Право знать сроки обработки своих ПДн
С 30.05.2025 Роскомнадзор вправе возбуждать дела сразу по нескольким частям ст. 13.11 КоАП. Одна из типичных связок — ч. 3 (нет политики) + ч. 4 (не предоставлены сведения субъекту) + ч. 10 (оператор не в реестре). Суммарный штраф для юрлица превышает 400 000 ₽. Этот справочник содержит определения, нормы и сценарии, необходимые для правовой оценки ситуации.
Какие понятия определяют право знать сроки обработки ПДн?
Персональные данные
По ст. 3 ФЗ-152 — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПДн). Ключевой критерий — возможность идентификации. Фамилия + телефон, email + cookie, IP-адрес в сочетании с поведенческими данными — всё это ПДн, если позволяет выйти на конкретного человека.
Обработка персональных данных
Ст. 3 ФЗ-152 относит к обработке любое действие или совокупность действий с ПДн: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение. Срок хранения является частью обработки: пока данные хранятся — обработка не прекращена.
Оператор персональных данных
Государственный или муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими определяет цели и содержание обработки ПДн (ст. 3 ФЗ-152). Именно оператор несёт обязанность сообщить субъекту сроки обработки. Передача данных подрядчику не освобождает оператора от ответственности.
Субъект персональных данных
Физическое лицо, которому принадлежат обрабатываемые данные. Субъект вправе направить оператору запрос с требованием предоставить сведения об обработке, включая сроки хранения (ст. 14 ФЗ-152). Оператор обязан ответить в течение 10 рабочих дней с даты обращения; срок может быть продлён ещё на 5 рабочих дней при уведомлении субъекта.
Срок обработки (хранения) персональных данных
Законодательство не устанавливает единого срока. Согласно принципу ст. 5 ФЗ-152, данные хранятся не дольше, чем этого требует цель обработки. По достижении цели или истечении установленного срока оператор обязан уничтожить или обезличить ПДн. Срок фиксируется в политике обработки, согласии субъекта или специальном регламенте хранения.
Категории персональных данных
ФЗ-152 разграничивает четыре категории: общие (ФИО, контакты, должность), специальные (здоровье, национальность, религиозные убеждения, судимость — ст. 10), биометрические (изображение лица, отпечатки пальцев, голос — ст. 11), общедоступные (ст. 8). Срок хранения специальных категорий требует отдельного обоснования, так как обработка по умолчанию запрещена.
Документация не содержит сроков обработки ПДн?
Отсутствие сроков в политике конфиденциальности, согласии или регламенте — прямое нарушение ст. 5 ФЗ-152. При запросе субъекта или проверке РКН оператор не сможет подтвердить правомерность хранения. Юристы DATUM возьмут функцию ответственного за обработку на аутсорсинг: подготовят регламент сроков, политику и пакет согласий под требования ФЗ-156 (с 01.09.2025).
Подключить DPO-аутсорсинг+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
На каких основаниях допустима обработка ПДн и как они определяют срок?
Правовые основания обработки
Ст. 6 ФЗ-152 устанавливает 11 оснований. Наиболее распространённые для бизнеса: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанности оператора по законодательству (п. 2). Срок обработки напрямую зависит от основания: данные в рамках договора хранятся до исполнения обязательств и истечения срока исковой давности; по согласию — до его отзыва или до срока, указанного в согласии.
Согласие на обработку персональных данных
С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом — не может быть включено в текст договора, оферты или политики. Обязательный реквизит согласия по ст. 9 ФЗ-152 — срок обработки либо условие прекращения обработки. Отсутствие срока в согласии означает неполноту реквизитов, что при проверке квалифицируется по ч. 2 ст. 13.11 КоАП: штраф для юрлица — 300 000–700 000 ₽.
Принципы обработки персональных данных
Ст. 5 ФЗ-152 закрепляет семь принципов. Для определения сроков значимы три: соответствие объёма целям, недопустимость избыточного хранения и обязанность уничтожить данные при достижении цели. Нарушение принципов — основание для претензий субъекта и возбуждения дела по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).
Что грозит оператору за нарушение права субъекта знать сроки обработки?
Ответственность наступает по нескольким основаниям одновременно. С 30.05.2025 — в редакции ФЗ-420 от 30.11.2024.
Что подготовить для подтверждения сроков обработки
- Политика обработки ПДн с разделом о сроках по каждой категории данных и цели (ст. 18.1 ФЗ-152)
- Согласия субъектов в редакции с 01.09.2025 — отдельный документ с явно указанным сроком (ст. 9 ФЗ-152, ФЗ-156)
- Регламент или таблица сроков хранения с привязкой к правовому основанию и категории ПДн
- Журнал учёта обращений субъектов с датами запросов и ответов (подтверждает соблюдение 10-дневного срока по ст. 14 ФЗ-152)
- Приказ о назначении ответственного за обработку (ст. 22.1 ФЗ-152)
Типичные составы при отсутствии сроков в документации: ч. 1 ст. 13.11 (обработка без соблюдения принципов ст. 5) — 150 000–300 000 ₽; ч. 2 ст. 13.11 (согласие без обязательных реквизитов) — 300 000–700 000 ₽; ч. 3 ст. 13.11 (нет опубликованной политики) — 30 000–60 000 ₽; ч. 4 ст. 13.11 (не предоставлены сведения субъекту) — 40 000–80 000 ₽. Повторность по ч. 1.1 и ч. 2.1 увеличивает штраф до 1 500 000 ₽. Если утечка данных произошла на фоне отсутствия регламента сроков, подключается ч. 12–14 ст. 13.11 с диапазоном 3–15 млн ₽.
