справочник 22 октября 2026 По состоянию на 22 октября 2026

Срок обработки ПДн: когда оператор обязан удалять

Срок обработки персональных данных — период, в течение которого оператор вправе хранить, использовать и иным образом обрабатывать ПДн. По истечении срока данные подлежат уничтожению или обезличиванию (ст. 5 ФЗ-152).

За нарушение условий хранения ПДн оператор рискует штрафом по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽, а при повторности — до 500 000 ₽. Хранить данные дольше, чем позволяет цель обработки, запрещает принцип минимизации (ст. 5 ФЗ-152).

→ Если вы юрист и проверяете комплаенс компании, этот справочник охватывает ключевые нормы о сроках, основаниях и обязанности удаления ПДн.

Вопрос о сроках обработки ПДн — один из наиболее частых при подготовке к проверке Роскомнадзора и формировании пакета ОРД. Ни ФЗ-152, ни подзаконные акты не устанавливают единый универсальный срок: он определяется целью обработки, правовым основанием, отраслевым законодательством и условиями согласия. Ниже — системный разбор норм, типовых сроков и оснований для удаления.

Что такое срок обработки ПДн и откуда он берётся?

Обработка персональных данных по ст. 3 ФЗ-152 — любое действие с ПДн: сбор, запись, хранение, уточнение, использование, передача, обезличивание, блокирование, уничтожение. Все эти действия допустимы только при наличии правового основания и только в объёме, необходимом для достижения конкретной цели (ст. 5 ФЗ-152).

Принцип ст. 5 ФЗ-152 прямо запрещает хранить ПДн дольше, чем требуется для достижения цели обработки. Как только цель достигнута или отпала — оператор обязан уничтожить данные либо обезличить их. Срок не назначается произвольно: он вытекает из совокупности трёх факторов.

«Ст. 5 ФЗ-152 — принцип хранения: ПДн не должны храниться дольше, чем этого требуют цели обработки. По достижении целей или при утрате необходимости оператор обязан уничтожить или обезличить данные.»

Три источника, из которых складывается конкретный срок:

Согласие субъекта (ст. 9 ФЗ-152). Если основанием обработки служит согласие, срок хранения указывается в самом согласии как обязательный реквизит. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом — срок должен быть явно прописан.
Отраслевое законодательство. Трудовые отношения, бухгалтерия, кредитные истории, медицинские документы — каждая сфера устанавливает собственные минимальные или обязательные сроки хранения.
Цель обработки и правовое основание (ст. 6 ФЗ-152). При обработке без согласия (договор, закон, жизненно важный интерес) срок определяется периодом действия договора, сроком исковой давности или иным объективным критерием.

Какие сроки установлены отраслевым законодательством?

Для юриста, проверяющего комплаенс, критически важно знать, что отраслевые нормы имеют приоритет над общими правилами ФЗ-152 в части минимальных сроков хранения. Уничтожить данные раньше обязательного срока — нарушение другого закона, позже допустимого — нарушение ФЗ-152.

Трудовые отношения (ТК РФ, Приказ Росархива № 236 от 20.12.2019). Личные дела работников, принятых после 2003 года, — 50 лет. Документы по расчёту заработной платы — 6 лет (при отсутствии лицевых счетов — 75 лет для документов до 2003 года). Документы о приёме на работу лиц, не принятых, — 3 года.
Бухгалтерский учёт (402-ФЗ, НК РФ). Первичные учётные документы — 5 лет. Документы, необходимые для исчисления налогов, — 5 лет с момента последнего использования (ст. 23 НК РФ).
Кредитные истории (218-ФЗ). БКИ хранит кредитную историю субъекта в течение 7 лет с даты последнего изменения.
Медицинские документы (323-ФЗ, приказы Минздрава). Амбулаторная карта — 25 лет; стационарная история болезни — 25 лет; карты детей — до достижения 18 лет и дополнительно 3 года. Данные составляют специальную категорию по ст. 10 ФЗ-152.
Договорные отношения. ПДн, обрабатываемые в рамках исполнения договора, хранятся в течение срока действия договора плюс срок исковой давности — как правило, 3 года (ст. 196 ГК РФ).

