Запросы субъектов ПДн 2026: сроки и порядок ответа

Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: апрель 2026 года. Нормативная база: Федеральный закон № 152-ФЗ «О персональных данных» в редакции ФЗ № 420-ФЗ от 30.11.2024.

Почему это важно прямо сейчас

По данным РКН, жалобы субъектов персональных данных на операторов — одна из самых быстрорастущих категорий обращений. В 2025–2026 годах число жалоб на отказ в доступе к данным и затягивание ответов выросло более чем вдвое. Каждая такая жалоба автоматически запускает проверочные мероприятия в течение 30 дней.

Парадокс в том, что большинство нарушений здесь не умышленные. Компании просто не знают:

что срок ответа на запрос об информации — 30 дней, а на запрос об уничтожении или исправлении — 7 рабочих дней;
что «мы не можем предоставить данные без паспорта» — это законный ответ только при соблюдении условий;
что ответить «мы удалим данные» недостаточно — нужно сделать это и подтвердить письменно.

Штраф за неправомерный отказ субъекту по ст. 13.11 ч. 5 КоАП — до 80 000 рублей за одно обращение. А за систематические нарушения порядка обработки — до 300 000 рублей плюс обязательная внеплановая проверка.

Кто такой субъект персональных данных

Субъект персональных данных — это любое физическое лицо, персональные данные которого обрабатывает оператор. Ваш клиент, оставивший email на сайте — субъект. Кандидат на вакансию, приславший резюме — субъект. Подписчик рассылки — субъект. Контрагент-ИП по части личных данных — тоже субъект.

Любой субъект в любой момент вправе обратиться к вам как к оператору с запросом. Отказать без законных оснований нельзя.

Оператор обязан ответить на запрос субъекта вне зависимости от:

способа подачи запроса (письмо, email, через сайт, лично);
причины, по которой данные были получены;
того, прекращена ли уже обработка.

Виды запросов субъектов: классификация

Согласно ст. 14–21 Федерального закона № 152-ФЗ, субъект вправе направить следующие типы запросов:

Вид запроса	Правовая основа	Суть требования
Запрос на получение информации об обработке	ст. 14 ч. 1, ст. 20	Узнать, какие данные обрабатываются, на каком основании, в каких целях
Запрос на исправление данных	ст. 21 ч. 1	Потребовать уточнить неполные или неточные данные
Запрос на уничтожение данных	ст. 21 ч. 1, ч. 3	Потребовать удалить данные (отзыв согласия или незаконная обработка)
Запрос на блокирование данных	ст. 21 ч. 1	Временно приостановить обработку на период проверки
Запрос на отзыв согласия	ст. 9 ч. 2	Отозвать ранее данное согласие на обработку
Запрос на информацию о передаче данных третьим лицам	ст. 14 ч. 1 п. 7	Узнать, кому были переданы данные
Жалоба на незаконные действия оператора	ст. 17	Обратиться за защитой прав в РКН или суд

Ключевое различие: ст. 20 vs ст. 21

Это самая частая ошибка, которую допускают операторы. Закон устанавливает разные сроки для разных типов запросов, и путать их нельзя.

Статья 20: запрос об информации — 30 дней

Что регулирует: право субъекта узнать, обрабатываются ли его данные, и получить информацию об обработке.

Согласно ст. 20 ч. 3 152-ФЗ, оператор обязан предоставить субъекту информацию о факте обработки его персональных данных в срок, не превышающий 30 дней с даты обращения.

Что нужно сообщить в ответе (ст. 14 ч. 1):

факт обработки данных (да/нет);
правовые основания и цели обработки;
применяемые способы обработки;
наименование и адрес оператора;
перечень обрабатываемых данных с источником их получения;
сроки обработки и хранения;
порядок осуществления прав субъекта.

Статья 21: требование исправить или уничтожить — 7 рабочих дней

Что регулирует: право субъекта потребовать уточнения, блокирования или уничтожения данных при незаконной обработке или неточных сведениях.

Согласно ст. 21 ч. 1 152-ФЗ, оператор обязан рассмотреть и исполнить такое требование в срок, не превышающий 7 рабочих дней с даты обращения.

Важно: не путайте 7 рабочих дней с 7 календарными. При пятидневной рабочей неделе 7 рабочих дней — это примерно 9–11 календарных дней с учётом выходных. Но при наличии праздников срок удлиняется.

Сводная таблица сроков

Тип запроса	Срок	Статья
Предоставить информацию об обработке	30 дней	ст. 20 ч. 3
Уточнить/исправить неточные данные	7 рабочих дней	ст. 21 ч. 1
Уничтожить данные (незаконная обработка)	7 рабочих дней	ст. 21 ч. 1
Уничтожить данные (достижение цели)	7 рабочих дней	ст. 21 ч. 3
Уничтожить данные (отзыв согласия)	30 дней	ст. 21 ч. 5
Блокировать данные на период проверки	3 рабочих дня	ст. 21 ч. 2

Как правильно принять запрос

Верификация личности субъекта

Оператор вправе запросить подтверждение личности перед обработкой запроса. Это не просто право — это обязанность, иначе злоумышленник может запросить данные о другом человеке.

Допустимые способы верификации:

Копия паспорта (достаточно первого разворота + прописка)
ЭЦП на запросе
Авторизация в личном кабинете (для онлайн-запросов)
Нотариально заверенная доверенность (для представителей)

Недопустимо: требовать личного визита в офис как единственный способ подачи запроса — это ограничение права субъекта, которое суды квалифицируют как воспрепятствование.

Форма запроса

152-ФЗ не устанавливает обязательной формы запроса. Письмо в произвольной форме, письменное или электронное, — это уже запрос, на который нужно реагировать. Установить обязательную форму «через специальный бланк» вы не можете.

Однако вы вправе просить субъекта использовать форму для удобства обработки — если это ускорит обработку и не создаёт препятствий.

Пошаговый порядок обработки запроса

Шаг 1: Зафиксировать дату получения (день 0)

С момента получения запроса начинается отсчёт срока. Зафиксируйте:

дату и время получения;
способ получения (email, почта, личное обращение);
ФИО и контактные данные заявителя;
суть требования.

Назначьте ответственного сотрудника (или ответственного за ПДн, если он у вас есть).

Шаг 2: Установить тип запроса (день 0–1)

Определите, к какой категории относится запрос:

запрос информации → срок 30 дней, статья 20;
требование исправить/уничтожить → срок 7 рабочих дней, статья 21.

Если запрос сформулирован нечётко — запросите уточнение, но это не останавливает отсчёт срока.

Шаг 3: Верифицировать личность (день 1–3)

Если запрос пришёл без подтверждения личности, запросите документ. Уведомьте субъекта в течение 1–2 дней, что запрос принят в обработку и ожидается верификация. Срок начинает течь с момента завершения верификации — но только если ваш запрос верификации был разумным и не затягивался намеренно.

Шаг 4: Собрать данные из всех систем (день 1–7)

Проверьте все системы, где могут быть данные субъекта:

CRM
email-маркетинг
база данных сайта
бухгалтерские системы
системы аналитики
данные у подрядчиков-обработчиков

Шаг 5: Принять решение об исполнении (до истечения срока)

Определите: можете ли вы исполнить требование полностью, частично или отказываете.

Законные основания для отказа:

данные обрабатываются для исполнения договора, и субъект является его стороной (нельзя удалить, пока действует договор);
обработка предусмотрена законом;
данные необходимы для защиты прав оператора в суде;
данные уже уничтожены к моменту запроса.

Шаг 6: Направить ответ (в пределах срока)

Ответ должен быть направлен в пределах установленного срока и содержать:

ссылку на запрос (дата, суть);
решение по каждому требованию (исполнено / частично исполнено / отказ);
при исполнении — подтверждение факта исполнения;
при отказе — правовое основание со ссылкой на конкретную статью;
контакт ответственного лица для уточнений.

Шаг 7: Задокументировать и сохранить (вечно)

Сохраните:

копию запроса;
копию ответа;
доказательства отправки ответа;
внутренние документы о принятых мерах.

Срок хранения — не менее 3 лет (срок исковой давности по административным делам).

Шаблоны ответов на типичные запросы

Шаблон 1: Ответ на запрос информации (ст. 20)

'Уважаемый(ая) [ФИО],

В ответ на Ваше обращение от [дата] сообщаем следующее.

