Права субъектов персональных данных: как обеспечить на практике

Table of contents

• Зачем учитывать права субъектов ПДн
• Ключевые права субъектов персональных данных 152-ФЗ
• «Заявление 152-ФЗ»: что это и как его принять
• Сроки и форматы ответа оператором
• Алгоритм обработки обращений: от входа до закрытия
• Идентификация заявителя и безопасность
• Особые случаи: дети, биометрия, медицина, трансграничность
• Документы и процессы оператора
• Контроль, учет и обучение
• Жалобы, проверки и ответственность
• Чек-лист готовности
• Вывод и следующий шаг

Зачем учитывать права субъектов ПДн

Права субъектов — фундамент закона о персональных данных. Их реализация защищает людей и снижает для оператора риски претензий, проверок и штрафов. Действуйте в соответствии с законом 152-ФЗ и его принципами — прозрачностью, минимизацией, точностью, ограничением сроков и безопасностью обработки. Освежить базу поможет разделы: о законе 152-ФЗ, принципы и цели обработки, структура и статьи 152-ФЗ и глоссарий.

Ключевые права субъектов персональных данных 152-ФЗ

На основании 152-ФЗ у субъекта есть, в частности, следующие права (смотрите также ст. 14 и связанные нормы):

• получать информацию об обработке (цели, правовые основания, категории ПДн, источники, сроки хранения, круг лиц, которым передаются данные);
• требовать предоставления своих ПДн и копий документов, содержащих ПДн;
• добиваться уточнения (обновления), блокировки или уничтожения ПДн, если они неполные, устаревшие, неточные, получены незаконно или более не нужны для заявленной цели (уничтожение и блокировка ПДн, сроки хранения);
• отзывать согласие на обработку (отзыв согласия, обработка без согласия);
• требовать прекращения распространения и (или) передачи ПДн третьим лицам (передача третьим лицам);
• возражать против принятия решений, основанных исключительно на автоматизированной обработке (включая профилирование) — см. ст. 15 и ст. 10.1 для отдельных категорий;
• обжаловать действия оператора в Роскомнадзор и суд.

Все эти права реализуются через обращение субъекта — «заявление 152-ФЗ» — и последующий мотивированный ответ оператора в установленные законом сроки. Актуальные формулировки и нюансы всегда проверяйте по последней редакции 152-ФЗ и обзору изменений 2025.

«Заявление 152-ФЗ»: что это и как его принять

Заявление 152-ФЗ — официальное обращение субъекта (или его законного представителя) к оператору с требованием реализовать его права. Рекомендуемые реквизиты обращения:

• ФИО, контактные данные, способ получения ответа;
• сведения для идентификации (для дистанционных каналов — усиленная квалифицированная подпись, Госуслуги, загруженная копия документа и т. п.);
• суть требования: доступ, уточнение, блокировка, уничтожение, отзыв согласия, ограничение распространения и др.;
• перечень ПДн, по которым заявлено требование, и контекст (договор, аккаунт, заказ);
• дата и подпись (электронная при онлайн-обращении).

Каналы приема заявлений:

• почта и курьер (включая нотариальные копии при необходимости);
• электронная почта, формы на сайте (формы на сайте и согласие, cookie и баннеры);
• личный кабинет, helpdesk, мессенджеры (мессенджеры и 152-ФЗ);
• очный прием через офис/кассу/стойку.

Чтобы ускорить работу, подготовьте понятные шаблоны: заявления и отзыв согласия и готовые шаблоны и формы. Если у вас сайт на популярной CMS — посмотрите разделы: Tilda, WordPress, Bitrix.

Сроки и форматы ответа оператором

Действуйте в соответствии с законом 152-ФЗ и внутренней политикой. Конкретные сроки и форматы ответа уточняйте по последней редакции. Практически удобно установить внутренние KPI, более строгие, чем закон, чтобы гарантировать соблюдение.

Ниже — ориентир для планирования процессов (уточняйте юридически значимые сроки в вашей отрасли и политике оператора):

Право субъекта	Действие оператора	Форма ответа	Рекомендованный KPI
Доступ к информации об обработке	Подготовить перечень сведений об обработке, источниках, целях, сроках хранения, получателях	Письмо/электронный ответ; при необходимости — копии документов	5 рабочих дней
Предоставление копии ПДн	Выгрузка данных из ИСПДн, проверка, обезличивание третьих лиц	Электронный архив/бумажный комплект	5–10 рабочих дней
Уточнение ПДн	Проверка доказательств, внесение изменений	Подтверждение и дата изменения	3–5 рабочих дней
Блокировка/уничтожение	Приостановка обработки/безвозвратное удаление на законном основании	Акт блокировки/уничтожения, уведомление	5–10 рабочих дней
Отзыв согласия	Прекращение обработки, не требуемой по иным основаниям	Подтверждение отзыва, перечень процессов, которые остановлены	1–3 рабочих дня
Ограничение распространения	Остановка публикаций и передач, отзыв у партнеров	Подтверждение и список уведомленных третьих лиц	3–7 рабочих дней

Советы по формату ответа:

• краткий сопроводительный текст + структурированное приложение с данными;
• унифицированные письма для типовых случаев (доступ, удаление, отказ);
• журнал регистрации всех ответов с отметкой времени отправки и доставкой.

