Цели обработки персональных данных: правовые требования, риски и практика ЮФ Инмар
Обновлено 25.02.2026
Цели обработки персональных данных — центральный элемент всей системы комплаенса в сфере приватности. Именно они определяют, какие сведения о субъекте вправе собирать оператор, на каком правовом основании, как долго их хранить и когда уничтожить.
Организации, не уделяющие достаточного внимания формулировке и документальному закреплению целей обработки, сталкиваются с совокупностью рисков, масштаб которых после реформы законодательства 2024–2025 годов существенно вырос: штрафы по ч. 1 ст. 13.11 КоАП РФ за обработку данных, несовместимую с заявленными целями сбора, составляют для юридических лиц от 150 000 до 300 000 рублей.
Опыт юридической фирмы Инмар в защите персональных данных
Понимание того, как цель обработки персональных данных определяет архитектуру всего комплаенса, приходит из практики. За последние годы юридическая фирма Инмар реализовала ряд проектов, которые наглядно демонстрируют: ошибки в целеполагании стоят дороже, чем любое другое нарушение режима персональных данных.
В рамках аудита сайта медицинского центра во Владивостоке юристы фирмы обнаружили, что оператор указал в уведомлении Роскомнадзора цели обработки персональных данных, сформулированные в духе «улучшение качества медицинских услуг», тогда как в действительности данные пациентов использовались для рассылки напоминаний, маркетинга и передачи сведений страховым компаниям.
Несовместимость последующей обработки с первоначально заявленными целями — классический состав нарушения ч. 1 ст. 13.11 КоАП РФ. По результатам проекта клинике был предложен пересмотренный перечень целей обработки персональных данных, разработаны отдельные формы согласий для каждой цели, внедрены протоколы передачи данных. Это позволило устранить несоответствия до начала плановой проверки и сохранить лицензионную чистоту клиники.
В деле косметологической клиники фирма Инмар столкнулась с иной, но не менее типичной ситуацией: оператор интегрировал CRM-платформу с зарубежным сервисом e-mail-рассылок, не осознавая, что тем самым осуществляет трансграничную передачу персональных данных. Между тем в уведомлении Роскомнадзора указание на трансграничную передачу отсутствовало вовсе, а данные фактически хранились на зарубежных серверах — нарушение ч. 5 ст. 18 Федерального закона № 152-ФЗ о локализации.
Юристы фирмы подготовили заключение об изменении архитектуры обмена данными, оформили уведомление, указали все необходимые цели обработки персональных данных, а также необходимые правовые основания для каждой цели, разработали внутренние регламенты. Клиника перешла на российские CRM-решения и устранила соответствующие правовые риски.
Третий показательный кейс — консультирование разработчика решений на основе машинного обучения, платформа которого анализировала пользовательское поведение. При правовом анализе архитектуры сервиса выяснилось: часть операций по сбору и хранению данных происходила за пределами Российской Федерации, тогда как закон предписывает первичную запись, систематизацию, накопление и хранение персональных данных граждан РФ исключительно с использованием баз данных, находящихся на территории России (ч. 5 ст. 18 Федерального закона № 152-ФЗ).
Помимо этого, цели обработки персональных данных в документации клиента не отражали ни профилирование пользователей, ни возможную передачу обезличенных данных партнёрам. ЮФ Инмар подготовила подробные рекомендации по реструктурированию инфраструктуры и уточнению перечня целей обработки. Клиент реализовал их в полном объёме, избежав административной ответственности.
Каждый из этих проектов подтверждает: формулировка цели — не бюрократическая формальность, а юридически значимое действие оператора, от которого зависит правомерность всей последующей обработки.
Нормативное регулирование: что закон предъявляет к целям обработки
Согласно ст. 5 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей, а обработка данных, несовместимая с первоначально заявленными целями их сбора, не допускается. Это требование — не просто одна из норм: оно пронизывает всю архитектуру закона и напрямую влияет на правомерность каждого конкретного основания обработки, перечисленных в ст. 6.
Российское законодательство закрепляет три базовых критерия, которым должны отвечать цели обработки персональных данных. Первый — законность: цели не должны противоречить публичному порядку, нормам закона и уставной деятельности оператора. Оператор не вправе обрабатывать данные в целях, заведомо не предусмотренных законом либо направленных против интересов субъекта.
Второй — конкретность: формулировка «улучшение сервиса» или «развитие бизнеса» является недостаточной. Регулятор и суды последовательно придерживаются позиции, что цель должна быть выражена так, чтобы субъект мог понять, каким именно образом и для чего используются его данные.
Третий — определённость: цели обработки персональных данных должны быть установлены оператором заблаговременно, а не формулироваться post factum под имеющиеся бизнес-процессы.
