых поводов для штрафов по ч. 1 и ч. 10 ст. 13.11 КоАП. Корректное заполнение уведомления требует сначала провести инвентаризацию фактической обработки, затем — подобрать правовые основания по ст. 6 ФЗ-152 и сформулировать цели без расширительного толкования.

Практика DATUM включает аудит уведомлений РКН, актуализацию сведений по Приказу №180 и подготовку пакета ОРД с корректными формулировками целей и правовых оснований для каждой категории обрабатываемых ПДн.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка уведомления РКН, целей обработки и пакета ОРД
Комплект ОРД под ключ — разработка всех документов с корректными целями и основаниями
DPO-аутсорсинг — постоянное сопровождение обязанностей оператора по ст. 22.1 ФЗ-152

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

14 февраля 2027 года