справочник 9 января 2027 По состоянию на 9 января 2027

Срок ответа на запрос субъекта: 10 рабочих дней (ст. 20)

Срок ответа на запрос субъекта персональных данных по ст. 20 ФЗ-152 — 10 рабочих дней с даты обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.

Нарушение этого срока — состав ч. 4 ст. 13.11 КоАП (до 80 000 ₽ для юрлица). Повторное неисполнение требования субъекта об уточнении или уничтожении ПДн — ч. 5.1 ст. 13.11 (до 500 000 ₽). Юрист, настраивающий комплаенс по 152-ФЗ, обязан встроить механизм учёта запросов в ОРД.

→ Если в компании нет регламента ответов на запросы субъектов — пакет ОРД не закрыт и риск штрафа по ч. 4–5 ст. 13.11 КоАП остаётся открытым.

Обязанность оператора отвечать на запросы субъектов — одна из наиболее процессуальных норм 152-ФЗ. Юристы, которые строят комплаенс, нередко фокусируются на политике конфиденциальности и согласиях, оставляя срок ответа без регламентации. Между тем РКН вправе возбудить дело по ч. 4 ст. 13.11 КоАП по одной жалобе субъекта — без плановой проверки. Ниже — разбор всех определений, сроков и оснований, которые юрист должен учесть при построении регламента обработки ПДн.

Что понимается под запросом субъекта по ст. 20 ФЗ-152?

Субъект персональных данных — физическое лицо, которое прямо или косвенно идентифицируется через ПДн, обрабатываемые оператором (ст. 3 ФЗ-152). Субъект вправе обратиться к оператору с требованием предоставить: подтверждение факта обработки, правовое основание, цели обработки, перечень обрабатываемых данных, источник их получения, срок обработки или хранения, а также сведения о лицах, которым ПДн передавались.

Оператор персональных данных — организация или физическое лицо, которое самостоятельно или совместно с другими лицами определяет цели и порядок обработки ПДн (ст. 3 ФЗ-152). Оператор несёт обязанность ответить на запрос субъекта в установленный срок.

Обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Субъект вправе запросить информацию о любом из этих действий.

«Ст. 20 ФЗ-152: оператор обязан предоставить субъекту сведения об обработке его ПДн не позднее 10 рабочих дней с даты получения запроса. Срок может быть продлён ещё на 5 рабочих дней при направлении субъекту мотивированного уведомления о продлении.»

Запрос может быть направлен в любой форме: письменно, через форму на сайте, по электронной почте, лично. Закон не устанавливает обязательную форму запроса субъекта — требование лишь идентифицировать обратившееся лицо как субъекта.

Какие сроки установлены для разных обязанностей оператора?

Ст. 20 ФЗ-152 устанавливает срок на предоставление информации об обработке. Смежные обязанности регулируются отдельными нормами и имеют собственные сроки.

Сроки исполнения обязанностей оператора перед субъектом

10 рабочих дней — предоставить информацию об обработке ПДн по запросу субъекта (ст. 20 ФЗ-152); продление — ещё до 5 рабочих дней с уведомлением субъекта.
7 рабочих дней — уточнить или уничтожить недостоверные ПДн с момента подтверждения их недостоверности (ст. 21 ФЗ-152).
3 рабочих дня — уничтожить ПДн при отзыве согласия, если обработка не имеет иного правового основания (ст. 21 ФЗ-152).
30 дней — включение оператора в реестр РКН после уведомления о намерении обрабатывать ПДн (ч. 4 ст. 22 ФЗ-152).
24 часа — первичное уведомление РКН при инциденте с ПДн (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187).

Нарушение срока ответа на запрос субъекта квалифицируется по ч. 4 ст. 13.11 КоАП — штраф для юрлица 40 000–80 000 ₽. Невыполнение требования об уточнении, блокировании или уничтожении ПДн — ч. 5 ст. 13.11 (50 000–90 000 ₽); повторное нарушение — ч. 5.1 (300 000–500 000 ₽). Оба состава могут быть предъявлены одновременно по одной жалобе субъекта.

Регламент ответов на запросы субъектов не написан?

Если юрист выявил отсутствие регламента — это пробел в ОРД. РКН вправе запросить журнал учёта обращений субъектов при проверке. Без журнала и регламента доказать соблюдение 10-дневного срока невозможно. Юристы DATUM соберут комплект ОРД под ключ: политика, регламент ответов на запросы, журнал учёта, приказ о назначении ответственного по ст. 22.1 ФЗ-152.

