Статья 5 152‑ФЗ: Принципы обработки персональных данных
Статья 5 152‑ФЗ о персональных данных формулирует базовые требования к тому, как оператор должен собирать, хранить, использовать и уничтожать ПДн. Эти «правила игры» обязательны для всех — от интернет‑сайтов и интернет‑магазинов до работодателей и банков. Если вы сомневаетесь, законна ли ваша обработка, начните со сверки со статьёй 5.
Для контекста и точных формулировок см. обзор закона О 152‑ФЗ и официальный текст в последней редакции. Следите за актуальностью требований: важные изменения 2025.
![Схема принципов обработки персональных данных — placeholder]()
Что регулирует статья 5 и почему это важно
Статья 5 152‑ФЗ о персональных данных (часто ищут как «ст 5 152 фз о персональных данных» или «ст 5 фз 152») устанавливает принципы обработки: законность, определённость целей, совместимость, минимизация, точность и ограничение сроков хранения с последующим уничтожением или обезличиванием. Это универсальные требования: на них опираются проверки Роскомнадзора, внутренний контроль оператора и проектирование любых процессов с ПДн.
Если сводить всё к одному вопросу: соответствует ли ваш жизненный цикл данных (сбор → хранение → использование → передача → обезличивание/уничтожение) заявленным целям и законным основаниям? Если да — вы следуете статье 5. Если нет — есть риски нарушений и штрафов.
Перечень принципов из ст. 5 закона № 152‑ФЗ
Статья 5 152‑ФЗ о персональных данных закрепляет, что обработка должна:
- Осуществляться на законной и справедливой основе.
- Быть ограничена достижением конкретных, заранее определённых и законных целей; несовместимая последующая обработка запрещена.
- Не допускать объединение баз данных, обработка в которых ведётся для несовместимых целей.
- Охватывать только те данные, которые соответствуют целям обработки; объём и содержание не должны быть избыточными.
- Обеспечивать точность, достаточность и при необходимости актуальность; оператор обязан актуализировать или удалять неточные ПДн.
- Предусматривать хранение не дольше, чем этого требуют цели; после достижения цели — уничтожение или обезличивание.
Подробно по каждому принципу
1) Законность и справедливость
Обработка допустима при наличии законных оснований (например, согласие субъекта, исполнение договора, требования закона). Основания перечислены в статье 6 и в материале про обработку без согласия. «Справедливость» означает прозрачность и отсутствие злоупотреблений: субъект должен понимать, какие ПДн, зачем и как обрабатываются.
Практически: оформите ясные уведомления и согласия, ведите реестр операций, не скрывайте цели.
2) Конкретные и заранее определённые цели
Цели должны быть законными и понятными до начала обработки. Нельзя «догонять» цели постфактум. Например, если вы собираете email для рассылки чеков, нельзя автоматически использовать его для рекламных рассылок без отдельного основания и информирования.
Подробнее о формулировке целей — в гайде Принципы и цели обработки.
3) Совместимость целей и запрет объединения баз
Нельзя объединять базы данных, если их цели несовместимы (например, база кандидатов HR и база покупателей в маркетинге). Это приводит к новой обработке, которая может противоречить исходным целям. Для data‑lake подхода заранее стройте архитектуру с сегментацией, ролевым доступом и юридическими основаниями для каждой «витрины данных».
4) Минимизация: только нужные данные
Собирайте только то, что нужно для целей. Для подписки на новости достаточно email; паспортные данные — лишние. Минимизация снижает риски утечек и сокращает нагрузку на безопасность. Проведите «инвентаризацию полей» в формах на сайте и в CRM. Подсказки по интерфейсам — в материале Формы на сайте и согласие.
5) Точность и актуальность
Данные должны быть корректными и актуальными. Организуйте каналы для обновления (кабинет пользователя, обращение по e‑mail), процедуры верификации и исправления. Права субъекта на доступ, уточнение и удаление описаны здесь: Права субъектов ПДн и Заявления и отзыв согласия.
6) Ограничение хранения, уничтожение или обезличивание
Храните ПДн не дольше, чем требуется. По достижении цели — удаляйте (уничтожение) или переводите в статистическую форму (обезличивание). Создайте график хранения и регламент по уничтожению и блокировке, учитывайте сроки хранения, а для аналитики применяйте обезличивание. В бэкапах применяйте те же политики с учётом технических ограничений.
