аналитика 10 октября 2027 По состоянию на 10 октября 2027

Принцип точности ПДн: обязанность актуализации

Принцип точности персональных данных — одна из семи основ обработки по ст. 5 ФЗ-152: оператор обязан обеспечивать, чтобы данные были точными, достаточными и актуальными. Неактуальные данные — самостоятельное основание для штрафа по ст. 13.11 КоАП.

С 30.05.2025 санкции за нарушение требований к обработке ПДн выросли в 2–10 раз. Неисполнение требования субъекта об уточнении данных — штраф 50–90 тыс. ₽ по ч. 5 ст. 13.11 КоАП; при повторности — 300–500 тыс. ₽.

Если вы юрист и проверяете комплаенс компании — ниже разбор нормы, обязанностей оператора, сроков устранения недостоверностей и практики РКН за 2025–2026 годы.

С вступлением в силу ФЗ-420 от 30.11.2024 и ФЗ-156 от 24.06.2025 требования к качеству обрабатываемых персональных данных стали нормативно «заряженными»: их нарушение фиксируется в протоколах РКН отдельной строкой. Юрист, сопровождающий аудит оператора, обязан понимать, как принцип точности из ст. 5 ФЗ-152 соотносится с обязанностями по ст. 21, с правом субъекта на уточнение по ст. 14 и с санкциями по ст. 13.11 КоАП. Этот материал — системный разбор нормы с ответами на практические вопросы.

Что означает принцип точности ПДн в ст. 5 ФЗ-152?

Статья 5 ФЗ-152 закрепляет семь принципов обработки персональных данных. Принцип точности — один из них. Его содержание: обрабатываемые данные должны быть точными и при необходимости — обновлёнными. Оператор принимает разумные меры для уничтожения или уточнения неполных или неточных данных.

«Ст. 5 ФЗ-152 — принципы обработки ПДн: данные должны быть точными, а в случае необходимости — актуализированными; оператор принимает меры по уничтожению или уточнению неполных либо недостоверных данных.»

Принцип точности формально не содержит конкретных сроков и инструментов — они раскрываются через ст. 14 (право субъекта на доступ), ст. 20 (обязанность оператора ответить на запрос) и ст. 21 (обязанность уточнить или уничтожить). Вместе эти нормы образуют замкнутый цикл: субъект вправе требовать исправления, оператор обязан исполнить требование в установленный срок, нарушение — фиксируется как административное правонарушение.

Важно разграничивать понятия. «Точность» — соответствие данных действительности на момент обработки. «Актуальность» — соответствие данных действительности на текущий момент. Оператор отвечает за оба аспекта: и за первоначальный ввод достоверных данных, и за их поддержание в актуальном состоянии на протяжении всего периода обработки.

На практике принцип точности нарушается в трёх типичных ситуациях: оператор хранит устаревшие контактные данные уволенных сотрудников, обрабатывает некорректные реквизиты клиентов, поступившие с ошибками, или игнорирует требование субъекта об исправлении данных.

Нашли нарушение принципа точности при проверке ОРД?

Если юрист в ходе аудита обнаружил, что оператор хранит неактуальные данные и не имеет регламента их актуализации — это прямой риск по ч. 5 ст. 13.11 КоАП (50–90 тыс. ₽) и повторного нарушения (300–500 тыс. ₽). Устранение требует не только обновления данных, но и документального оформления: регламента, журнала, приказа. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут план устранения нарушений с приоритизацией по уровню риска.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие обязанности оператора вытекают из принципа точности?

Принцип из ст. 5 ФЗ-152 порождает три группы обязанностей оператора.

Первая группа — обязанности при получении данных. Оператор обязан получать только те данные, которые соответствуют заявленным целям обработки (принцип соответствия объёма целям — также ст. 5). Уже при сборе следует верифицировать корректность реквизитов: ФИО, дата рождения, адрес, контактные данные. Недостоверные данные, полученные «по умолчанию», — нарушение с момента поступления.

Вторая группа — обязанности в период хранения. Оператор принимает разумные меры для актуализации данных: периодические обновления в CRM, запросы подтверждения актуальности при взаимодействии с субъектом, автоматические процедуры выявления устаревших записей. «Разумность» мер оценивается с учётом категории данных и объёма базы: для специальных категорий (ст. 10 ФЗ-152) требования строже.

