Перейти к содержанию
справочник 13 января 2027 По состоянию на 13 января 2027

Право на возражение против обработки

Право на возражение — это закреплённое ст. 14 и ст. 21 ФЗ-152 право субъекта ПДн потребовать от оператора прекратить обработку его данных, если основание для неё отпало или изначально было незаконным.
Оператор, проигнорировавший требование субъекта, рискует штрафом по ч. 5 ст. 13.11 КоАП до 90 000 руб. Повторность — ч. 5.1, до 500 000 руб. Жалоба в РКН превращается в основание для внеплановой проверки.
Если вы юрист и сопровождаете ответ на требование субъекта — убедитесь, что регламент реагирования встроен в ОРД и сроки соблюдены.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420: санкции за нереагирование на требования субъектов выросли, а ч. 15 ввела оборотный штраф при повторной утечке. Параллельно ФЗ-156 от 24 июня 2025 года обязал операторов оформлять согласие отдельным документом с 1 сентября 2025 года. Для юриста, сопровождающего комплаенс, это означает два контура риска: неверный ответ на возражение и неправильно оформленные основания обработки.

Что такое право на возражение и где оно закреплено?

Право на возражение против обработки — возможность субъекта ПДн направить оператору мотивированный запрос с требованием прекратить или ограничить обработку его данных. Основания: обработка осуществляется без законного основания, цель обработки достигнута, либо субъект отзывает согласие.

«Ст. 14 ФЗ-152 — субъект вправе получить сведения об обработке его ПДн; ст. 21 ФЗ-152 — при выявлении незаконной обработки оператор обязан прекратить её в срок, не превышающий семи рабочих дней. Ст. 20 ФЗ-152 — при обращении субъекта оператор отвечает в течение десяти рабочих дней с возможностью продления ещё на пять рабочих дней при уведомлении субъекта.»

Право на возражение опирается на принципы ст. 5 ФЗ-152: обработка допустима только при наличии правового основания, только в объёме, необходимом для достижения цели, и только до момента её достижения. Как только основание отпадает — продолжение обработки нарушает п. 2 и п. 7 ст. 5.

Право применяется как к автоматизированной обработке, так и к неавтоматизированной. Оператор ПДн по ст. 3 ФЗ-152 — лицо, самостоятельно или совместно с другими определяющее цели и состав обрабатываемых данных. Именно оператор несёт ответственность за реагирование на возражение субъекта.

Как правильно обработать возражение субъекта?

Порядок реагирования делится на три этапа: приём, проверка оснований, исполнение или мотивированный отказ.

Что подготовить для реагирования на возражение субъекта

  • Журнал учёта обращений субъектов ПДн с фиксацией даты входящего запроса и сроков ответа.
  • Перечень правовых оснований обработки по ст. 6 ФЗ-152 для каждой категории данных в информационной системе.
  • Регламент реагирования: кто принимает решение о прекращении, кто уведомляет IT-подразделение для блокирования.
  • Шаблон мотивированного отказа — для случаев, когда основание обработки не зависит от согласия (исполнение договора, закон).
  • Форма уведомления субъекта об исполнении требования или об отказе с указанием причины.

Оператор вправе отказать в прекращении обработки, если основанием служит не согласие, а иные пункты ст. 6 ФЗ-152: исполнение договора (п. 5), исполнение обязанности по закону (п. 2), судопроизводство (п. 3). В этом случае субъекту направляется мотивированный отказ в письменной форме в течение десяти рабочих дней.

Обращение субъекта получено, а регламент реагирования не готов?

Если в компании нет утверждённого порядка ответа на запросы субъектов, любой пропуск срока автоматически создаёт состав нарушения по ч. 4–5 ст. 13.11 КоАП. Штраф назначается за каждый случай. Юристы DATUM подключат DPO-аутсорсинг и возьмут ответы на обращения субъектов на абонентское сопровождение — 10 рабочих дней останутся под контролем.

Подключить DPO-аутсорс

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие правовые основания обработки ПДн нельзя отозвать возражением?

Правовые основания обработки по ст. 6 ФЗ-152 делятся на две группы: зависящие от воли субъекта и не зависящие от неё. Первая группа — согласие по ст. 9 ФЗ-152. Вторая группа — исполнение договора, исполнение требований закона, судопроизводство, жизненно важные интересы субъекта или третьих лиц.

Возражение субъекта прекращает обработку только тогда, когда единственным или преобладающим основанием являлось согласие. Если оператор обрабатывает ПДн работника на основании трудового договора и ст. 86–88 ТК, отзыв согласия не освобождает его от обработки данных в части, предусмотренной законом.

