аналитика 22 августа 2026 По состоянию на 22 августа 2026

Принцип ограничения срока обработки ПДн

Принцип ограничения срока обработки ПДн — требование ст. 5 ФЗ-152: хранить и обрабатывать персональные данные только до достижения цели или до отзыва согласия, после чего обязательно уничтожение или обезличивание.

Нарушение этого принципа — самостоятельное основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽ для юрлица). При повторности — ч. 1.1, до 500 000 ₽. Если данные утекли из хранилища, которое должно было быть уничтожено, — ч. 12–14 ст. 13.11, от 3 до 15 млн ₽.

→ Если вы юрист и проверяете комплаенс компании — ниже точный разбор нормы, типичные ошибки в ОРД и судебная практика 2025–2026 годов.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей вместо прежних семи, оборотный штраф при повторной утечке — до 500 млн ₽. На этом фоне принцип ограничения срока обработки перестал быть формальностью: избыточные базы данных становятся прямым источником риска. Статья разбирает норму ст. 5 ФЗ-152, условия её применения, типичные разрывы в документах и то, как суды квалифицировали нарушения в 2025–2026 годах.

Что говорит ст. 5 ФЗ-152 о сроке обработки?

Статья 5 ФЗ-152 закрепляет семь принципов обработки персональных данных. Принцип ограничения срока — шестой и седьмой в их числе: данные не должны храниться дольше, чем необходимо для достижения цели, а после её достижения — подлежат уничтожению или обезличиванию.

«Ст. 5 ФЗ-152 — хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки. По достижении целей либо при утрате необходимости в них ПДн подлежат уничтожению или обезличиванию, если иное не предусмотрено федеральным законом.»

Формулировка «если иное не предусмотрено федеральным законом» принципиальна: для ряда категорий ПДн действуют специальные сроки хранения, и они имеют приоритет. Трудовые документы — 75 лет (ст. 22.1 Федерального архивного закона, приказы Росархива). Кредитные истории — 7 лет с даты последней записи (ФЗ-218). Бухгалтерская первичка — 5 лет. Эти сроки не нарушают принцип ст. 5 ФЗ-152, поскольку установлены федеральным законом.

Проблема возникает там, где специального закона нет, а оператор продолжает хранить данные «на всякий случай». Резюме кандидатов, которых не наняли три года назад. Анкеты клиентов, чьи договоры давно расторгнуты. Логи системы, содержащие ПДн пользователей, которые удалили аккаунты. Все эти случаи — потенциальное нарушение принципа ограничения срока обработки.

Как принцип ограничения срока связан со ст. 3, 6 и 9 ФЗ-152?

Принцип ограничения срока обработки ПДн нельзя рассматривать в отрыве от трёх других статей ФЗ-152.

Статья 3 ФЗ-152 определяет обработку как любое действие с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение. Хранение — это обработка. Значит, удерживая данные после достижения цели, оператор осуществляет незаконную обработку по ст. 3 в связке со ст. 5.

Статья 6 ФЗ-152 перечисляет правовые основания обработки ПДн. Согласие (п. 1), исполнение договора (п. 5), исполнение обязанностей (п. 2) и другие основания. Когда договор исполнен, а обязательства прекращены, правовое основание для обработки исчезает. Продолжение хранения данных после этого момента лишено основания по ст. 6 — даже если согласие когда-то было получено.

Статья 9 ФЗ-152 регулирует согласие субъекта. С 1 сентября 2025 года (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом. Согласие должно содержать срок его действия или указание на условие прекращения. Если срок в согласии указан — оператор обязан прекратить обработку по его истечении. Если срок не указан, субъект вправе отозвать согласие в любой момент, а после отзыва оператор обязан уничтожить данные в течение 30 дней (ч. 5 ст. 21 ФЗ-152), если иное не предусмотрено законом или договором.

Согласия работников или клиентов не содержат срока действия?

Это типичная ошибка: без указания срока оператор не может доказать, что хранение данных правомерно после прекращения отношений. С 01.09.2025 требования к составу согласия ужесточены (ФЗ-156). Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как установить срок обработки ПДн в документах оператора?

Срок обработки ПДн — обязательный элемент политики конфиденциальности по ч. 2 ст. 18.1 ФЗ-152 и обязательный реквизит согласия по ст. 9. На практике операторы допускают три типовые ошибки.

Ошибка 1: срок не указан вообще. Политика содержит раздел «Хранение ПДн», но вместо конкретного срока — формулировки «в течение необходимого периода» или «до прекращения договорных отношений» без привязки к конкретному сроку. РКН при проверке квалифицирует это как нарушение ч. 3 ст. 13.11 КоАП — невыполнение требований к содержанию политики (30 000 — 60 000 ₽).

