Права субъектов персональных данных: как обеспечить на практике

Зачем учитывать права субъектов ПДн

Права субъектов — фундамент закона о персональных данных. Их реализация защищает людей и снижает для оператора риски претензий, проверок и штрафов. Действуйте в соответствии с законом 152-ФЗ и его принципами — прозрачностью, минимизацией, точностью, ограничением сроков и безопасностью обработки. Освежить базу поможет разделы: о законе 152-ФЗ, принципы и цели обработки, структура и статьи 152-ФЗ и глоссарий.

Ключевые права субъектов персональных данных 152-ФЗ

На основании 152-ФЗ у субъекта есть, в частности, следующие права (смотрите также ст. 14 и связанные нормы):

получать информацию об обработке (цели, правовые основания, категории ПДн, источники, сроки хранения, круг лиц, которым передаются данные);
требовать предоставления своих ПДн и копий документов, содержащих ПДн;
добиваться уточнения (обновления), блокировки или уничтожения ПДн, если они неполные, устаревшие, неточные, получены незаконно или более не нужны для заявленной цели (уничтожение и блокировка ПДн, сроки хранения);
отзывать согласие на обработку (отзыв согласия, обработка без согласия);
требовать прекращения распространения и (или) передачи ПДн третьим лицам (передача третьим лицам);
возражать против принятия решений, основанных исключительно на автоматизированной обработке (включая профилирование) — см. ст. 15 и ст. 10.1 для отдельных категорий;
обжаловать действия оператора в Роскомнадзор и суд.

Все эти права реализуются через обращение субъекта — «заявление 152-ФЗ» — и последующий мотивированный ответ оператора в установленные законом сроки. Актуальные формулировки и нюансы всегда проверяйте по последней редакции 152-ФЗ и обзору изменений 2025.

«Заявление 152-ФЗ»: что это и как его принять

Заявление 152-ФЗ — официальное обращение субъекта (или его законного представителя) к оператору с требованием реализовать его права. Рекомендуемые реквизиты обращения:

Получить CloudPayments бесплатно

ФИО, контактные данные, способ получения ответа;
сведения для идентификации (для дистанционных каналов — усиленная квалифицированная подпись, Госуслуги, загруженная копия документа и т. п.);
суть требования: доступ, уточнение, блокировка, уничтожение, отзыв согласия, ограничение распространения и др.;
перечень ПДн, по которым заявлено требование, и контекст (договор, аккаунт, заказ);
дата и подпись (электронная при онлайн-обращении).

Каналы приема заявлений:

почта и курьер (включая нотариальные копии при необходимости);
электронная почта, формы на сайте (формы на сайте и согласие, cookie и баннеры);
личный кабинет, helpdesk, мессенджеры (мессенджеры и 152-ФЗ);
очный прием через офис/кассу/стойку.

Чтобы ускорить работу, подготовьте понятные шаблоны: заявления и отзыв согласия и готовые шаблоны и формы. Если у вас сайт на популярной CMS — посмотрите разделы: Tilda, WordPress, Bitrix.

Сроки и форматы ответа оператором

Действуйте в соответствии с законом 152-ФЗ и внутренней политикой. Конкретные сроки и форматы ответа уточняйте по последней редакции. Практически удобно установить внутренние KPI, более строгие, чем закон, чтобы гарантировать соблюдение.

Ниже — ориентир для планирования процессов (уточняйте юридически значимые сроки в вашей отрасли и политике оператора):

Право субъекта	Действие оператора	Форма ответа	Рекомендованный KPI
Доступ к информации об обработке	Подготовить перечень сведений об обработке, источниках, целях, сроках хранения, получателях	Письмо/электронный ответ; при необходимости — копии документов	5 рабочих дней
Предоставление копии ПДн	Выгрузка данных из ИСПДн, проверка, обезличивание третьих лиц	Электронный архив/бумажный комплект	5–10 рабочих дней
Уточнение ПДн	Проверка доказательств, внесение изменений	Подтверждение и дата изменения	3–5 рабочих дней
Блокировка/уничтожение	Приостановка обработки/безвозвратное удаление на законном основании	Акт блокировки/уничтожения, уведомление	5–10 рабочих дней
Отзыв согласия	Прекращение обработки, не требуемой по иным основаниям	Подтверждение отзыва, перечень процессов, которые остановлены	1–3 рабочих дня
Ограничение распространения	Остановка публикаций и передач, отзыв у партнеров	Подтверждение и список уведомленных третьих лиц	3–7 рабочих дней

Советы по формату ответа:

краткий сопроводительный текст + структурированное приложение с данными;
унифицированные письма для типовых случаев (доступ, удаление, отказ);
журнал регистрации всех ответов с отметкой времени отправки и доставкой.

Алгоритм обработки обращений: от входа до закрытия

Схема процесса работы с заявлением 152-ФЗ (блок‑схема): прием → проверка личности → квалификация требования → поиск и извлечение данных → выполнение действия → формирование ответа → закрытие кейса → ретроспектива

Прием и регистрация

Присвоить номер, зафиксировать канал и срок.
Отправить подтверждение получения с ориентиром по срокам.

