Перейти к содержанию
инструкция 21 декабря 2026 По состоянию на 21 декабря 2026

Отзыв согласия по ст. 9 ч. 2: процедура и последствия

Отзыв согласия на обработку ПДн — безусловное право субъекта по ч. 2 ст. 9 ФЗ-152. Оператор обязан прекратить обработку и уничтожить данные в установленный срок.
С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025). Нарушение порядка прекращения обработки после отзыва — штраф по ч. 5 ст. 13.11 КоАП до 90 000 ₽; при повторности по ч. 5.1 — до 500 000 ₽.
→ Если вы юрист и настраиваете процедуру отзыва согласия в компании — эта инструкция даёт пошаговый порядок и перечень документов ОРД.

Право субъекта отозвать согласие в любой момент закреплено ч. 2 ст. 9 ФЗ-152. Для юриста, выстраивающего ОРД оператора, это означает обязанность заранее прописать процедуру: форму заявления, сроки реакции, порядок уничтожения данных и перечень оснований, по которым обработка всё же продолжается. После поправок ФЗ-156 от 24.06.2025, вступивших в силу с 01.09.2025, тема согласий стала ещё острее: каждое согласие — отдельный документ, и его отзыв влечёт автономные последствия, не затрагивая договор или иные основания обработки.

Шаг 1. Проверьте, на каком основании держится обработка после отзыва

Прежде чем фиксировать процедуру отзыва, юристу нужно разобраться: согласие — единственное основание обработки или наряду с ним есть другие? Ст. 6 ФЗ-152 содержит 11 правовых оснований. Если помимо согласия обработка опирается, например, на исполнение договора (п. 5 ч. 1 ст. 6), прекращение обработки после отзыва не требуется в той части, которая необходима для договорных отношений.

Это разграничение принципиально. Оператор, который прекратил всю обработку вместе с отзывом согласия и нарушил тем самым договорные обязательства, создаёт иные правовые риски. Оператор, который продолжил обработку после отзыва без иного основания, нарушает ч. 5 ст. 9 ФЗ-152 и подпадает под ч. 1 ст. 13.11 КоАП — штраф 150 000 — 300 000 ₽ для юрлица.

«Ч. 2 ст. 9 ФЗ-152: субъект вправе отозвать согласие в любое время. Оператор обязан прекратить обработку или обеспечить её прекращение (если обработка ведётся третьим лицом) и уничтожить данные в течение 30 дней с момента получения отзыва, если иное не предусмотрено законом.»

Алгоритм анализа на этом шаге: составьте матрицу целей обработки × правовые основания. Для каждой цели определите, исчезает ли она при отзыве согласия или остаётся на другом основании. Этот документ станет частью ОРД и пригодится при проверке Роскомнадзора.

Шаг 2. Установите форму и реквизиты заявления об отзыве

ФЗ-152 не устанавливает обязательную форму заявления об отзыве. Однако оператор должен обеспечить субъекту возможность отозвать согласие тем же способом, каким оно было получено (ч. 2 ст. 9 ФЗ-152). Это означает: если согласие получено через форму на сайте — там же должна быть возможность отозвать; если в бумажном виде — письменное заявление обязательно.

С 01.09.2025 согласие — отдельный документ по ФЗ-156 от 24.06.2025. Его реквизиты: ФИО и контактные данные субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия и способ отзыва. Последний реквизит — «способ отзыва» — должен быть явно указан в самом согласии. Если он не указан, субъект вправе направить заявление в любой форме, включая электронную.

Что включить в заявление об отзыве (минимальный состав)

  • ФИО субъекта и контактные данные для подтверждения отзыва
  • Наименование оператора и реквизиты исходного согласия (дата, цель)
  • Явное волеизъявление: «отзываю согласие на обработку персональных данных»
  • Требование о прекращении обработки и уничтожении данных
  • Дата подачи заявления (от неё отсчитывается 30-дневный срок)

Зафиксируйте шаблон заявления в регламенте реагирования на обращения субъектов — это элемент ОРД, наличие которого проверяет Роскомнадзор при плановой и внеплановой проверке.

Нужно выстроить процедуру отзыва согласия с нуля?

Если в компании нет утверждённого регламента реагирования на отзыв — каждое обращение субъекта обрабатывается стихийно. Это создаёт риск пропустить 30-дневный срок и получить штраф по ч. 5 ст. 13.11 КоАП. Юристы DATUM разрабатывают регламент и полный пакет ОРД под конкретную схему обработки оператора.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Соблюдите сроки прекращения обработки и уничтожения данных

С момента получения отзыва у оператора есть 30 дней на прекращение обработки и уничтожение данных (ч. 2 ст. 9 ФЗ-152). Этот срок применяется по умолчанию. Закон допускает иной срок, если он установлен договором между субъектом и оператором, либо если обработка необходима для защиты законных интересов оператора или третьих лиц.