Подключить DPO-аутсорсинг

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Каковы правовые основания обработки ПДн и как они связаны с правом на запрос?

Правовые основания обработки персональных данных — условия, при наличии хотя бы одного из которых оператор вправе обрабатывать ПДн без нарушения ч. 1 ст. 6 ФЗ-152. Закон предусматривает 11 оснований: согласие субъекта (п. 1 ч. 1 ст. 6), исполнение договора с субъектом (п. 5), выполнение возложенных законом обязанностей (п. 2), достижение законных интересов оператора или третьих лиц (п. 7) и другие.

Правовое основание — обязательный элемент ответа на запрос субъекта. Если оператор не может указать конкретное основание из ч. 1 ст. 6 ФЗ-152 — это признак обработки в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽).

Принципы обработки персональных данных по ст. 5 ФЗ-152 включают: законность цели, соответствие объёма обрабатываемых данных заявленным целям, недопустимость объединения баз с несовместимыми целями, уничтожение или обезличивание ПДн по достижении целей обработки. При ответе на запрос субъекта оператор фактически демонстрирует соблюдение или несоблюдение этих принципов — несоответствие объёма данных целям становится очевидным из самого ответа.

Какие категории ПДн влияют на объём раскрываемой информации?

Категории персональных данных по 152-ФЗ делятся на три группы.

Специальные категории (ст. 10 ФЗ-152): расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь, судимость. Обработка по общему правилу запрещена; допускается только в прямо предусмотренных законом случаях. При запросе субъекта о специальных категориях оператор обязан раскрыть специальное основание обработки.

Биометрические ПДн (ст. 11 ФЗ-152): физиологические и биологические особенности, позволяющие установить личность, — изображение лица, голос, отпечатки пальцев, радужная оболочка глаза. Обработка только с письменного согласия, кроме случаев из п. 2 ст. 11. С 01.06.2023 исходная биометрия хранится только в ЕБС (ФЗ-572).

Общедоступные и иные категории: данные, не относящиеся к специальным или биометрическим. Типичные для большинства операторов — ФИО, контакты, данные документов, сведения о трудовой деятельности.

«Ст. 10 ФЗ-152: обработка специальных категорий ПДн запрещена, если субъект не дал явного согласия либо если обработка не необходима для исполнения оператором своих законных обязанностей.»

Категория ПДн определяет уровень защищённости информационной системы по ПП РФ №1119 (УЗ-1...УЗ-4) и набор технических мер по Приказу ФСТЭК №21. При ответе на запрос субъекта категория влияет на детализацию: субъект вправе запросить сведения об условиях защиты его ПДн.

Если юрист выявил, что компания обрабатывает специальные категории ПДн без надлежащего основания — это ч. 1 ст. 13.11 КоАП (до 300 000 ₽) и потенциально ч. 12–14 при утечке (3–15 млн ₽). Аудит соответствия 152-ФЗ закрывает этот риск до прихода РКН.

Заказать аудит 152-ФЗ

Типовые ситуации: как применяется ст. 20 на практике

Ситуация 1. Субъект запрашивает перечень обрабатываемых данных, оператор не отвечает 15 рабочих дней. Субъект подаёт жалобу в РКН. РКН возбуждает дело по ч. 4 ст. 13.11 КоАП без проведения плановой проверки — одной жалобы достаточно. Юрлицо получает штраф в диапазоне 40 000–80 000 ₽. Доказательством нарушения служит отсутствие исходящего письма-ответа и журнала учёта обращений. Стратегия защиты — доказать фактическое направление ответа (скриншот, подтверждение доставки email) или применить ст. 4.1.1 КоАП (замена штрафа предупреждением для микропредприятий при первичном нарушении).

Ситуация 2. Субъект требует уничтожить ПДн, оператор тянет с исполнением. Если основание обработки — только согласие субъекта, то при его отзыве ПДн подлежат уничтожению в срок до 3 рабочих дней (ст. 21 ФЗ-152). Нарушение этого срока — ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽). При повторном нарушении — ч. 5.1 (300 000–500 000 ₽). Стратегия: внедрить регламент с автоматическим напоминанием ответственному и чётким протоколом уничтожения с актом.

