ГрамотаИБ ГрамотаИБ

Достаточность и обоснованность персональных данных: как понять, сколько собирать

Редакция ГрамотаИБ · Опубликовано 01.07.2026

Что такое достаточность и обоснованность персональных данных с точки зрения Роскомнадзора: принципы статьи 5 152-ФЗ (соответствие объёма целям и недопустимость избыточности, достаточность данных для цели) и как оператору понять, в каком объёме собирать данные. Практический алгоритм определения состава под цель, частые ошибки избыточного сбора и как обосновать состав документально.

Роскомнадзор при проверках часто указывает на две крайности: оператор собирает лишние данные (избыточность) или не может обосновать, зачем он их собрал. Закон требует, чтобы объём персональных данных соответствовал цели: данные должны быть достаточными для её достижения и при этом не избыточными. Разберём, что такое достаточность и обоснованность с точки зрения РКНРоскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; надзор за обработкой ПДн. и как понять, в каком объёме собирать.

Что говорит закон

Принципы обработки заданы статьёй 5 152-ФЗ:

  • Соответствие объёма целям и запрет избыточности (часть 5 статьи 5): содержание и объём обрабатываемых данных должны соответствовать заявленным целям обработки, а сами данные не должны быть избыточными по отношению к этим целям.
  • Достаточность, точность, актуальность (часть 6 статьи 5): при обработке обеспечиваются точность данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям.
  • Конкретные и законные цели (часть 2 статьи 5): цели должны быть заранее определёнными, конкретными и законными, и не допускается обработка, несовместимая с целями сбора. Отдельно запрещено объединение баз данных с несовместимыми целями (часть 3 статьи 5).

Проще говоря: собирать нужно ровно столько, сколько необходимо для конкретной законной цели, — не больше и не меньше.

Как это видит Роскомнадзор

Регулятор проверяет связку «цель → состав данных»: под каждую заявленную цель должен собираться только необходимый минимум.

  • Избыточность — сбор данных без связи с целью. Это нарушение принципа. Типичные примеры: полные паспортные данные там, где достаточно фамилии, имени и контакта; сбор СНИЛС или копии паспорта у клиента интернет-магазина без правового основания; лишние поля анкеты «на всякий случай».
  • Недостаточность встречается реже, но тоже проблема: данных не хватает для законной цели (например, для исполнения договора), из-за чего цель не достигается корректно.

Ключевое требование: оператор должен уметь обосновать каждый собираемый реквизит — зачем именно он нужен для конкретной цели.

Как понять, в каком объёме собирать: алгоритм

  • Определите конкретную цель обработки — для чего именно вам данные (заключение договора, доставка, кадровый учёт, рассылка).
  • Под каждую цель определите минимально необходимый состав — какие реквизиты реально работают на достижение цели.
  • Проверьте основание: если состав данных требует закон или договор — он определён ими; если согласие — обрабатывайте только то, на что оно дано.
  • Уберите лишнее: если реквизит не нужен для цели, не собирайте его «про запас».
  • Отдельно оцените специальные категории и биометрию — их сбор требует особых оснований; без реальной необходимости не собирайте.
  • Зафиксируйте состав данных под каждую цель в политике и уведомлении и поддерживайте соответствие.

Частые ошибки избыточного сбора

  • полные паспортные данные там, где достаточно ФИО и контакта;
  • сбор СНИЛС или ИНН без правового основания;
  • копии паспорта «в архив» без необходимости;
  • лишние поля форм (дата рождения, адрес), не связанные с целью;
  • хранение данных, которые уже не нужны для цели, — это пересекается со сроками хранения, см. статью «Сколько хранить персональные данные».

Примеры минимизации на практике — в статьях об обработке данных соискателей и о журналах на проходной.

Как обосновать состав данных

  • по каждой цели укажите категории и состав данных в политике обработки ПДн и в уведомлении Роскомнадзора;
  • ведите перечень целей и соответствующего им состава данных;
  • при проверке будьте готовы показать: вот цель, вот основание, вот зачем нужен каждый реквизит.

Главное

Достаточность и обоснованность — это про соответствие объёма данных цели: по статье 5 152-ФЗ данные должны быть достаточными для цели и при этом не избыточными. Роскомнадзор проверяет связку «цель — состав данных» и ждёт, что оператор обоснует каждый собранный реквизит. Чтобы понять объём сбора, идите от конкретной цели к минимально необходимому составу, опирайтесь на основание (закон, договор, согласие), не собирайте лишнее «на всякий случай» и особенно осторожно относитесь к специальным категориям и биометрии. Состав данных под каждую цель закрепите в политике и уведомлении — это и есть обоснование для проверки.

Частые вопросы

Что такое достаточность и обоснованность персональных данных?

Это принципы статьи 5 152-ФЗ: содержание и объём данных должны соответствовать целям обработки и не быть избыточными (часть 5), а сами данные — точными, достаточными и при необходимости актуальными по отношению к целям (часть 6). Проще говоря, собирать нужно ровно столько, сколько необходимо для конкретной законной цели.

Как понять, в каком объёме собирать персональные данные?

Идите от цели: определите конкретную цель, под неё — минимально необходимый состав данных, уберите поля «на всякий случай» и проверьте основание (закон, договор или согласие). Каждый собираемый реквизит должен реально работать на достижение цели.

Что Роскомнадзор считает избыточным сбором данных?

Сбор данных без связи с целью: например, полные паспортные данные там, где достаточно ФИО и контакта, сбор СНИЛС, ИНН или копий паспорта без правового основания, лишние поля форм. Оператор должен уметь обосновать каждый собранный реквизит.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Сколько хранить персональные данные

Сколько времени оператор должен хранить персональные данные: почему единого срока в 152-ФЗ нет, как срок зависит от цели обработки, основания и требований других законов (налоговых, бухгалтерских, кадровых), ориентиры по типам данных (кадры по перечню Росархива, бухгалтерия и налоги — 5 лет, договоры — срок исковой давности), что делать по истечении срока (уничтожение или обезличивание) и как составить номенклатуру сроков.

Права субъекта персональных данных и как оператору на них отвечать

Какие права 152-ФЗ даёт субъекту персональных данных (доступ к своим данным, уточнение, блокирование и уничтожение, отзыв согласия, возражение против рекламной рассылки, обжалование) и как оператору правильно и вовремя на них отвечать: в какие сроки (10 и 5 рабочих дней, 30 дней на уничтожение), что должно быть в запросе, когда можно отказать и как выстроить процесс обработки обращений.

Журнал посетителей и выдачи ключей на проходной: это обработка ПДн? Как выполнить требования РКН

Являются ли журналы посетителей и выдачи ключей сотрудникам, которые ведёт охрана на проходной, обработкой персональных данных и как выполнить требования Роскомнадзора. Разбираем, почему это ПДн даже на бумаге, кто оператор и при чём здесь ЧОП, на каком основании ведётся обработка, нужно ли согласие и как организовать минимизацию, информирование, хранение и сроки.

Школа собирает данные родителей через Яндекс Форму: насколько это законно

Школы всё чаще собирают анкеты родителей через онлайн-формы (Яндекс Формы, Google Формы). Разбираем, законно ли это по 152-ФЗ: почему школа здесь оператор, а сервис форм — обработчик, чем Яндекс Формы выгодно отличаются от зарубежных по локализации, что обязательно должно быть в самой форме (ссылка на политику, согласие, минимизация полей) и как не собрать лишнего. Рекомендации и типичные ошибки.