Заявление на удаление ПДн от ученика: процедура, сроки ответа и шаблон
Заявление на удаление персональных данных от ученика — это законное требование, которое онлайн-школа обязана выполнить в течение 30 дней (ст. 21 ФЗ №152). Отказ грозит штрафом 30 000-100 000 руб. для должностного лица и до 300 000 руб. для организации. Разбираем процедуру шаг за шагом: от приёма заявления до письменного ответа — и объясняем, что школа может законно не удалять даже после требования субъекта.
Ученик прошёл курс год назад, потом потребовал удалить все свои данные. Кажется, что это просто технический вопрос — нажал «удалить» в CRM, и всё. На деле сценарий намного сложнее: часть данных вы удалить обязаны, часть — имеете право сохранить, а ещё нужно ответить письменно и уложиться в срок.
В статье — полная процедура: как принять заявление, что проверить, когда можно отказать и как правильно составить ответ в обоих случаях.
Право субъекта на удаление ПДн: что говорит закон
По ст. 14 ФЗ №152 (проверено: июнь 2026) субъект персональных данных вправе потребовать уточнить, заблокировать или уничтожить свои данные, если они неполные, устаревшие, незаконно полученные или не нужны для заявленной цели обработки. Это право распространяется на всех операторов, включая онлайн-школы.
Многие владельцы образовательных проектов думают, что право на удаление данных — это что-то из европейского GDPR и к России не относится. Это заблуждение. Статья 14 ФЗ №152 существует с момента принятия закона, а с 2023 года её применение стало жёстче: РКН активно реагирует на жалобы субъектов.
Ключевое отличие российского подхода от GDPR: у нас нет «права на забвение» в его европейском смысле. Субъект не может просто «не хотеть» — он должен указать одно из оснований из ч. 3 ст. 14 ФЗ №152:
| Основание для требования | Пример в онлайн-школе |
|---|---|
| Данные неполные или неточные | Ученик сменил фамилию, хочет исправить или удалить старые данные |
| Данные устаревшие | Номер телефона изменился 3 года назад, школа всё ещё хранит старый |
| Данные незаконно полученные | Согласие оформлено некорректно или вовсе отсутствует |
| Данные не нужны для заявленной цели | Курс завершён, цель обработки достигнута, хранение больше не обосновано |
На практике большинство заявлений поступает с последним основанием: человек завершил обучение и не хочет, чтобы его данные оставались в базе. Это легитимная причина, и игнорировать её нельзя.
Право на обращение закреплено в ст. 14 ФЗ №152, а обязанность оператора ответить — в ст. 21 того же закона. Также стоит читать их вместе со ст. 9 (отзыв согласия) — нередко субъект объединяет оба требования в одном письме.
Как принять заявление от ученика
Заявление может поступить в любой форме — письмом на email, через форму обратной связи, в мессенджере или даже устно по телефону. Закон не устанавливает обязательной письменной формы. Однако для защиты школы важно зафиксировать дату получения — с неё начинает течь 30-дневный срок.
Первое, что нужно сделать при получении заявления — зарегистрировать его. Заведите журнал обращений субъектов ПДн (это один из документов, который проверяет РКН). Минимальная запись в журнале:
Что фиксировать при регистрации заявления
- ✓ Дата и время получения
- ✓ ФИО и контактные данные заявителя
- ✓ Суть требования (удалить / уточнить / заблокировать)
- ✓ Основание, которое указал субъект
- ✓ Входящий номер обращения
- ✓ Ответственное лицо, принявшее обращение
Второй шаг — идентификация заявителя. Вы не обязаны исполнять требования от анонима. Если заявление поступило с неизвестного email без подписи, запросите подтверждение личности. Это можно сделать в ответном письме: «Для исполнения вашего требования просим подтвердить личность, указав ФИО, дату рождения и email, указанный при регистрации». Срок 30 дней начинает течь с момента идентификации заявителя — это важно зафиксировать.
Третий шаг — проверка оснований. Зайдите в CRM, LMS-платформу (GetCourse, Tilda и др.) и другие системы, где хранятся данные ученика. Выясните:
- Какие данные хранятся и в каких системах
- На каком основании они обрабатываются (договор, согласие, закон)
- Есть ли основания для отказа в удалении
Об ответственном за ПДн в онлайн-школе и его функциях подробнее написали в статье «Ответственный за персональные данные в онлайн-школе».
Сроки ответа и последствия нарушения
Срок ответа — 30 дней с момента получения заявления (ст. 21 ФЗ №152, проверено: июнь 2026). Если требование выполнено или в нём обоснованно отказано — нужно уведомить субъекта письменно. Молчание или игнорирование — самая дорогая ошибка: штраф для должностного лица 30 000-100 000 руб., для организации — до 300 000 руб.
срок ответа на заявление об удалении ПДн (ч. 3 ст. 21 ФЗ №152)
На практике встречается три сценария нарушения срока:
Сценарий 1: Школа просто не ответила. Субъект пожаловался в РКН. Регулятор направил запрос. Школа получила предписание и штраф. Это самый распространённый кейс.
