справочник 11 октября 2026 По состоянию на 11 октября 2026

Право на исправление ПДн: срок 7 рабочих дней по ст. 21

Право субъекта на исправление персональных данных — это требование устранить неточные, неполные или устаревшие сведения. Оператор обязан выполнить его в течение 7 рабочих дней с момента предоставления субъектом подтверждающих документов.

Отказ или просрочка влекут штраф по ч. 5 ст. 13.11 КоАП от 50 000 до 90 000 ₽ для юрлица; повторное нарушение — 300 000–500 000 ₽ по ч. 5.1. Если юрист ведёт комплаенс компании — эта норма входит в базовый чек-лист реакции на обращения субъектов.

→ Если компания ещё не выстроила регламент обработки обращений субъектов, риск штрафа по ч. 5 ст. 13.11 возникает при первом же запросе.

Право на исправление персональных данных закреплено в ст. 21 ФЗ-152 и непосредственно связано с принципом точности из ст. 5 того же закона. С 30.05.2025 санкции за невыполнение требования субъекта существенно выросли. Ниже — разбор ключевых понятий, сроков и оснований, которые юрист должен держать под рукой при проверке комплаенса.

Что такое «исправление» персональных данных по 152-ФЗ?

Исправление персональных данных — это уточнение неточных или неполных сведений о субъекте, хранящихся у оператора. Понятие производно от более широкого термина.

Персональные данные по ст. 3 ФЗ-152 — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).

Оператор по той же статье — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими организующее и (или) осуществляющее обработку персональных данных.

Обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, блокирование, удаление, уничтожение.

«Ст. 5 ФЗ-152 — принцип точности: оператор обязан обеспечивать точность персональных данных, а при необходимости — их обновление. Неточные или неполные данные подлежат уточнению или уничтожению.»

Таким образом, уточнение персональных данных — обновление или изменение сведений, которое относится к полноправным видам обработки. Именно требование об уточнении субъект вправе предъявить оператору по ст. 21 ФЗ-152.

Каков срок исполнения требования об исправлении ПДн?

Статья 21 ФЗ-152 устанавливает разные сроки в зависимости от основания требования субъекта.

При получении требования субъекта об уточнении (исправлении) неточных или неполных ПДн оператор обязан провести уточнение в течение 7 рабочих дней с момента, когда субъект предоставил сведения, подтверждающие неточность данных.

Если субъект требует блокирования спорных данных на период проверки — оператор блокирует их незамедлительно. Сам же вопрос о достоверности рассматривается в течение тех же 7 рабочих дней.

«Ст. 21 ч. 2 ФЗ-152 — если ПДн неточны, оператор обязан уточнить их в течение 7 рабочих дней со дня предоставления субъектом подтверждающих документов.»

После уточнения оператор обязан уведомить субъекта о произведённых изменениях. Если данные были переданы третьим лицам — оператор обязан уведомить и их, если уведомление возможно.

Если юрист выявил отсутствие регламента ответа на обращения субъектов — каждый пропущенный запрос создаёт риск штрафа по ч. 5 ст. 13.11 КоАП. Срок нарушения не восстанавливается. Подключение DPO-аутсорсинга закрывает этот пробел в течение недели.

Подключить DPO-аутсорсинг

Какие категории ПДн и правовые основания связаны с правом на исправление?

Общие персональные данные — сведения, не отнесённые к специальным или биометрическим: ФИО, дата рождения, адрес, контакты, место работы.

Специальные категории персональных данных по ст. 10 ФЗ-152 — расовая или национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, интимная жизнь, судимость. Обработка по общему правилу запрещена, за исключением случаев, перечисленных в ч. 2 ст. 10. Право на исправление применяется к ним в полном объёме.

Биометрические персональные данные по ст. 11 ФЗ-152 — физиологические и биологические особенности человека, позволяющие установить его личность: изображение лица, голос, дактилоскопические данные, радужная оболочка. Обрабатываются только с письменного согласия субъекта (кроме случаев ч. 2 ст. 11). Исправление биометрии — через те же механизмы ст. 21, но с учётом требований к письменной форме.

Право на исправление ПДн существует независимо от правового основания обработки. Обработка по ст. 6 ФЗ-152 допускается при наличии одного из оснований: согласие субъекта (п. 1), исполнение договора с участием субъекта (п. 5), выполнение обязанности оператора (п. 2), иные законные основания. При любом из них субъект вправе требовать уточнения данных.

Согласие субъекта персональных данных по ст. 9 ФЗ-152 — конкретное, информированное и сознательное выражение воли, которым субъект разрешает обработку своих ПДн. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом и не может быть включено в текст договора, политики или оферты.

Нет регламента исправления ПДн — что грозит при проверке?

Отсутствие внутреннего регламента обработки обращений субъектов фиксируется Роскомнадзором при плановой и внеплановой проверке. Это основание для предписания и протокола по ч. 5 ст. 13.11 КоАП. Юрист, ведущий комплаенс, закрывает этот риск через ОРД: регламент, журнал обращений, форму ответа субъекту. Юристы DATUM соберут пакет ОРД по чек-листу из 38 документов и адаптируют под специфику оператора.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Принципы обработки ПДн, определяющие право на исправление

Право на исправление ПДн — прямое следствие принципов ст. 5 ФЗ-152.

Принцип законности и справедливости — обработка ПДн должна осуществляться на законном основании и не нарушать права субъектов.

