справочник 4 октября 2026 По состоянию на 4 октября 2026

Право на обжалование действий оператора по ст. 17

Право субъекта ПДн на обжалование — это гарантированная ст. 17 ФЗ-152 возможность оспорить действия оператора в уполномоченном органе (Роскомнадзоре) или в суде.

С 30.05.2025 нарушение прав субъекта влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; при повторности — до 1 500 000 ₽ по ч. 2.1. Оборотный штраф за повторную утечку — от 20 млн ₽ по ч. 15 ст. 13.11 КоАП.

Если вы юрист и проверяете комплаенс компании — ниже разбор ключевых понятий ст. 17 ФЗ-152 и оснований, по которым суды удовлетворяют жалобы субъектов.

Статья 17 ФЗ-152 предоставляет субъекту персональных данных право обжаловать бездействие или незаконные действия оператора — как в административном порядке через РКН, так и в суде. Юрист, проверяющий комплаенс, должен понимать: каждое основание для жалобы субъекта — это одновременно индикатор нарушения, по которому РКН вправе составить протокол по ст. 13.11 КоАП. В этом справочнике — структурированный разбор понятий, оснований и последствий.

Какие понятия важны для применения ст. 17 ФЗ-152?

Персональные данные по ст. 3 ФЗ-152 — любая информация, прямо или косвенно относящаяся к определённому физическому лицу (субъекту).

Оператор ПДн по ст. 3 ФЗ-152 — государственный орган, муниципальный орган, юридическое лицо или физическое лицо, которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели и состав обрабатываемых данных.

Обработка ПДн по ст. 3 ФЗ-152 — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Субъект ПДн — физическое лицо, чьи персональные данные обрабатывает оператор. Именно субъект вправе подать жалобу по ст. 17 ФЗ-152.

«Ст. 17 ФЗ-152 — субъект вправе обжаловать в уполномоченный орган по защите прав субъектов ПДн или в суд незаконные действия или бездействие оператора при обработке его персональных данных.»

Категории ПДн имеют значение для объёма ответственности оператора. Общие ПДн — имя, адрес, контакты. Специальные категории по ст. 10 ФЗ-152 — состояние здоровья, расовая и национальная принадлежность, политические и религиозные взгляды — требуют особых оснований для обработки. Биометрические ПДн по ст. 11 ФЗ-152 — изображение лица, голос, отпечатки — обрабатываются только с письменного согласия субъекта.

На каких основаниях субъект вправе подать жалобу?

Основания для обжалования прямо связаны с нарушениями принципов обработки ПДн (ст. 5 ФЗ-152) и правовых оснований обработки (ст. 6 ФЗ-152).

Принципы обработки ПДн по ст. 5 ФЗ-152 — семь обязательных требований к деятельности оператора: законность и справедливость; обработка только в заявленных целях; недопустимость объединения несовместимых баз данных; соответствие состава ПДн целям обработки; точность данных; хранение не дольше, чем необходимо; уничтожение или обезличивание при достижении цели. Нарушение любого принципа — самостоятельное основание для жалобы субъекта.

Правовые основания обработки ПДн по ст. 6 ФЗ-152 — исчерпывающий перечень из одиннадцати условий, при которых обработка допустима. Ключевые из них: согласие субъекта (п. 1 ч. 1 ст. 6); исполнение договора с субъектом (п. 5 ч. 1 ст. 6); исполнение обязанностей, возложенных на оператора законодательством (п. 2 ч. 1 ст. 6). При отсутствии хотя бы одного из оснований обработка незаконна — и субъект вправе обратиться в РКН или суд.

Согласие субъекта по ст. 9 ФЗ-152 — конкретное, информированное, добровольное волеизъявление субъекта. С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025): оно не может быть включено в текст договора, оферты или иного соглашения. Обязательные реквизиты согласия: ФИО и контактные данные субъекта, наименование и адрес оператора, цель обработки, перечень ПДн, перечень допустимых действий, срок действия и способ отзыва.

Согласия в вашей компании ещё встроены в договор?

С 01.09.2025 такая форма нарушает ст. 9 ФЗ-152 в редакции ФЗ-156. РКН вправе составить протокол по ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽. Юристы DATUM возьмут функцию ответственного по ст. 22.1 на абонентское обслуживание: ответы на запросы субъектов, актуализация согласий, контроль обращений в РКН.

Подключить DPO-аутсорс

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что конкретно может обжаловать субъект по ст. 17?

Перечень типовых нарушений, которые становятся предметом жалоб в РКН и судебных исков, включает следующее.

Незаконная обработка ПДн — обработка без правового основания (ст. 6 ФЗ-152) либо в целях, несовместимых с заявленными. Штраф по ч. 1 ст. 13.11 КоАП — 150 000–300 000 ₽; при повторности по ч. 1.1 — 300 000–500 000 ₽.

Обработка без согласия — обработка ПДн, для которой требуется согласие субъекта, при его фактическом отсутствии или с нарушением обязательных реквизитов ст. 9 ФЗ-152. Штраф по ч. 2 ст. 13.11 КоАП — 300 000–700 000 ₽.

Отказ в уточнении, блокировании или уничтожении ПДн — невыполнение требования субъекта в установленные сроки по ст. 21 ФЗ-152. Штраф по ч. 5 ст. 13.11 КоАП — 50 000–90 000 ₽; при повторности по ч. 5.1 — 300 000–500 000 ₽.

Непредоставление информации об обработке — нарушение ст. 20 ФЗ-152: оператор обязан ответить на запрос субъекта в течение десяти рабочих дней, с возможностью продления ещё на пять рабочих дней при уведомлении субъекта. Штраф по ч. 4 ст. 13.11 КоАП — 40 000–80 000 ₽.

