Перейти к содержанию
справочник 17 декабря 2026 По состоянию на 17 декабря 2026

Когда оператор может отказать в доступе к ПДн

Оператор персональных данных вправе отказать субъекту в доступе к его ПДн только в случаях, прямо предусмотренных ФЗ-152 — в остальных ситуациях отказ незаконен и влечёт штраф по ч. 4 ст. 13.11 КоАП.
С 30.05.2025 за непредоставление субъекту информации об обработке его ПДн юрлицо платит 40 000 — 80 000 ₽ по ч. 4 ст. 13.11 КоАП, а повторное невыполнение требования об уточнении или уничтожении ПДн — до 500 000 ₽ по ч. 5.1.
Если вы юрист компании и готовите ответ на запрос субъекта — проверьте, есть ли у вас законное основание для отказа, иначе это протокол РКН.

Запросы субъектов ПДн участились после ужесточения ответственности по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024. Субъект вправе потребовать доступ к своим данным, их уточнение, блокирование и уничтожение. Оператор обязан ответить в течение 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта (ст. 20 ФЗ-152). Законных оснований для отказа немного, и каждое из них требует документального подтверждения.

Что такое право доступа субъекта и как оно закреплено в 152-ФЗ?

Право субъекта на доступ к своим персональным данным закреплено в ст. 14 ФЗ-152. Субъект вправе требовать от оператора подтверждения факта обработки ПДн, получить перечень обрабатываемых данных, узнать цели обработки, правовые основания, способы обработки, сроки, источники получения данных, а также сведения о третьих лицах, которым передаются ПДн.

«Ст. 14 ФЗ-152: субъект персональных данных вправе требовать от оператора уточнения, блокирования или уничтожения ПДн, если они неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели обработки.»

Право доступа производно от принципов обработки ПДн (ст. 5 ФЗ-152): данные должны быть точными, обрабатываться только в рамках заявленных целей и уничтожаться при их достижении. Если оператор не может доказать соответствие этим принципам, он обязан выполнить требование субъекта, а не отказать ему.

Субъект персональных данных по ст. 3 ФЗ-152 — физическое лицо, которое прямо или косвенно определяется через обрабатываемые оператором персональные данные. Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующий обработку ПДн.

В каких случаях оператор вправе отказать в доступе к ПДн?

Закрытый перечень оснований для отказа содержится в ч. 8 ст. 14 ФЗ-152. Оператор вправе отказать, если:

  • обработка ПДн, включая полученные в результате оперативно-розыскной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
  • обработка ПДн осуществляется органами, осуществившими задержание субъекта по подозрению в совершении преступления, либо предъявившими обвинение по уголовному делу;
  • предоставление ПДн нарушает конституционные права и свободы других лиц;
  • субъект не является лицом, которому адресовано требование (т. е. запрос поступил от ненадлежащего лица или полномочия представителя не подтверждены).

Помимо этого, оператор вправе не уничтожать и не блокировать ПДн, если обработка необходима для достижения целей, предусмотренных законом (например, исполнение судебного акта, налоговый контроль, исполнение договора), либо если существуют иные правовые основания обработки по ст. 6 ФЗ-152, не требующие согласия субъекта.

«Ч. 8 ст. 14 ФЗ-152: оператор обязан сообщить субъекту мотивированный отказ в течение срока, установленного ст. 20 ФЗ-152, — не позднее 10 рабочих дней с даты поступления обращения.»

Получили запрос от субъекта ПДн — как квалифицировать и ответить?

Ошибка в квалификации запроса субъекта — это либо незаконный отказ (штраф по ч. 4 ст. 13.11, 40 000 — 80 000 ₽), либо раскрытие данных без основания (риск по ч. 1 ст. 13.11). Юристы DATUM возьмут функцию ответственного за обработку ПДн на аутсорс: обработка запросов субъектов, ответы в сроки по ст. 20 ФЗ-152, ведение журнала обращений.

Подключить DPO-аутсорс

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что оператор обязан указать в мотивированном отказе?

Мотивированный отказ — письменный документ, направляемый субъекту в течение 10 рабочих дней, в котором оператор указывает конкретное правовое основание из ч. 8 ст. 14 ФЗ-152, ссылку на норму закона или иного нормативного акта, а также разъясняет право субъекта на обжалование отказа в Роскомнадзор или в судебном порядке.

Немотивированный отказ или отказ со ссылкой на коммерческую тайну, корпоративную политику или «технические ограничения» — не является законным. РКН квалифицирует такой отказ как нарушение ч. 4 ст. 13.11 КоАП.

Что включить в мотивированный отказ

  • Дата и входящий номер обращения субъекта (журнал обращений).
  • Ссылка на конкретный пункт ч. 8 ст. 14 ФЗ-152 как основание отказа.
  • Краткое фактическое обоснование применимости основания к данной ситуации.
  • Указание на право субъекта обжаловать отказ в РКН или в суд.
  • Подпись ответственного за обработку ПДн по ст. 22.1 ФЗ-152.