[Наименование организации] (ИНН: [ИНН], адрес: [адрес]) обрабатывает следующие персональные данные:

— ФИО, адрес электронной почты, номер телефона.

Правовое основание обработки: Ваше согласие, данное при регистрации на сайте [адрес сайта] [дата].

Цель обработки: [например, исполнение договора на оказание услуг].

Способы обработки: сбор, хранение, использование, передача уполномоченным лицам.

Третьи лица, которым переданы данные: [перечень или «третьим лицам не передавались»].

Срок обработки: до [дата] либо до момента отзыва Вашего согласия.

Ваши права как субъекта персональных данных установлены ст. 14–21 Федерального закона № 152-ФЗ.

С уважением, [ФИО ответственного], [должность] [Дата]'

Шаблон 2: Подтверждение уничтожения данных (ст. 21)

'Уважаемый(ая) [ФИО],

В ответ на Ваше требование от [дата] об уничтожении персональных данных сообщаем:

Ваши персональные данные (ФИО, email, телефон) были уничтожены [дата уничтожения] в соответствии с требованиями ст. 21 ч. 1 Федерального закона № 152-ФЗ.

Основание: отзыв Вашего согласия на обработку персональных данных.

Передача данных третьим лицам: [не производилась / произведена следующим лицам: ...]. Данные третьих лиц уничтожены / направлено требование об уничтожении [дата].

С уважением, [ФИО ответственного], [должность] [Дата]'

Шаблон 3: Обоснованный отказ в уничтожении

'Уважаемый(ая) [ФИО],

В ответ на Ваше требование от [дата] сообщаем, что в настоящее время не имеем возможности уничтожить Ваши персональные данные по следующим основаниям:

Ваши персональные данные обрабатываются на основании договора [номер/наименование] от [дата], стороной которого Вы являетесь. Уничтожение данных до исполнения договора и истечения установленных сроков их хранения нарушило бы законодательство Российской Федерации (ст. 21 ч. 1 152-ФЗ, ст. 196 ГК РФ — срок исковой давности).

Данные будут уничтожены [дата / после исполнения всех обязательств по договору].

Вы вправе обжаловать данный отказ в Роскомнадзоре или в суде.

С уважением, [ФИО ответственного], [должность] [Дата]'

Что считается незаконным отказом

Судебная практика 2025–2026 годов показывает, что суды признают нарушением следующие действия операторов:

Неправомерные отказы:

«Мы не работаем с запросами по email» — способ подачи запроса субъект выбирает сам.
«Приходите лично в офис» — законный способ, но не может быть единственным.
«Предоставьте нотариально заверенный запрос» — для рядового запроса нотариус не нужен.
«Вы не можете подтвердить, что именно ваши данные» — бремя поиска данных лежит на операторе.
«Мы уже ответили, повторно не отвечаем» — если содержание или объём данных изменились, отвечать нужно снова.
«Ваши данные нам не принадлежат» — если вы оператор, они «принадлежат» субъекту.
Игнорирование запроса — само по себе нарушение, даже если данных нет.

Правомерные основания для отказа:

Данные уничтожены (с подтверждением даты уничтожения)
Данные обрабатываются по закону, а не только по согласию
Требование технически невозможно исполнить без вреда для третьих лиц, чьи данные переплетены
Субъект не прошёл верификацию личности после запроса

Актуальная таблица штрафов за нарушения прав субъектов

Нарушение	Штраф (юрлицо)	Статья КоАП
Незаконный отказ в доступе к данным	до 80 000 ₽	ст. 13.11 ч. 5
Нарушение порядка обработки ПДн	до 100 000 ₽	ст. 13.11 ч. 1
Обработка ПДн без согласия	100 000 – 300 000 ₽	ст. 13.11 ч. 2
Нарушение при обработке специальных категорий	100 000 – 500 000 ₽	ст. 13.11 ч. 6
Повторное нарушение порядка обработки	до 300 000 ₽	ст. 13.11 ч. 7
Неуведомление об инциденте в срок	до 3 000 000 ₽	ст. 13.11 ч. 11

Организация процесса: как не нарушить сроки

Назначьте ответственного

В небольшом бизнесе — один человек (владелец, менеджер, юрист). В компании от 20 человек — нужен ответственный за обработку ПДн (в законе его называют «уполномоченным лицом»). Его контакты должны быть в политике конфиденциальности.