Третья группа — обязанности по требованию субъекта. Это наиболее конкретная и санкционированная часть. Согласно ст. 14 и ст. 21 ФЗ-152, субъект вправе требовать уточнения своих данных, если они неполны, неточны или устарели. Оператор обязан рассмотреть требование и исполнить его или обосновать отказ. Срок исполнения требования об уточнении — 7 рабочих дней с момента его предоставления субъектом.

«Ст. 21 ФЗ-152 — при выявлении неточных или неполных ПДн оператор обязан уточнить их в срок, не превышающий 7 рабочих дней с момента получения сведений или требования субъекта, и уведомить субъекта об уточнении.»

Срок 7 рабочих дней — жёсткий. Нарушение срока при наличии требования субъекта автоматически образует состав по ч. 5 ст. 13.11 КоАП. Важно: если субъект не предоставил доказательств неточности, оператор вправе запросить их, но этот запрос должен быть оформлен и направлен в разумный срок — молчание не освобождает от ответственности.

Как принцип точности связан с правовыми основаниями обработки?

Для юриста принципиален вопрос: является ли нарушение принципа точности самостоятельным нарушением или оно производно от нарушения правового основания? Ответ: самостоятельным. Даже если оператор имеет законное основание обработки по ст. 6 ФЗ-152 (согласие, договор, закон), нарушение принципа точности из ст. 5 образует отдельный состав.

РКН квалифицирует нарушение принципа точности по двум путям: как обработку ПДн в нарушение принципов (ч. 1 ст. 13.11 КоАП, 150–300 тыс. ₽ для юрлица) или как неисполнение требования субъекта (ч. 5 ст. 13.11 КоАП, 50–90 тыс. ₽). Квалификация зависит от того, выявлено ли нарушение в ходе плановой проверки или по жалобе субъекта.

Принцип точности пересекается с принципом ограниченности срока хранения (тоже ст. 5 ФЗ-152): данные, потерявшие актуальность в связи с достижением цели обработки, подлежат уничтожению, а не бесконечному хранению «на всякий случай». На практике это означает: оператор не вправе ссылаться на принцип точности как на основание бессрочного хранения устаревших данных — здесь вступают принципы целесообразности и необходимости.

Если компания хранит базы с историческими данными сотрудников или клиентов и не имеет регламента проверки их актуальности — при первой же проверке РКН это зафиксируют протоколом. 10 рабочих дней на ответ субъекту по ст. 20 ФЗ-152 не останавливает срок исполнения требования об уточнении в 7 рабочих дней по ст. 21. Юристы DATUM помогут выстроить регламент актуализации и собрать ОРД под ключ.

Собрать ОРД под ключ

Как это применяется на практике: сценарии и кейсы

Сценарий 1. Оператор хранит данные уволенных сотрудников без актуализации. Ситуация: компания сохраняет в информационной системе полные кадровые записи сотрудников, уволенных более трёх лет назад, включая адреса и паспортные данные. Адреса заведомо устарели. Доказательства: журнал ИСПДн фиксирует записи с датами последнего обновления трёхлетней давности. Вероятный исход при проверке РКН: протокол по ч. 1 ст. 13.11 КоАП (нарушение принципов обработки — ст. 5 ФЗ-152), штраф 150–300 тыс. ₽. Стратегия защиты: установить регламент ежегодной проверки актуальности кадровых баз, организовать уничтожение или обезличивание данных по истечении сроков хранения.

Сценарий 2. Субъект требует уточнения данных — оператор игнорирует. Ситуация: клиент интернет-магазина направил письменное требование об исправлении адреса доставки в профиле. Оператор не ответил в течение 15 рабочих дней. Субъект подал жалобу в РКН. Доказательства: входящая переписка, отсутствие ответного письма в журнале исходящей корреспонденции. Вероятный исход: протокол по ч. 5 ст. 13.11 КоАП — штраф 50–90 тыс. ₽; при повторном нарушении — 300–500 тыс. ₽. Стратегия: регламент обработки обращений субъектов с фиксацией сроков и шаблоном ответа.

Сценарий 3. Оператор актуализирует данные без правового основания. Ситуация: HR-система автоматически запрашивает у сотрудников подтверждение актуальности паспортных данных ежеквартально — без соответствующей нормы во внутреннем приказе и без правового основания для такого сбора. Доказательства: форма сбора данных, отсутствие приказа о порядке актуализации. Вероятный исход: дополнительная квалификация по ч. 1 ст. 13.11 КоАП как обработка ПДн сверх необходимого объёма. Стратегия: документировать процедуры актуализации, привязать их к целям обработки и правовым основаниям из ст. 6 ФЗ-152.