Как отличить законный отказ от незаконного: типовые ситуации

Ситуация 1. Субъект требует удалить данные, необходимые для исполнения договора. Если оператор обрабатывает ПДн на основании п. 5 ч. 1 ст. 6 ФЗ-152 (договор с субъектом) и договор ещё действует, требование об уничтожении данных правомерно отклонить. Оператор указывает в ответе: обработка необходима для исполнения договора, срок — до момента его прекращения или истечения срока хранения. После прекращения договора основание обработки исчезает — оператор обязан уничтожить ПДн в течение 30 дней.

Ситуация 2. Субъект требует доступ, но запрос подан без подтверждения личности. Если запрос поступил по электронной почте без подписи, без копии документа или без УКЭП, оператор вправе запросить дополнительное подтверждение. До его получения срок ответа не течёт. При этом оператор обязан уведомить субъекта о необходимости идентификации — это не отказ по существу, но документировать нужно.

Ситуация 3. Субъект требует уничтожить данные, хранение которых обязательно по закону. Обязанность хранить данные может вытекать из налогового законодательства (5 лет — ФНС), трудового (75 лет — личное дело), архивного. В этом случае оператор отказывает в уничтожении до истечения обязательного срока, указывая конкретную норму. Блокирование данных на этот период — возможный компромисс.

Если юрист компании ведёт реестр обращений субъектов вручную — риск пропустить срок 10 рабочих дней по ст. 20 ФЗ-152 высок. DPO-аутсорс DATUM ведёт журнал, готовит ответы и сигнализирует о дедлайнах.

Подключить DPO-аутсорс

Как это применяется на практике

Кейс 1. Розничная сеть (Центральный ФО, осень 2025) получила требование субъекта об уничтожении данных покупателя программы лояльности. Юрист компании направил отказ, сославшись на «внутреннюю политику хранения». РКН по жалобе субъекта возбудил дело по ч. 5 ст. 13.11 КоАП (штраф 50 000 — 90 000 ₽ для юрлица). В ходе разбирательства выяснилось, что правового основания для дальнейшей обработки ПДн не существовало — договор был расторгнут. Оператор уплатил штраф и уничтожил данные.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) получила запрос субъекта о предоставлении перечня обрабатываемых данных. Юрист направил ответ в срок, указал перечень данных, цели и основания обработки. Субъект оспорил полноту ответа в РКН, однако регулятор нарушений не выявил — документация соответствовала требованиям ст. 14 и ст. 18.1 ФЗ-152. Ключевым доказательством стал журнал обращений и подписанная политика обработки ПДн.

Услуги DATUM по теме

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — это любое действие или совокупность действий, совершаемых с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Даже хранение данных в Excel-файле без какой-либо иной работы с ними — это обработка.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанности оператора по закону (п. 2). Согласие не требуется, если обработка необходима для исполнения договора или прямо предусмотрена законом. С 01.09.2025 согласие по ст. 9 ФЗ-152 оформляется отдельным документом (ФЗ-156 от 24.06.2025).

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП в редакции с 30.05.2025 — от 30 000 до 15 000 000 ₽ за первичное нарушение в зависимости от состава. Повторная утечка данных более 100 000 субъектов может повлечь оборотный штраф по ч. 15 — от 1 до 3% годовой выручки, но не менее 20 000 000 ₽. С 11.12.2024 действует ст. 272.1 УК РФ: незаконное использование ПДн из компьютерных систем — до 10 лет лишения свободы (ч. 5).

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 уведомить РКН обязан любой оператор ПДн до начала обработки. Исключения установлены ч. 2 ст. 22 ФЗ-152 (например, обработка только в рамках трудовых отношений с работниками, обработка ПДн членов общественных объединений и ряд других). Если деятельность компании не подпадает под исключения — уведомление обязательно вне зависимости от размера бизнеса. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП: 100 000 — 300 000 ₽.

Итог

Право оператора отказать субъекту в доступе к ПДн ограничено закрытым перечнем оснований ч. 8 ст. 14 ФЗ-152. Любой иной отказ — незаконен и влечёт штраф. Мотивированный отказ должен содержать конкретную норму, фактическое обоснование и разъяснение права на обжалование.

Юристы DATUM сопровождают операторов при обработке запросов субъектов, ведут журналы обращений и готовят ответы в сроки по ст. 20 ФЗ-152 — в рамках DPO-аутсорсинга и разовых поручений.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия субъектов и работников по ст. 9 ФЗ-152 (ред. ФЗ-156), обработка через КЭДО, ответы на запросы субъектов, проверки РКН.

17 декабря 2026 года