Заведите реестр запросов

Минимальная таблица:

дата получения;
ФИО субъекта;
тип запроса;
дедлайн ответа;
ответственный;
статус;
дата ответа.

Настройте уведомления

Срок 7 рабочих дней очень короткий. Если запрос пришёл в пятницу вечером, к следующей пятнице уже нужен ответ. Без системы напоминаний срок будет нарушен.

Подготовьте шаблоны заранее

Базовые шаблоны (как выше) + инструкция «как искать данные в CRM/базе» + список всех систем, где могут быть данные. С подготовленной документацией ответ на запрос занимает 30–60 минут, а не несколько дней.

Типичные ошибки при обработке запросов

Ошибка 1: «Мы ответим, когда получим паспорт — без него не можем»

Верификация — это ваше право, но не повод бесконечно откладывать ответ. Запросить документ нужно немедленно, не позднее следующего рабочего дня после получения запроса. Срок исполнения начинается после верификации, но нельзя затягивать её намеренно.

Ошибка 2: «Данные удалили, но ответ не отправили»

Исполнить требование — половина дела. Вторая половина — уведомить субъекта. Без письменного подтверждения с вашей стороны субъект может жаловаться в РКН, и доказать исполнение будет сложно.

Ошибка 3: «У нас нет этих данных — значит можно не отвечать»

Нельзя. Ответ «данными о Вас мы не располагаем» — тоже ответ. Его нужно направить в установленный срок с обоснованием.

Ошибка 4: Смешивать сроки ст. 20 и ст. 21

Запрос «дайте мне список моих данных» — 30 дней. Запрос «удалите мои данные» — 7 рабочих дней. Путать их — гарантированное нарушение срока по одному из типов.

Ошибка 5: «Мы направили запрос в CRM-систему, ждём ответа»

Ответственность за данные, переданные обработчику по поручению, несёте вы как оператор. Включите в договоры с подрядчиками условие об обязательном ответе на запросы об удалении данных в срок, не превышающий 5 рабочих дней (чтобы успеть в ваши 7).

Ошибка 6: Не документировать отказы

Если вы отказали субъекту на законном основании, но не оформили это письменно — при проверке РКН будет выглядеть как немотивированный отказ. Каждый отказ должен содержать ссылку на конкретную статью закона.

Особые случаи: запросы при отзыве согласия

Отзыв согласия на обработку персональных данных (ст. 9 ч. 2 152-ФЗ) — это особый случай с важными нюансами.

Что происходит после отзыва:

Оператор обязан прекратить обработку данных (цели, основанные только на согласии).
Если данные всё равно обрабатываются — на ином законном основании (договор, закон) — это допустимо, но субъекта нужно об этом уведомить.
Срок уничтожения данных после отзыва согласия — 30 дней (ст. 21 ч. 5), а не 7 рабочих дней.

Что нельзя делать:

Отказать в отзыве согласия («вы дали согласие — теперь не можете отозвать»).
Требовать объяснить причину отзыва.
Продолжать использовать данные для маркетинга после отзыва.

Рассылки: после отзыва согласия субъект должен быть немедленно удалён из всех маркетинговых списков. Даже «ещё одно письмо» после отзыва — нарушение.

FAQ

Q: Субъект прислал запрос с ошибками в своих данных — мы не можем его найти в базе. Что делать? Запросите дополнительную информацию для идентификации: email, дату регистрации, номер заказа. Направьте запрос на уточнение в течение 1 рабочего дня. Срок ответа начинает течь после получения уточненных сведений, но не должен превышать разумный предел.

Q: Субъект требует удалить данные, но у нас с ним действующий договор. Можно отказать? Да. Если данные необходимы для исполнения договора, оператор вправе отказать в уничтожении до его исполнения. Основание: ст. 21 ч. 1, обработка продолжается на законном основании (ст. 6 ч. 1 п. 5 — исполнение договора). Отказ нужно оформить письменно со ссылкой на эти нормы.

