Перейти к содержанию
инструкция 17 февраля 2027 По состоянию на 17 февраля 2027

Хранение согласий: 5 лет минимум

Согласие на обработку персональных данных — юридически значимый документ: оператор обязан хранить его не менее 3 лет после окончания обработки, а на практике разрыв между отзывом и истечением срока исковой давности требует запаса минимум 5 лет.
С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом — больше нельзя встраивать его в договор или политику. Нарушение требований к форме или несохранение согласия — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый факт.
Если вы юрист и проверяете комплаенс компании — в этой инструкции: конкретные сроки, структура архива согласий и чек-лист готовности к проверке РКН. → Разобраться за 5 шагов.

До 30.05.2025 большинство проверок РКН по ст. 13.11 КоАП заканчивались штрафом в десятки тысяч рублей. После вступления в силу ФЗ-420 верхняя планка за отсутствие надлежащего согласия — 700 000 ₽ по ч. 2, а при повторном нарушении — до 1 500 000 ₽ по ч. 2.1. Хранение согласий напрямую влияет на способность оператора защититься: если документ уничтожен раньше срока, доказать законность обработки невозможно.

Шаг 1. Определите, какие согласия вам нужны и когда они истекают

Согласие требуется, когда нет другого основания из ст. 6 ФЗ-152: нет договора с субъектом, нет прямой нормы закона, нет иного из 11 оснований. На практике это три типовых случая: обработка для маркетинга, передача третьим лицам без договорной необходимости и обработка специальных категорий по ст. 10 ФЗ-152.

«Ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие субъекта должно быть оформлено отдельным документом. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва.»

Срок согласия — либо указан в самом документе, либо определяется целью. Обработка прекращена — начинается отсчёт срока хранения. ФЗ-152 не устанавливает минимального срока хранения согласия прямо, однако ст. 196 ГК РФ определяет общий срок исковой давности — 3 года с момента нарушения права. Субъект вправе подать иск о компенсации морального вреда в течение 3 лет. Значит, оператор обязан сохранить доказательство законности обработки минимум на тот же период. С учётом момента начала течения срока и необходимости запаса — минимальный практический срок хранения составляет 5 лет после прекращения обработки.

Для согласий работников срок определяется ст. 22.1 ТК РФ и Приказом Росархива № 236 от 20.12.2019: документы по личному составу — 50 лет для дел, законченных делопроизводством после 01.01.2003. Согласие работника, переданное в личное дело, следует той же логике хранения.

Согласия уже собраны, но непонятно, соответствуют ли они требованиям с 01.09.2025?

Если юрист видит, что согласия встроены в договор или политику конфиденциальности и не пересмотрены после ФЗ-156, — это основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽). Исправить форму до проверки РКН значительно дешевле, чем после. Аудит пакета ОРД занимает 5 рабочих дней.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Приведите форму согласия к требованиям ФЗ-156

До 01.09.2025 согласие на обработку ПДн работника нередко вписывалось в трудовой договор отдельным абзацем или было частью корпоративной оферты. Ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 запрещает такой подход: согласие — самостоятельный документ, не объединённый с другими. Это касается как бумажных, так и электронных форматов.

Для электронного согласия в системе КЭДО фиксируйте: дату и время подписания, идентификатор сессии, версию формы согласия (номер версии + дату ввода в действие). Это необходимо для доказательства в суде или при проверке РКН — нужна воспроизводимая запись, а не только «галочка» в базе данных.

«Ст. 9 ФЗ-152 — бремя доказывания наличия согласия лежит на операторе. При отсутствии доказательства согласие считается не данным.»

Ранее полученные согласия переоформлять не требуется — ФЗ-156 не имеет обратной силы. Но все согласия, собираемые с 01.09.2025, должны соответствовать новым требованиям. На практике удобно ввести дату редакции формы в её заголовок и хранить все версии формы отдельно от заполненных экземпляров.

Шаг 3. Организуйте архив согласий: структура и носители

Архив согласий — часть системы организационных мер по ст. 18.1 ФЗ-152. Ч. 1 ст. 18.1 обязывает оператора принять меры, необходимые и достаточные для выполнения требований закона. Хаотичное хранение согласий в разных системах — типичная уязвимость, которую РКН фиксирует при документарных проверках.