Сценарий 2: Школа ответила, но не выполнила требование и не обосновала отказ. РКН квалифицирует это как уклонение от исполнения обязанности оператора — ч. 5 ст. 13.11 КоАП.
Сценарий 3: Школа удалила данные, но не уведомила субъекта. Технически нарушение исполнено, но обязанность уведомить закреплена законом. Если субъект снова обратился в РКН — это станет поводом для проверки.
| Нарушение | Статья КоАП | Штраф для юрлица |
|---|---|---|
| Неправомерный отказ в удалении / блокировке ПДн | ч. 5 ст. 13.11 | 50 000-100 000 руб. |
| Повторное нарушение | ч. 6 ст. 13.11 | 100 000-300 000 руб. |
| Невыполнение законного предписания РКН | ч. 1 ст. 19.5 | 10 000-20 000 руб. (+ для руководителя) |
Важный нюанс: если данные удалены добросовестно в срок, но потом потребовались для судебного разбирательства с тем же учеником — восстановить их будет крайне сложно. Поэтому перед удалением всегда проверяйте, нет ли оснований для сохранения (об этом — в следующем разделе).
Когда школа может законно отказать
Статья 21 ФЗ №152 позволяет отказать в удалении, если обработка данных необходима для исполнения договора, исполнения требований законодательства или защиты прав оператора. Отказ должен быть мотивированным и оформлен письменно с указанием конкретного основания. Просто сказать «мы не можем удалить» — не достаточно.
Вот конкретные ситуации, когда отказ будет законным:
1. Исполнение договора. Если у вас с учеником есть действующий договор об оказании услуг (не истёк срок гарантии, не выдан сертификат, ведётся рассрочка) — вы обрабатываете данные на основании договора, а не согласия. Субъект не может «отозвать согласие» там, где его нет — обработка идёт по другому основанию.
2. Требования бухгалтерского и налогового учёта. Сведения о платежах, реквизиты плательщика, документы о стоимости услуг хранятся минимум 5 лет по ФЗ №402 «О бухгалтерском учёте». Это законное основание для отказа в удалении платёжных данных.
3. Претензионная или судебная работа. Если ученик подал претензию или иск — удаление данных в этот период фактически уничтожит доказательную базу. Обработка в целях защиты прав является самостоятельным основанием.
4. Иные требования законодательства. Например, хранение персональных данных сотрудников регулируется трудовым законодательством — 75 лет по ст. 22.1 Федерального закона №125-ФЗ.
Чек-лист: проверьте перед отказом
- ✓ Есть ли действующий договор с этим учеником?
- ✓ Есть ли обязанность хранить данные по НК РФ / ФЗ №402?
- ✓ Ведётся ли претензионная или судебная работа с этим человеком?
- ✓ Есть ли другое законное основание обработки (не согласие)?
- ✓ Можно ли удалить часть данных, сохранив только необходимое?
Последний пункт особенно важен: если часть данных можно удалить (например, cookie-идентификатор или данные аналитики), а часть нет (договорные реквизиты) — правильно удалить то, что возможно, и письменно объяснить, почему остальное сохраняется.
Подробнее о том, что можно законно не удалять, читайте в статье «Клиент требует удалить его данные: как действовать».
Что именно нужно удалить: чек-лист
Удалению подлежат все персональные данные, обрабатываемые без законного основания, — то есть те, которые вы обрабатываете только на основании согласия после его отзыва. Данные, необходимые для договора, налогового учёта или защиты прав, можно сохранить. Удаление должно быть из всех систем — CRM, LMS, рассылки, аналитика, резервные копии.
Типичная онлайн-школа хранит данные ученика в 5-10 разных местах. Именно поэтому «просто удалить из GetCourse» недостаточно. Вот полная карта мест хранения:
| Система | Что хранится | Удалять? |
|---|---|---|
| CRM (AmoCRM, Bitrix) | ФИО, телефон, email, история переписки | Да, если нет активного договора |
| LMS (GetCourse, Teachable) | Профиль, прогресс, домашние задания | Да, если курс завершён |
| Рассылки (Unisender, Sendpulse) | Email, сегменты, история отправок | Да — отписка + удаление из базы |
| 1С / бухучёт | ФИО, ИНН, платёжные данные | Нет — хранение 5 лет по ФЗ №402 |
| Аналитика (Яндекс.Метрика) | Cookie, поведенческие данные | Да (или анонимизация) |
| Облачные хранилища, Notion, Slack | Переписка, файлы с данными | Да, если хранятся без законного основания |
| Резервные копии | Всё вышеперечисленное | При плановом восстановлении бэкапа |
Отдельный вопрос — резервные копии. Закон не требует немедленно уничтожить данные в бэкапах (это технически сложно), но при очередном восстановлении резервной копии данные должны быть уже удалены. Этот момент стоит отразить во внутренней политике обработки ПДн.
