Статья 5 152‑ФЗ: Принципы обработки персональных данных

Статья 5 152‑ФЗ о персональных данных формулирует базовые требования к тому, как оператор должен собирать, хранить, использовать и уничтожать ПДн. Эти «правила игры» обязательны для всех — от интернет‑сайтов и интернет‑магазинов до работодателей и банков. Если вы сомневаетесь, законна ли ваша обработка, начните со сверки со статьёй 5.

Для контекста и точных формулировок см. обзор закона О 152‑ФЗ и официальный текст в последней редакции. Следите за актуальностью требований: важные изменения 2025.

Table of contents

• Что регулирует статья 5 и почему это важно
• Перечень принципов из ст. 5 закона № 152‑ФЗ
• Подробно по каждому принципу
• Таблица: принцип — практические меры — документы
• Связанные нормы и полезные ссылки
• Типичные ошибки и риски на проверке
• FAQ по ст. 5 ФЗ‑152
• Чек‑лист самопроверки соответствия
• Вывод и что делать дальше

Что регулирует статья 5 и почему это важно

Статья 5 152‑ФЗ о персональных данных (часто ищут как «ст 5 152 фз о персональных данных» или «ст 5 фз 152») устанавливает принципы обработки: законность, определённость целей, совместимость, минимизация, точность и ограничение сроков хранения с последующим уничтожением или обезличиванием. Это универсальные требования: на них опираются проверки Роскомнадзора, внутренний контроль оператора и проектирование любых процессов с ПДн.

Если сводить всё к одному вопросу: соответствует ли ваш жизненный цикл данных (сбор → хранение → использование → передача → обезличивание/уничтожение) заявленным целям и законным основаниям? Если да — вы следуете статье 5. Если нет — есть риски нарушений и штрафов.

Перечень принципов из ст. 5 закона № 152‑ФЗ

Статья 5 152‑ФЗ о персональных данных закрепляет, что обработка должна:

1. Осуществляться на законной и справедливой основе.
2. Быть ограничена достижением конкретных, заранее определённых и законных целей; несовместимая последующая обработка запрещена.
3. Не допускать объединение баз данных, обработка в которых ведётся для несовместимых целей.
4. Охватывать только те данные, которые соответствуют целям обработки; объём и содержание не должны быть избыточными.
5. Обеспечивать точность, достаточность и при необходимости актуальность; оператор обязан актуализировать или удалять неточные ПДн.
6. Предусматривать хранение не дольше, чем этого требуют цели; после достижения цели — уничтожение или обезличивание.

Подробно по каждому принципу

1) Законность и справедливость

Обработка допустима при наличии законных оснований (например, согласие субъекта, исполнение договора, требования закона). Основания перечислены в статье 6 и в материале про обработку без согласия. «Справедливость» означает прозрачность и отсутствие злоупотреблений: субъект должен понимать, какие ПДн, зачем и как обрабатываются.

Практически: оформите ясные уведомления и согласия, ведите реестр операций, не скрывайте цели.

2) Конкретные и заранее определённые цели

Цели должны быть законными и понятными до начала обработки. Нельзя «догонять» цели постфактум. Например, если вы собираете email для рассылки чеков, нельзя автоматически использовать его для рекламных рассылок без отдельного основания и информирования.

Подробнее о формулировке целей — в гайде Принципы и цели обработки.

3) Совместимость целей и запрет объединения баз

Нельзя объединять базы данных, если их цели несовместимы (например, база кандидатов HR и база покупателей в маркетинге). Это приводит к новой обработке, которая может противоречить исходным целям. Для data‑lake подхода заранее стройте архитектуру с сегментацией, ролевым доступом и юридическими основаниями для каждой «витрины данных».

4) Минимизация: только нужные данные

Собирайте только то, что нужно для целей. Для подписки на новости достаточно email; паспортные данные — лишние. Минимизация снижает риски утечек и сокращает нагрузку на безопасность. Проведите «инвентаризацию полей» в формах на сайте и в CRM. Подсказки по интерфейсам — в материале Формы на сайте и согласие.

5) Точность и актуальность

Данные должны быть корректными и актуальными. Организуйте каналы для обновления (кабинет пользователя, обращение по e‑mail), процедуры верификации и исправления. Права субъекта на доступ, уточнение и удаление описаны здесь: Права субъектов ПДн и Заявления и отзыв согласия.

6) Ограничение хранения, уничтожение или обезличивание

Храните ПДн не дольше, чем требуется. По достижении цели — удаляйте (уничтожение) или переводите в статистическую форму (обезличивание). Создайте график хранения и регламент по уничтожению и блокировке, учитывайте сроки хранения, а для аналитики применяйте обезличивание. В бэкапах применяйте те же политики с учётом технических ограничений.

Отдельные категории требуют особого внимания: общедоступные ПДн, специальные категории, биометрические, медицинские, дети и несовершеннолетние. Для трансграничной передачи соблюдайте дополнительные требования: трансграничная передача ПДн.

Таблица: принцип — практические меры — документы

Принцип ст. 5	Что сделать на практике	Документы/инструменты
Законность и справедливость	Определить основания по ст. 6; прозрачно информировать субъекта	Политика/уведомление на сайте: Политика обработки ПДн, реестр операций
Конкретные цели	Описать цели до начала обработки; не менять их «задним числом»	Каталог целей в реестре, согласия по целям; шаблоны: Пакет документов
Совместимость, запрет объединения баз	Сегментировать базы и доступы; не смешивать HR/маркетинг/финансы без оснований	Модель доступа, архитектурная схема, журнал интеграций
Минимизация	Пересмотреть формы и поля; убрать избыточные данные	Акт инвентаризации форм, чек‑лист UX: Требования к сайту
Точность и актуальность	Запустить процедуры уточнения/исправления; канал для заявлений	Регламент обработки запросов: Права субъектов
Ограничение хранения	Установить сроки; внедрить уничтожение/обезличивание	График хранения, регламент: Сроки, Уничтожение/блокировка

Связанные нормы и полезные ссылки

• Определения и терминология: Статья 3
• Цели и область применения: Статья 1, Статья 2
• Основания обработки (без согласия): Статья 6
• Конфиденциальность: Статья 7
• Безопасность ИСПДн: Статья 19, практические меры — Меры безопасности ПДн, Уровни защищённости, Модель угроз
• Публичность и политика: Статья 18.1 и материал Политика обработки ПДн
• Уведомление и реестр: Уведомление Роскомнадзора, Реестр операторов
• Структура закона: Статьи 152‑ФЗ

Типичные ошибки и риски на проверке

• Сбор «на всякий случай»: лишние поля в формах, несоответствие целей и объёма данных.
• Использование email из чеков для рекламы без отдельного основания/уведомления.
• Объединение баз CRM и HR «для удобства аналитики», что нарушает принцип совместимости.
• Отсутствие сроков хранения и процедур удаления; «вечные» архивы и бэкапы.
• Нет канала для реализации прав субъектов, не отвечают в срок.
• Непрозрачная политика на сайте или её отсутствие.

При проверке (проверки Роскомнадзора) эти нарушения трактуются как несоблюдение ст. 5 и смежных норм. Возможны штрафы и предписания: см. Ответственность и штрафы и КоАП 13.11.

FAQ по ст. 5 ФЗ‑152

• Нужно ли согласие для любой обработки? Не всегда. Основания перечислены в ст. 6, см. обзор: Обработка без согласия. Но принцип законности и справедливости обязателен всегда.
• Можно ли хранить данные «про запас»? Нет. Принцип ограниченного хранения требует удаления/обезличивания по достижении цели.
• Что с резервными копиями? Им также нужны сроки и процедуры удаления. Опишите их в регламенте и технических политиках.
• Можно ли использовать общедоступные ПДн без согласия? С 2021 года действует отдельный режим распространения; как правило, требуется отдельное согласие на распространение: Согласие на распространение ПДн.
• Как соотносится ст. 5 с GDPR? Принципы очень схожи (lawfulness, purpose limitation, data minimization и т. д.). Сравнение: GDPR и 152‑ФЗ.

Чек‑лист самопроверки соответствия

• Проверьте, что для каждой цели есть законное основание и уведомление субъекта.
• Сверьте формы и CRM с принципом минимизации; уберите лишние поля.
• Опишите сроки хранения и включите автоматизированное удаление/обезличивание.
• Организуйте канал для запросов субъектов и регламент обработки заявлений.
• Обновите политику на сайте: Политика обработки ПДн и Требования к сайту.
• Проведите внутренний аудит: Аудит соответствия 152‑ФЗ и Подготовка к проверке.

Вывод и что делать дальше

Статья 5 152‑ФЗ — это краткий, но исчерпывающий «компас» для любого оператора ПДн. Следование её принципам — лучшая профилактика претензий и штрафов: определяйте цели заранее, не смешивайте несовместимые обработки, собирайте минимум данных, поддерживайте точность и строго управляйте сроками хранения.

Нужна помощь внедрить требования «под ключ»? Посмотрите наши решения: Консалтинг и документы, Генератор политики и согласий, Аудит сайта и Онлайн‑проверка сайта. Для системного понимания держите под рукой текст закона в последней редакции и следите за изменениями 2025.