На практике юристу нужно контролировать три момента: дата получения заявления (не дата отправки субъектом), дата фактического прекращения обработки и дата составления акта об уничтожении. Все три должны фиксироваться документально. Отсутствие акта — самостоятельный риск при проверке.

«Ч. 5 ст. 13.11 КоАП (ред. с 30.05.2025): невыполнение требования субъекта об уничтожении ПДн в установленные сроки — штраф для юрлица 50 000 — 90 000 ₽. Повторное нарушение по ч. 5.1 — 300 000 — 500 000 ₽.»

Если данные обрабатывает третье лицо по поручению (ч. 3 ст. 6 ФЗ-152), оператор обязан направить ему требование о прекращении обработки в течение срока, позволяющего уложиться в общий 30-дневный период. Договор поручения обработки должен содержать такой механизм — это обязательный элемент договора с подрядчиком по ст. 6 ФЗ-152.

Как отзыв согласия влияет на связанные документы ОРД?

Отзыв согласия не изолированное событие — он затрагивает несколько элементов системы ОРД оператора. Юристу нужно проверить, насколько внутренние документы закрывают этот сценарий.

Политика обработки ПДн (ст. 18.1 ФЗ-152). Политика должна содержать описание порядка, в котором субъект может осуществить свои права, включая право на отзыв согласия. Если политика этого не описывает — нарушение ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽). Опубликованная политика доступна на сайте — РКН проверяет её наличие и содержание по чек-листу из 12 обязательных разделов ст. 18.1.

Уведомление в реестре РКН (ст. 22 ФЗ-152). Если после отзыва согласий отдельной категории субъектов оператор фактически прекращает обработку конкретной категории ПДн или меняет цели, он обязан актуализировать сведения в реестре через форму изменений по Приказу РКН №180 от 28.10.2022. Несоответствие реальной обработки данным реестра — риск по ч. 10 ст. 13.11 КоАП.

Ответственный за обработку (ст. 22.1 ФЗ-152). Назначенное лицо обязано организовать фиксацию всех отзывов и контролировать соблюдение 30-дневного срока. Если ответственный не назначен или не наделён соответствующими полномочиями — в случае проверки это прямое основание для предписания.

Если юрист обнаружил, что политика конфиденциальности не описывает отзыв, а реестр РКН не обновлялся последние два года — это три самостоятельных нарушения в одном пакете. До проверки РКН их можно устранить: аудит выявит полный перечень расхождений за 2–3 недели.

Заказать аудит 152-ФЗ

Разбор типовых ситуаций при отзыве согласия

Ситуация 1. Субъект отзывает согласие, но данные нужны для исполнения договора. Компания — интернет-магазин — получила отзыв согласия от покупателя, у которого есть незакрытый заказ. Обработка персональных данных в части доставки продолжается на основании п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора). Юрист компании направляет субъекту мотивированный ответ с указанием конкретного основания продолжения обработки и объёма данных. Прекращение обработки в части маркетинговых рассылок — в 30-дневный срок. Стратегия: зафиксировать в ответе разграничение оснований обработки, сохранить переписку как доказательство.

Ситуация 2. Субъект требует уничтожения данных немедленно, компания хранит их для налоговой отчётности. По ч. 2 ст. 9 ФЗ-152 уничтожение не требуется, если обработка предусмотрена другим федеральным законом. Налоговый кодекс РФ обязывает хранить документы пять лет. Трудовой кодекс — личные дела работников 75 лет. Юрист должен указать конкретную норму, на которую оператор опирается, и исходящий номер ответа субъекту зафиксировать в журнале обращений. Вероятный исход при такой документации: претензии субъекта не имеют правовых перспектив, жалоба в РКН не формирует основания для предписания.

Ситуация 3. Оператор пропустил 30-дневный срок, данные не уничтожены. Субъект обратился в РКН с жалобой. РКН возбуждает дело по ч. 5 ст. 13.11 КоАП. Стратегия: юрист немедленно составляет акт уничтожения ПДн с датой фактического уничтожения, готовит объяснения с указанием смягчающих обстоятельств по ст. 4.1 КоАП (устранение нарушения до вынесения постановления). При первичном нарушении для микропредприятий применима ст. 4.1.1 КоАП — замена штрафа на предупреждение.

Как это применяется на практике

Кейс 1. Торговая компания (Сибирский ФО, весна 2026) получила от бывшего работника требование уничтожить персональные данные из личного дела на основании отзыва согласия. Юрист компании установил, что личное дело хранится 75 лет по требованию трудового законодательства — согласие не является единственным основанием обработки. В ответ субъекту было направлено мотивированное письмо с ссылкой на конкретные нормы. Жалоба работника в РКН была закрыта без предписания: оператор документально подтвердил законное основание продолжения хранения.