Идентификация заявителя

Запросить недостающие данные (без избыточности). При невозможности идентификации — мотивированный отказ на основании 152-ФЗ.

Квалификация требования

Определить правовое основание обработки (договор, закон, согласие) и применимость требования.
Проверить, не затрагивает ли запрос права третьих лиц.

Поиск данных

ИСПДн, CRM, helpdesk, почта, архивы, облака (серверы/хостинг/ЦОД, облака).

Исполнение

Уточнение/блокировка/уничтожение/ограничение распространения/предоставление данных.
Уведомление порученных операторов и получателей ПДн (поручение обработки, передача третьим лицам).

Ответ

Полный, понятный, с правовым обоснованием и перечнем действий.

Закрытие и ретроспектива

Запись в реестр, хранение доказательств, улучшение регламента.

Идентификация заявителя и безопасность

Реализуя права, нельзя создавать новые риски утечек. В соответствии с законом 152-ФЗ оператор обязан применять достаточные меры защиты и проверять, что обращение исходит от субъекта или его законного представителя:

Используйте многофакторную схему подтверждения личности для онлайн-каналов.
Предусмотрите безопасную передачу и хранение копий документов (шифрование, ограничение доступа) — см. меры безопасности ПДн, уровни защищенности ИСПДн, модель угроз, криптография, требования ФСТЭК и ФСБ.
Применяйте принцип минимизации: запрашивайте только то, что необходимо для верификации.
При отказе — оформляйте мотивировку на основании 152-ФЗ и храните обоснование.

Особые случаи: дети, биометрия, медицина, трансграничность

Для отдельных категорий данных требования строже, а права — шире по объему контроля и информирования:

Дети и несовершеннолетние: согласие законного представителя, повышенные требования к информированию — см. дети и несовершеннолетние ПДн.
Биометрические ПДн: особые основания, запреты на избыточную обработку — биометрические ПДн.
Медицинские данные: врачебная тайна, специализированные законы — медицинские ПДн.
Трансграничная передача: проверяйте юрисдикции, обеспечивающие адекватную защиту — трансграничная передача ПДн.
Видеонаблюдение и публичные места: баланс интересов и информирование — видеонаблюдение.

Документы и процессы оператора

Системность — ключ к соблюдению прав субъектов. Подготовьте и поддерживайте:

Публичную политику обработки ПДн с описанием прав и способов их реализации.
Регламент рассмотрения обращений, формы и скрипты ответов (в помощь — пакет документов, генератор политики и согласий).
Механизмы учета сроков хранения и процедур удаления — сроки хранения, уничтожение и блокировка, прекращение обработки.
Назначение ответственного — ответственный за обработку ПДн и распределение обязанностей оператора.
Уведомление и взаимодействие с Роскомнадзором при необходимости — уведомление Роскомнадзор, реестр операторов ПДн.

Контроль, учет и обучение

Внутренний контроль и аудит: регулярные проверки соблюдения прав субъектов — внутренний контроль и обучение, аудит соответствия.
Обучение сотрудников фронт-линий и ИТ: распознавание «заявления 152-ФЗ», безопасная обработка, корректная маршрутизация — обучение и курсы.
Инциденты и утечки: отработка запросов после инцидента, уведомления субъектов и регулятора — инциденты и утечки ПДн, действия при нарушении.

Жалобы, проверки и ответственность

Нарушение прав субъектов — частая причина жалоб в Роскомнадзор и судебных споров. Минимизируйте риски:

Фиксируйте все действия по обращениям, храните доказательства отправки ответа и исполненных операций.
Анализируйте корневые причины отказов и задержек.
Ознакомьтесь с последствиями: ответственность и штрафы, КоАП 13.11, судебная практика, а также связанные законы.

Чек-лист готовности

Публичная политика с понятной инструкцией «как подать заявление 152-ФЗ» опубликована и актуальна.
Есть понятные каналы приема обращений (онлайн-форма, email, почта) и SLA.
Назначен ответственный, утверждены шаблоны ответов и регламенты.
Ведется реестр заявлений, настроены напоминания о сроках и автоматизация.
Настроены процессы удаления/блокировки, в том числе у подрядчиков и партнеров.
Проверена защита каналов и ИСПДн (шифрование, роли, логирование).
Сотрудники обучены распознавать и корректно обрабатывать обращения.
Проведено тестирование «тайным заявителем», выявленные пробелы устранены.

Вывод и следующий шаг

Реализация прав субъектов персональных данных — не одноразовая акция, а устойчивый процесс. Действуйте на основании 152-ФЗ, документируйте шаги, обучайте команду и автоматизируйте рутину. Если нужно ускориться, используйте наши инструменты: онлайн‑проверка сайта, аудит сайта, консалтинг и документы под ключ и генератор политики и согласий. Это поможет обеспечить соблюдение прав субъектов быстро и без лишних рисков — в полном соответствии с законом 152-ФЗ.

Получить CloudPayments бесплатно