Q: Субъект написал сразу несколько требований в одном письме. Какой срок применяется? Для каждого требования — свой срок. Запрос информации — 30 дней, требование уничтожить — 7 рабочих дней. Нужно исполнить каждое в установленный для него срок и направить ответ по каждому отдельно или одним письмом с разбивкой.

Q: Данные уже переданы подрядчику. Нужно ли требовать удаления и у него? Да. Если вы уничтожаете данные по требованию субъекта, вы обязаны потребовать того же от всех обработчиков, которым данные были переданы (ст. 21 ч. 5). Это условие должно быть закреплено в договоре поручения.

Q: Субъект — конкурент, который пытается получить данные о наших клиентах под видом запроса о своих данных. Как защититься? Верифицируйте личность. Предоставляйте только данные именно этого субъекта, не более. Запрос на данные третьих лиц («предоставьте всю вашу базу») — заведомо неправомерен и не подлежит исполнению.

Q: Запрос пришёл на общий email компании — кто отвечает и когда начинается срок? Срок начинается с момента, когда запрос поступил на любой официальный адрес компании (включая общий info@). Настройте маршрутизацию почты: письма с ключевыми словами «персональные данные», «запрос субъекта», «прошу удалить мои данные» должны немедленно попадать к ответственному.

Q: Субъект обратился в РКН, не написав нам. Что делать? РКН уведомит вас о жалобе. Сроки реакции устанавливает само ведомство в запросе. Действуйте по стандартному алгоритму: соберите все данные, подготовьте ответ, направьте его и в РКН, и субъекту. Если сроки были нарушены — признайте это и покажите, что нарушение устранено.

Q: Нужно ли отвечать на анонимные запросы? Закон не обязывает. Анонимный запрос не позволяет идентифицировать субъекта, поэтому предоставить данные невозможно. Направьте ответ с просьбой верифицировать личность. Если адрес есть — отправьте туда.

Пошаговый чеклист: организуйте процесс сегодня

Большинство нарушений происходит не из-за злого умысла, а из-за отсутствия процедуры. Вот что нужно сделать прямо сейчас:

[ ] Назначить ответственного за обработку запросов субъектов и указать его контакт в политике конфиденциальности
[ ] Создать реестр запросов субъектов (таблица: дата, ФИО, тип, дедлайн, статус, ответ)
[ ] Настроить фильтр почты: запросы о ПДн → немедленное уведомление ответственному
[ ] Подготовить шаблоны ответов (минимум 3: информация, уничтожение, отказ)
[ ] Составить карту систем: где хранятся данные, как их найти по email/ФИО
[ ] Включить в договоры с подрядчиками условие об удалении данных в течение 5 рабочих дней по вашему запросу
[ ] Добавить в политику конфиденциальности порядок подачи запросов с указанием email и сроков ответа (30 дней / 7 рабочих дней)
[ ] Провести инструктаж сотрудников: что делать при получении запроса субъекта

Итоги

Права субъектов персональных данных — это не формальность. С 2025–2026 годов РКН активно реагирует на жалобы, а суды поддерживают субъектов даже в спорных ситуациях. Операторы, которые выстраивают процесс работы с запросами, защищают себя от штрафов и строят доверие с клиентами.

Помните ключевые сроки:

30 дней — ответ на запрос информации (ст. 20 152-ФЗ);
7 рабочих дней — исполнение требования об уничтожении или исправлении (ст. 21 152-ФЗ);
3 рабочих дня — блокирование данных на период проверки.

Если у вас ещё нет политики конфиденциальности с разделом о правах субъектов и порядке работы с запросами — это срочная задача. Документ должен отражать реальную процедуру, а не скопированные из интернета фразы.

Хотите получить готовый пакет документов, включая политику с корректными сроками ст. 20 и ст. 21? Запустите бесплатный аудит вашего сайта →

Статья актуальна на апрель 2026 года. Нормативные акты: Федеральный закон № 152-ФЗ «О персональных данных» (ред. ФЗ № 420-ФЗ от 30.11.2024); КоАП РФ ст. 13.11 (ред. от 30.05.2025); разъяснения Роскомнадзора на pd.rkn.gov.ru.