Открыть сервис

Блокирование персональных данных

Блокирование персональных данных — это временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения данных) по требованию субъекта персональных данных или уполномоченного органа, либо в иных случаях, предусмотренных законодательством. Блокирование является одной из мер обеспечения безопасности персональных данных и реализуется оператором (лицом, организующим и (или) осуществляющим обработку) для предотвращения неправомерного использования, уничтожения или распространения информации.

Правовое регулирование

В Российской Федерации порядок блокирования персональных данных регулируется Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Согласно статье 21 Закона № 152-ФЗ, оператор обязан заблокировать неправомерно обрабатываемые персональные данные или обеспечить их блокирование (если обработка осуществляется другим лицом, действующим по поручению оператора) с момента обращения или получения запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных на период проверки, если выявление неправомерной обработки персональных данных осуществляется по их требованию. Блокирование производится на срок не более чем на период проверки, если иное не предусмотрено законом.

Аналогичные нормы содержатся в статье 14 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», который устанавливает общие принципы обработки информации, включая персональные данные. В международной практике блокирование регулируется Общим регламентом по защите данных (GDPR) Европейского союза, где оно рассматривается как одно из прав субъекта данных на ограничение обработки (ст. 18 GDPR).

Основания для блокирования

Блокирование персональных данных осуществляется в следующих случаях:

  • Неправомерная обработка — если оператор выявил, что обработка персональных данных осуществляется с нарушением требований Закона № 152-ФЗ (например, без согласия субъекта, при отсутствии законного основания или с превышением установленных целей).
  • Запрос субъекта данныхсубъект персональных данных вправе потребовать блокирования своих данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 14 Закона № 152-ФЗ).
  • Требование уполномоченного органа — Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) может потребовать блокирования данных при выявлении нарушений законодательства, в том числе в ходе плановых и внеплановых проверок.
  • Иные случаи — блокирование может быть предусмотрено договором между оператором и субъектом данных, внутренними политиками обработки данных или решением суда.

Порядок блокирования

Процедура блокирования включает следующие этапы:

  1. Выявление оснований — оператор получает запрос от субъекта данных, уполномоченного органа или самостоятельно обнаруживает признаки неправомерной обработки.
  2. Принятие решения — оператор в течение 7 рабочих дней (согласно Закону № 152-ФЗ, если иные сроки не установлены) рассматривает запрос и принимает решение о блокировании. В случае обоснованности требования блокирование производится незамедлительно, но не позднее 10 рабочих дней с момента обращения.
  3. Техническая реализация — оператор ограничивает доступ к персональным данным в информационных системах, изменяет права доступа, помечает записи как заблокированные или временно изолирует их от активной обработки. В бумажных носителях блокирование может означать физическое изъятие документов в опечатанный сейф.
  4. Уведомление — оператор уведомляет субъекта данных и (или) уполномоченный орган о блокировании, если это предусмотрено законом или запросом.
  5. Проверка и разблокирование — после устранения причин блокирования (например, уточнения данных, получения законного основания) оператор может разблокировать данные. Если нарушения не подтвердились, блокирование снимается, и обработка возобновляется.

Технические аспекты

Блокирование реализуется с помощью следующих методов:

  • Программное блокирование — в базах данных и информационных системах устанавливается флаг «заблокировано», который предотвращает любые операции чтения, записи, изменения или передачи данных, кроме операций, необходимых для уточнения.
  • Аппаратное блокирование — физическое отключение серверов, жестких дисков или съемных носителей от сети, их помещение в сейф или опечатывание.
  • Криптографическое блокированиешифрование данных с последующим удалением ключей доступа, что делает их недоступными для обработки.
  • Административное блокирование — издание приказа о временном прекращении обработки определенных категорий данных, изменение регламентов доступа.

Важно, что блокирование не является уничтожением данных — информация сохраняется, но временно выводится из оборота. Срок блокирования определяется целями проверки или устранения нарушений, но не может превышать 30 дней, если иное не установлено законом или соглашением сторон.

Отличие от других мер

Блокирование персональных данных следует отличать от:

  • Уничтожения — безвозвратного удаления данных, после которого восстановление невозможно. Уничтожение применяется при достижении целей обработки, истечении сроков хранения или отзыве согласия.
  • Обезличивания — преобразования данных в форму, не позволяющую идентифицировать субъекта без дополнительной информации. Обезличенные данные могут обрабатываться без согласия субъекта.
  • Приостановления обработки — временного прекращения всех операций с данными, но без обязательного уведомления субъекта. Приостановление может быть частью процедуры блокирования.
  • Удаления — технического стирания данных, которое может быть необратимым или обратимым (например, перемещение в корзину).

Ответственность за нарушение

За неправомерное блокирование или отказ от блокирования персональных данных предусмотрена административная ответственность по статье 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ). Штрафы для должностных лиц составляют от 5 000 до 10 000 рублей, для юридических лиц — от 30 000 до 50 000 рублей. При повторных нарушениях или нарушениях, повлекших утечку данных, размер штрафов может быть увеличен. В случае причинения морального вреда субъект данных вправе требовать компенсации через суд.

Примеры из практики

  • Банковская сфера — при обнаружении подозрительных операций по счету клиента банк может заблокировать обработку его персональных данных до выяснения обстоятельств.
  • Медицинские учреждения — если пациент оспаривает точность диагноза, клиника временно блокирует эти данные до получения подтверждения от врачебной комиссии.
  • Социальные сети — при жалобах пользователей на неправомерное использование их данных администрация платформы блокирует соответствующие записи до проверки (например, Meta — организация признана экстремистской и запрещена в РФ; в России деятельность этой компании ограничена, и блокирование данных осуществляется в соответствии с российским законодательством).

Критика и проблемы

Основные проблемы блокирования персональных данных связаны с:

  • Технической сложностью — в крупных информационных системах (например, в облачных сервисах или распределенных базах данных) блокирование может быть затруднено из-за множества копий и реплик.
  • Сроками — установленные законом 10 рабочих дней могут быть недостаточны для проверки в сложных случаях, особенно при международной передаче данных.
  • Злоупотреблениями — недобросовестные операторы могут использовать блокирование для уклонения от ответственности или затягивания процедур.
  • Неоднозначностью трактовок — законодательство не всегда четко определяет, что считается «неправомерной обработкой» в конкретных ситуациях, что приводит к судебным спорам.

Источники

  1. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (статьи 21, 22, 23).
  2. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  3. Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
  4. Регламент Европейского союза 2016/679 (Общий регламент по защите данных, GDPR), статья 18.
  5. Методические рекомендации Роскомнадзора по выполнению требований Федерального закона № 152-ФЗ (2023 год).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →