Перейти к содержанию
справочник 1 октября 2026 По состоянию на 1 октября 2026

Право на доступ к своим ПДн по ст. 14 152-ФЗ

Право субъекта на доступ к собственным персональным данным закреплено в ст. 14 152-ФЗ: каждый вправе узнать, какие его данные обрабатывает оператор, на каком основании и в каких целях.
Оператор обязан ответить на запрос субъекта в течение 10 рабочих дней. Отказ или нарушение порядка ответа влечёт штраф по ч. 4 ст. 13.11 КоАП — от 40 000 до 80 000 руб. для юридического лица.
Если вы юрист и выстраиваете процедуру ответов на запросы субъектов — этот справочник охватывает все ключевые нормы: от понятийного аппарата ст. 3 до оснований обработки по ст. 6. Разберём, что обязан предоставить оператор и как избежать нарушений. →

Право на доступ к своим персональным данным — одно из базовых прав субъекта по российскому законодательству. Юрист, выстраивающий комплаенс по 152-ФЗ, сталкивается с ним в нескольких сценариях: входящий запрос от работника или клиента, жалоба в РКН, предписание по итогам проверки. Ниже — системный разбор понятий, оснований и обязанностей оператора в редакции, действующей с учётом поправок 2025 года.

Что такое персональные данные и кто их обрабатывает?

Основные понятия закреплены в ст. 3 152-ФЗ. Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту). Перечень открытый: фамилия, телефон, email, IP-адрес, сведения о доходах — всё это ПДн при наличии связи с конкретным человеком.

Оператор ПДн — государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели и состав обрабатываемых данных. Именно оператор несёт ответственность перед субъектом и РКН.

Субъект персональных данных — физическое лицо, чьи данные обрабатываются. Субъектом может быть клиент, работник, контрагент-физлицо, пользователь сайта.

«Ст. 3 152-ФЗ: обработка ПДн — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.»

Обработка персональных данных охватывает весь жизненный цикл данных — от сбора до уничтожения. Важно: даже простое хранение базы данных с ФИО сотрудников уже является обработкой и требует соблюдения 152-ФЗ.

Какие принципы обработки ПДн обязан соблюдать оператор?

Статья 5 152-ФЗ устанавливает семь принципов обработки персональных данных. Нарушение любого из них — самостоятельное основание для привлечения к ответственности по ст. 13.11 КоАП.

Принципы обработки ПДн по ст. 5 152-ФЗ:

  • Законность и справедливость — обработка допустима только при наличии правового основания из ст. 6.
  • Конкретные и заранее определённые цели — оператор обязан зафиксировать цели до начала обработки; менять их в процессе нельзя.
  • Несовместимость баз с несовместимыми целями — объединять базы данных, созданных для разных целей, запрещено.
  • Соответствие объёма целям — собирать можно только те данные, которые необходимы для конкретной цели.
  • Точность и достаточность — данные должны быть достоверными; устаревшие — удаляться или уточняться.
  • Не дольше необходимого — хранение прекращается при достижении цели или утрате необходимости.
  • Уничтожение или обезличивание по достижении цели — оператор обязан уничтожить или обезличить данные, когда цель обработки исчерпана.

Выстраиваете процедуру ответов на запросы субъектов?

Нарушение порядка ответа субъекту — штраф от 40 000 до 80 000 руб. по ч. 4 ст. 13.11 КоАП. Если у вас нет регламента обработки обращений и журнала учёта запросов, риск санкций при первой же проверке РКН существенен. Юристы DATUM возьмут функцию ответственного по ст. 22.1 на абонентское обслуживание: ответы на запросы субъектов, ведение журналов, взаимодействие с РКН.

Подключить DPO-аутсорс

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

На каком основании оператор вправе обрабатывать ПДн?

Статья 6 152-ФЗ содержит закрытый перечень из одиннадцати правовых оснований обработки. Обработка без хотя бы одного из них — нарушение ч. 1 ст. 13.11 КоАП, штраф для юрлица от 150 000 до 300 000 руб.