Если вы юрист и выявили, что сроки обработки не закреплены ни в одном документе — это риск по нескольким частям ст. 13.11 одновременно. До начала проверки РКН ситуацию можно закрыть аудитом и ОРД.
Заказать аудит 152-ФЗТиповые ситуации: как реализуется право субъекта знать сроки обработки
Ситуация 1. Субъект направил запрос — сроки нигде не зафиксированы. Производственная компания (Уральский ФО, начало 2026) получила письменный запрос уволенного сотрудника о предоставлении сведений об обработке его ПДн, включая сроки хранения. В HR-документации сроки не были указаны ни в трудовом договоре, ни в политике, ни в согласии. Ответ направили с опозданием и без конкретных сроков. Мировой суд района квалифицировал нарушение по ч. 4 и ч. 3 ст. 13.11 КоАП. Штраф для юрлица составил штраф в диапазоне от 30 до 80 тысяч рублей по каждому составу. Своевременный аудит ОРД до увольнения сотрудника позволил бы избежать оба производства.
Ситуация 2. Согласие без срока — штраф при плановой проверке. Розничная сеть (Центральный ФО, лето 2025) проходила плановую проверку РКН. Инспектор установил, что форма согласия на обработку ПДн покупателей не содержала срока обработки и условий его прекращения. Согласия собирались с 2023 года. РКН составил протокол по ч. 2 ст. 13.11. Штраф в сотни тысяч рублей был снижен при обжаловании по ст. 4.1 КоАП в связи с устранением нарушения до рассмотрения дела. Переработка шаблона согласия заняла бы 2–3 рабочих дня.
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
Обработка — любое действие с ПДн: сбор, запись, хранение, использование, передача, уничтожение и иные операции (ст. 3 ФЗ-152). Данные, которые хранятся на сервере, но «не используются активно», всё равно находятся в обработке. Срок хранения — часть жизненного цикла обработки, и он должен быть обоснован целью.
2. На основании чего можно обрабатывать ПДн?
Ст. 6 ФЗ-152 устанавливает 11 оснований. Для коммерческих организаций основные — согласие субъекта, исполнение договора с субъектом и исполнение обязанностей, предусмотренных законодательством. Каждое основание определяет допустимый срок обработки: по согласию — срок из текста согласия или до его отзыва; по договору — до истечения срока хранения документов, связанных с исполнением обязательств.
3. Что грозит за нарушение 152-ФЗ?
Ответственность трёхуровневая. Административная по ст. 13.11 КоАП (в ред. с 30.05.2025): от 30 000 ₽ (ч. 3, нет политики) до 15 000 000 ₽ (ч. 14, крупная утечка); при повторной утечке — оборотный штраф по ч. 15 до 500 000 000 ₽. Уголовная по ст. 272.1 УК (с 11.12.2024): до 10 лет лишения свободы за тяжкие последствия (ч. 5). Гражданско-правовая: компенсация морального вреда субъекту по решению суда.
4. Нужно ли уведомлять РКН малому бизнесу?
По общему правилу ст. 22 ФЗ-152 — да, до начала обработки. Исключения (ч. 2 ст. 22) охватывают строго ограниченный перечень: обработка только в рамках трудовых отношений, данные членов (участников) организации, общедоступные данные. Обработка клиентских ПДн малым бизнесом под исключение не подпадает. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.
5. С какого возраста нужно согласие на ПДн?
По общему правилу — с 18 лет. Согласие несовершеннолетних от 14 до 18 лет должно быть подкреплено согласием родителя или законного представителя (ст. 9 ФЗ-152, ГК РФ о дееспособности). За детей до 14 лет согласие дают только законные представители. Для образовательных сервисов и медицинских организаций требования к согласиям несовершеннолетних регулируются дополнительно профильным законодательством.
Итог
Право субъекта знать сроки обработки его ПДн обеспечено комплексом норм ФЗ-152: принципами ст. 5, реквизитами согласия ст. 9, обязанностью раскрытия сведений по ст. 14 и требованиями к политике по ст. 18.1. Отсутствие задокументированных сроков создаёт риски одновременно по нескольким частям ст. 13.11 КоАП.
DATUM сопровождает операторов при подготовке комплекта ОРД, включая регламент сроков хранения, политику обработки и согласия в редакции ФЗ-156 (с 01.09.2025), а также берёт функцию ответственного за обработку на абонентское обслуживание.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка документации по чек-листу из 38 пунктов, включая сроки хранения
- Комплект ОРД под ключ — политика, согласия с обязательными реквизитами, регламент сроков
- DPO-аутсорсинг — ответственный за обработку ПДн на абонентском обслуживании от 30 000 ₽/мес
20 октября 2026 года