справочник 12 января 2027 По состоянию на 12 января 2027

Право на ограничение обработки ПДн: 4 основания

Право на ограничение обработки персональных данных — закреплённое в ФЗ-152 требование субъекта к оператору прекратить часть действий с данными при наступлении одного из четырёх оснований.

За неисполнение требования субъекта об уточнении, блокировании или уничтожении ПДн оператор получает штраф по ч. 5 ст. 13.11 КоАП — до 90 тыс. ₽, при повторности — до 500 тыс. ₽.

Если вы юрист и проверяете комплаенс — ниже структурированный разбор всех оснований, сроков и рисков с опорой на действующую редакцию 152-ФЗ. →

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи. Право на ограничение обработки ПДн напрямую связано с несколькими из них. Юристу, который выстраивает систему реагирования на запросы субъектов, важно понимать: какое основание порождает какую обязанность оператора, в какой срок и что будет, если обязанность не исполнена.

Что такое ограничение обработки ПДн по 152-ФЗ?

Ограничение обработки персональных данных — временное прекращение любой обработки ПДн субъекта, кроме хранения, до устранения обстоятельств, послуживших основанием для требования. Закон не вводит термин «ограничение» как отдельную дефиницию в ст. 3 ФЗ-152, однако понятие блокирования — временного прекращения обработки — там закреплено. По существу это одно явление.

Блокирование персональных данных определено в ст. 3 ФЗ-152 как временное прекращение обработки ПДн, за исключением случаев, когда обработка необходима для уточнения. Это отличает блокирование от уничтожения: данные не удаляются, только «замораживаются».

Оператор персональных данных по той же статье — лицо, самостоятельно или совместно с другими организующее и осуществляющее обработку ПДн, а также определяющее цели и состав обрабатываемых данных. Именно на оператора закон возлагает обязанность реагировать на требование субъекта.

«Ст. 21 ФЗ-152 — оператор обязан заблокировать ПДн с момента обращения субъекта или его представителя на период проверки, если не может опровергнуть факт неправомерной обработки.»

Какие 4 основания порождают право на ограничение обработки?

Систематизируя ст. 14, 20 и 21 ФЗ-152, можно выделить четыре самостоятельных основания, при которых субъект вправе потребовать блокирования данных.

Основание 1. Данные неточные или устаревшие. Субъект вправе требовать уточнения или блокирования ПДн, если они неполны, устарели, недостоверны или получены незаконно. Оператор обязан заблокировать спорные данные с момента обращения и снять блокировку после уточнения. Срок уточнения — 7 рабочих дней. Правовое основание: ст. 21 ч. 1 ФЗ-152.

Основание 2. Данные обрабатываются незаконно. Если обработка осуществляется без надлежащего правового основания по ст. 6 ФЗ-152, субъект требует блокирования. Оператор обязан в течение 3 рабочих дней заблокировать данные. Если незаконность подтвердилась — уничтожить их. Срок уничтожения — 10 рабочих дней. Правовое основание: ст. 21 ч. 2 ФЗ-152.

Основание 3. Цель обработки достигнута или утрачена. По принципу ст. 5 ФЗ-152 данные не должны храниться дольше, чем необходимо для цели. Субъект вправе требовать уничтожения, а до уничтожения — блокирования, если оператор не исполняет обязанность самостоятельно. Срок: 30 дней (если обработка на основании согласия, после его отзыва). Правовое основание: ст. 21 ч. 3 ФЗ-152.

Основание 4. Субъект отозвал согласие, а иного основания обработки нет. Согласие по ст. 9 ФЗ-152 может быть отозвано в любой момент. Если оператор не вправе продолжать обработку без согласия, он обязан прекратить её и уничтожить данные в течение 30 дней. До уничтожения — блокировать. В редакции ФЗ-156 от 24.06.2025, действующей с 01.09.2025, согласие оформляется отдельным документом: отзыв становится проще фиксировать документально. Правовое основание: ст. 9 ч. 2, ст. 21 ч. 3 ФЗ-152.

Юрист видит риск в системе работы с запросами субъектов?