Кейс 2. Медицинская организация (Центральный ФО, лето 2025) не имела регламента реагирования на отзыв согласия. Пациент направил заявление об отзыве, клиника не ответила и не уничтожила данные в течение 30 дней. РКН по жалобе субъекта возбудил дело по ч. 5 ст. 13.11 КоАП. Юрист привлечённой консультации подготовил акт уничтожения ПДн и объяснения с указанием на первичность нарушения. Штраф составил минимальный размер по ч. 5 — 50 000 ₽. Параллельно был разработан регламент реагирования и обновлена политика обработки ПДн.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн для работы с отзывами согласий?

Минимальный комплект: регламент реагирования на обращения субъектов (описывает порядок приёма, регистрации и обработки отзыва), шаблон ответа субъекту, журнал обращений субъектов, шаблон акта уничтожения ПДн. Дополнительно — политика обработки ПДн по ст. 18.1 ФЗ-152 с разделом о правах субъектов и обновлённые формы согласий по требованиям ФЗ-156 от 24.06.2025 (отдельный документ с 01.09.2025). Отсутствие журнала обращений и актов уничтожения — типовое замечание при проверке РКН.

2. Как составить политику обработки ПДн с учётом права на отзыв согласия?

Политика по ст. 18.1 ФЗ-152 должна содержать раздел о порядке осуществления субъектом своих прав: способы обращения, сроки ответа (10 рабочих дней по ст. 20 ФЗ-152 с возможностью продления на 5 рабочих дней), последствия отзыва для конкретных категорий обработки. Важно: перечислить основания, по которым обработка продолжается после отзыва согласия (договор, закон, законный интерес). Использовать шаблон из интернета без адаптации под реальные схемы обработки — риск: типовой шаблон не отражает конкретные цели и категории ПДн оператора, что создаёт несоответствие между политикой и фактической обработкой.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152 и каковы его функции при отзыве согласий?

Ответственный за организацию обработки ПДн назначается приказом руководителя. Требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152. В рамках работы с отзывами ответственный регистрирует входящие заявления, контролирует 30-дневный срок по каждому обращению, организует уничтожение данных и составление актов, а также актуализирует уведомление в реестре РКН при изменении состава обрабатываемых данных. Если ответственный не назначен — это самостоятельное основание для предписания РКН.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблон можно использовать как основу, но не как готовый документ. Политика должна отражать реальные цели, категории ПДн, правовые основания и категории субъектов именно вашего оператора (ч. 2 ст. 18.1 ФЗ-152). Типовой шаблон этого не обеспечивает: он содержит общие формулировки, которые не соответствуют конкретной схеме обработки. РКН при проверке запрашивает фактические документы — расхождение между политикой и реальной обработкой квалифицируется как нарушение ст. 18.1 и влечёт штраф по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽).

5. Какие согласия нужно переоформить после 01.09.2025 в связи с ФЗ-156?

ФЗ-156 от 24.06.2025 ввёл требование оформлять согласие отдельным документом — не встраивать его в договор, политику или оферту. Ранее полученные согласия переоформлять не требуется: закон не имеет обратной силы. Однако все новые согласия с 01.09.2025 должны соответствовать обновлённым требованиям ч. 1 ст. 9 ФЗ-152. Практический риск: если компания продолжает принимать согласия в прежней форме (встроенные в договор) после 01.09.2025 — это нарушение ч. 2 ст. 13.11 КоАП, штраф для юрлица 300 000 — 700 000 ₽.

6. Что делать, если субъект подал несколько отзывов с разными требованиями?

Каждый отзыв рассматривается отдельно применительно к конкретным целям и основаниям обработки. Если первый отзыв касается маркетинговых рассылок, а второй — хранения медицинских данных, ответы и действия оператора по ним будут разными. Рекомендуется регистрировать каждое обращение в журнале с указанием цели отзыва и принятых мер. Срок 10 рабочих дней на ответ субъекту (ст. 20 ФЗ-152) применяется к каждому обращению самостоятельно.

Итог

Процедура отзыва согласия по ч. 2 ст. 9 ФЗ-152 — это не разовое действие, а системный элемент ОРД: регламент, журнал, акты уничтожения, корректный ответ субъекту. После поправок ФЗ-156 от 24.06.2025 согласие стало отдельным документом, что делает порядок его отзыва ещё более самостоятельным процессом, не связанным с договором. Пропуск 30-дневного срока или отсутствие акта уничтожения — документируемые нарушения, которые РКН фиксирует по жалобам субъектов.

Юристы DATUM выстраивают процедуру отзыва в комплексе с разработкой ОРД и аудитом соответствия 152-ФЗ. Накопленная практика сопровождения операторов охватывает коммерческие компании, медицинские организации и HR-функции.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

21 декабря 2026 года