справочник 21 сентября 2026 По состоянию на 21 сентября 2026

Право на блокирование ПДн: 3 основания

Блокирование персональных данных — это временное прекращение обработки ПДн (кроме хранения), которое оператор обязан выполнить при наступлении одного из оснований, предусмотренных ст. 21 ФЗ-152.

Игнорирование требования субъекта или предписания РКН о блокировании влечёт штраф по ч. 5 ст. 13.11 КоАП: 50 000–90 000 ₽ за первичное нарушение, 300 000–500 000 ₽ за повторное (ч. 5.1). При этом юрист несёт личную ответственность за ненадлежащую организацию процесса реагирования.

→ Если вы юрист и выстраиваете порядок работы с обращениями субъектов — ниже разбор трёх оснований, процедуры и типовых ошибок.

Право на блокирование ПДн — одно из базовых прав субъекта по ст. 14 ФЗ-152. На практике юристы сталкиваются с тремя сценариями: субъект подал заявление напрямую, РКН выдал предписание, оператор выявил нарушение самостоятельно. Каждый сценарий регулируется отдельным механизмом с собственными сроками и последствиями. Понимание различий между основаниями — условие корректного реагирования.

Что такое блокирование ПДн и чем оно отличается от уничтожения?

Обработка персональных данных по ст. 3 ФЗ-152 — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Блокирование — временное прекращение всех действий с данными, кроме их хранения.

Уничтожение ПДн — окончательное прекращение существования данных. Различие принципиально: блокирование — временная мера до устранения нарушения или завершения проверки. Уничтожение — итоговое действие, которое следует за блокированием, если нарушение подтверждается или основание для дальнейшей обработки исчезает.

«Ст. 3 ФЗ-152 — блокирование: временное прекращение обработки ПДн (за исключением хранения).»

Оператор персональных данных по ст. 3 ФЗ-152 — юридическое или физическое лицо, самостоятельно или совместно с другими определяющее цели и состав обработки ПДн. Именно оператор обязан исполнить требование о блокировании в установленные сроки.

Субъект персональных данных — физическое лицо, которому принадлежат обрабатываемые данные. По ст. 14 ФЗ-152 субъект вправе требовать блокирования своих ПДн при наличии оснований, перечисленных в ст. 21 ФЗ-152.

Каковы три основания для блокирования ПДн по ст. 21 ФЗ-152?

Законодатель выделяет три самостоятельных механизма, каждый из которых порождает обязанность оператора заблокировать данные.

Основание 1. Обращение субъекта при наличии нарушений. Если субъект или его представитель обращается к оператору с заявлением, в котором указывает на неправомерную обработку, недостоверность, неполноту или нерелевантность ПДн, оператор обязан заблокировать спорные данные на период проверки заявления. Срок блокирования — до завершения проверки. Если нарушение подтверждается, оператор обязан уточнить или уничтожить данные и разблокировать остальные.

«Ст. 21 ч. 1 ФЗ-152 — при обращении субъекта с требованием об уточнении или устранении нарушений оператор обязан заблокировать ПДн на период проверки.»

Основание 2. Обращение субъекта при отзыве согласия или отсутствии правового основания. Если субъект отзывает согласие на обработку (ст. 9 ФЗ-152) или указывает, что оператор обрабатывает данные без законного основания по ст. 6 ФЗ-152, оператор обязан прекратить обработку. В случае, когда немедленное уничтожение данных технически невозможно, применяется промежуточная мера — блокирование до момента уничтожения. Срок уничтожения — не позднее 30 дней с момента получения обращения (если иное не предусмотрено договором, законом или сроком хранения документов).

Основание 3. Предписание РКН или выявление нарушения самим оператором. По ст. 21 ч. 3 ФЗ-152 оператор, самостоятельно выявивший незаконную обработку, обязан в трёхдневный срок заблокировать данные до устранения нарушения. Предписание РКН порождает аналогичную обязанность в сроки, указанные в предписании. Неисполнение влечёт ответственность по ч. 5 ст. 13.11 КоАП.

Выстраиваете порядок работы с обращениями субъектов?

Корректная процедура блокирования требует не только регламента, но и шаблонов ответов, журнала учёта обращений и разграничения полномочий между юристом и ответственным за обработку ПДн. Без этих элементов первое же требование субъекта создаёт риск штрафа по ч. 5 ст. 13.11 КоАП — 50 000–90 000 ₽, а при повторном нарушении — до 500 000 ₽. Юристы DATUM возьмут функцию ответственного по ст. 22.1 на абонентское обслуживание, включая ответы на запросы субъектов и ведение журнала обращений.

Подключить DPO-аутсорс

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как соотносятся принципы обработки ПДн с правом на блокирование?

Принципы обработки персональных данных закреплены в ст. 5 ФЗ-152. Обработка допустима только при соблюдении законности и добросовестности, конкретности целей, соответствия объёма целям и достаточности данных. Обработка, нарушающая хотя бы один принцип, — законное основание для блокирования по обращению субъекта.

На практике чаще всего блокирование требуется в четырёх ситуациях: оператор обрабатывает данные дольше, чем это необходимо для достижения цели; состав данных избыточен относительно заявленной цели; данные утратили актуальность; цель обработки достигнута, но данные не уничтожены. Во всех случаях субъект вправе направить обращение, ссылаясь на ст. 5 и ст. 21 ФЗ-152.

