справочник 12 декабря 2026 По состоянию на 12 декабря 2026

Право на уничтожение ПДн по требованию субъекта

Право субъекта требовать уничтожения своих персональных данных закреплено в ст. 21 ФЗ-152 и действует независимо от воли оператора.

Оператор обязан уничтожить ПДн или прекратить обработку в установленные сроки — иначе штраф по ч. 5 ст. 13.11 КоАП до 90 000 ₽, а при повторности по ч. 5.1 — до 500 000 ₽.

Если вы юрист и выстраиваете процедуру реагирования на запросы субъектов — этот справочник даёт полную правовую карту: основания, сроки, исключения, ответственность. → Читать далее.

С 30.05.2025 санкции по ст. 13.11 КоАП существенно выросли — появились составы за повторные нарушения и оборотные штрафы. Требование об уничтожении ПДн стало одним из регулярных триггеров проверок Роскомнадзора: субъект подаёт жалобу, РКН возбуждает дело. Для юриста компании критично понимать, когда оператор вправе отказать, а когда обязан исполнить требование без возражений и в какой срок.

Что такое уничтожение ПДн: определение и отличие от смежных понятий

Уничтожение персональных данных по ст. 3 ФЗ-152 — это действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе и (или) в результате которых уничтожаются материальные носители ПДн.

Блокирование персональных данных — временное прекращение обработки, при котором данные сохраняются, но не используются. Это временная мера: блокирование предшествует уничтожению, если оператор выясняет правомерность требования субъекта.

Обезличивание персональных данных — действия, в результате которых невозможно без дополнительной информации установить принадлежность ПДн конкретному субъекту. Обезличивание не равнозначно уничтожению: обезличенные данные оператор вправе обрабатывать дальше.

Три понятия важно разграничивать, поскольку право субъекта направлено именно на уничтожение, а не на блокирование или обезличивание. Если оператор в ответ на требование произвёл только блокирование, суды квалифицируют это как неисполнение обязанности.

«Ст. 3 ФЗ-152 — уничтожение ПДн: невозможность восстановления содержания в ИСПДн и уничтожение материальных носителей. Блокирование — временное прекращение обработки. Обезличивание — устранение связи с конкретным субъектом без уничтожения данных.»

На каком основании субъект вправе требовать уничтожения ПДн?

Право субъекта требовать уничтожения его ПДн возникает при наступлении одного из следующих обстоятельств, перечисленных в ч. 1 ст. 21 ФЗ-152.

Незаконность обработки — оператор обрабатывает ПДн без надлежащего правового основания по ст. 6 ФЗ-152: нет согласия субъекта, нет договора, нет закона, разрешающего обработку. Субъект вправе предъявить требование в любой момент, пока незаконная обработка продолжается.

Отзыв согласия — если обработка основана исключительно на согласии субъекта по п. 1 ч. 1 ст. 6 ФЗ-152, субъект вправе отозвать согласие. Отзыв не имеет обратной силы: он прекращает обработку только на будущее. По ст. 9 ФЗ-152 оператор после отзыва обязан прекратить обработку и уничтожить ПДн, если иное основание для обработки отсутствует.

Достижение цели обработки — когда цель, для которой собирались данные, достигнута или утрачена, оператор обязан уничтожить ПДн по п. 7 ст. 5 ФЗ-152. Субъект вправе указать на это и потребовать уничтожения.

Недостоверность данных — если ПДн являются неполными, устаревшими или неточными, субъект по ст. 21 ФЗ-152 вправе требовать их уточнения, блокирования или уничтожения.

«Ст. 21 ч. 1 ФЗ-152 — при выявлении незаконной обработки, при отзыве согласия, при достижении цели или утрате необходимости в ПДн оператор обязан прекратить обработку и уничтожить данные. Ст. 9 ч. 5 ФЗ-152 — после отзыва согласия оператор уничтожает ПДн в течение 30 дней, если нет иного правового основания.»

Поступило требование об уничтожении ПДн — как ответить правильно?

Если субъект направил требование об уничтожении, у оператора есть ограниченное время на реакцию. Неверный ответ или пропуск срока — основание для протокола по ч. 5 ст. 13.11 КоАП (штраф до 90 000 ₽). При повторном нарушении — до 500 000 ₽ по ч. 5.1. Юристы DATUM настроят процедуру реагирования на запросы субъектов и подготовят шаблоны ответов в рамках DPO-аутсорсинга.

Подключить DPO-аутсорс

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие сроки установлены для оператора при получении требования?

