справочник 16 февраля 2027 По состоянию на 16 февраля 2027

Состав ответа субъекту на запрос о доступе

Ответ субъекту персональных данных на запрос о доступе — официальное письменное уведомление оператора, содержащее подтверждение факта обработки ПДн и весь перечень сведений, предусмотренных ст. 14 ФЗ-152.

Срок предоставления — 10 рабочих дней с даты обращения (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Нарушение состава или срока — штраф по ч. 4 ст. 13.11 КоАП до 80 000 ₽, при повторении — до 500 000 ₽.

→ Если вы юрист и формируете шаблон ответа субъекту — этот справочник разбирает каждый обязательный элемент по норме.

Запросы субъектов на доступ к данным участились после 2023 года: субъекты всё чаще ссылаются на ст. 14 ФЗ-152 и требуют полного раскрытия. Для юриста-комплаенс-специалиста критически важно знать, что именно должен содержать ответ, какие формулировки допустимы при частичном отказе и что РКН проверяет в первую очередь. Ниже — структурированный разбор каждого обязательного элемента с привязкой к норме.

Что считается законным основанием для запроса субъекта?

Субъект персональных данных — физическое лицо, которое прямо или косвенно идентифицируется с помощью обрабатываемых сведений (ст. 3 ФЗ-152). Право на доступ к своим данным закреплено в ст. 14 ФЗ-152: субъект вправе потребовать от оператора персональных данных подтверждения факта обработки и раскрытия установленного перечня сведений.

Запрос может поступить в любой форме — письменной, электронной, через законного представителя. Форма запроса законом не унифицирована, однако оператор вправе установить удобный для него порядок подачи — если это не создаёт субъекту необоснованных препятствий. Принципы обработки ПДн по ст. 5 ФЗ-152 требуют, чтобы порядок был прозрачным и не противоречил целям, заявленным при сборе данных.

«Ст. 14 ФЗ-152 — субъект вправе получить сведения об операторе, целях и правовых основаниях обработки, сроках, перечне лиц, которым данные передаются, а также информацию об источнике получения — если иное не предусмотрено федеральным законом.»

Какой состав ответа обязателен по ст. 14 ФЗ-152?

Ответ должен содержать все элементы, прямо названные в ч. 7 ст. 14 ФЗ-152. Отсутствие хотя бы одного элемента квалифицируется как невыполнение обязанности по ч. 4 ст. 13.11 КоАП.

Обязательные элементы ответа:

Подтверждение факта обработки — прямое указание: «Да, ваши персональные данные обрабатываются» или «Обработка ваших персональных данных не осуществляется» (тогда остальные пункты не нужны).
Правовые основания обработки — конкретная норма ст. 6 ФЗ-152, на которую опирается оператор (согласие субъекта, договор, законная обязанность и т. д.). Указание только «ФЗ-152» без конкретного основания — недостаточно.
Цели обработки — формулировка, совпадающая с уведомлением в реестре РКН. Недопустимо указывать цели шире, чем зафиксировано в политике обработки.
Наименование и место нахождения оператора — полное фирменное наименование, ОГРН, юридический адрес. Если есть уполномоченный по обработке ПДн по ст. 22.1 — его данные.
Перечень обрабатываемых ПДн — не абстрактные категории («контактные данные»), а конкретные поля применительно к данному субъекту: ФИО, дата рождения, номер телефона, адрес и т. д.
Источник получения ПДн — от самого субъекта, от третьего лица, из публичного источника. Если источник — третье лицо, указать его наименование (если не запрещено иным законом).
Сроки обработки, в том числе хранения — конкретный срок или критерий его определения (например, «до истечения срока исковой давности», «75 лет — личное дело работника»).
Информация о лицах, которым ПДн могут передаваться — третьи лица, обработчики по ст. 6 ч. 3, государственные органы. Если передача не осуществляется — указать прямо.
Иные сведения — если ПДн подпадают под спецкатегории по ст. 10 ФЗ-152 (здоровье, судимость и т. д.), это должно быть отражено с указанием основания обработки по ч. 2 ст. 10.

Если в компании нет утверждённого шаблона ответа субъекту — каждый запрос создаёт риск штрафа по ч. 4 ст. 13.11 КоАП. Подключить DPO-аутсорсинг с готовыми шаблонами и обработкой запросов субъектов.

Подключить DPO-аутсорсинг

Что включать в ответ при частичном отказе в предоставлении сведений?

Оператор вправе ограничить доступ субъекта к информации в случаях, прямо предусмотренных федеральным законом. Например, если данные получены в рамках оперативно-розыскной деятельности, сведения о источнике не раскрываются. Частичный отказ должен быть мотивирован: в ответе указывается конкретная норма закона, запрещающая раскрытие, — иначе это нарушение ч. 7 ст. 14 ФЗ-152.

Недопустимые основания отказа в предоставлении информации:

«Коммерческая тайна» — без указания конкретной нормы, относящей данные к охраняемой законом тайне.
«Технические сложности» — субъект не несёт ответственности за внутренние процессы оператора.
Отсутствие у субъекта нотариально заверенного запроса — закон не требует такой формы.

Если оператор не может идентифицировать субъекта на основании поступившего запроса — он вправе запросить дополнительные сведения для идентификации, но не вправе отказать в ответе только по этому основанию.

