Действия оператора при получении обращения субъекта ПДн: руководство для бизнеса

В текущих реалиях работа с обращениями субъектов персональных данных перестала быть формальностью и превратилась в один из важных бизнес-процессов. Грамотно выстроенная система реагирования не только защищает компанию от значительных штрафов по ст. 13.11 КоАП РФ, но и укрепляет доверие клиентов и партнеров.

Этот материал поможет выстроить этот процесс в компании без ошибок.

Первое действие — правильно определить, с каким именно запросом к вам пришел субъект. От этого зависят сроки и дальнейшие действия. Условно все обращения можно разделить на два основных типа.

Субъект вправе обратиться к оператору для получения информация об обработке его ПДн: цели, способы, сроки хранения, правовые основания и т. д. Таким образом субъект реализует право на доступ к персональным данным.

Требования к содержанию запроса:

• реквизиты документа, удостоверяющего личность (номер, дата выдачи, выдавший орган);
• информация, подтверждающая участие субъекта в отношениях с оператором (номер договора, логин, иные сведения), или подтверждающие факт обработки данных;
• подпись (в том числе электронной подписью в случае направления электронного документа).

Что делать, если запрос пришел на почту в виде скана

В судебной практике единый подход отсутствует.

С одной стороны, суды ссылаются на требования ч. 3 ст. 14 152-ФЗ и подчеркивают, что в случае направления запроса в форме электронного документа он должен быть подписан электронной подписью.

В случае ее отсутствия — оператор не может однозначно идентифицировать субъекта, а ответ на такой запрос может повлечь нарушение прав граждан в связи с раскрытием информации об обработке персональных данных. (Определение Восьмого кассационного суда общей юрисдикции от 01.07.2025 N 88−10 305/2025; Определение Восьмого кассационного суда общей юрисдикции от 04.12.2024 N 88−24 976/2024; Апелляционное определение Новосибирского областного суда от 01.10.2024 по делу N 33−9266/2024)

С другой стороны, встречается и иной подход — если запрос содержит все необходимые реквизиты по ч. 3 ст. 14 152-ФЗ, то этого достаточно для идентификации субъекта, поэтому оператору необходимо ответить на такой запрос.

Отдельно отмечается, что 152-ФЗ не ограничивает право субъектов персональных данных в выборе способа подачи запроса, поэтому он может быть направлен с помощью электронной почты (Апелляционное определение Новосибирского областного суда от 19.12.2023 по делу N 33−12 759/2023; Апелляционное определение Новосибирского областного суда от 04.04.2024 N 33−2488/2024). Поэтому в каждой конкретной ситуации оператор самостоятельно принимает решение с учетом риск-ориентированного подхода.

Действия оператора: проверить наличие в запросе всех реквизитов: паспорт, подтверждение обработки и подпись — при их отсутствии оператор вправе мотивированно отказать в предоставлении информации. Также важно удостовериться, что отсутствуют основания по ч. 8 ст. 14 152-ФЗ, в связи с наличием которых право субъекта ПДн на доступ к данным может быть ограничено.

Когда субъект может направить повторный запрос

Если субъект ПДн обратился к оператору с запросом о предоставлении сведений об обработке его данных и ему был предоставлен ответ, то направить запрос вновь субъект может не ранее, чем через 30 дней после первоначального обращения.

Но есть важное исключение — субъект может направить повторный запрос раньше, чем через 30 дней, если оператор не предоставил информацию в полном объеме по результатам рассмотрения первого обращения. Повторный запрос в таком случае должен содержать обоснование направления повторного запроса.

Действия оператора: проверить обоснованность направления повторного запроса — все ли запрашиваемые сведения оператор предоставил по первому запросу; истекли ли 30 дней после получения первого обращения; содержит ли такой запрос сведения по ч. 3 ст. 14 152-ФЗ (и если применимо — обоснование направления повторного запроса). Если оператор считает повторный запрос необоснованным, то может мотивированно отказать субъекту в его выполнении.

Требование о совершении действия (отзыв согласия, уточнение, блокирование, уничтожение) — субъект требует от оператора совершить конкретное действие. Здесь важно различать:

• Отзыв согласия на обработку (ст. 9 152-ФЗ). К форме отзыва согласия законодательством не предъявляется строгих требований — достаточно четкого волеизъявления субъекта.
• Требование об уточнении, блокировании или уничтожении ПДн (ст. 14 152-ФЗ). Может быть направлено, если данные неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели обработки.

Блокирование — временное прекращение обработки, необходимо для снижения рисков обработки неточных, неполных ПДн субъекта в период, когда данные уточняются оператором, а также на период проведения проверки обстоятельств неправомерной обработки данных.

Уничтожение — действие, в результате которых становится невозможным восстановить ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.

Если установлен факт неправомерной обработки

В случае установления факта неправомерной обработки ПДн субъекта оператор обязан:

• В течение 3 рабочих дней обеспечить правомерность обработки по основаниям, предусмотренным ст. 6 152-ФЗ;
• Если правомерность обеспечить невозможно, в течение 10 рабочих дней уничтожить неправомерно обрабатываемые данные;
• Если уничтожить в этот срок невозможно, то обеспечить блокирование и уничтожить данные в течение 6 месяцев.

Должно содержать ФИО, контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

Иные требования к содержанию такого запроса не установлены, и оператор не должен создавать дополнительные препятствия субъекту в реализации его прав. Если вы не уверены, что запрос о прекращении передачи поступил именно от субъекта, направьте письмо с подтверждением по привычным каналам связи, которые используются для коммуникации с субъектом.

В первой редакции Федерального закона от 14.07.2022 № 266-ФЗ были дополнительные чч. 1.1 и 1.2 ст. 14, которые предусматривали право субъекта требовать «прекращения обработки» — эти правки в 152-ФЗ так и не попали, а вот ч. 5.1 убрать забыли.

Таким образом в настоящей редакции 152-ФЗ содержится обязанность оператора прекратить обработку по запросу субъекта, если нет оснований п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 152-ФЗ.

После регистрации обращения в журнале и его классификации необходимо действовать в пределах строго установленных законом сроках.

В следующей таблице представлена информация по основным типам обращений и соответствующим им срокам.

При получении требования об уничтожении или отзыве согласия действуйте по следующему алгоритму:

1. Блокировка на период проверки. Обеспечьте прекращение обработки данных субъекта на время проверки.
2. Проверка правового основания. Определите, на каком основании (согласие, договор, закон или иные) обрабатывались данные. От этого зависит, можно ли продолжить обработку после отзыва согласия. Если иные основания отсутствуют — необходимо обеспечить уничтожение ПДн.
3. Определите места хранения ПДн: базы данных, бумажные носители, а также ваши информационные системы и системы ваших обработчиков (подрядчиков).
4. Фиксирование уничтожения. Обеспечьте фактическое уничтожение данных субъекта. Подтверждение - Акт об уничтожении в соответствии с Требованиями Роскомнадзора (Приказ № 179). Акт храните не менее 3 лет.
5. Работа с обработчиками. Направьте третьим лицам, обрабатывающим данные по вашему поручению, обязательное требование об уничтожении соответствующих ПДн и проконтролируйте его исполнение.
6. Уведомление субъекта. В установленные сроки направьте субъекту письменный ответ с информацией о предпринятых мерах или о законных основаниях для продолжения обработки.

Чтобы избежать нарушения сроков, процесс должен быть регламентирован.

Закон возлагает координацию этой работы на сотрудника, ответственного за организацию обработки ПДн. Именно он обеспечивает единую точку входа и контроль сроков.

Разработайте и утвердите Правила (Инструкцию) рассмотрения обращений субъектов ПДн. В документе пропишите:

• Процедуру регистрации входящих запросов.
• Маршруты и сроки передачи запросов в профильные отделы (кадры, IT, юристы).
• Закрепите шаблоны ответов и уведомлений.
• Порядок взаимодействия с обработчиками.

В Политике обработки ПДн на своем сайте вы можете рекомендовать удобные способы обращения (специальная форма, email), но не вправе отказывать в рассмотрении запроса, пришедшего иным законным способом (например, бумажным письмом), но не соответствующим вашим формам и шаблонам.

Невыполнение обязанности по предоставлению субъекту информации об обработке его данных ведет к административной ответственности по ч. 4 ст. 13.11 КоАП РФ: штраф для юридических лиц от 40 000 до 80 000 руб.

Например, в недавнем деле Арбитражный суд г. Москвы привлек банк к ответственности по ч. 4 ст. 13.11 КоАП РФ за нарушение порядка предоставления информации субъекту ПДн. Суд установил, что имеет место состав административного правонарушения, так как оператор ПДн не предоставил информацию об обработке данных в полном объеме, а также направил ответ с нарушением срока, частично проигнорировав выбранный субъектом способ получения информации (субъект просил направить по email и по почте, банк же направил только по email).

Невыполнение или несвоевременное выполнение законных требований субъекта или РКН об уточнении персональных данных, их блокировании или уничтожении ведет к административной ответственности по ч. 5 ст. 13.11 КоАП РФ: штраф для юридических лиц от 50 000 до 90 000 руб. (при повторном нарушении (ч. 5.1) — от 300 000 до 500 000 руб.).

Так, оператор связи не исполнил требование РКН и его привлекли к ответственности по ч. 5 ст. 13.11 КоАП РФ. Он не выполнил требование в части:

• конкретизации целей обработки в соответствии с целью договора об оказании услуг связи;
• исключения третьих лиц, в целях, не связанных с предметом договора об оказании услуг связи;
• реализации на сайте функционала, позволяющего клиенту отказаться от получения рекламной рассылки;
• приведению сроков по уничтожению и прекращению обработки клиентов в случае достижения цели обработки, а также в случае отзыва согласия в соответствие с требованиями ст. 21 152-ФЗ: в договоре было указано, что уничтожение производится в течение 1 года после отзыва согласия или прекращения договора (Постановление Второго кассационного суда общей юрисдикции от 14.11.2024 по делу N 16−6846/2024).

Выстроенная эффективная система работы с обращениями субъектов ПДн — это важное преимущество: она минимизирует юридические и репутационные риски, демонстрируя клиентам и партнерам уважение к их правам и зрелость вашей компании в области приватности и защиты данных.

Ключ к успеху — в системной, структурированной подготовке: назначьте ответственного, разработайте внутренний регламент, обучите сотрудников и рассматривайте каждый запрос как возможность повысить качество работы с персональными данными в вашей организации.

1) Какие реквизиты обязательны для запроса на предоставление информации об обработке ПДн (ст. 14 152-ФЗ)?

Реквизиты документа, удостоверяющего личность; информация, подтверждающая участие субъекта в отношениях с оператором (или подтверждающая факт обработки данных); подпись (в том числе электронной подписью в случае направления электронного документа).

2) Что делать, если запрос пришел на почту в виде скана?

В судебной практике единый подход отсутствует: встречается подход про необходимость электронной подписи для электронного документа и подход, при котором достаточно реквизитов по ч. 3 ст. 14 152-ФЗ. Каждый оператор принимает решение самостоятельно применительно к конкретному кейсу.

3) Когда субъект может направить повторный запрос по ст. 14 152-ФЗ?

Не ранее, чем через 30 дней после первоначального обращения. Исключение — если оператор не предоставил информацию в полном объеме по результатам рассмотрения первого обращения.

4) В какие сроки нужно предоставить сведения об обработке ПДн по запросу субъекта?

10 рабочих дней (возможно продление еще на 5 рабочих дней с мотивированным уведомлением субъекта).

5) В какие сроки нужно уточнить или уничтожить ПДн по требованию субъекта?

Уточнение — 7 рабочих дней с момента предоставления субъектом подтверждающих сведений. Уничтожение — 7 рабочих дней с момента подтверждения субъектом указанных обстоятельств.

6) Что обязан сделать оператор при установлении факта неправомерной обработки ПДн субъекта?

В течение 3 рабочих дней обеспечить правомерность обработки; если это невозможно — в течение 10 рабочих дней уничтожить неправомерно обрабатываемые данные; если уничтожить в этот срок невозможно — обеспечить блокирование и уничтожить данные в течение 6 месяцев.

7) Какие штрафы указаны за нарушения при работе с обращениями субъектов ПДн?

По ч. 4 ст. 13.11 КоАП РФ — от 40 000 до 80 000 руб. (для юридических лиц) за нарушение порядка предоставления информации. По ч. 5 ст. 13.11 КоАП РФ — от 50 000 до 90 000 руб. (при повторном нарушении (ч. 5.1) — от 300 000 до 500 000 руб.) за невыполнение/несвоевременное выполнение требований об уточнении, блокировании или уничтожении.