Реакция оператора на требование об ограничении обработки — один из индикаторов риска при проверке РКН. Неисполнение в срок фиксируется как нарушение по ч. 5 ст. 13.11 КоАП (до 90 тыс. ₽, повторно — до 500 тыс. ₽). Юристы DATUM возьмут функцию ответственного за обработку по ст. 22.1 на абонентское обслуживание, включая ответы на запросы субъектов в установленные сроки.

Подключить DPO-аутсорс

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие сроки исполнения обязан соблюдать оператор?

Сроки зависят от основания требования. Закон устанавливает несколько режимов.

Сроки реагирования оператора на требование субъекта

Блокирование с момента обращения — немедленно, до завершения проверки достоверности (основания 1 и 2)
Уточнение недостоверных данных — 7 рабочих дней с даты предоставления субъектом сведений
Уничтожение незаконно обрабатываемых данных — 10 рабочих дней после подтверждения нарушения
Уничтожение при отзыве согласия или достижении цели — 30 дней с даты отзыва или обращения
Ответ на запрос субъекта — 10 рабочих дней, возможно продление ещё на 5 рабочих дней с уведомлением субъекта (ст. 20 ФЗ-152)

Несоблюдение перечисленных сроков — самостоятельный состав нарушения по ч. 5 ст. 13.11 КоАП. При повторности — ч. 5.1 с диапазоном 300–500 тыс. ₽ для юридического лица.

Как соотносится право на ограничение обработки с другими правами субъекта?

Субъект персональных данных по ст. 3 ФЗ-152 — гражданин, которого идентифицируют или могут идентифицировать обрабатываемые данные. Закон предоставляет ему комплекс прав, из которых право на ограничение обработки — промежуточный инструмент между правом на доступ и правом на уничтожение.

Право на доступ (ст. 14 ФЗ-152) — субъект узнаёт, что и как обрабатывается. Право на ограничение — останавливает обработку до выяснения обстоятельств. Право на уничтожение (ст. 21) — итоговый результат при подтверждённом нарушении. Три права образуют последовательность, которую оператор обязан соблюдать.

Обработка персональных данных по ст. 3 ФЗ-152 — любое действие или совокупность действий: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. При блокировании продолжается только хранение — все остальные действия останавливаются.

Если в организации нет регламента работы с обращениями субъектов — проверка РКН зафиксирует нарушение по ч. 4 и ч. 5 ст. 13.11 одновременно. Аудит по 152-ФЗ выявит пробелы до инспектора.

Заказать аудит 152-ФЗ

Что грозит оператору за нарушение права на ограничение обработки?

Ответственность распределяется по нескольким составам ст. 13.11 КоАП в редакции с 30.05.2025.

Неисполнение требования об уточнении, блокировании или уничтожении — ч. 5 ст. 13.11, штраф для юридического лица 50–90 тыс. ₽. Повторное нарушение — ч. 5.1, штраф 300–500 тыс. ₽. Непредоставление информации субъекту — ч. 4 ст. 13.11, штраф 40–80 тыс. ₽. Обработка без надлежащего правового основания по ст. 6, которая стала причиной требования об ограничении, — ч. 1 ст. 13.11, штраф 150–300 тыс. ₽.

Если утечка данных произошла на фоне неправомерной обработки и затронула 10 тыс. и более субъектов — дополнительно применяются ч. 12–14 ст. 13.11 с диапазонами штрафов от 3 млн до 15 млн ₽. При повторности — оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

Типовые ситуации: как работает право на ограничение на практике

Ситуация 1. Работник после увольнения требует заблокировать свои данные, ссылаясь на прекращение трудового договора. Оператор проверяет: данные личного дела хранятся 75 лет по требованиям архивного законодательства — основания для уничтожения нет. Оператор обязан письменно уведомить субъекта об отказе с указанием правовой нормы. Блокирование при наличии законного основания хранения не требуется. Риск нарушения: если оператор не ответит в срок — ч. 4 ст. 13.11 (до 80 тыс. ₽).