Отдельные категории требуют особого внимания: общедоступные ПДн, специальные категории, биометрические, медицинские, дети и несовершеннолетние. Для трансграничной передачи соблюдайте дополнительные требования: трансграничная передача ПДн.
Таблица: принцип — практические меры — документы
| Принцип ст. 5 |
Что сделать на практике |
Документы/инструменты |
| Законность и справедливость |
Определить основания по ст. 6; прозрачно информировать субъекта |
Политика/уведомление на сайте: Политика обработки ПДн, реестр операций |
| Конкретные цели |
Описать цели до начала обработки; не менять их «задним числом» |
Каталог целей в реестре, согласия по целям; шаблоны: Пакет документов |
| Совместимость, запрет объединения баз |
Сегментировать базы и доступы; не смешивать HR/маркетинг/финансы без оснований |
Модель доступа, архитектурная схема, журнал интеграций |
| Минимизация |
Пересмотреть формы и поля; убрать избыточные данные |
Акт инвентаризации форм, чек‑лист UX: Требования к сайту |
| Точность и актуальность |
Запустить процедуры уточнения/исправления; канал для заявлений |
Регламент обработки запросов: Права субъектов |
| Ограничение хранения |
Установить сроки; внедрить уничтожение/обезличивание |
График хранения, регламент: Сроки, Уничтожение/блокировка |
Связанные нормы и полезные ссылки
Типичные ошибки и риски на проверке
- Сбор «на всякий случай»: лишние поля в формах, несоответствие целей и объёма данных.
- Использование email из чеков для рекламы без отдельного основания/уведомления.
- Объединение баз CRM и HR «для удобства аналитики», что нарушает принцип совместимости.
- Отсутствие сроков хранения и процедур удаления; «вечные» архивы и бэкапы.
- Нет канала для реализации прав субъектов, не отвечают в срок.
- Непрозрачная политика на сайте или её отсутствие.
При проверке (проверки Роскомнадзора) эти нарушения трактуются как несоблюдение ст. 5 и смежных норм. Возможны штрафы и предписания: см. Ответственность и штрафы и КоАП 13.11.
FAQ по ст. 5 ФЗ‑152
- Нужно ли согласие для любой обработки? Не всегда. Основания перечислены в ст. 6, см. обзор: Обработка без согласия. Но принцип законности и справедливости обязателен всегда.
- Можно ли хранить данные «про запас»? Нет. Принцип ограниченного хранения требует удаления/обезличивания по достижении цели.
- Что с резервными копиями? Им также нужны сроки и процедуры удаления. Опишите их в регламенте и технических политиках.
- Можно ли использовать общедоступные ПДн без согласия? С 2021 года действует отдельный режим распространения; как правило, требуется отдельное согласие на распространение: Согласие на распространение ПДн.
- Как соотносится ст. 5 с GDPR? Принципы очень схожи (lawfulness, purpose limitation, data minimization и т. д.). Сравнение: GDPR и 152‑ФЗ.
Чек‑лист самопроверки соответствия
- Проверьте, что для каждой цели есть законное основание и уведомление субъекта.
- Сверьте формы и CRM с принципом минимизации; уберите лишние поля.
- Опишите сроки хранения и включите автоматизированное удаление/обезличивание.
- Организуйте канал для запросов субъектов и регламент обработки заявлений.
- Обновите политику на сайте: Политика обработки ПДн и Требования к сайту.
- Проведите внутренний аудит: Аудит соответствия 152‑ФЗ и Подготовка к проверке.
Вывод и что делать дальше
Статья 5 152‑ФЗ — это краткий, но исчерпывающий «компас» для любого оператора ПДн. Следование её принципам — лучшая профилактика претензий и штрафов: определяйте цели заранее, не смешивайте несовместимые обработки, собирайте минимум данных, поддерживайте точность и строго управляйте сроками хранения.
Нужна помощь внедрить требования «под ключ»? Посмотрите наши решения: Консалтинг и документы, Генератор политики и согласий, Аудит сайта и Онлайн‑проверка сайта. Для системного понимания держите под рукой текст закона в последней редакции и следите за изменениями 2025.