Помимо базовой триады, закон предъявляет дополнительные требования. Обрабатываемые данные должны соответствовать заявленным целям как по составу, так и по объёму — принцип минимизации (п. 5 ч. 1 ст. 5 Федерального закона № 152-ФЗ). Сроки хранения ограничиваются периодом, необходимым для достижения целей обработки, либо специальным предписанием закона — например, трудовое законодательство и архивные нормы устанавливают собственные сроки в отношении данных работников.
Достижение цели обработки персональных данных или утрата правового основания означает, что оператор обязан уничтожить или обезличить данные, зафиксировав этот факт актом в порядке, установленном Роскомнадзором.
Отдельного внимания заслуживают требования к уведомлению Роскомнадзора, претерпевшие существенное изменение с принятием Федерального закона от 30 ноября 2024 года № 420-ФЗ. До 2025 года ряд операторов пользовался исключениями из обязанности уведомления, предусмотренными ч. 2 ст. 22 Федерального закона № 152-ФЗ.
Теперь практика надзорного органа и обновлённая редакция КоАП РФ однозначно свидетельствуют: отсутствие оператора в реестре Роскомнадзора квалифицируется как самостоятельный состав правонарушения по ч. 10 ст. 13.11 КоАП РФ. Уведомление должно содержать все цели обработки персональных данных, которые оператор фактически осуществляет или намерен осуществлять, — перечень неполных или устаревших целей в реестре создаёт риск привлечения к ответственности за обработку, несовместимую с задекларированными целями.
Что означает «несовместимость с целями сбора» на практике
Категория «несовместимой обработки» — наиболее часто используемое основание для привлечения операторов к административной ответственности по ч. 1 ст. 13.11 КоАП РФ. Понимание её содержания имеет практическое значение для любого оператора.
Несовместимость возникает тогда, когда оператор использует данные в целях, которые субъект разумно не мог предвидеть в момент их предоставления, исходя из характера отношений. Классические примеры: интернет-магазин, собирающий контактные данные для обработки заказов, начинает использовать их для таргетированной рекламы без отдельного согласия; работодатель, обрабатывающий данные сотрудников для целей трудового договора, передаёт их партнёрским компаниям для рассылки коммерческих предложений; медицинская организация использует диагнозы пациентов для формирования рекламных аудиторий.
Арбитражная практика 2025–2026 годов демонстрирует, что суды последовательно применяют принцип несовместимости целей в самых разных отраслевых контекстах. В деле А40-338152/2025 Арбитражный суд г. Москвы рассмотрел ситуацию, при которой оператор гостиничного бизнеса в ответ на отрицательный отзыв постояльца разместил в сети Интернет его персональные данные — фамилию, имя, отчество, место проживания и поведенческие характеристики. Оператор ссылался на согласие, полученное при заключении договора на размещение.
Суд отклонил этот довод, прямо указав на ч. 2 ст. 5 Федерального закона № 152-ФЗ: субъект предоставил данные в целях заключения и исполнения договора, но не в целях их распространения неограниченному кругу лиц через публичный интернет-сервис. Оператор был привлечён к административной ответственности по ч. 1 ст. 13.11 КоАП РФ.
В деле А40-341424/2025 Арбитражный суд г. Москвы рассматривал обращение Роскомнадзора к АО «Почта Банк». После расторжения договора и получения от клиента заявления об отзыве согласия банк продолжал направлять рекламные SMS-сообщения. Банк ссылался на наличие первоначального согласия и нормы антиотмывочного законодательства, однако суд констатировал нарушение ч. 2 ст. 15 Федерального закона № 152-ФЗ: обработка персональных данных в целях продвижения товаров и услуг должна была быть прекращена с момента получения заявления об отзыве согласия.
Обработка после этого момента не отвечала целям, для которых данные изначально собирались. Суд назначил штраф в размере 150 000 рублей, подчеркнув, что ссылки на организационные сбои внутри компании не освобождают оператора от ответственности.
Принципиально иную, но не менее поучительную позицию занял Арбитражный суд города Санкт-Петербурга и Ленинградской области в деле А56-82939/2025. ТСЖ разместило в подъезде заверенную копию судебного определения об обеспечительных мерах, содержавшего данные собственника квартиры. Роскомнадзор квалифицировал это как несовместимую обработку.
Суд отказал в привлечении к ответственности, установив, что ТСЖ действовало в рамках законных функций по управлению общим имуществом и в связи с участием в судебном разбирательстве — оба основания прямо предусмотрены п.п. 2–3 ч. 1 ст. 6 и п. 6 ч. 2 ст. 10 Федерального закона № 152-ФЗ. Это решение формирует важный прецедент: обработка данных для достижения целей, прямо предусмотренных законом или связанных с участием оператора в судопроизводстве, не квалифицируется как несовместимая при условии, что оператор не превышает необходимый объём данных и действует в пределах своей компетенции.