Ситуация 2. Клиент интернет-магазина отозвал согласие на рассылку и потребовал удалить данные. Магазин продолжает хранить email и телефон для программы лояльности без иного правового основания. Оператор нарушает ст. 5 и ст. 9 ФЗ-152. Риск: ч. 1 ст. 13.11 (150–300 тыс. ₽) + ч. 5 (50–90 тыс. ₽), если требование уничтожить данные в 30 дней не исполнено.

Ситуация 3. Пациент клиники оспаривает точность медицинских данных в МИС и требует их блокировки до уточнения. Данные относятся к специальным категориям по ст. 10 ФЗ-152. Оператор обязан немедленно заблокировать оспариваемые записи и уточнить их в течение 7 рабочих дней. Промедление — ч. 5 ст. 13.11. Если данные медицинской спецкатегории утекут в период спора — риск по ч. 12–14 ст. 13.11 начиная с 3 млн ₽.

Услуги DATUM по теме

DPO-аутсорсинг — ведение реестра обращений субъектов и ответы в установленные сроки
Аудит соответствия 152-ФЗ — проверка процедуры реагирования на запросы субъектов по 38-пунктовому чек-листу
Комплект ОРД под ключ — регламент работы с обращениями субъектов и журнал учёта запросов

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработкой по ст. 3 ФЗ-152 считается любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Обработка охватывает как автоматизированные, так и неавтоматизированные действия — ведение бумажных картотек тоже является обработкой.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований. Основные: согласие субъекта (п. 1), исполнение договора, стороной которого является субъект (п. 5), исполнение обязанностей оператора по законодательству (п. 2), судопроизводство (п. 3). При отсутствии хотя бы одного из оснований обработка признаётся незаконной — это автоматически порождает у субъекта право требовать блокирования или уничтожения данных по ст. 21 ФЗ-152.

3. Что грозит за нарушение 152-ФЗ?

Ответственность — по ст. 13.11 КоАП (в редакции с 30.05.2025, 18 частей). Диапазон штрафов для юридических лиц: от 30 тыс. ₽ за отсутствие политики обработки (ч. 3) до 500 млн ₽ оборотного штрафа при повторной крупной утечке (ч. 15). За неисполнение требования субъекта об ограничении обработки — ч. 5, штраф 50–90 тыс. ₽, при повторности по ч. 5.1 — 300–500 тыс. ₽. Дополнительно с 11.12.2024 действует ст. 272.1 УК РФ — уголовная ответственность за незаконные действия с ПДн, до 10 лет лишения свободы в тяжких случаях.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если организация обрабатывает ПДн и не подпадает под исключения ч. 2 ст. 22 ФЗ-152. Исключения — узкие: обработка в связи с трудовыми отношениями, обработка в договорных целях без распространения, обработка членов организации. Большинство компаний, ведущих учёт клиентов или использующих CRM, обязаны уведомить РКН до начала обработки. За неуведомление — ч. 10 ст. 13.11, штраф 100–300 тыс. ₽.

5. С какого возраста нужно согласие на ПДн?

По общему правилу ФЗ-152 согласие дают дееспособные лица с 18 лет. Для несовершеннолетних до 14 лет согласие подписывают родители или законные представители. В возрасте 14–18 лет согласие может давать сам субъект, однако в ряде случаев (обработка специальных категорий, биометрии) требуется согласие родителя. Специальных положений об ограничении по возрасту в ст. 9 ФЗ-152 нет — оператор ориентируется на общие нормы ГК РФ о дееспособности.

Итог

Право на ограничение обработки ПДн реализуется через четыре основания: недостоверность данных, незаконность обработки, достижение или утрата цели, отзыв согласия. Каждое основание порождает конкретные сроки блокирования и уничтожения, нарушение которых фиксируется по ч. 4 и ч. 5 ст. 13.11 КоАП.

Практика DATUM по сопровождению операторов в диалоге с РКН и субъектами показывает: наиболее частое нарушение — отсутствие регламента реагирования, при котором запросы субъектов либо игнорируются, либо обрабатываются с нарушением срока. Обе ситуации устранимы на уровне ОРД и DPO-аутсорсинга до проверки.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.

12 января 2027 года