После удаления зафиксируйте факт: дата удаления, перечень систем, ответственное лицо. Эта запись пригодится, если субъект или РКН спросит «а вы точно удалили?»
Полный список систем и порядок работы с согласиями описан в глоссарии по ПДн и на странице часто задаваемых вопросов.
Шаблоны ответов: при удалении и при отказе
Письменный ответ субъекту обязателен в обоих случаях — и при удалении, и при отказе. Ответ должен содержать: ссылку на полученное заявление, принятое решение, основание и срок исполнения (если удаляете). Форма произвольная, но содержание регламентировано ст. 21 ФЗ №152.
Шаблон 1: Ответ при удалении данных
Тема письма: Ответ на заявление об удалении персональных данных №[номер] от [дата]
«Уважаемый(ая) [ФИО],
в ответ на ваше заявление от [дата] об удалении персональных данных сообщаем следующее.
Рассмотрев ваше обращение на основании ст. 21 Федерального закона №152-ФЗ «О персональных данных», нами принято решение об уничтожении ваших персональных данных. Удалению подлежат: [перечень данных и систем].
Данные удалены [дата]. Основание для сохранения части данных (платёжные реквизиты в бухгалтерских документах) — требования ФЗ №402 «О бухгалтерском учёте» (срок хранения — 5 лет).
С уважением, [ответственный за ПДн], [должность], [название школы]»
Шаблон 2: Ответ при отказе
«Уважаемый(ая) [ФИО],
в ответ на ваше заявление от [дата] сообщаем следующее.
На основании ч. 2 ст. 21 Федерального закона №152-ФЗ удаление ваших персональных данных в настоящее время не представляется возможным по следующим основаниям: [указать конкретное основание — договор / налоговый учёт / претензионная работа].
После прекращения указанных оснований (ориентировочно [дата или событие]) ваши персональные данные будут уничтожены в установленном порядке без дополнительного заявления с вашей стороны.
Если вы считаете данный отказ незаконным, вы вправе обратиться с жалобой в Роскомнадзор (rkn.gov.ru) или в суд.
С уважением, [ответственный за ПДн], [должность], [название школы]»
максимальный штраф для организации за повторный неправомерный отказ в удалении ПДн (ч. 6 ст. 13.11 КоАП)
Обратите внимание: в шаблоне отказа указана дата или событие, после которого данные будут удалены автоматически. Это важный элемент — он показывает добросовестность оператора и снижает риск жалобы в РКН. Если вы просто написали «не можем удалить» без перспективы — субъект с большей вероятностью пойдёт в надзорный орган.
Для настройки процессов работы с ПДн см. также: тарифы на юридическое сопровождение онлайн-школы.
Частые вопросы
Может ли ученик потребовать удалить данные устно, по телефону?
Да, закон не требует письменной формы заявления. Однако вам нужно зафиксировать факт обращения — запись разговора (с уведомлением), внутренний акт или хотя бы письменное подтверждение по email. Без фиксации вы не сможете доказать, что срок 30 дней уже начал течь.
Если ученик не указал основание, нужно ли выполнять требование?
Формально субъект должен указать основание из ч. 3 ст. 14 ФЗ №152. Если его нет — можно запросить уточнение. Но на практике суды и РКН нередко трактуют «хочу удалить мои данные» как достаточное основание, особенно если курс завершён. Безопаснее запросить уточнение в течение 3-5 дней и параллельно начать внутреннюю проверку оснований.
Что будет, если удалить данные, а потом ученик подаст иск?
Это реальный риск. Если вы удалили переписку, договор или историю платежей, а потом потребовалось их восстановить для суда — доказательная база будет уничтожена. Поэтому при поступлении заявления на удаление всегда проверяйте, нет ли текущих или потенциальных претензий. При наличии любого спора удаление лучше отложить со ссылкой на защиту прав оператора (ч. 2 ст. 21 ФЗ №152).
Нужно ли отдельно уведомлять о удалении в каждой системе?
Нет — субъекту достаточно одного ответного письма с перечнем систем, из которых удалены данные. Внутри школы, конечно, нужно задокументировать действия в каждой системе, но это для ваших внутренних записей, а не для клиента.
Что делать, если заявление пришло от третьего лица «от имени ученика»?
Требуйте нотариально заверенную доверенность или простую письменную доверенность с подписью субъекта. Без подтверждения полномочий исполнять требование нельзя — вы не можете установить, что третье лицо действительно уполномочено. Срок 30 дней при этом начинает течь с момента получения доверенности.
Не хотите разбираться сами?
ЭдПрав проверит процедуру работы с заявлениями на удаление ПДн. Справочные вопросы к AI-юристу бесплатно, без ограничений. Персонализированная проверка с верификацией юристом от 396 руб. за запрос.
Статья подготовлена на основе актуального законодательства РФ на июнь 2026 года. Для получения консультации по вашему конкретному случаю рекомендуем обратиться к специалисту.
Не хотите разбираться сами?
ЭдПрав проверит ваш сайт и подготовит все необходимые документы. От 396 ₽ за запрос.
Попробовать бесплатно →