Основные правовые основания обработки ПДн по ст. 6 152-ФЗ:

  • Согласие субъекта (п. 1 ч. 1 ст. 6) — универсальное основание; требования к составу закреплены в ст. 9. С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025).
  • Федеральный закон (п. 2 ч. 1 ст. 6) — обязательная обработка, прямо предусмотренная законом: налоговый учёт, ведение личных дел работников (ст. 86–88 ТК РФ), воинский учёт.
  • Исполнение договора (п. 5 ч. 1 ст. 6) — обработка данных стороны договора или лица, в пользу которого заключён договор. Типичный пример — обработка ПДн покупателя при исполнении договора купли-продажи.
  • Судопроизводство и исполнение судебных актов (п. 3 ч. 1 ст. 6) — обработка для исполнения судебного решения, приговора, иного акта.
  • Жизненно важные интересы субъекта или третьих лиц (п. 6 ч. 1 ст. 6) — когда получить согласие невозможно, а обработка необходима для защиты жизни или здоровья.
  • Законные интересы оператора (п. 7 ч. 1 ст. 6) — при условии, что интересы оператора не противоречат правам субъекта; применяется ограниченно и требует обоснования.
«Ст. 6 ч. 1 152-ФЗ: обработка ПДн допускается при наличии хотя бы одного из перечисленных оснований. Отсутствие основания — нарушение независимо от наличия согласия.»

Что включает право на доступ к своим данным по ст. 14 152-ФЗ?

Статья 14 152-ФЗ закрепляет право субъекта на получение от оператора информации об обработке его персональных данных. Это право реализуется через письменный или электронный запрос.

Право на доступ к ПДн включает получение следующих сведений:

  • подтверждение факта обработки данных оператором;
  • правовые основания и цели обработки;
  • применяемые способы обработки;
  • наименование и место нахождения оператора, сведения об иных лицах, имеющих доступ к данным;
  • перечень обрабатываемых ПДн, относящихся к субъекту, и их источник;
  • сроки обработки, включая сроки хранения;
  • порядок реализации субъектом своих прав по 152-ФЗ;
  • информация о трансграничной передаче данных (если осуществляется);
  • наименование или имя лица, осуществляющего обработку по поручению оператора (при наличии).
«Ст. 14 ч. 7 152-ФЗ: оператор вправе отказать в предоставлении информации субъекту, если обработка осуществляется в целях обороны, государственной безопасности, охраны правопорядка. Перечень оснований отказа закрытый.»

Срок ответа на запрос субъекта — 10 рабочих дней с даты получения обращения (ст. 20 152-ФЗ). Если оператору требуется дополнительное время — он вправе продлить срок ещё на 5 рабочих дней, уведомив субъекта. Нарушение этого срока или немотивированный отказ влечёт ответственность по ч. 4 ст. 13.11 КоАП.

Какие категории ПДн требуют особого правового режима?

Закон выделяет три категории данных с повышенным режимом защиты.

Специальные категории ПДн (ст. 10 152-ФЗ) — расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь, сведения о судимости. Обработка по общему правилу запрещена; исключения исчерпывающе перечислены в ч. 2 ст. 10. Утечка спецкатегорий квалифицируется по ч. 12–14 ст. 13.11 КоАП (от 3 до 15 млн руб. в зависимости от числа пострадавших субъектов).

Биометрические ПДн (ст. 11 152-ФЗ) — данные, характеризующие физиологические и биологические особенности человека: изображение лица, голос, отпечатки пальцев, радужная оболочка, ДНК. Обработка допустима только с письменного согласия субъекта (исключения — в ч. 2 ст. 11). Утечка биометрии — штраф от 15 до 20 млн руб. по ч. 17 ст. 13.11 КоАП (в редакции с 30.05.2025).

ПДн, разрешённые субъектом для распространения (ст. 10.1 152-ФЗ) — данные, которые субъект сам сделал общедоступными. Для их распространения оператором требуется отдельное согласие. Если субъект не дал такого согласия явно — данные могут обрабатываться только в интересах оператора, но не распространяться.

Что подготовить для соблюдения права на доступ

  • Регламент обработки запросов субъектов с фиксацией даты получения и сроков ответа (10 рабочих дней).
  • Журнал учёта обращений субъектов за последние 12 месяцев с входящими датами и статусами.
  • Шаблон ответа на запрос по ст. 14 152-ФЗ с перечнем обязательных сведений.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 152-ФЗ.
  • Актуальная политика обработки ПДн с открытым доступом на сайте (ч. 2 ст. 18.1 152-ФЗ).

Какие нарушения права на доступ чаще всего выявляет РКН?

На практике Роскомнадзор фиксирует три типичных нарушения при обработке запросов субъектов.

Сценарий 1. Ответ за пределами срока. Запрос субъекта поступил в бухгалтерию по email, не был передан ответственному за ПДн, 10-дневный срок истёк. Субъект подал жалобу в РКН. По итогам проверки оператору выставлен протокол по ч. 4 ст. 13.11 КоАП. Штраф для юрлица — от 40 000 до 80 000 руб. Стратегия защиты: доказать факт получения запроса позже указанной даты либо подтвердить наличие продления на 5 рабочих дней с уведомлением субъекта.

