справочник 16 декабря 2026 По состоянию на 16 декабря 2026

Жалоба субъекта в суд: что приложить

Жалоба субъекта персональных данных — это обращение физического лица в суд с требованием о защите права на неприкосновенность частной жизни, если оператор нарушил ст. 5, 6, 9 или 21 ФЗ-152.

С 30.05.2025 штрафы по ст. 13.11 КоАП выросли кратно: неправомерная обработка — до 300 000 ₽, отказ уничтожить данные — до 90 000 ₽, утечка от 1 000 субъектов — от 3 000 000 ₽. Каждая успешная жалоба субъекта в суд создаёт преюдицию и усиливает позицию РКН.

→ Если вы юрист и получили уведомление о судебном иске субъекта — список необходимых приложений и стратегия защиты ниже.

С 2025 года субъекты персональных данных активно используют суд как инструмент защиты: компенсация морального вреда, обязание уничтожить данные, взыскание убытков. Для юриста компании важно понять логику требований заранее — что субъект обязан приложить к иску, какие доказательства суд примет, и как это влияет на позицию оператора.

Что такое субъект и оператор персональных данных по ст. 3 ФЗ-152?

Субъект персональных данных — физическое лицо, которое прямо или косвенно определяется через обрабатываемые сведения: фамилия, телефон, адрес, идентификатор устройства или их совокупность. Оператор персональных данных — организация или физическое лицо, которое самостоятельно или совместно с другими определяет цели и порядок обработки ПДн (ст. 3 ФЗ-152). Обработка персональных данных охватывает любое действие с ПДн: сбор, запись, хранение, уточнение, передачу, обезличивание, уничтожение.

«Ст. 3 ФЗ-152 определяет оператора как лицо, организующее и осуществляющее обработку ПДн, а также определяющее её цели и состав.»

Ключевое значение для жалобы в суд: субъект должен доказать, что именно ответчик является оператором — то есть определял цели обработки его ПДн. Это подтверждается договором, политикой конфиденциальности, согласием на сайте, уведомлением в реестре РКН или скриншотами сервисов ответчика.

Какие принципы нарушает оператор чаще всего — и как это доказать?

Ст. 5 ФЗ-152 закрепляет принципы обработки персональных данных: законность цели, соответствие объёма данных заявленной цели, точность сведений, ограничение срока хранения и обязательное уничтожение при достижении цели. Нарушение любого из них — самостоятельное основание для иска.

«Ст. 5 ФЗ-152 запрещает обрабатывать данных больше, чем нужно для заявленной цели, и хранить их дольше необходимого.»

Типовые нарушения в исках субъектов:

Избыточный сбор — оператор требовал паспортные данные там, где достаточно email.
Хранение после прекращения договора — данные не уничтожены спустя разумный срок.
Передача третьим лицам без основания — нарушение ст. 6 ФЗ-152 (правовые основания обработки).
Отсутствие или дефектное согласие — нарушение ст. 9 ФЗ-152 (обязательные реквизиты).

Доказательства для субъекта: скриншоты форм регистрации, квитанции об оплате, переписка, распечатки рекламных рассылок, ответы на запросы об обработке ПДн (или их отсутствие).

Получили исковое заявление от субъекта?

Иск субъекта в суд нередко предшествует проверке РКН или параллелен ей. У оператора есть 10 рабочих дней на ответ субъекту по ст. 20 ФЗ-152 — и этот срок уже мог истечь до подачи иска. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что субъект обязан приложить к жалобе в суд: перечень документов

Суд принимает иск к производству при соблюдении требований ГПК РФ. Для дел о нарушении прав субъекта ПДн практика выработала устойчивый перечень приложений.

Что субъект прикладывает к исковому заявлению

Доказательство статуса субъекта — договор, анкета, регистрация на сайте, квитанция об оплате с именем истца.
Доказательство нарушения — скриншот с указанием даты и URL, распечатка рассылки, ответ (или молчание) оператора на запрос об обработке ПДн по ст. 14 ФЗ-152.
Досудебный запрос оператору — письмо об уточнении, блокировании или уничтожении данных с отметкой о вручении или почтовым уведомлением; срок ответа — 10 рабочих дней (ст. 20 ФЗ-152).
Копия политики конфиденциальности ответчика — распечатка с сайта с датой обращения (фиксирует версию документа).
Расчёт компенсации морального вреда — обоснование суммы со ссылкой на судебную практику (диапазон по российским судам — от 5 000 до 100 000 ₽ за базовый состав).

Правовые основания обработки персональных данных по ст. 6 ФЗ-152 — это исчерпывающий перечень из 11 оснований: согласие субъекта, исполнение договора, исполнение обязанности оператора по закону, защита жизни и здоровья, осуществление правосудия и другие. Если оператор не может указать применимое основание — нарушение ст. 6 доказано.

Как согласие по ст. 9 ФЗ-152 становится центральным доказательством

Согласие на обработку персональных данных — волеизъявление субъекта, конкретное, информированное и сознательное, по ст. 9 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом и не может быть объединено с договором, офертой или политикой конфиденциальности.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 требует, чтобы согласие было оформлено отдельно от иных документов и содержало: ФИО субъекта, цель, перечень ПДн, перечень действий, срок действия, способ отзыва.»