Нашли несоответствие в сроках хранения ПДн?

Если при проверке комплаенса вы обнаружили, что компания хранит данные без чёткого правового основания или за пределами допустимого срока, — это нарушение ст. 5 ФЗ-152. Каждая такая запись создаёт риск штрафа по ч. 1 ст. 13.11 КоАП. Срок на устранение после выявления нарушения РКН — фиксированный и не восстанавливается.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Когда оператор обязан удалить ПДн до истечения срока?

Срок обработки может прекратиться досрочно. Досрочное уничтожение ПДн — обязанность оператора в нескольких случаях, прямо предусмотренных ФЗ-152.

«Ст. 21 ФЗ-152 — при выявлении незаконной обработки оператор обязан прекратить обработку и уничтожить данные в течение 7 рабочих дней. При отзыве согласия — уничтожить или обезличить в течение 30 дней, если иное основание обработки отсутствует.»

Отзыв согласия субъектом (ст. 9 ФЗ-152). После получения отзыва оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней, если нет иного правового основания для их хранения.
Достижение цели обработки. Как только цель, ради которой собирались данные, достигнута — обработка подлежит прекращению немедленно. Пример: данные соискателя, которому отказано в трудоустройстве, хранятся не дольше 3 лет.
Требование субъекта об уничтожении (ст. 21 ФЗ-152). Субъект вправе потребовать уничтожения своих ПДн, если они обрабатываются незаконно или необоснованно. Срок исполнения — 7 рабочих дней с момента получения требования.
Незаконность обработки. Если оператор сам обнаружил, что основание обработки отсутствует или утратило силу, — обязан прекратить обработку и уничтожить данные в течение 7 рабочих дней.

Неисполнение требования субъекта или РКН об уничтожении ПДн в установленный срок влечёт ответственность по ч. 5 ст. 13.11 КоАП — штраф для юридического лица от 50 000 до 90 000 ₽, при повторности по ч. 5.1 — от 300 000 до 500 000 ₽.

Что проверить при аудите сроков хранения ПДн

Установлен ли срок хранения для каждой категории ПДн в политике обработки и согласиях (ст. 18.1, ст. 9 ФЗ-152)
Соответствуют ли сроки хранения в ИСПДн срокам, указанным в уведомлении РКН (ст. 22 ФЗ-152)
Определён ли порядок регулярного уничтожения ПДн по истечении сроков и кто за это отвечает
Предусмотрена ли процедура обработки запросов субъектов на уничтожение с соблюдением 7-дневного срока
Ведётся ли журнал уничтожения ПДн как доказательство исполнения обязанности перед РКН

Как сроки обработки отражаются в документах оператора?

Срок обработки — обязательный элемент нескольких видов документов, без которых комплаенс по ст. 18.1 ФЗ-152 невозможен.

Политика обработки персональных данных. Публичный документ на сайте оператора должен содержать срок обработки и порядок уничтожения ПДн по каждой категории. Отсутствие политики или её неполнота — основание для штрафа по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽.
Согласие на обработку ПДн (ст. 9 ФЗ-152). С 01.09.2025 согласие — отдельный документ. Обязательный реквизит: «срок, в течение которого действует согласие, а также способ его отзыва». Отсутствие срока делает согласие дефектным.
Уведомление в реестре РКН (ст. 22 ФЗ-152). В уведомлении указываются «срок обработки ПДн, в том числе срок их хранения». Несоответствие фактических сроков задекларированным — нарушение.
Локальные акты оператора. Приказы, регламенты, инструкции, описывающие жизненный цикл ПДн в каждой ИС, обязаны содержать порядок и периодичность уничтожения данных.

Если в политике и согласиях компании сроки хранения ПДн не указаны или расходятся с реестром РКН — это типичная находка при проверке. Юристы DATUM проверят документы по чек-листу из 38 пунктов и устранят несоответствия.