Рекомендуемая структура архива:

  • Реестр согласий — журнал в электронном виде: ФИО или ID субъекта, дата получения, цель обработки, версия формы, дата истечения или отзыва, статус (действующее / отозвано / срок истёк).
  • Хранилище оригиналов — скан или электронный оригинал с квалифицированной электронной подписью (КЭП) субъекта либо оригинал на бумаге в папке по алфавиту/хронологии.
  • Журнал отзывов — отдельная книга входящих заявлений об отзыве с датой, способом подачи, датой прекращения обработки и отметкой об уничтожении данных.
  • Версионный реестр форм согласий — все версии бланка с датами ввода и вывода из применения.

Носители: бумажные оригиналы хранятся в закрытых помещениях с ограниченным доступом; электронные — на серверах в РФ (ч. 5 ст. 18 ФЗ-152). Не допускается хранение сканов согласий в иностранных облачных сервисах без уведомления РКН о трансграничной передаче.

Что подготовить для архива согласий

  • Реестр согласий с полями: ID субъекта, цель, версия формы, дата получения, дата истечения / отзыва, статус
  • Оригиналы согласий (бумажные или электронные с КЭП) с привязкой к реестру
  • Журнал отзывов — входящие заявления с датой прекращения обработки
  • Версионный реестр форм согласий — все редакции с датами применения
  • Приказ об ответственном за архив согласий со ссылкой на ст. 22.1 ФЗ-152

Шаг 4. Установите сроки уничтожения и процедуру их соблюдения

Уничтожение согласий раньше срока — такое же нарушение, как их несохранение. По ч. 3.1 ст. 21 ФЗ-152 оператор обязан уничтожить ПДн при достижении цели обработки или при отзыве согласия (если нет иного основания для обработки). Но само согласие как доказательный документ сохраняется до истечения срока исковой давности.

Практическое правило: ПДн субъекта уничтожаются в течение 30 дней после отзыва или прекращения обработки. Согласие как документ продолжает храниться ещё 5 лет после этой даты. Это разграничение фиксируется в политике обработки ПДн (ст. 18.1 ФЗ-152) и в регламенте уничтожения.

«Ст. 21 ФЗ-152 — при отзыве согласия оператор обязан прекратить обработку и уничтожить ПДн в срок, не превышающий 30 дней, если иное основание для обработки отсутствует. Доказательство факта уничтожения — акт об уничтожении.»

Акт об уничтожении ПДн — обязательный документ. В нём: перечень уничтоженных данных, дата, метод уничтожения, ФИО и подписи участников комиссии. Акт хранится вместе с согласием до истечения 5-летнего срока.

Если вы юрист и в компании нет регламента уничтожения ПДн — это отдельное основание для предписания РКН при проверке. Комплект ОРД включает регламент и шаблон акта уничтожения.

Собрать ОРД под ключ

Шаг 5. Назначьте ответственного и свяжите архив с политикой обработки ПДн

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Это не обязательно штатный специалист — функция может быть на аутсорсинге. Ответственный контролирует ведение архива согласий, своевременность уничтожения и актуальность форм.

Политика обработки ПДн по ст. 18.1 ФЗ-152 должна содержать раздел о порядке хранения и уничтожения ПДн. Укажите в ней: какие согласия хранятся, в каком формате, кто ответственен, каковы сроки уничтожения. Это требование проверяется РКН в первую очередь при плановой и внеплановой проверке.

Уведомление РКН по ст. 22 ФЗ-152 (форма по Приказу РКН №180 от 28.10.2022) должно отражать актуальный перечень целей и оснований обработки. Если согласие — одно из оснований, это фиксируется в уведомлении. Расхождение между уведомлением и фактической обработкой — основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

Как нарушение хранения согласий выглядит на практике

Сценарий 1. Согласие уничтожено вместе с личным делом уволенного. Организация уничтожила все документы уволенного сотрудника через 3 года после увольнения, включая согласие на передачу ПДн в зарплатный банк. Бывший сотрудник подал жалобу в РКН, утверждая, что его данные продолжают обрабатываться банком. Оператор не смог представить доказательство наличия согласия. Итог: протокол по ч. 2 ст. 13.11 КоАП. Стратегия: хранить согласие работника не менее 5 лет после прекращения обработки, даже если личное дело уничтожено раньше по иным основаниям.