Три приведённых дела в совокупности очерчивают контуры правоприменительной логики: граница между допустимой и несовместимой обработкой проходит по линии разумных ожиданий субъекта в момент предоставления данных и по наличию самостоятельного законного основания для каждой последующей цели.
Административная ответственность за нарушение целей обработки персональных данных: реформа 2024–2025
Федеральный закон от 30 ноября 2024 года № 420-ФЗ, вступивший в силу 30 мая 2025 года, изменил структуру административной ответственности операторов персональных данных. В действующей редакции ч. 1 ст. 13.11 КоАП РФ (в редакции Федеральных законов от 11.06.2021 № 206-ФЗ и от 30.11.2024 № 420-ФЗ) за обработку персональных данных, несовместимую с целями их сбора, предусмотрен административный штраф: для граждан — от 10 000 до 15 000 рублей, для должностных лиц — от 50 000 до 100 000 рублей, для юридических лиц — от 150 000 до 300 000 рублей.
Санкция применяется за каждый установленный случай нарушения. Норма охватывает все случаи, когда оператор использует данные в целях, выходящих за пределы первоначально заявленных, — вне зависимости от того, причинён ли субъекту имущественный ущерб. Правоприменительная практика подтверждает, что Роскомнадзор систематически возбуждает дела по данному составу на основании жалоб субъектов, не дожидаясь плановых проверок, что существенно повышает вероятность выявления нарушений для любого оператора, работающего с потребительскими данными.
Параллельно с ужесточением административных санкций законодатель с 1 июля 2025 года окончательно запретил первичное хранение персональных данных граждан Российской Федерации за рубежом (ч. 5 ст. 18 Федерального закона № 152-ФЗ в редакции Федерального закона от 28 февраля 2025 года № 23-ФЗ). Это требование напрямую влияет на содержание целей трансграничной передачи данных: оператор обязан не только корректно описать цель передачи в уведомлении Роскомнадзора, но и обеспечить, чтобы первичная база данных находилась на территории России.
Практические последствия для бизнеса: где возникают системные ошибки
Анализ правоприменительной практики и проектов юридической фирмы Инмар позволяет выделить несколько типичных ошибок, влекущих риски именно в части целей обработки.
Расхождение между уведомлением Роскомнадзора и фактической деятельностью
Первая и наиболее распространённая ошибка — разрыв между уведомлением Роскомнадзора и фактической деятельностью. Компания описывает в реестре три-четыре цели в момент регистрации, после чего расширяет бизнес: запускает программу лояльности, начинает обмениваться данными с аффилированными структурами, внедряет аналитические инструменты на основе поведенческих данных.
Каждый из этих шагов порождает новую цель обработки, требующую актуализации уведомления. Роскомнадзор при проверке сопоставляет реестровые сведения с реальными бизнес-процессами и квалифицирует расхождения как нарушение ч. 2 ст. 5 Федерального закона № 152-ФЗ. Именно принцип ограничения целей обработки — а не отсутствие формального согласия — служил основанием ответственности в деле А56-98674/2025, в котором суд констатировал нарушение требований к допустимым целям.
Цель обработки без указания правового основания
Вторая ошибка — формулировка целей без привязки к правовому основанию из ч. 1 ст. 6 Федерального закона № 152-ФЗ. Цель обработки должна иметь соответствующий ей законный базис (правовое основание): согласие субъекта, исполнение договора, соблюдение правового обязательства, защита жизни, реализация публичного интереса или законный интерес оператора. Если цель сформулирована без указания основания, документ не имеет юридической силы, а любые действия оператора по её реализации влекут риск квалификации как незаконной обработки.
Расширительное толкование согласия субъекта
Третья ошибка — расширительное толкование согласия. Многие операторы включают в форму согласия на сайте универсальную оговорку о том, что данные могут использоваться «для любых целей в рамках деятельности компании». Роскомнадзор последовательно признаёт подобные формулировки незаконными: согласие должно быть дано в отношении конкретных, заранее определённых целей.
Упомянутое дело А40-338152/2025 подтверждает: ссылка на общее согласие, полученное при заключении договора, не является достаточным основанием для обработки, выходящей за пределы предмета этого договора. С 1 сентября 2025 года требование об оформлении согласия отдельным документом с указанием каждой цели стало обязательным для операторов, использующих сайты для сбора данных.