В суде субъект доказывает дефектность согласия так:

Согласие включено в текст договора или публичной оферты — недопустимо с 01.09.2025.
Отсутствует хотя бы один обязательный реквизит из ст. 9 — например, не указан срок действия или способ отзыва.
Согласие получено путём проставления галочки по умолчанию — не является добровольным.
Оператор не может предъявить согласие в суде — бремя доказывания законности лежит на операторе (ч. 3 ст. 9 ФЗ-152).

Для юриста компании: наличие корректного согласия в архиве — ключевая линия защиты по ч. 2 ст. 13.11 КоАП (штраф 300 000 — 700 000 ₽ за отсутствие письменного согласия). При повторном нарушении — ч. 2.1, штраф 1 000 000 — 1 500 000 ₽.

Если юрист обнаружил, что согласия работников или клиентов не соответствуют требованиям с 01.09.2025 — каждый дефектный документ создаёт основание для штрафа. Юристы DATUM соберут комплект ОРД под ключ и переведут согласия в соответствие с ФЗ-156.

Подключить DPO-аутсорс

Типовые ситуации: как жалоба субъекта влияет на позицию оператора

Ситуация 1. Субъект требует уничтожить данные — оператор молчит. Субъект направил запрос по ст. 14 ФЗ-152 об уничтожении данных после расторжения договора. Оператор не ответил в 10 рабочих дней. Субъект приложил к иску: копию запроса с отметкой о вручении, распечатку сайта с действующим профилем, скриншот рассылок, полученных после запроса. Суд констатировал нарушение ст. 21 ФЗ-152 и обязал оператора уничтожить ПДн с возмещением морального вреда. РКН на основании решения суда возбудил дело по ч. 5 ст. 13.11 КоАП (штраф 50 000 — 90 000 ₽). Стратегия защиты: фиксировать дату и факт уничтожения данных, хранить акты об уничтожении, настроить сроки обработки в регламенте.

Ситуация 2. Утечка данных — субъект подаёт иск о компенсации. После публичной утечки (аналогичной кейсам case_01_yandex_eda) несколько субъектов подали иски о компенсации морального вреда. Суды Северо-Западного ФО (2025) взыскали от 5 000 до 15 000 ₽ на истца. К иску прикладывались: скриншоты с форумов с публично доступными данными истца, уведомление об утечке от РКН или СМИ, ответ оператора (или молчание). При доказанной утечке от 1 000 субъектов оператор одновременно несёт административную ответственность по ч. 12 ст. 13.11 КоАП (3 000 000 — 5 000 000 ₽). Стратегия: уведомить РКН за 24 часа, зафиксировать принятые меры — это смягчает и административное, и гражданское преследование.

Ситуация 3. Дефектная политика конфиденциальности — коллективный иск. Юрист обнаружил, что политика компании не содержит обязательных разделов по ч. 2 ст. 18.1 ФЗ-152 (цели, основания, состав ПДн, сроки). Группа субъектов подала коллективный иск об обязании привести политику в соответствие. Суд удовлетворил требования. Параллельно — предписание РКН и штраф по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽ за отсутствие публично доступной политики). Стратегия: актуализировать политику превентивно и разместить в публичном доступе на сайте.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, политики и ОРД по чек-листу из 38 пунктов
Комплект ОРД под ключ — переработка согласий под требования ФЗ-156 с 01.09.2025
DPO-аутсорсинг — абонентское ведение функции ответственного по ст. 22.1 ФЗ-152

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка персональных данных по ст. 3 ФЗ-152 — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Автоматизированная и неавтоматизированная обработка одинаково регулируются законом.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит исчерпывающий перечень из 11 правовых оснований. Наиболее распространённые для бизнеса: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанности оператора по законодательству (п. 2). Если ни одно из оснований не применимо — обработка незаконна и влечёт штраф по ч. 1 ст. 13.11 КоАП от 150 000 ₽.

3. Что грозит за нарушение 152-ФЗ?

Ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420) содержит 18 составов. Штрафы для юридических лиц: от 30 000 ₽ (отсутствие политики конфиденциальности) до 15 000 000 ₽ (утечка более 100 000 субъектов по ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽. С 11.12.2024 за незаконные действия с ПДн введена уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 уведомление обязательно для всех операторов до начала обработки. Исключения закреплены в ч. 2 ст. 22 и касаются узких случаев: обработка данных работников оператора, однократные пропускные журналы, членские реестры НКО и ряд иных. Большинство малых предприятий, обрабатывающих данные клиентов через сайт или CRM, обязаны уведомить. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП от 100 000 ₽.

5. С какого возраста нужно согласие на ПДн?

По общему правилу согласие даёт сам субъект. Для лиц до 18 лет согласие на обработку вправе давать родители или законные представители. Специальных возрастных порогов в ФЗ-152 нет, однако для образовательных сервисов и детских платформ РКН устойчиво требует согласие представителя при любом возрасте ребёнка.

Итог

Жалоба субъекта в суд — это не изолированное событие: она сигнализирует о системных недостатках в обработке ПДн и нередко предшествует проверке РКН. Перечень приложений к иску напрямую указывает на слабые места оператора: дефектное согласие, отсутствующую политику, неответ на запрос субъекта или нарушенные сроки уничтожения данных.

DATUM сопровождает операторов на всех стадиях: от аудита обработки ПДн и сборки ОРД до представления интересов при иске субъекта и проверке РКН.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025, обработка ПДн в HR, КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.