Кейс из практики. В деле об актуализации медицинских данных (Центральный ФО, осень 2025) юрист клиники обнаружил при аудите, что МИС содержит записи пациентов с контактными данными, не обновлявшимися с 2020 года. Оператор не имел регламента проверки актуальности. После проверки РКН был составлен протокол по ч. 1 ст. 13.11 КоАП. Компания устранила нарушение до рассмотрения дела, что суд учёл как смягчающее обстоятельство. Штраф по ч. 1 составил минимальный диапазон — 150 тыс. ₽.

Кейс из реестра. По делу о нарушениях принципов обработки ПДн (Северо-Западный ФО, начало 2026) арбитражный суд региона рассматривал дело оператора, хранившего устаревшие данные клиентов в CRM-системе. Оператор был впервые привлечён к ответственности и относился к субъектам малого предпринимательства. Суд применил ст. 4.1.1 КоАП и заменил штраф по ч. 1 ст. 13.11 на предупреждение. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Что подготовить для соблюдения принципа точности

Регламент актуализации ПДн с периодичностью проверки и ответственным лицом (приказ по ст. 18.1 ФЗ-152)
Журнал обращений субъектов с фиксацией требований об уточнении и сроков исполнения (7 рабочих дней по ст. 21)
Шаблон ответа на требование об уточнении — для случаев исполнения и для мотивированного отказа
Процедура в политике обработки ПДн: порядок уточнения и уничтожения неактуальных данных
Технический регламент для ИСПДн: параметры устаревания записей и автоматической отметки к проверке

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Обработка может быть автоматизированной и неавтоматизированной. Уточнение данных — само по себе вид обработки, поэтому регламент актуализации обязателен так же, как регламент первичного сбора.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 устанавливает 11 правовых оснований. Наиболее распространённые: согласие субъекта (п. 1 ч. 1 ст. 6), исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6), исполнение обязанности, возложенной на оператора законом (п. 2 ч. 1 ст. 6). Обработка без хотя бы одного из оснований — нарушение ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). Основание должно документально подтверждаться для каждой цели обработки отдельно.

3. Что грозит за нарушение 152-ФЗ?

Санкции многоуровневые. По ст. 13.11 КоАП в редакции с 30.05.2025: обработка без основания — 150–300 тыс. ₽ (ч. 1); обработка без письменного согласия при его обязательности — 300–700 тыс. ₽ (ч. 2); неисполнение требования субъекта об уточнении — 50–90 тыс. ₽ (ч. 5); при утечке от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13); при повторной утечке — оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽ (ч. 15). С 11.12.2024 действует ст. 272.1 УК РФ — незаконное использование ПДн, до 10 лет лишения свободы по ч. 5.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 — да, уведомление обязательно до начала обработки ПДн, вне зависимости от масштаба бизнеса. Исключения перечислены в ч. 2 ст. 22 ФЗ-152: в частности, обработка данных только работников оператора в целях трудовых отношений или обработка данных на основании договора с субъектом без распространения. Малое предприятие, ведущее CRM-базу клиентов для маркетинга, под исключение не попадает и обязано уведомить РКН. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

По ст. 9 ФЗ-152 согласие дееспособного субъекта — с 18 лет (общегражданская дееспособность). Для несовершеннолетних от 14 до 18 лет согласие даёт сам субъект, но требуется также согласие родителя или законного представителя (если иное не установлено законом). До 14 лет — согласие исключительно родителей или законных представителей. С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156, что особенно актуально для EdTech и образовательных платформ, работающих с несовершеннолетними.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по 38 пунктам, отчёт с планом устранения
Комплект ОРД под ключ — политика, регламенты, приказы, журналы
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании

Итог

Принцип точности ПДн из ст. 5 ФЗ-152 — не декларативная норма, а рабочий инструмент РКН при проверках. Он порождает конкретные обязанности: верифицировать данные при получении, поддерживать их актуальность в период хранения, исполнять требования субъектов об уточнении в 7-дневный срок. Нарушение каждой из этих обязанностей — отдельный состав по ст. 13.11 КоАП с санкциями от 50 тыс. до 300 тыс. ₽ и выше при повторности.

DATUM сопровождает операторов ПДн по всему циклу — от аудита обработки и разработки регламентов актуализации до защиты при проверках РКН и оспаривания протоколов по ст. 13.11 КоАП. Практика по 152-ФЗ с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП в ред. ФЗ-420, защита от оборотных штрафов с 30.05.2025.