Что подготовить юристу для работы с запросами субъектов

Утверждённый шаблон ответа субъекту со всеми элементами ч. 7 ст. 14 ФЗ-152.
Журнал учёта входящих запросов субъектов с датой регистрации (для контроля 10-рабочих-дневного срока).
Актуальная политика обработки ПДн с конкретными целями и основаниями — ответ должен им соответствовать.
Перечень третьих лиц и обработчиков, которым передаются ПДн, — готовый к включению в ответ.
Регламент взаимодействия с ответственным по ст. 22.1 при получении нестандартных запросов.

Какие типовые ошибки в ответах фиксирует РКН?

По итогам проверочных мероприятий 2024–2025 годов РКН выявлял следующие нарушения в ответах субъектам:

Неполный перечень ПДн — оператор указывает категории данных («контактная информация»), но не конкретные поля, фактически обрабатываемые применительно к запросившему субъекту.
Отсутствие правового основания — ссылка на «согласие» без указания на конкретный пункт ст. 6 ФЗ-152 или без подтверждения факта его получения.
Несоответствие целей — цели в ответе шире или уже, чем в уведомлении реестра РКН или политике обработки.
Нарушение срока — ответ направлен после истечения 10 рабочих дней без уведомления субъекта о продлении срока.
Отсутствие информации о третьих лицах — при фактической передаче данных обработчикам этот факт в ответе не отражён.

«Ч. 4 ст. 13.11 КоАП — невыполнение обязанности по предоставлению субъекту информации об обработке его ПДн влечёт штраф для юрлица от 40 000 до 80 000 ₽. Повторное нарушение по ч. 5.1 — от 300 000 до 500 000 ₽ (в редакции с 30.05.2025).»

Один из ключевых принципов по ст. 5 ФЗ-152 — прозрачность обработки: субъект должен получить исчерпывающую информацию без дополнительных усилий. Ответ, требующий уточняющих обращений, фактически нарушает этот принцип.

Как это применяется на практике

Кейс 1. Торговая компания (Центральный ФО, осень 2025) получила запрос бывшего работника о составе обрабатываемых ПДн. Юрист направил ответ в срок, но указал только категории данных («кадровые документы») без конкретных полей и не отразил факт передачи данных в зарплатный банк. РКН по жалобе субъекта возбудил дело по ч. 4 ст. 13.11 КоАП; штраф составил сумму в диапазоне нижней трети санкции. После подключения ОРД-поддержки компания ввела шаблон ответа с полным перечнем элементов — следующая жалоба того же субъекта была отклонена.

Кейс 2. Медицинская клиника (Северо-Западный ФО, начало 2026) получила запрос пациента о правовом основании обработки данных о здоровье. В ответе была указана ссылка на «ст. 9 ФЗ-152» (согласие), но не названо основание по ч. 2 ст. 10 ФЗ-152, допускающее обработку спецкатегорий. РКН квалифицировал ответ как неполный; предписание обязало переработать шаблон и добавить обязательный элемент для спецкатегорий. Протокол по ч. 4 ст. 13.11 завершился штрафом в нижней части санкции.

Услуги DATUM по теме

DPO-аутсорсинг — обработка запросов субъектов, шаблоны ответов, контроль сроков
Комплект ОРД под ключ — журнал учёта запросов, регламент реагирования, шаблоны
Аудит соответствия 152-ФЗ — проверка текущих ответов субъектам на соответствие ч. 7 ст. 14

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже простое хранение файла с именем и телефоном клиента является обработкой и обязывает соблюдать требования закона.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 содержит закрытый перечень из 11 оснований: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение законной обязанности оператора (п. 2), защита жизни и здоровья (п. 6) и другие. В ответе на запрос субъекта обязательно указывать конкретный применимый пункт — не просто «ФЗ-152».

3. Что грозит за нарушение порядка ответа субъекту?

За невыполнение обязанности по предоставлению субъекту информации о его данных — штраф для юрлица от 40 000 до 80 000 ₽ (ч. 4 ст. 13.11 КоАП в редакции с 30.05.2025). Повторное нарушение квалифицируется по ч. 5.1 — от 300 000 до 500 000 ₽. Неполный ответ приравнивается к невыполнению обязанности, если отсутствующий элемент прямо предусмотрен ч. 7 ст. 14 ФЗ-152.

4. Нужно ли уведомлять РКН малому бизнесу об обработке ПДн?

По общему правилу ст. 22 ФЗ-152 уведомить РКН обязан любой оператор до начала обработки. Исключения предусмотрены ч. 2 ст. 22 — например, обработка только в рамках трудовых отношений или только данных, предоставленных субъектом для заключения договора. Малый бизнес не освобождён автоматически: нужно проверить, подпадает ли конкретная обработка под исключение.

Итог

Состав ответа субъекту на запрос о доступе — не произвольный набор сведений, а закрытый перечень элементов из ч. 7 ст. 14 ФЗ-152. Каждый отсутствующий или неполный элемент создаёт основание для штрафа по ч. 4 ст. 13.11 КоАП. Срок ответа — 10 рабочих дней, продление — только с уведомлением субъекта.

DATUM сопровождает юристов и операторов в разработке шаблонов ответов субъектам, аудите ОРД и абонентском DPO-обслуживании. Обращения субъектов обрабатываются в рамках функции ответственного по ст. 22.1 ФЗ-152.

Нет шаблона ответа субъекту или устарел состав?

Если юрист компании формирует ответы вручную без утверждённого шаблона — риск неполного состава по ч. 7 ст. 14 ФЗ-152 сохраняется при каждом запросе. Штраф по ч. 4 ст. 13.11 КоАП назначается за каждый выявленный факт. Юристы DATUM разработают шаблон ответа субъекту, регламент учёта запросов и при необходимости возьмут функцию DPO-аутсорсинга по ст. 22.1.