Что считается нарушением принципов обработки персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Федеральный закон № 152-ФЗ (ст. 5) закрепляет 7 принципов обработки персональных данных. Их нарушение — одна из самых частых причин штрафов от Роскомнадзора. Любое отступление от этих принципов трактуется как незаконная обработка ПДн.

Наиболее распространённые нарушения принципов:

1. Отсутствие законности и справедливости (ст. 5, ч. 1)
   • сбор данных без правового основания;
   • использование ПДн без согласия субъекта и без договора.
2. Несоответствие целей (ст. 5, ч. 2)
   • использование данных для целей, отличных от заявленных при их сборе (например, данные для доставки используются для рассылки рекламы).
3. Объединение несовместимых баз данных (ст. 5, ч. 3)
   • сведение в одну систему кадровых и клиентских данных, если цели их обработки разные.
4. Сбор избыточных данных (ст. 5, ч. 4–5)
   • требование паспортных данных при регистрации на сайте, где достаточно e-mail;
   • сбор анкет с вопросами, не относящимися к услуге.
5. Неточность и неактуальность данных (ст. 5, ч. 6)
   • хранение устаревших телефонов, адресов, неактуальных резюме без уточнения.
6. Нарушение сроков хранения (ст. 5, ч. 7)
   • бессрочное хранение резюме кандидатов;
   • хранение клиентских баз после достижения целей без согласия на продление.

Обоснование по законодательству

• Ст. 5 ФЗ-152 — закрепляет принципы законности, ограниченности целей, недопустимости избыточной обработки, актуальности и ограничения сроков.
• Ст. 6 ФЗ-152 — определяет, когда согласие не требуется, во всех других случаях нужно согласие.
• Ст. 9 ФЗ-152 — устанавливает требования к согласию (должно быть конкретным и информированным).
• Ст. 13.11 КоАП РФ — нарушение принципов обработки = незаконная обработка ПДн, штраф до 150 000 руб. для юрлиц.

Практика проверок Роскомнадзора

• Интернет-магазин хранил телефоны клиентов и рассылал рекламу без согласия. Нарушены принципы законности и ограниченности целей (ст. 5, ч. 1–2).
• В клинике собирали избыточные данные пациентов (место работы, семейное положение), не относящиеся к медуслуге. Нарушен принцип минимизации (ст. 5, ч. 5).
• В кадровом агентстве хранили резюме кандидатов более 3 лет без согласий и без актуализации. Нарушены принципы ограничения сроков и актуальности (ст. 5, ч. 6–7).

Важный нюанс

Даже если у компании есть согласие, но цели сформулированы размыто («для улучшения сервиса»), это нарушение принципа конкретности. С 01.09.2025 согласие должно оформляться отдельным документом с чётким указанием целей.

Рекомендации и выводы

Чтобы не нарушать принципы обработки ПДн, компании нужно:

1. Проверить, что все процессы обработки имеют законное основание (договор или согласие).
2. Исключить сбор избыточных данных.
3. Обновлять и уточнять ПДн при необходимости.
4. Установить сроки хранения и уничтожать данные по их истечении.
5. Включить контроль соблюдения принципов в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации провести аудит на соответствие принципам ФЗ-152, устранить нарушения и подготовить полный пакет документов. Это защитит от штрафов и претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге