ГрамотаИБ ГрамотаИБ

Права субъекта персональных данных и как оператору на них отвечать

Редакция ГрамотаИБ · Опубликовано 01.07.2026

Какие права 152-ФЗ даёт субъекту персональных данных (доступ к своим данным, уточнение, блокирование и уничтожение, отзыв согласия, возражение против рекламной рассылки, обжалование) и как оператору правильно и вовремя на них отвечать: в какие сроки (10 и 5 рабочих дней, 30 дней на уничтожение), что должно быть в запросе, когда можно отказать и как выстроить процесс обработки обращений.

152-ФЗ даёт гражданину (субъекту персональных данных) набор прав, а оператору — обязанность реагировать на обращения в сжатые сроки. Неправильный или несвоевременный ответ — одна из частых причин жалоб в Роскомнадзор и штрафов. Разберём, какие права есть у субъекта и как оператору отвечать правильно и вовремя.

Какие права есть у субъекта ПДн

  • Доступ к своим данным и сведениям об обработке (статья 14 152-ФЗ): в частности, подтверждение факта обработки, её правовые основания и цели, состав обрабатываемых данных и источники, сроки обработки и хранения, наименование и адрес оператора, сведения о лицах, которым данные могут передаваться, и о трансграничной передаче.
  • Уточнение, блокирование или уничтожение данных, если они неполные, неточные, устаревшие, незаконно полученные или не нужны для заявленной цели (статьи 14 и 21).
  • Отзыв согласия на обработку (статья 9): оператор прекращает обработку, если нет иного законного основания, и уничтожает данные.
  • Возражение против обработки в целях продвижения товаров и услуг (рекламные рассылки, статья 15): по требованию субъекта оператор обязан немедленно прекратить такую обработку.
  • Защита при автоматизированном принятии решений (статья 16): решение, порождающее юридические последствия, не может приниматься только на основе автоматизированной обработки без согласия субъекта; субъект вправе заявить возражение.
  • Обжалование действий или бездействия оператора в Роскомнадзор или в суд, а также право на возмещение убытков и компенсацию морального вреда (статья 17).

Каким должен быть запрос субъекта

Чтобы не раскрыть данные постороннему, оператор должен убедиться, что обращение исходит именно от субъекта или его представителя. По статье 14 запрос содержит: номер основного документа, удостоверяющего личность субъекта (или представителя), сведения о дате его выдачи и выдавшем органе, сведения, подтверждающие участие субъекта в отношениях с оператором (например, номер договора) либо иным образом подтверждающие факт обработки, а также подпись субъекта или представителя. Запрос можно направить и в электронной форме, подписав в соответствии с законодательством.

Сроки ответа — самое важное

  • Запрос о доступе к данным — оператор предоставляет сведения в течение 10 рабочих дней с даты получения запроса. Срок можно продлить не более чем на 5 рабочих дней, направив субъекту мотивированное уведомление (статья 20).
  • Отзыв согласия или достижение цели — прекратить обработку и уничтожить данные в срок, не превышающий 30 дней, если иное не предусмотрено законом и нет другого основания обработки (статья 21).
  • Выявлена неправомерная обработка или неточные данные — оператор блокирует данные и устраняет нарушение либо уточняет данные в установленные статьёй 21 сроки.
  • Возражение против рекламной рассылки — прекратить обработку для этих целей немедленно (статья 15).

Когда оператор вправе отказать

  • Право на доступ может быть ограничено в случаях, перечисленных в статье 14 (в частности, если обработка ведётся в целях обороны и безопасности, оперативно-розыскной деятельности, или если доступ нарушит права третьих лиц). Отказ должен быть мотивированным.
  • Повторный запрос о доступе субъект обычно направляет не ранее чем через 30 дней после первого; раньше — только если в первый раз сведения не были предоставлены в полном объёме, и с обоснованием причины повторного обращения. Не отвечающий этим условиям повторный запрос оператор вправе отклонить (статья 14).
  • Сведения предоставляются в доступной форме и без раскрытия персональных данных третьих лиц.

Как выстроить процесс ответа

  • назначить ответственного и утвердить регламент (порядок) рассмотрения обращений субъектов с контролем сроков;
  • вести журнал учёта обращений субъектов: дата получения, суть, срок, результат (см. какие журналы проверяет РКН);
  • подготовить шаблоны ответов: предоставление сведений, уточнение, прекращение обработки и уничтожение, мотивированный отказ;
  • описать порядок реализации прав субъектов и контакты для обращений в политике обработки ПДн;
  • держать под контролем сроки 10, 5 и 30 — просрочка ответа сама по себе становится нарушением и поводом для жалобы.

Порядок отзыва согласия и виды согласий разобраны в статье «Согласие на обработку ПДн», а действия при утечке — в статье «Утечка ПДн: алгоритм действий».

Главное

Субъект персональных данных вправе получить доступ к своим данным и сведениям об обработке, потребовать их уточнения, блокирования или уничтожения, отозвать согласие, возразить против рекламной рассылки и обжаловать действия оператора. Оператор обязан отвечать в сроки: 10 рабочих дней на запрос о доступе (с продлением не более чем на 5), 30 дней на уничтожение при отзыве согласия или достижении цели, немедленно — на возражение против рекламы. Отказать можно лишь в установленных законом случаях и мотивированно, не раскрывая данные третьих лиц. Чтобы укладываться в сроки, заранее выстройте процесс: ответственный, регламент, журнал обращений, шаблоны ответов и порядок в политике.

Частые вопросы

В какой срок оператор должен ответить на запрос субъекта о его данных?

В течение 10 рабочих дней с даты получения запроса. Срок можно продлить не более чем на 5 рабочих дней, направив субъекту мотивированное уведомление (статья 20 152-ФЗ).

Что делать оператору при отзыве согласия?

Прекратить обработку, если нет иного законного основания, и уничтожить персональные данные в срок, не превышающий 30 дней (статья 21 152-ФЗ).

Может ли оператор отказать в предоставлении данных субъекту?

Да, в установленных статьёй 14 152-ФЗ случаях (например, если доступ затрагивает права третьих лиц или обработка ведётся в целях обороны, безопасности, оперативно-розыскной деятельности) — отказ должен быть мотивированным. Повторный запрос субъект обычно направляет не ранее чем через 30 дней (раньше — только если сведения не были предоставлены в полном объёме, с обоснованием); не отвечающий этим условиям повторный запрос можно отклонить.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Достаточность и обоснованность персональных данных: как понять, сколько собирать

Что такое достаточность и обоснованность персональных данных с точки зрения Роскомнадзора: принципы статьи 5 152-ФЗ (соответствие объёма целям и недопустимость избыточности, достаточность данных для цели) и как оператору понять, в каком объёме собирать данные. Практический алгоритм определения состава под цель, частые ошибки избыточного сбора и как обосновать состав документально.

Сколько хранить персональные данные

Сколько времени оператор должен хранить персональные данные: почему единого срока в 152-ФЗ нет, как срок зависит от цели обработки, основания и требований других законов (налоговых, бухгалтерских, кадровых), ориентиры по типам данных (кадры по перечню Росархива, бухгалтерия и налоги — 5 лет, договоры — срок исковой давности), что делать по истечении срока (уничтожение или обезличивание) и как составить номенклатуру сроков.

Журнал посетителей и выдачи ключей на проходной: это обработка ПДн? Как выполнить требования РКН

Являются ли журналы посетителей и выдачи ключей сотрудникам, которые ведёт охрана на проходной, обработкой персональных данных и как выполнить требования Роскомнадзора. Разбираем, почему это ПДн даже на бумаге, кто оператор и при чём здесь ЧОП, на каком основании ведётся обработка, нужно ли согласие и как организовать минимизацию, информирование, хранение и сроки.

Школа собирает данные родителей через Яндекс Форму: насколько это законно

Школы всё чаще собирают анкеты родителей через онлайн-формы (Яндекс Формы, Google Формы). Разбираем, законно ли это по 152-ФЗ: почему школа здесь оператор, а сервис форм — обработчик, чем Яндекс Формы выгодно отличаются от зарубежных по локализации, что обязательно должно быть в самой форме (ссылка на политику, согласие, минимизация полей) и как не собрать лишнего. Рекомендации и типичные ошибки.