Сроки различаются в зависимости от основания требования.

При отзыве согласия — оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней с даты получения отзыва (ч. 5 ст. 9 ФЗ-152). Если уничтожение в указанный срок невозможно по техническим причинам, оператор обязан заблокировать данные и уничтожить их в течение 6 месяцев.

При незаконной обработке или достижении цели — оператор обязан прекратить обработку или уничтожить ПДн в течение 7 рабочих дней с даты предъявления требования субъектом (ч. 3 ст. 21 ФЗ-152). Если уничтожение невозможно в этот срок — заблокировать, уничтожить в течение 6 месяцев с даты блокирования.

На ответ субъекту по его запросу о составе обрабатываемых ПДн — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта (ст. 20 ФЗ-152).

Что подготовить для исполнения требования об уничтожении

Журнал учёта обращений субъектов с фиксацией даты получения требования и срока исполнения
Внутренний регламент уничтожения ПДн: порядок для автоматизированных и неавтоматизированных носителей
Шаблон уведомления субъекту об исполнении требования или об основаниях для отказа
Акт об уничтожении ПДн с подписью ответственного лица по ст. 22.1 ФЗ-152
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Когда оператор вправе отказать в уничтожении?

Право субъекта на уничтожение не абсолютно. Оператор вправе отказать в исполнении требования при наличии иного правового основания для обработки, не зависящего от согласия субъекта.

Законное основание для продолжения обработки — если обработка ПДн необходима для исполнения договора, стороной которого является субъект (п. 5 ч. 1 ст. 6 ФЗ-152), или для исполнения возложенных на оператора законом обязанностей (п. 2 ч. 1 ст. 6), оператор вправе продолжать обработку вопреки требованию об уничтожении.

Типичные примеры: бухгалтерские документы — срок хранения по НК РФ 5 лет, уничтожить досрочно нельзя; личное дело работника — 75 лет по архивному законодательству; кредитная история в БКИ — 7 лет по ФЗ-218, оператор-кредитор не вправе удалить запись по требованию субъекта.

При отказе оператор обязан письменно уведомить субъекта с указанием нормы, служащей основанием для продолжения обработки. Немотивированный отказ или игнорирование требования — нарушение ч. 5 ст. 21 ФЗ-152.

Если юрист компании получил требование об уничтожении ПДн и не уверен, есть ли законное основание для отказа, — промедление с ответом нарушает 7-рабочих-дневный срок по ст. 21 ФЗ-152. Юристы DATUM оценят ситуацию и подготовят мотивированный ответ субъекту.

Подключить DPO-аутсорс

Какова ответственность за неисполнение требования об уничтожении?

С 30.05.2025 санкции за нарушение прав субъектов ПДн существенно выросли в редакции ФЗ-420 от 30.11.2024.

Невыполнение требования субъекта или РКН об уточнении, блокировании или уничтожении ПДн в установленные сроки — состав по ч. 5 ст. 13.11 КоАП: штраф для юридического лица от 50 000 до 90 000 ₽. При повторном нарушении — ч. 5.1 ст. 13.11 КоАП: от 300 000 до 500 000 ₽.

Если нарушение выявлено в ходе проверки РКН, инспектор вправе одновременно квалифицировать действия оператора и по смежным составам — например, по ч. 1 ст. 13.11 (незаконная обработка, 150 000 — 300 000 ₽) или по ч. 2 ст. 13.11 (обработка без надлежащего согласия, 300 000 — 700 000 ₽). Протоколы составляются по каждому составу отдельно.

Помимо административной ответственности, субъект вправе обратиться в суд с требованием о компенсации морального вреда. Судебная практика 2023–2025 годов подтверждает взыскание компенсаций от нескольких тысяч до десятков тысяч рублей в пользу субъектов.

«Ч. 5 ст. 13.11 КоАП (ред. с 30.05.2025) — штраф для юрлица 50 000 — 90 000 ₽ за неисполнение требования об уничтожении ПДн в срок. Ч. 5.1 — повторное нарушение: 300 000 — 500 000 ₽.»

Типовые ситуации: как требование об уничтожении применяется на практике

Ситуация 1. Бывший клиент требует удалить данные из CRM. Клиент отозвал согласие на маркетинговую рассылку и потребовал уничтожить его ПДн. Оператор хранит данные в CRM на основании «законного интереса». Проблема: «законный интерес» не является самостоятельным правовым основанием по ст. 6 ФЗ-152 в российском праве (в отличие от GDPR). Если договор исполнен и иного основания нет — оператор обязан уничтожить данные в течение 30 дней. Стратегия: до получения требований провести аудит правовых оснований в CRM, разграничить данные по основаниям обработки.