Категории ПДн влияют на строгость применения принципа возражения. Специальные категории по ст. 10 ФЗ-152 (состояние здоровья, судимость, религиозные взгляды) и биометрические данные по ст. 11 требуют письменного согласия, которое субъект вправе отозвать без объяснения причин. После отзыва оператор обязан прекратить обработку в семь рабочих дней, если иное не предусмотрено законом.

Принципы обработки по ст. 5 ФЗ-152 устанавливают, что данные не должны обрабатываться дольше, чем требуется для достижения цели. По достижении цели оператор обязан уничтожить или обезличить ПДн самостоятельно — независимо от того, поступило ли возражение от субъекта.

Если юрист проверяет ОРД компании: убедитесь, что для каждой информационной системы указано конкретное правовое основание по ст. 6 ФЗ-152 — это определяет, можно ли отказать в возражении или нет. Отсутствие такого перечня — ч. 1 ст. 13.11 КоАП, до 300 000 руб.

Заказать аудит 152-ФЗ

Как выглядит право на возражение в практике 2025–2026 годов?

Кейс 1. Торговая компания (Центральный ФО, осень 2025) получила от бывшего сотрудника требование уничтожить его ПДн из CRM и рассылочной базы. Юрист компании не разграничил основания: данные из CRM обрабатывались на основании трудового договора и хранились 75 лет по требованию законодательства об архивах — возражение здесь правомерно отклонено. Данные в рассылочной базе держались исключительно на согласии — их следовало удалить в семь рабочих дней. Смешение оснований привело к просрочке; РКН назначил штраф по ч. 5 ст. 13.11 КоАП в диапазоне от 50 000 до 90 000 руб.

Кейс 2. Медицинская организация (Приволжский ФО, начало 2026) получила запрос пациента на прекращение обработки его данных в МИС. Данные пациента — специальная категория по ст. 10 ФЗ-152. Обработка велась на двух основаниях: согласие на хранение в МИС и обязанность по ст. 22 ФЗ «Об основах охраны здоровья граждан» вести медицинскую документацию 25 лет. Юрист корректно разделил обоснования: отозвал маркетинговую часть обработки на согласии, остальное — мотивированно отказал. Претензия снята. Разграничение оснований обработки в ОРД позволило избежать штрафа и проверки.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверим правовые основания по всем ИСПДн, выдадим план устранения.
  • Комплект ОРД под ключ — подготовим регламент реагирования на обращения субъектов и журнал учёта.
  • DPO-аутсорсинг — возьмём ответы на запросы субъектов и взаимодействие с РКН на абонентское сопровождение.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже хранение без активного использования является обработкой и требует законного основания.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 предусматривает 11 оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанности по закону (п. 2), судопроизводство (п. 3), жизненно важные интересы (п. 6). Основание определяет, можно ли отказать субъекту в возражении против обработки.

3. Что грозит за нарушение порядка ответа на возражение субъекта?

По ч. 5 ст. 13.11 КоАП (в редакции с 30 мая 2025 года) невыполнение требования субъекта об уточнении, блокировании или уничтожении ПДн в установленные сроки — штраф для юридического лица 50 000–90 000 руб. Повторное нарушение по ч. 5.1 — 300 000–500 000 руб. Ч. 4 ст. 13.11 — за непредоставление субъекту информации об обработке — 40 000–80 000 руб.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если компания обрабатывает ПДн работников или клиентов. Ст. 22 ФЗ-152 устанавливает общую обязанность уведомления до начала обработки. Исключения указаны в ч. 2 ст. 22: обработка данных работников в целях трудового договора, обработка без использования средств автоматизации при определённых условиях. Если исключение не применимо — уведомление обязательно. Неуведомление — ч. 10 ст. 13.11 КоАП, 100 000–300 000 руб.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает специального возраста для субъекта. По общему правилу ГК РФ полная дееспособность — с 18 лет; до этого возраста согласие даёт законный представитель. Для несовершеннолетних в образовательной сфере согласие родителей или опекунов является обязательным требованием, прямо следующим из принципов ст. 5 ФЗ-152 о законности обработки.

Итог

Право на возражение против обработки ПДн — не формальный инструмент субъекта, а практический тест на качество ОРД оператора. Если в документах не разграничены правовые основания по ст. 6 ФЗ-152 для каждой цели обработки, ответ на возражение становится источником риска: либо неправомерный отказ, либо неправомерное продолжение обработки.

DATUM сопровождает операторов в построении регламентов реагирования на обращения субъектов, разработке ОРД с привязкой к правовым основаниям и DPO-аутсорсинге — включая ответы на запросы субъектов в сроки по ст. 20 ФЗ-152.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ, обработка через КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.

13 января 2027 года