Сценарий 2. Согласие есть, но не соответствует требованиям с 01.09.2025. Интернет-магазин (Приволжский ФО, осень 2025) при проверке представил согласие на рассылку, встроенное в публичную оферту. Инспектор РКН квалифицировал это как нарушение ч. 1 ст. 9 ФЗ-152 в новой редакции: согласие не является отдельным документом. Штраф по ч. 2 ст. 13.11 — в диапазоне сотен тысяч рублей. Стратегия: после 01.09.2025 каждая форма согласия — отдельный документ со всеми обязательными реквизитами.

Сценарий 3. Отсутствует журнал отзывов. Клиника при плановой проверке РКН не смогла представить журнал отзывов согласий пациентов. Факт отзыва конкретного согласия документально не подтверждён, хотя обработка прекращена. Предписание об устранении нарушений + штраф по ч. 3 ст. 13.11 (30 000–60 000 ₽ за неопубликованную / ненадлежащую политику). Стратегия: журнал отзывов — обязательный элемент системы ОРД, ведётся независимо от масштаба обработки.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет: политика обработки ПДн (ст. 18.1 ФЗ-152), уведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152, форма по Приказу РКН №180), приказ о назначении ответственного (ст. 22.1 ФЗ-152), формы согласий по ст. 9, регламент уничтожения ПДн, журнал учёта обращений субъектов. Полный комплект ОРД — около 38 документов, в зависимости от специфики обработки и категорий ПДн.

2. Как составить политику обработки ПДн?

Политика должна содержать: перечень операторов и обрабатываемых категорий ПДн, цели и основания обработки, перечень третьих лиц, которым передаются ПДн, сроки хранения по каждой цели, порядок реализации прав субъектов (ст. 14–21 ФЗ-152), меры защиты. Ч. 2 ст. 18.1 ФЗ-152 определяет обязательные элементы. Использовать шаблоны из интернета без адаптации под реальную обработку нельзя: РКН при проверке сверяет содержание политики с уведомлением в реестре.

3. Кого назначить ответственным по ст. 22.1?

Ст. 22.1 ФЗ-152 не требует специальной квалификации ответственного, но ч. 4 той же статьи предусматривает требования к знанию законодательства о ПДн. На практике ответственным назначают юриста, сотрудника службы безопасности или HR-специалиста — приказом руководителя. Возможен DPO-аутсорсинг: функция передаётся внешнему специалисту по договору без введения должности в штатное расписание.

4. Можно ли использовать шаблон политики из интернета?

Шаблон может служить отправной точкой, но не финальным документом. РКН при проверке сверяет политику с реестровым уведомлением, с фактическими формами согласий и с реальными системами обработки. Несоответствие — основание для предписания и штрафа по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽). Политику необходимо адаптировать под каждого конкретного оператора: цели, категории ПДн, третьи лица, сроки хранения.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн — только отдельный документ. Нельзя включать согласие в текст трудового договора, публичной оферты, пользовательского соглашения или политики конфиденциальности. Перечень обязательных реквизитов установлен ст. 9 ФЗ-152. Ранее полученные согласия (до 01.09.2025) переоформлять не требуется: закон не имеет обратной силы. Новые согласия, собираемые после этой даты, — только по новым требованиям.

6. Что происходит, если субъект отозвал согласие, а оператор продолжает обработку?

Продолжение обработки после отзыва согласия при отсутствии другого законного основания — нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Если оператор не уничтожил ПДн в течение 30 дней после отзыва — дополнительное нарушение по ч. 5 ст. 13.11 (50 000–90 000 ₽). При повторности — ч. 1.1 и ч. 5.1 с более высокими санкциями. Журнал отзывов и акты уничтожения — основные доказательства соблюдения требований.

Итог

Хранение согласий — не формальность, а доказательная база оператора при проверке РКН или иске субъекта. Пятилетний минимум после прекращения обработки закрывает общий срок исковой давности. С 01.09.2025 каждое новое согласие — только отдельный документ со строгим перечнем реквизитов.

DATUM сопровождает операторов ПДн в части разработки форм согласий, построения архива и подготовки полного комплекта ОРД. Практика охватывает HR, медицину, e-commerce и финансовый сектор — с учётом отраслевой специфики каждого оператора.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

17 февраля 2027 года