Ситуация 2. Уволенный работник требует уничтожить личное дело. Бывший работник направил требование об уничтожении всех его ПДн, включая личное дело. Оператор-работодатель вправе отказать: личное дело хранится 75 лет по федеральному архивному законодательству. Стратегия: подготовить мотивированный письменный отказ с указанием нормы-основания; при необходимости — уничтожить данные сверх обязательного минимума (например, согласие на рекламную рассылку).

Ситуация 3. Субъект жалуется в РКН на бездействие оператора. Оператор получил требование об уничтожении, но не ответил в 7-рабочих-дневный срок. Субъект направил жалобу в РКН. РКН возбудил дело по ч. 5 ст. 13.11 КоАП. Исход: штраф 50 000 — 90 000 ₽, предписание об устранении нарушения. Стратегия: внедрить журнал учёта обращений субъектов с автоматическим контролем сроков; назначить ответственного по ст. 22.1 ФЗ-152.

Кейс. В Сибирском федеральном округе (осень 2025) интернет-магазин получил требование об уничтожении ПДн от бывшего покупателя. Юридическая служба компании не имела регламента реагирования: ответ направили через 18 рабочих дней — с нарушением 7-рабочих-дневного срока. РКН вынес постановление по ч. 5 ст. 13.11 КоАП; штраф составил несколько десятков тысяч рублей. После введения DPO-аутсорсинга и внедрения журнала обращений аналогичных нарушений не допускалось.

Услуги DATUM по теме

DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152, ответы на запросы субъектов
Комплект ОРД под ключ — регламент уничтожения ПДн, журналы, шаблоны ответов субъектам
Аудит соответствия 152-ФЗ — проверка правовых оснований по всем базам данных оператора

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка ПДн — это любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Важно: даже простое хранение данных в базе без их активного использования является обработкой и требует правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 содержит 11 правовых оснований. Основные: согласие субъекта (п. 1), исполнение закона (п. 2), исполнение договора, стороной которого является субъект (п. 5), защита жизни и здоровья (п. 7). Обработка ПДн без хотя бы одного из этих оснований незаконна и влечёт ответственность по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽ для юрлица).

3. Что грозит за нарушение 152-ФЗ?

С 30.05.2025 действует обновлённая ст. 13.11 КоАП с 18 частями. Диапазон санкций для юрлиц: от 30 000 ₽ (ч. 3, отсутствие политики обработки) до оборотного штрафа 1–3% годовой выручки, не менее 20 млн ₽ (ч. 15, повторная крупная утечка). Дополнительно с 11.12.2024 действует ст. 272.1 УК РФ — уголовная ответственность за незаконное использование и передачу ПДн, до 10 лет лишения свободы по ч. 5.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 оператор обязан уведомить РКН до начала обработки ПДн независимо от размера бизнеса. Исключения установлены ч. 2 ст. 22 ФЗ-152: в частности, освобождены операторы, обрабатывающие ПДн только работников в рамках трудовых отношений, или обрабатывающие ПДн для исполнения договора с субъектом без передачи третьим лицам. Неуведомление при отсутствии исключения — ч. 10 ст. 13.11 КоАП, штраф 100 000 — 300 000 ₽.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает возрастной порог прямо, однако по общим правилам ГК РФ дееспособность наступает с 18 лет. На практике при обработке ПДн лиц до 14 лет согласие дают родители или законные представители. Для несовершеннолетних 14–18 лет согласие может быть получено от самого субъекта, но ряд операторов дополнительно получает согласие родителей. В образовательных организациях РКН требует письменного согласия родителей при обработке ПДн детей до 18 лет.

Итог

Право на уничтожение ПДн по требованию субъекта — один из ключевых механизмов защиты прав субъектов в российском законодательстве. Оператор обязан исполнить требование в срок 7 рабочих дней (при незаконной обработке или достижении цели) или 30 дней (при отзыве согласия), если нет правового основания для продолжения обработки. Отказ допустим только при наличии иного законного основания — со ссылкой на норму и письменным уведомлением субъекта.

Юристы DATUM сопровождают операторов в выстраивании процедур реагирования на запросы субъектов, включая регламенты уничтожения ПДн, журналы учёта обращений и шаблоны ответов. Практика по 152-ФЗ — с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.

12 декабря 2026 года