Правовые основания обработки ПДн перечислены в ст. 6 ФЗ-152: согласие субъекта, исполнение договора, исполнение обязанностей оператора по закону, защита жизненно важных интересов и ряд иных. Если ни одно из оснований не применимо — обработка незаконна и должна быть прекращена вплоть до уничтожения данных. Блокирование здесь — обеспечительная мера на период технического уничтожения.

Что подготовить для работы с требованиями о блокировании

Регламент работы с обращениями субъектов: сроки, ответственное лицо, форма ответа
Журнал учёта обращений субъектов с фиксацией даты, основания, принятых мер
Шаблоны ответов на три типа обращений: уточнение, отзыв согласия, незаконная обработка
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
Политика обработки ПДн с разделом о порядке реализации прав субъектов

Типовые ситуации: когда блокирование применяется на практике

Ситуация 1. Субъект требует блокирования после отзыва согласия. Бывший клиент интернет-магазина направляет письменное требование об отзыве согласия на обработку ПДн и прекращении рассылок. Оператор обязан прекратить обработку для целей маркетинга (ст. 9 ФЗ-152), заблокировать данные до их уничтожения и уведомить субъекта о принятых мерах. Если данные необходимы для исполнения договора — иное основание по ст. 6 сохраняется только в этой части. Вероятный исход при игнорировании: жалоба в РКН, штраф по ч. 5 ст. 13.11 КоАП, при повторности — до 500 000 ₽. Стратегия: разделить цели обработки и обеспечить раздельное блокирование по каждой.

Ситуация 2. РКН выявил обработку без основания в ходе проверки. Инспекция обнаружила, что оператор обрабатывает данные уволенных сотрудников за пределами установленных сроков хранения кадровых документов. Основание по ст. 6 ФЗ-152 отсутствует. РКН выдаёт предписание с требованием заблокировать данные в трёхдневный срок и уничтожить в 30-дневный. Стратегия: провести аудит сроков хранения по всем категориям ПДн до проверки, закрепить их в политике обработки.

Ситуация 3. Субъект оспаривает достоверность данных. Физическое лицо направляет оператору заявление о том, что хранимые данные (адрес, должность) устарели и используются в профилировании. Оператор обязан заблокировать спорные данные на период проверки (срок — 7 рабочих дней на уточнение по ст. 21 ФЗ-152). Если данные действительно недостоверны — уточнить и разблокировать. Стратегия: процедура верификации данных по заявлению субъекта должна быть закреплена в регламенте до поступления первого обращения.

Если в компании нет регламента работы с обращениями субъектов — первое требование о блокировании создаёт риск штрафа по ч. 5 ст. 13.11 КоАП. Срок ответа субъекту — 10 рабочих дней (ст. 20 ФЗ-152), и он не восстанавливается.

Подключить DPO-аутсорс

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Даже хранение данных без иных действий с ними считается обработкой и требует законного основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований. Ключевые: согласие субъекта (п. 1), исполнение договора с субъектом или по его поручению (п. 5), исполнение обязанностей оператора по закону (п. 2), защита жизненно важных интересов (п. 6). При отзыве согласия оператор обязан прекратить обработку, если нет иного основания из ст. 6.

3. Что грозит за нарушение 152-ФЗ?

За невыполнение требования субъекта или РКН о блокировании — штраф по ч. 5 ст. 13.11 КоАП: 50 000–90 000 ₽ для юрлица, при повторном нарушении — 300 000–500 000 ₽ (ч. 5.1). За утечку данных — до 15 000 000 ₽ (ч. 14 ст. 13.11). При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 000 000 ₽. Все нормы действуют в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024).

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 — да: оператор обязан уведомить РКН до начала обработки. Исключения перечислены в ч. 2 ст. 22 ФЗ-152 (данные работников в рамках трудового договора, однократный пропуск на территорию и ряд иных). Если ни одно исключение не применимо — уведомление обязательно независимо от размера компании. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП: 100 000–300 000 ₽.

5. С какого возраста нужно согласие на ПДн?

По общему правилу ФЗ-152 — с 18 лет. Для несовершеннолетних от 14 до 18 лет согласие дают они сами, однако в ряде случаев требуется согласие родителей или законных представителей. Для детей до 14 лет согласие дают исключительно родители или законные представители. Для образовательных организаций порядок обработки ПДн несовершеннолетних дополнительно регулируется Приказом Минобрнауки.

Итог

Право на блокирование ПДн — механизм обеспечения прав субъекта, встроенный в ст. 21 ФЗ-152. Три основания (обращение субъекта при нарушениях, отзыв согласия без иного правового основания, предписание РКН или самостоятельное выявление нарушения) требуют разных процедур реагирования с разными сроками. Юрист, выстраивающий комплаенс-систему, обязан описать каждый из этих треков в регламенте и обеспечить их исполнение.

Практика DATUM включает сопровождение операторов при поступлении обращений субъектов, разработку регламентов реагирования и организацию DPO-аутсорсинга по ст. 22.1 ФЗ-152. Среди клиентов — интернет-магазины, SaaS-платформы, маркетплейсы и компании с разветвлённой сетью подрядчиков-обработчиков.

Услуги DATUM по теме

DPO-аутсорсинг — ведение функции ответственного по ст. 22.1, ответы на запросы субъектов
Комплект ОРД под ключ — регламент работы с обращениями, журналы, шаблоны ответов субъектам
Аудит соответствия 152-ФЗ — проверка порядка реагирования на обращения и выявление пробелов

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности.

21 сентября 2026 года