Сценарий 2. Необоснованный отказ. Оператор отказал в предоставлении сведений, сославшись на коммерческую тайну. Однако перечень оснований отказа по ст. 14 152-ФЗ закрытый; коммерческая тайна в него не входит. В торговой компании Сибирского ФО (осень 2025) такой отказ повлёк предписание РКН и штраф в диапазоне от 40 000 до 80 000 руб. Стратегия: предоставлять запрошенные сведения в полном объёме; отказывать только при наличии прямо предусмотренных оснований из ч. 7 ст. 14 152-ФЗ.

Сценарий 3. Неполный ответ. Оператор подтвердил факт обработки, но не указал правовое основание и не сообщил о трансграничной передаче данных в аналитический сервис. Субъект направил повторную жалобу. Оператор привлечён повторно по ч. 5.1 ст. 13.11 КоАП (штраф от 300 000 до 500 000 руб. для юрлица). Стратегия: использовать шаблон ответа с чек-листом обязательных сведений по ст. 14 152-ФЗ.

Если вы юрист и в компании нет регламента ответов на запросы субъектов — повторное нарушение срока или неполный ответ дают РКН основание для протокола по ч. 5.1 ст. 13.11 КоАП (от 300 000 до 500 000 руб.). Юристы DATUM возьмут функцию DPO на абонентское обслуживание с первого дня.

Подключить DPO-аутсорс

Услуги DATUM по теме

  • DPO-аутсорсинг — функция ответственного за обработку ПДн по ст. 22.1, ответы на запросы субъектов, взаимодействие с РКН.
  • Аудит соответствия 152-ФЗ — проверка 38 обязательных позиций, включая порядок обработки запросов и состав ОРД.
  • Комплект ОРД под ключ — политика, регламент обработки запросов, журналы, согласия, приказы.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 152-ФЗ обработка персональных данных — это любое действие с данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже хранение таблицы с ФИО и телефонами клиентов без какой-либо иной активности уже является обработкой ПДн и подпадает под требования закона.

2. На основании чего можно обрабатывать ПДн?

Статья 6 152-ФЗ закрепляет одиннадцать оснований: согласие субъекта, прямое предписание федерального закона, исполнение договора, судопроизводство, жизненно важные интересы и ряд других. Для каждой операции обработки оператор обязан определить конкретное основание до начала обработки — это требование принципа законности из ст. 5 152-ФЗ.

3. Что грозит за нарушение 152-ФЗ?

Санкции зависят от состава нарушения. Обработка без основания — от 150 000 до 300 000 руб. (ч. 1 ст. 13.11 КоАП). Обработка без письменного согласия, когда оно требуется, — от 300 000 до 700 000 руб. (ч. 2). Утечка от 1 000 до 10 000 субъектов — от 3 000 000 до 5 000 000 руб. (ч. 12). При повторной утечке — оборотный штраф до 500 000 000 руб. по ч. 15. С 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 152-ФЗ любой оператор обязан уведомить РКН до начала обработки персональных данных. Исключения перечислены в ч. 2 ст. 22 — например, обработка данных исключительно работников оператора или обработка без использования средств автоматизации. Если деятельность компании выходит за рамки исключений — уведомление обязательно вне зависимости от размера бизнеса. Неуведомление — штраф от 100 000 до 300 000 руб. по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

Закон не устанавливает единый возрастной порог для всех операций. По общему правилу дееспособность наступает с 18 лет. Для несовершеннолетних до 14 лет согласие дают законные представители. В возрасте 14–18 лет субъект вправе давать согласие самостоятельно при условии, что речь не идёт о специальных категориях ПДн или иных особых случаях. В сфере информационных услуг ориентиром служат также требования платформ и отраслевые регуляторные акты.

Итог

Право на доступ к своим персональным данным по ст. 14 152-ФЗ — не декларативная норма, а инструмент, которым субъекты активно пользуются. Оператор, не выстроивший процедуру обработки запросов, рискует штрафом по ч. 4 ст. 13.11 при первой же жалобе в РКН. Нарушение с повторностью по ч. 5.1 увеличивает санкцию до 500 000 руб. для юрлица.

DATUM сопровождает операторов ПДн при выстраивании процедур ответов на запросы субъектов, подготовке комплектов ОРД и абонентском обслуживании функции ответственного по ст. 22.1 152-ФЗ. Практика работы с 152-ФЗ ведётся с 2014 года.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

1 октября 2026 года