Алгоритм обработки обращений: от входа до закрытия

1. Прием и регистрация

• Присвоить номер, зафиксировать канал и срок.
• Отправить подтверждение получения с ориентиром по срокам.

1. Идентификация заявителя

• Запросить недостающие данные (без избыточности). При невозможности идентификации — мотивированный отказ на основании 152-ФЗ.

1. Квалификация требования

• Определить правовое основание обработки (договор, закон, согласие) и применимость требования.
• Проверить, не затрагивает ли запрос права третьих лиц.

1. Поиск данных

• ИСПДн, CRM, helpdesk, почта, архивы, облака (серверы/хостинг/ЦОД, облака).

1. Исполнение

• Уточнение/блокировка/уничтожение/ограничение распространения/предоставление данных.
• Уведомление порученных операторов и получателей ПДн (поручение обработки, передача третьим лицам).

1. Ответ

• Полный, понятный, с правовым обоснованием и перечнем действий.

1. Закрытие и ретроспектива

• Запись в реестр, хранение доказательств, улучшение регламента.

Идентификация заявителя и безопасность

Реализуя права, нельзя создавать новые риски утечек. В соответствии с законом 152-ФЗ оператор обязан применять достаточные меры защиты и проверять, что обращение исходит от субъекта или его законного представителя:

• Используйте многофакторную схему подтверждения личности для онлайн-каналов.
• Предусмотрите безопасную передачу и хранение копий документов (шифрование, ограничение доступа) — см. меры безопасности ПДн, уровни защищенности ИСПДн, модель угроз, криптография, требования ФСТЭК и ФСБ.
• Применяйте принцип минимизации: запрашивайте только то, что необходимо для верификации.
• При отказе — оформляйте мотивировку на основании 152-ФЗ и храните обоснование.

Особые случаи: дети, биометрия, медицина, трансграничность

Для отдельных категорий данных требования строже, а права — шире по объему контроля и информирования:

• Дети и несовершеннолетние: согласие законного представителя, повышенные требования к информированию — см. дети и несовершеннолетние ПДн.
• Биометрические ПДн: особые основания, запреты на избыточную обработку — биометрические ПДн.
• Медицинские данные: врачебная тайна, специализированные законы — медицинские ПДн.
• Трансграничная передача: проверяйте юрисдикции, обеспечивающие адекватную защиту — трансграничная передача ПДн.
• Видеонаблюдение и публичные места: баланс интересов и информирование — видеонаблюдение.

Документы и процессы оператора

Системность — ключ к соблюдению прав субъектов. Подготовьте и поддерживайте:

• Публичную политику обработки ПДн с описанием прав и способов их реализации.
• Регламент рассмотрения обращений, формы и скрипты ответов (в помощь — пакет документов, генератор политики и согласий).
• Механизмы учета сроков хранения и процедур удаления — сроки хранения, уничтожение и блокировка, прекращение обработки.
• Назначение ответственного — ответственный за обработку ПДн и распределение обязанностей оператора.
• Уведомление и взаимодействие с Роскомнадзором при необходимости — уведомление Роскомнадзор, реестр операторов ПДн.

Контроль, учет и обучение

• Внутренний контроль и аудит: регулярные проверки соблюдения прав субъектов — внутренний контроль и обучение, аудит соответствия.
• Обучение сотрудников фронт-линий и ИТ: распознавание «заявления 152-ФЗ», безопасная обработка, корректная маршрутизация — обучение и курсы.
• Инциденты и утечки: отработка запросов после инцидента, уведомления субъектов и регулятора — инциденты и утечки ПДн, действия при нарушении.

Жалобы, проверки и ответственность

Нарушение прав субъектов — частая причина жалоб в Роскомнадзор и судебных споров. Минимизируйте риски:

• Фиксируйте все действия по обращениям, храните доказательства отправки ответа и исполненных операций.
• Анализируйте корневые причины отказов и задержек.
• Ознакомьтесь с последствиями: ответственность и штрафы, КоАП 13.11, судебная практика, а также связанные законы.

Чек-лист готовности

• Публичная политика с понятной инструкцией «как подать заявление 152-ФЗ» опубликована и актуальна.
• Есть понятные каналы приема обращений (онлайн-форма, email, почта) и SLA.
• Назначен ответственный, утверждены шаблоны ответов и регламенты.
• Ведется реестр заявлений, настроены напоминания о сроках и автоматизация.
• Настроены процессы удаления/блокировки, в том числе у подрядчиков и партнеров.
• Проверена защита каналов и ИСПДн (шифрование, роли, логирование).
• Сотрудники обучены распознавать и корректно обрабатывать обращения.
• Проведено тестирование «тайным заявителем», выявленные пробелы устранены.

Вывод и следующий шаг

Реализация прав субъектов персональных данных — не одноразовая акция, а устойчивый процесс. Действуйте на основании 152-ФЗ, документируйте шаги, обучайте команду и автоматизируйте рутину. Если нужно ускориться, используйте наши инструменты: онлайн‑проверка сайта, аудит сайта, консалтинг и документы под ключ и генератор политики и согласий. Это поможет обеспечить соблюдение прав субъектов быстро и без лишних рисков — в полном соответствии с законом 152-ФЗ.