Продолжение обработки после отзыва согласия или достижения цели
Четвёртая ошибка — продолжение обработки данных после достижения цели или отзыва согласия. Дело А40-341424/2025 закрепляет позицию, согласно которой оператор, получивший надлежащее заявление об отзыве согласия, обязан незамедлительно прекратить обработку для всех целей, опирающихся на это согласие. Суд не принял ссылки на внутренние организационные сбои как обстоятельство, освобождающее от ответственности: для квалификации вины юридического лица достаточно установить, что у него имелась возможность соблюсти закон, но необходимые меры приняты не были.
Ошибочная квалификация законной обработки как несовместимой с целями
Пятая ошибка касается непонимания того, когда обработка в рамках законных полномочий исключает состав правонарушения. Дело А56-82939/2025 показывает: если оператор действует для достижения целей, прямо предусмотренных законом или связанных с участием в судопроизводстве, и не превышает необходимый объём обрабатываемых данных, привлечение к ответственности исключается. Это разграничение имеет практическое значение для ТСЖ, управляющих компаний, профессиональных объединений и иных операторов, наделённых публичными или корпоративными функциями.
Как правильно сформулировать цели обработки персональных данных: практическое руководство
Перечень целей обработки персональных данных в организации не является универсальным — он определяется отраслевой спецификой, составом субъектов и реальными бизнес-процессами оператора. Реестр Роскомнадзора демонстрирует широкий диапазон: от заключения и исполнения договоров с клиентами и контрагентами, расчёта и выплаты заработной платы, исполнения требований трудового и налогового законодательства — до обеспечения безопасности, ведения воинского учёта, продвижения товаров и услуг, обработки биометрических данных и трансграничной передачи.
Каждая из заявленных целей должна быть обеспечена самостоятельным правовым основанием из ч. 1 ст. 6 Федерального закона № 152-ФЗ и сопровождаться определением категории субъектов, состава данных, способа обработки и срока хранения. Укажите цель обработки персональных данных в уведомлении в Роскомнадзор корректно с первого раза — последующее уточнение реестровых сведений формально является изменением ранее поданного уведомления и фиксируется регулятором..
Цели обработки персональных данных в политике конфиденциальности сайта должны в точности совпадать с теми, что заявлены в уведомлении Роскомнадзора. Расхождение между двумя документами — одна из наиболее частых причин предписаний по итогам проверок: регулятор сопоставляет текст политики с реестровыми сведениями и квалифицирует любые несоответствия как признак несовместимой обработки. Политика конфиденциальности должна быть написана языком, понятным субъекту, — с конкретными формулировками целей, а не общими отсылками к «законным интересам оператора».
Обработка персональных данных сотрудников после прекращения трудового договора требует самостоятельного правового основания по каждой оставшейся цели — общая ссылка на ранее заключённый договор после его прекращения правовой силы не имеет. Медицинские и иные организации, работающие со специальными категориями данных по ч. 2 ст. 10 Федерального закона № 152-ФЗ, должны для каждой такой цели указывать специальное законодательное разрешение, а маркетинговые цели — оформлять отдельным согласием субъекта в соответствии с п. 1 ч. 1 ст. 6 и ст. 15 того же закона.
Цели обработки персональных данных — проверьте соответствие до проверки Роскомнадзора
В условиях действующего правового регулирования и практики Роскомнадзора цели обработки персональных данных перестали быть рутинным элементом документации. Они стали инструментом управления правовым риском, от корректности которого зависят финансовая устойчивость организации и деловая репутация её руководителей.
Реформа 2024–2025 годов устранила прежнюю асимметрию: штрафы по ч. 1 ст. 13.11 КоАП РФ теперь составляют от 150 000 до 300 000 рублей для юридических лиц, а правоприменительная активность Роскомнадзора — включая возбуждение дел без плановых проверок на основании жалоб субъектов — существенно возросла.
Формирующаяся судебная практика 2025–2026 годов свидетельствует: суды последовательно поддерживают позицию надзорного органа по вопросам несовместимости целей обработки и не принимают в качестве оправдания ни общие согласия, ни ссылки на организационные сбои. При этом решение по делу А56-82939/2025 очерчивает и защитный периметр: оператор, действующий строго в пределах законных полномочий и не превышающий необходимый объём обрабатываемых данных, вправе рассчитывать на судебную защиту.
Юридическая фирма «Инмар» оказывает комплексные правовые услуги по персональным данным: аудит действующих целей обработки и их соответствия реальным бизнес-процессам, разработку перечня целей для уведомления Роскомнадзора, подготовку внутренней документации и форм согласий, юридическое сопровождение при трансграничной передаче данных и при взаимодействии с надзорным органом в ходе проверок.
Если ваша организация намерена провести аудит системы обработки персональных данных или скорректировать уведомление Роскомнадзора с учётом действующего законодательства, квалифицированные юристы фирмы готовы обеспечить необходимую правовую поддержку.