Заказать аудит 152-ФЗ

Типовые ситуации: как применяется норма на практике

Ситуация 1. Хранение резюме соискателей без ограничения срока. Компания собирала резюме через сайт без указания срока хранения в согласии. Роскомнадзор при проверке установил, что данные соискателей хранились более 5 лет после отказа в трудоустройстве. Основание для обработки (согласие) не содержало срока, а после достижения цели — подбора персонала — данные не уничтожались. РКН выдал предписание и составил протокол по ч. 1 ст. 13.11 КоАП. Стратегия: вносить в согласие срок «до закрытия вакансии, но не более 1 года», предусмотреть регламент ежегодной очистки базы соискателей.

Ситуация 2. Требование субъекта об уничтожении данных клиента. Бывший клиент интернет-магазина направил письменное требование об уничтожении своих ПДн через форму на сайте. Оператор не ответил в течение 7 рабочих дней и не уничтожил данные. Субъект подал жалобу в РКН. По итогам внеплановой проверки составлен протокол по ч. 5 ст. 13.11 КоАП (штраф 50–90 тыс. ₽ для юрлица). Стратегия: ввести журнал входящих запросов субъектов, назначить ответственного по ст. 22.1 ФЗ-152, установить SLA 5 рабочих дней на обработку требования с запасом до законного 7-дневного срока.

Ситуация 3. Расхождение срока в уведомлении РКН и фактических системах. Юрист при аудите крупного ретейлера (Уральский ФО, начало 2026 года) обнаружил, что в уведомлении в реестре РКН срок хранения данных покупателей указан «3 года», тогда как в CRM данные хранились бессрочно. Это нарушение ст. 5 и ст. 22 ФЗ-152 одновременно. До проверки оператор самостоятельно скорректировал уведомление и установил автоматическое удаление записей через 3 года — что было учтено как смягчающее обстоятельство. ⚠️ Номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка сроков хранения и оснований обработки по всем категориям ПДн
Комплект ОРД под ключ — политика, согласия со сроками, регламент уничтожения, журналы
DPO-аутсорсинг — ответы на запросы субъектов об уничтожении в срок по ст. 22.1 ФЗ-152

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, уничтожение. Хранение резюме, ведение базы клиентов, отправка рассылки — всё это обработка. Каждое действие должно иметь правовое основание по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 устанавливает 11 правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора, стороной которого является субъект (п. 5), исполнение оператором обязанности, предусмотренной законом (п. 2). Обработка данных сотрудников, как правило, опирается на ст. 86–88 ТК РФ в сочетании со ст. 6 ФЗ-152. Без правового основания обработка незаконна независимо от наличия согласия.

3. Что грозит за нарушение 152-ФЗ?

В зависимости от состава нарушения — административная ответственность по ст. 13.11 КоАП: от 30 000 ₽ (отсутствие политики, ч. 3) до 500 млн ₽ оборотного штрафа при повторной крупной утечке (ч. 15). За хранение ПДн дольше допустимого срока — ч. 1 ст. 13.11 КоАП: 150 000–300 000 ₽ для юрлица. При повторности — до 500 000 ₽. С 11.12.2024 за незаконный сбор и хранение ПДн в информационных системах действует уголовная ответственность по ст. 272.1 УК РФ.

4. Нужно ли уведомлять РКН малому бизнесу?

Обязанность уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) распространяется на всех операторов. Исключения — исчерпывающий перечень в ч. 2 ст. 22: обработка данных только работников оператора, данные для разового пропуска на территорию, необщедоступные данные без автоматизированных средств и ряд других. Если хотя бы одно из условий не соблюдено — уведомление обязательно независимо от размера бизнеса. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

Итог

Срок обработки ПДн — не произвольная величина, а следствие правового основания, цели обработки и отраслевого законодательства. Хранить данные дольше — нарушение принципа минимизации ст. 5 ФЗ-152; уничтожить раньше обязательного отраслевого срока — нарушение иного закона. Задача юриста при комплаенс-аудите — выстроить матрицу «категория ПДн × основание × срок × ответственный за уничтожение» для каждой ИС и точки сбора данных.

Юристы DATUM сопровождают операторов при подготовке к проверкам Роскомнадзора: проверяют соответствие сроков в ОРД, реестре РКН и фактических системах, формируют регламент уничтожения и журналы как доказательную базу.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 ФЗ-152 в редакции с 01.09.2025, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

22 октября 2026 года