Ошибка 2: срок указан, но не соблюдается. Политика устанавливает срок хранения данных клиентов 3 года с даты расторжения договора. При этом фактически база CRM содержит записи 2018–2019 годов. РКН фиксирует расхождение в ходе внеплановой проверки — это нарушение уже не только ч. 3, но и ч. 1 ст. 13.11: обработка ПДн без законного основания.

Ошибка 3: разные сроки в разных документах. Политика конфиденциальности на сайте устанавливает срок 1 год, согласие на рассылку — «до отзыва», приказ по работе с персоналом — 5 лет. Расхождение создаёт правовую неопределённость и при проверке трактуется не в пользу оператора.

Что проверить в документах оператора

Политика конфиденциальности содержит конкретные сроки хранения ПДн по каждой категории субъектов (клиенты, работники, соискатели, пользователи сайта)
Сроки в политике совпадают со сроками в согласиях и внутренних регламентах
Для каждой категории ПДн определена процедура уничтожения или обезличивания по истечении срока
Назначен ответственный за контроль сроков хранения (приказ по ст. 22.1 ФЗ-152)
Фактическое состояние баз данных проверяется не реже одного раза в год

Что грозит за нарушение принципа ограничения срока обработки ПДн?

Нарушение принципа ограничения срока обработки может квалифицироваться по нескольким частям ст. 13.11 КоАП одновременно — в зависимости от конкретных обстоятельств.

Часть 1 ст. 13.11 КоАП (в редакции с 30.05.2025) — обработка ПДн в случаях, не предусмотренных законодательством, или несовместимая с целями: штраф для юрлица 150 000 — 300 000 ₽. Применяется, когда оператор хранит данные без правового основания после достижения цели.

«Ст. 13.11 ч. 1 КоАП (ред. с 30.05.2025) — обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка, несовместимая с целями сбора — 150 000 — 300 000 ₽ для юрлица.»

Часть 1.1 ст. 13.11 КоАП — повторное нарушение по ч. 1: 300 000 — 500 000 ₽. Повторность фиксируется в течение одного года с даты вступления в силу предыдущего постановления.

Часть 3 ст. 13.11 КоАП — невыполнение обязанности по публикации политики обработки ПДн или несоответствие её содержания требованиям ст. 18.1 ФЗ-152: 30 000 — 60 000 ₽. Применяется, если сроки хранения не прописаны или прописаны ненадлежащим образом.

Части 12–14 ст. 13.11 КоАП — при утечке из хранилища, содержащего «лишние» данные. Если произошла компрометация базы с устаревшими записями, которые должны были быть удалены, — от 3 до 15 млн ₽ в зависимости от числа субъектов. Данное основание напрямую связывает принцип ограничения срока с финансовыми рисками утечки.

Если вы юрист и проверяете комплаенс компании — обработка ПДн без срока хранения в каждом документе это прямое основание для протокола РКН. Сроки нарушений по ч. 1 ст. 13.11 не восстанавливаются. DATUM соберёт пакет ОРД под ключ и устранит разрывы в документах.

Собрать ОРД под ключ

Как применяется принцип на практике: три сценария для юриста

Сценарий 1. Устаревшая база соискателей. Компания хранит резюме и анкеты кандидатов, которым было отказано в трудоустройстве 3–5 лет назад. Политика конфиденциальности устанавливает срок хранения «на период рассмотрения заявки». Срок формально истёк в день отказа, однако уничтожения данных не производилось. При плановой проверке РКН запросил сведения об объёме хранимых ПДн — расхождение с датами в базе зафиксировано в протоколе. Состав: ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽). Стратегия: до проверки провести аудит баз, уничтожить данные с актом, обновить политику с конкретными сроками по каждой категории.

Сценарий 2. CRM с данными бывших клиентов. Интернет-магазин хранит полную историю заказов клиентов, включая ФИО, адрес, номер телефона, данные платёжной карты (токен). Последний заказ части клиентов — 2020–2021 год. Договор оферты не содержит срока хранения ПДн, согласие на хранение после расторжения отношений не получалось. После кибератаки в базе обнаружены данные ~15 000 субъектов, чьи отношения с магазином давно прекращены. Регулятор возбуждает дело одновременно по ч. 1 (хранение без основания) и ч. 13 (утечка 10 000 — 100 000 субъектов, 5 — 10 млн ₽). Стратегия: доказать принятие технических и организационных мер, ходатайствовать о снижении по ст. 4.1 КоАП с учётом инвестиций в ИБ.

Сценарий 3. Медицинская организация и данные бывших пациентов. Клиника хранит медицинские карты пациентов в электронной МИС сверх срока, установленного приказом Минздрава. Часть карт — пациенты, которые не обращались более 10 лет. Медицинские данные — специальная категория ПДн по ст. 10 ФЗ-152 с повышенными требованиями к обработке. Нарушение принципа срока здесь создаёт риск по ч. 1 и одновременно по ч. 2 ст. 13.11 (обработка спецкатегорий без надлежащего основания — 300 000 — 700 000 ₽). Стратегия: разграничить сроки хранения по видам медицинских документов (приказ Минздрава устанавливает конкретные сроки), провести обезличивание архивных данных по методам, утверждённым Роскомнадзором.