Распространение ПДн без отдельного согласия — нарушение ст. 10.1 ФЗ-152: согласие на распространение данных оформляется отдельно от иных согласий; молчание субъекта означает запрет распространения.

Нарушение локализации ПДн — запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ в базах, расположенных за пределами России (ч. 5 ст. 18 ФЗ-152). Штраф по ч. 8 ст. 13.11 КоАП — 1 000 000–6 000 000 ₽.

Что проверить юристу при анализе рисков по ст. 17

Наличие оснований обработки по ст. 6 ФЗ-152 для каждой категории ПДн и каждой цели
Соответствие согласий требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (отдельный документ с 01.09.2025)
Процедура ответа на запросы субъектов в срок десять рабочих дней по ст. 20 ФЗ-152
Порядок уточнения, блокировки и уничтожения ПДн по требованию субъекта (ст. 21 ФЗ-152)
Проверка локализации первичных баз ПДн граждан РФ на серверах в России (ч. 5 ст. 18 ФЗ-152)

Какие типовые ситуации приводят к жалобам субъектов?

Ситуация 1. Согласие включено в договор. Субъект подписал договор об оказании услуг, в тексте которого содержится согласие на обработку ПДн. После 01.09.2025 такое согласие не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156: оно не является отдельным документом. Субъект подаёт жалобу в РКН — и РКН составляет протокол по ч. 2 ст. 13.11 КоАП. Стратегия для юриста: до публикации проверить форму и реквизиты всех согласий; при наличии нарушения переоформить согласия до начала проверки.

Ситуация 2. Оператор не ответил на запрос субъекта. Физическое лицо направило запрос о предоставлении сведений об обработке его ПДн. Оператор не ответил в десятидневный срок по ст. 20 ФЗ-152. Субъект обратился в РКН — составлен протокол по ч. 4 ст. 13.11 КоАП (штраф 40 000–80 000 ₽). При отсутствии журнала учёта входящих запросов суд, как правило, встаёт на сторону субъекта. Стратегия: вести реестр обращений субъектов с фиксацией даты и содержания запроса.

Ситуация 3. Требование об уничтожении ПДн проигнорировано. Бывший работник потребовал уничтожения персональных данных, переданных кадровому агентству-партнёру. Оператор не передал требование обработчику (ст. 6 ч. 3 ФЗ-152, поручение обработки) и не выполнил его. РКН составил протоколы как в отношении оператора, так и в отношении обработчика. Суды в аналогичных делах исходят из принципа: ответственность за действия обработчика несёт оператор. Стратегия: включить в договор поручения обработки обязанность исполнять требования субъектов в сроки ст. 21 ФЗ-152.

Если вы юрист и в компании нет назначенного ответственного по ст. 22.1 ФЗ-152 — каждый запрос субъекта создаёт риск штрафа по ч. 4 ст. 13.11 КоАП. Юристы DATUM возьмут функцию DPO на аутсорсинг и выстроят процедуру ответов на запросы.

Подключить DPO-аутсорс

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработкой считается любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (предоставление, распространение, доступ), обезличивание, блокирование, удаление и уничтожение — согласно ст. 3 ФЗ-152. Перечень открытый: даже однократное хранение файла с ФИО квалифицируется как обработка.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает одиннадцать правовых оснований: согласие субъекта, исполнение закона, исполнение договора с субъектом, защита жизни и здоровья, осуществление правосудия и ряд других. Обработка допустима при наличии хотя бы одного основания. При отсутствии любого из них субъект вправе обжаловать действия оператора по ст. 17 ФЗ-152.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП (в редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025) — от 30 000 ₽ до 6 000 000 ₽ в зависимости от состава. При повторной утечке от 1 000 субъектов применяется оборотный штраф по ч. 15 ст. 13.11: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽. С 11.12.2024 возможна уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы по тяжким составам.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если компания обрабатывает ПДн, не относящиеся к исключениям ст. 22 ФЗ-152. Исключения перечислены в ч. 2 ст. 22 ФЗ-152: например, обработка ПДн исключительно в рамках трудовых отношений или в связи с заключением договора с субъектом. Если компания ведёт маркетинговые рассылки, хранит базы клиентов или передаёт данные третьим лицам — уведомление в РКН обязательно. Неуведомление или нарушение срока — штраф по ч. 10 ст. 13.11 КоАП: 100 000–300 000 ₽.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 прямо не устанавливает возрастной порог для согласия субъекта. По общим нормам ГК РФ полная дееспособность наступает с 18 лет; несовершеннолетние от 14 до 18 лет вправе совершать отдельные действия самостоятельно. На практике РКН и суды исходят из того, что согласие от имени лица младше 14 лет даётся родителями или опекунами. Для образовательных и медицинских операторов применяются специальные требования.

Итог

Право на обжалование по ст. 17 ФЗ-152 охватывает любые незаконные действия оператора: от отсутствия правового основания обработки до игнорирования запроса субъекта. Каждое основание для жалобы одновременно является составом административного правонарушения по ст. 13.11 КоАП с санкциями от 30 000 до 500 000 000 ₽.

DATUM сопровождает операторов при подготовке документации по ст. 18.1, 22 и 22.1 ФЗ-152, выстраивает процедуру ответов на обращения субъектов и берёт функцию ответственного за обработку ПДн на аутсорсинг.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки, согласий и ОРД по 38 пунктам
Комплект ОРД под ключ — пакет документов: политика, согласия, приказы, журналы
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ, обработка через КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.

4 октября 2026 года