Ситуация 3. Оператор ответил в срок, но ответ неполный — не указано правовое основание обработки. Субъект вправе повторно обратиться и указать на неполноту. РКН при проверке оценит качество ответа: формальное письмо без раскрытия правового основания не снимает риска ч. 4 ст. 13.11. Стратегия: закрепить в регламенте шаблон ответа с обязательными элементами по ст. 20 ФЗ-152: подтверждение факта/отсутствия обработки, цель, правовое основание, перечень данных, срок хранения, третьи лица.

Кейс 1. В компании розничной торговли (Центральный ФО, весна 2026) клиент обратился с запросом о составе обрабатываемых данных. Ответственный за обработку ПДн не получил запрос из-за отсутствия единой точки входа для обращений субъектов. Через 20 рабочих дней субъект подал жалобу в РКН. Компания не смогла доказать соблюдение срока — журнал учёта не вёлся. Мировой суд назначил штраф по ч. 4 ст. 13.11 КоАП. Впоследствии DATUM помог внедрить регламент и журнал учёта, закрыв пробел в ОРД.

Кейс 2. Медицинская организация (Приволжский ФО, осень 2025) получила от пациента требование уничтожить ПДн после окончания лечения. Юрист выявил, что часть данных хранится в МИС на основании требований законодательства о здравоохранении — срок хранения медицинской документации установлен отдельным НПА и не зависит от отзыва согласия пациента. Оператор направил мотивированный ответ об ином правовом основании хранения в срок 10 рабочих дней. Жалоба субъекта в РКН не повлекла возбуждения дела — оператор доказал наличие самостоятельного основания хранения.

Услуги DATUM по теме

Комплект ОРД под ключ — регламент ответов на запросы субъектов, журнал учёта, шаблоны ответов
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152, включая обработку запросов субъектов
Аудит соответствия 152-ФЗ — проверка полноты ОРД и процессов реагирования на обращения

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой признаётся любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Хранение само по себе — уже обработка. Оператор, который только хранит базу данных клиентов, обрабатывает ПДн и обязан исполнять все требования ст. 20 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ч. 1 ст. 6 ФЗ-152 содержит исчерпывающий перечень из 11 правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора, стороной которого является субъект (п. 5), исполнение оператором обязанностей, возложенных законом (п. 2), достижение законных интересов оператора при условии, что права субъекта не нарушаются (п. 7). Отсутствие хотя бы одного основания для конкретной операции обработки — состав ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽ для юрлица).

3. Что грозит за нарушение 152-ФЗ?

Ответственность многоуровневая. Административная: ст. 13.11 КоАП в редакции с 30.05.2025 предусматривает 18 составов — от 30 000 ₽ (ч. 3, отсутствие политики) до оборотного штрафа 1–3% годовой выручки, но не менее 20 млн ₽ (ч. 15, повторная утечка). Уголовная: ст. 272.1 УК (введена 11.12.2024) — незаконные действия с компьютерной информацией, содержащей ПДн, до 10 лет лишения свободы по ч. 5 при тяжких последствиях. Гражданская: субъект вправе взыскать компенсацию морального вреда через суд.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если нет применимого исключения из ч. 2 ст. 22 ФЗ-152. Исключения охватывают, в частности, обработку ПДн работников в рамках трудовых отношений, обработку в связи с договором с субъектом без передачи третьим лицам, разовую обработку для пропуска на объект. Если деятельность выходит за рамки этих исключений — обязанность уведомить РКН до начала обработки возникает независимо от размера бизнеса. Неуведомление — ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽ для юрлица).

Итог

Срок ответа на запрос субъекта — 10 рабочих дней с возможностью продления до 5 рабочих дней — это процессуальная норма ст. 20 ФЗ-152, которая превращается в риск штрафа без надлежащего регламента и журнала учёта обращений. Смежные сроки по ст. 21 ФЗ-152 (3 и 7 рабочих дней) ужесточают требования при отзыве согласия и требованиях об уточнении. Категория обрабатываемых ПДн, правовое основание по ст. 6 и принципы по ст. 5 — обязательные элементы любого ответа субъекту.

Практика DATUM по 152-ФЗ включает разработку регламентов ответов на запросы субъектов как часть комплекта ОРД, а также аутсорсинг функции ответственного по ст. 22.1 ФЗ-152 — с ведением журнала и подготовкой ответов субъектам в установленные сроки.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025, ст. 4.1 и 4.1.1 КоАП.