Принцип соответствия целям — ПДн должны соответствовать целям обработки и не быть избыточными по отношению к заявленным целям. Неточные данные нарушают этот принцип.

Принцип точности — оператор принимает меры по обеспечению точности и актуальности ПДн. При необходимости — обновляет или уничтожает неточные сведения.

Принцип хранения не дольше необходимого — ПДн хранятся не дольше, чем этого требуют цели обработки. После их достижения — подлежат уничтожению или обезличиванию. Этот принцип косвенно связан с правом на исправление: если цель утрачена, данные не должны существовать в любом виде.

Что подготовить юристу для соблюдения права субъекта на исправление ПДн

Регламент обработки обращений субъектов: порядок приёма, проверки и исполнения требований об уточнении, блокировании, уничтожении ПДн с указанием ответственного и сроков.
Журнал учёта обращений субъектов: входящий номер, дата, суть требования, исполнитель, дата исполнения, результат — с хранением минимум 3 года.
Форма ответа субъекту: уведомление об уточнении данных или мотивированный отказ с указанием нормы-основания.
Перечень третьих лиц, которым переданы ПДн субъекта: для уведомления при уточнении (ч. 3 ст. 21 ФЗ-152).
Актуальное уведомление в реестре РКН: корректные сведения о целях и объёме обрабатываемых ПДн (ст. 22 ФЗ-152).

Как применяется право на исправление на практике

Сценарий 1. Работник требует исправить данные в личном деле. Работник обращается в HR с заявлением о том, что его должность указана неверно. Оператор (работодатель) обязан уточнить данные в течение 7 рабочих дней с момента представления подтверждения (приказ о переводе, трудовой договор). Отсутствие регламента и просрочка — основание для протокола по ч. 5 ст. 13.11 КоАП. Размер штрафа для юрлица — 50 000–90 000 ₽.

Сценарий 2. Клиент требует исправить дату рождения в системе лояльности. Оператор (ретейлер) получает обращение с подтверждающим документом. Если CRM не имеет технической возможности корректировки без участия IT-команды — регламент должен предусматривать порядок такого взаимодействия. Нарушение 7-дневного срока независимо от технической причины квалифицируется как административное правонарушение по ч. 5 ст. 13.11.

Сценарий 3. Субъект требует исправить медицинские данные (спецкатегория). Клиника получает требование пациента об уточнении диагноза в системе МИС. Спецкатегория ПДн (ст. 10 ФЗ-152) не отменяет 7-дневный срок. Одновременно действует профессиональная норма о врачебной тайне. Регламент должен предусматривать порядок согласования уточнений с медицинским персоналом в пределах установленного срока.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработкой по ст. 3 ФЗ-152 признаётся любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Уточнение — то есть исправление — прямо включено в перечень. Таким образом, любое исправление ПДн является их обработкой и должно осуществляться на законном основании по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 устанавливает 11 законных оснований обработки. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора, стороной или выгодоприобретателем по которому является субъект (п. 5), исполнение обязанности оператора по законодательству РФ (п. 2), осуществление правосудия и исполнение судебных актов (п. 3). Обработка без одного из оснований квалифицируется по ч. 1 ст. 13.11 КоАП — штраф для юрлица 150 000–300 000 ₽.

3. Что грозит за нарушение 152-ФЗ?

Санкции зависят от состава. Невыполнение требования субъекта об уточнении, блокировании или уничтожении ПДн — ч. 5 ст. 13.11 КоАП, штраф 50 000–90 000 ₽ для юрлица; повторно — ч. 5.1, 300 000–500 000 ₽. Обработка без письменного согласия, когда оно обязательно, — ч. 2 ст. 13.11, 300 000–700 000 ₽. При повторной крупной утечке возможен оборотный штраф по ч. 15 ст. 13.11: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 уведомить РКН обязан любой оператор до начала обработки ПДн. Исключения перечислены в ч. 2 ст. 22: обработка данных работников в рамках трудовых отношений, разовые договоры с физлицами без передачи третьим лицам, данные членов общественных организаций, общедоступные данные. Если обработка выходит за рамки исключений — уведомить обязан и малый бизнес. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на обработку ПДн?

ФЗ-152 не устанавливает специального возрастного порога. В общем гражданско-правовом режиме полная дееспособность — с 18 лет. В интернет-сервисах, ориентированных на несовершеннолетних, согласие получают от родителей или законных представителей. При сборе данных детей в образовательных и медицинских учреждениях также требуется согласие законного представителя. С 01.09.2025 согласие в любом случае оформляется отдельным документом по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

Итог

Право субъекта на исправление персональных данных — одно из базовых прав по ст. 21 ФЗ-152. Оператор обязан устранить неточность в течение 7 рабочих дней с момента получения подтверждающих документов. Нарушение срока квалифицируется по ч. 5 ст. 13.11 КоАП независимо от причины просрочки — технической, организационной или кадровой.

Практика DATUM показывает: большинство нарушений по ч. 5 ст. 13.11 возникает не из-за умысла, а из-за отсутствия регламента обработки обращений субъектов. Документ на 2–3 страницы устраняет системный риск штрафов.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверим регламент обращений субъектов и весь пакет ОРД
Комплект ОРД под ключ — разработаем регламент, журнал и формы ответа субъектам
DPO-аутсорсинг — возьмём обработку обращений субъектов на абонентское сопровождение

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов.

11 октября 2026 года