Как это применяется на практике

Кейс 1. В деле о плановой проверке торговой компании (Сибирский ФО, осень 2025) юрист компании обнаружил накануне проверки РКН: CRM содержала данные клиентов с 2016 года, тогда как политика устанавливала срок хранения 3 года. Компания самостоятельно провела уничтожение данных с составлением актов до начала проверки и предоставила их инспектору. РКН зафиксировал нарушение, однако при вынесении постановления суд применил смягчающие обстоятельства (устранение до проверки), штраф по ч. 1 ст. 13.11 составил сумму в нижней части диапазона.

Кейс 2. Арбитражный суд региона (Центральный ФО, начало 2026) рассматривал дело о штрафе по ч. 1 ст. 13.11 против производственного предприятия. Роскомнадзор установил: в базе данных HR-системы хранились анкеты 800 соискателей, которым было отказано в трудоустройстве от 2 до 5 лет назад. Согласия содержали срок «на период трудоустройства», однако процедура уничтожения данных после отказа не была установлена ни в одном внутреннем документе. Ответственный за обработку ПДн не был назначен. Постановление о штрафе оставлено в силе. ⚠️ Конкретный номер дела и точная сумма штрафа — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка сроков хранения ПДн во всех документах и базах данных
Комплект ОРД под ключ — политика, согласия, регламенты с корректными сроками по каждой категории
DPO-аутсорсинг — постоянный контроль сроков хранения и ответы на запросы субъектов

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой признаётся любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение — как с применением средств автоматизации, так и без. Хранение данных в базе — это обработка, даже если никаких активных операций с ними не производится. Это означает: пока данные хранятся, оператор обязан иметь действующее правовое основание по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 называет 11 оснований. Наиболее распространённые: согласие субъекта (п. 1), необходимость исполнения договора с субъектом (п. 5), исполнение обязанности оператора по федеральному закону (п. 2). Важно: каждое основание действует ровно столько, сколько существует породившее его обстоятельство. Договор расторгнут — основание по п. 5 прекращается. Согласие отозвано — основание по п. 1 прекращается. После этого хранение данных требует нового самостоятельного основания либо данные подлежат уничтожению.

3. Что грозит за нарушение 152-ФЗ в части сроков обработки?

Нарушение принципа ограничения срока квалифицируется по ч. 1 ст. 13.11 КоАП (редакция с 30.05.2025): штраф для юрлица 150 000 — 300 000 ₽. При повторности — ч. 1.1, до 500 000 ₽. Если в «лишней» базе произошла утечка — дополнительно ч. 12–14, от 3 до 15 млн ₽ в зависимости от числа субъектов. При повторной утечке — оборотный штраф по ч. 15 ст. 13.11: 1–3% годовой выручки, но не менее 20 млн ₽.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 уведомлять РКН о намерении обрабатывать ПДн обязаны все операторы, кроме прямо перечисленных исключений. Малый бизнес не является исключением как таковым: всё зависит от категорий обрабатываемых данных и оснований. Неуведомление или несвоевременное уведомление — ч. 10 ст. 13.11 КоАП, штраф 100 000 — 300 000 ₽. Уточнить, есть ли у конкретного оператора основания для освобождения от обязанности уведомить, можно при аудите.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 прямо не устанавливает возрастной порог дееспособности применительно к согласию на обработку ПДн — применяются общие нормы ГК РФ. По общему правилу полная дееспособность наступает в 18 лет. До достижения 14 лет согласие дают законные представители; с 14 до 18 лет — самостоятельно, если иное не установлено ГК. Ряд операторов (образование, здравоохранение) руководствуется отраслевыми нормами, которые могут предусматривать иной порядок. Конкретная практика РКН по данному вопросу уточняется в рамках аудита.

Итог

Принцип ограничения срока обработки ПДн по ст. 5 ФЗ-152 — не декларация, а рабочий инструмент проверяющего: несоответствие фактических баз данных срокам, указанным в политике и согласиях, фиксируется при любой форме проверки РКН. С 30.05.2025 санкции по ст. 13.11 КоАП существенно выросли: хранение «лишних» данных, которые впоследствии утекают, может повлечь штраф до 15 млн ₽ за первичную утечку и оборотный штраф при повторной. Превентивный аудит и актуализация ОРД обходятся кратно дешевле.

Юристы DATUM сопровождают операторов ПДн в части соответствия 152-ФЗ с 2014 года: аудит, разработка ОРД с корректными сроками хранения, представление интересов при проверках Роскомнадзора и в арбитраже по ст. 13.11 КоАП.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ (ред. ФЗ-156 с 01.09.2025), обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

22 августа 2026 года