Принципы и цели обработки персональных данных (ст. 5 152‑ФЗ)

Статья 5 Федерального закона «О персональных данных» определяет фундаментальные правила, по которым оператор должен собирать, хранить, использовать и удалять данные. Это — суть 152‑ФЗ и одновременно «152 ФЗ основное»: законность, конкретные цели, минимизация, точность и ограниченные сроки хранения. Понимание этих норм помогает выстроить устойчивую систему соответствия и уверенно проходить проверки Роскомнадзора.

Table of contents

• Что регулирует статья 5 152‑ФЗ
• Принципы обработки персональных данных (ст. 5)
• Цели обработки персональных данных по 152‑ФЗ
• Совместимость целей и объединение баз
• Минимизация и актуализация данных
• Сроки хранения и прекращение обработки
• Примеры корректных формулировок целей
• Типичные ошибки и риски
• Чек‑лист соответствия ст. 5
• Частые вопросы и полезные ссылки
• Вывод и что делать дальше

Что регулирует статья 5 152‑ФЗ

Статья 5 формулирует принципы, обязательные для каждого оператора — от сайта-визитки до федерального холдинга. Они действуют на всех стадиях «жизненного цикла» данных: сбор, запись, систематизация, хранение, уточнение, использование, передача, обезличивание, блокирование, уничтожение.

Ключ к грамотному применению — читать ст. 5 вместе с определениями из ст. 3, целями и правовыми основаниями из ст. 6, а также с мерами безопасности из ст. 19. Полный текст и контекст доступны здесь: о законе 152‑ФЗ и текст в последней редакции. За новыми правками следите на странице изменения 2025.

Принципы обработки персональных данных (ст. 5)

Принципы обработки персональных данных 152 ФЗ — это «красные линии», выход за которые приводит к нарушениям. В законе закреплены следующие требования:

• Законность и добросовестность обработки.
• Конкретные, заранее определённые и законные цели; запрет обработки, несовместимой с ними.
• Запрет объединять базы, созданные для несовместимых целей.
• Соответствие содержания и объёма данных целям; запрет избыточности.
• Точность, достаточность и актуальность данных.
• Хранение не дольше, чем это требуется для целей; последующее обезличивание или уничтожение.

Ниже — краткая «карта» принципов и практических шагов:

Принцип (ст. 5)	Что означает на практике	Что сделать оператору
Законность и добросовестность	Есть правовое основание и прозрачность для субъекта	Зафиксировать основания в реестре процессов, обновить Политику
Определённые законные цели	Цели конкретны, измеримы, связаны с процессом	Сформулировать цели в документах и на формах
Совместимость целей	Нельзя использовать данные «задним числом» для иных задач	Проверять совместимость при новых инициативах
Запрет объединения баз	Базы для разных целей не смешиваются	Развести системы/таблицы по целям, настроить доступы
Минимизация	Собираем только то, что реально нужно	Провести ревизию полей форм и анкет
Точность и актуальность	Обновляем, исправляем неверные данные	Ввести процедуры актуализации и исправления
Ограничение сроков хранения	Есть сроки; по истечении — уничтожение/обезличивание	Утвердить график хранения, включить уничтожение и блокировку

Подробные формулировки принципов смотрите в ст. 5 152‑ФЗ.

Цели обработки персональных данных по 152‑ФЗ

Цели обработки персональных данных 152 ФЗ должны быть конкретными, заранее определёнными и законными. Иначе говоря, вы сначала описываете «зачем», затем подбираете правовое основание из ст. 6, и только потом собираете данные.

Распространённые законные цели (примеры):

• Исполнение договора или подготовка к его заключению (доставка заказа, предоставление услуги).
• Выполнение обязанностей по закону (бухучёт, кадровый учёт, отчётность).
• Подбор и управление персоналом (кадровый резерв, обучение, охрана труда).
• Обработка обращений и заявок (обратная связь, техподдержка).
• Маркетинг с соблюдением требований (рассылки при наличии согласия, программа лояльности).
• Обеспечение безопасности и пропускного режима.
• Судебная защита прав и законных интересов.

Для специальных категорий и биометрии действуют дополнительные ограничения и цели: см. ст. 10, специальные категории ПДн и биометрические ПДн.

Важно: «152 ФЗ цели» не означает унифицированный перечень в законе. Оператор сам формулирует цели, но делает это в рамках правовых оснований и принципов ст. 5.

Совместимость целей и объединение баз

Действие ФЗ 152 прямо запрещает:

• Обрабатывать данные для целей, несовместимых с изначально заявленными.
• Объединять базы персональных данных, созданные для несовместимых целей.

Практика:

• Нельзя использовать контакты, собранные «для оформления заказа», для холодных рассылок без отдельного согласия и оценки совместимости.
• CRM для продаж и кадровая система — разные контуры. Объединение ради «аналитики ради аналитики» рискованно.

При изменении цели оцените совместимость, оформите новую цель или получите согласие. При передаче третьим лицам проверьте правовое основание и договорённости: см. передача третьим лицам и поручение обработки ПДн.

Минимизация и актуализация данных

Минимизация — ядро принципы обработки персональных данных 152 ФЗ. Собирать «про запас» нельзя.

Рекомендации:

• Ревизия форм: уберите поля без ясной связи с целью. Подробнее о веб-формах — формы на сайте и согласие, cookie и баннеры, требования к сайту.
• Актуализация: настройте процесс исправления ошибок по запросам субъектов, опишите его в Политике и регламентах.
• Обучение персонала и контроль: введите регулярные проверки и брифинги — см. внутренний контроль и обучение и обязанности оператора.

Сроки хранения и прекращение обработки

Храните данные не дольше, чем этого требуют заявленные цели. После достижения цели — прекращайте обработку: уничтожайте или обезличивайте, если иное не предусмотрено законом.

Что внедрить на практике:

• График сроков: свяжите каждый процесс и тип ПДн с конкретным сроком — см. сроки хранения ПДн.
• Процедуры завершения: прекращение обработки, уничтожение и блокировка, обезличивание.
• Фиксация действий: журналируйте уничтожение/обезличивание, храните акты.

Примеры корректных формулировок целей

Пример 1. Сайт и формы обратной связи

• Правильно: «Для обработки обращения и подготовки ответа, а также для последующего документирования и контроля качества сервиса» (основание — договор/законный интерес; рассылки — только с отдельным согласием).
• Неправильно: «Для любых задач компании, в том числе маркетинговых».
• Где оформить: Политика обработки ПДн, согласие на обработку ПДн, cookie и баннеры.

Пример 2. Кадровый учёт

• Правильно: «Для ведения кадрового делопроизводства, расчёта зарплаты, исполнения обязанностей по ТК РФ и НК РФ».
• Неправильно: «Для внутренней аналитики без ограничений».

Пример 3. Маркетинговые рассылки

• Правильно: «Для направления персональных предложений и новостей при наличии согласия субъекта; отписка доступна в каждом письме».
• Неправильно: «Для рассылок всем клиентам без согласия».

Типичные ошибки и риски

• Размытые цели («улучшение сервиса без пояснений») — трудно доказать законность.
• Избыточные поля в формах — нарушение принципа минимизации.
• Смешение баз продаж, кадров и маркетинга — риск несовместимости целей.
• Бессрочное хранение — отсутствие привязки к целям.
• Отсутствие процедур уничтожения — «вечные» архивы.

Чем грозит: предписание и штрафы по КоАП 13.11. Проверки и мониторинг — см. проверки Роскомнадзора. Подробнее — ответственность и штрафы.

Чек‑лист соответствия ст. 5

• Цели конкретны, описаны до начала обработки, доведены до субъектов.
• Для каждой цели определено правовое основание (ст. 6) и минимальный состав ПДн.
• Базы не объединяются при несовместимых целях.
• Настроены процессы актуализации и исправления.
• Утверждены сроки хранения и порядок завершения обработки.
• Документы оформлены: Политика, регламенты, пакет документов.
• Персонал обучен: внутренний контроль и обучение.
• Для веб‑каналов соблюдены требования: формы и согласия, cookie‑баннер.

Частые вопросы и полезные ссылки

• Где почитать букву закона? — Ст. 5: принципы, структура и статьи закона, последняя редакция.
• Как понять термины? — Глоссарий 152‑ФЗ и ст. 3 — понятия.
• Что с особыми данными? — Ст. 10 — специальные категории, биометрические ПДн.
• Будут ли изменения? — Следите за страницей изменения 2025.
• Как оформить документы быстро? — Генератор политики и согласий.

Вывод и что делать дальше

Принципы и цели обработки персональных данных 152 ФЗ — это каркас вашей системы комплаенса. Начните с инвентаризации процессов, сформулируйте «152 ФЗ цели» для каждого, проверьте совместимость, минимизируйте сбор и установите сроки хранения. Это повысит доверие клиентов и снизит риски при проверках.

Готовы навести порядок? Закажите экспресс‑аудит и документы под ключ: аудит соответствия 152‑ФЗ и консалтинг и документы под ключ. Для быстрого старта используйте наш генератор политики и согласий.