справочник 9 декабря 2026 По состоянию на 9 декабря 2026

Право на отзыв согласия по ст. 9 ч. 2

Субъект ПДн вправе отозвать согласие на обработку персональных данных в любой момент — оператор обязан прекратить обработку после получения отзыва.

С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156. Нарушение порядка прекращения обработки после отзыва — основание для штрафа по ч. 5 ст. 13.11 КоАП (до 90 000 ₽) или ч. 1 (до 300 000 ₽).

Если вы юрист и разбираете порядок работы с отзывами согласий — ниже разобраны нормы, последствия и типовые ошибки.

Право на отзыв согласия закреплено в ч. 2 ст. 9 ФЗ-152. Норма действует с момента принятия закона, однако на практике операторы систематически нарушают её: не прекращают обработку, не уничтожают данные, не фиксируют факт получения отзыва. После вступления в силу ФЗ-156 от 24.06.2025, изменившего требования к форме согласия с 01.09.2025, корректная работа с отзывами стала частью базового комплаенса по ст. 9 ФЗ-152.

Что такое право на отзыв согласия по ст. 9 ч. 2?

Право на отзыв согласия — это возможность субъекта персональных данных в любое время потребовать от оператора прекращения обработки его ПДн, которая ведётся на основании ранее выданного согласия. Норма закреплена в ч. 2 ст. 9 ФЗ-152. После получения отзыва оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней, если иное не установлено договором, законом или судебным решением.

«Ч. 2 ст. 9 ФЗ-152 — субъект ПДн вправе отозвать согласие. При этом оператор вправе продолжать обработку без согласия, если для неё есть иное правовое основание из ч. 1 ст. 6, ч. 2 ст. 10 или ч. 2 ст. 11 ФЗ-152.»

Субъект ПДн по ст. 3 ФЗ-152 — физическое лицо, которое можно прямо или косвенно идентифицировать по персональным данным. Оператор ПДн — организация или физическое лицо, самостоятельно или совместно с другими определяющее цели и способы обработки персональных данных. Обработка ПДн — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Ключевой принцип ст. 5 ФЗ-152: данные не обрабатываются дольше, чем требуется для достижения цели. Отзыв согласия означает, что правовое основание для обработки по ст. 6 ФЗ-152 прекратило действие — и у оператора должно быть иное основание или данные подлежат уничтожению.

Какие правовые основания позволяют продолжать обработку после отзыва?

Правовые основания обработки ПДн — условия ч. 1 ст. 6 ФЗ-152, при наличии хотя бы одного из которых обработка законна без согласия субъекта или после его отзыва. Перечень исчерпывающий.

Оператор вправе продолжать обработку без согласия после его отзыва в следующих случаях:

Обработка необходима для исполнения договора, стороной которого является субъект (п. 5 ч. 1 ст. 6 ФЗ-152). Пример: хранение адреса доставки в период действия договора с интернет-магазином.
Обработка предусмотрена федеральным законом (п. 2 ч. 1 ст. 6 ФЗ-152). Пример: работодатель хранит кадровые данные 75 лет по архивному законодательству.
Обработка необходима для осуществления прав и законных интересов оператора, если права субъекта при этом не нарушаются (п. 7 ч. 1 ст. 6 ФЗ-152). Применяется ограничительно — оператор должен обосновать интерес.
Судебное решение, уголовное преследование, требование прокуратуры или следственных органов (пп. 3, 8, 9 ч. 1 ст. 6 ФЗ-152).

Если ни одного основания нет — оператор обязан уничтожить данные. Блокирование до уничтожения допустимо на срок не более 30 дней.

Если вы юрист и нужно выстроить процедуру обработки отзывов согласий — DATUM подключит DPO-аутсорсинг и закроет функцию ответственного по ст. 22.1 ФЗ-152 под ключ. Срок реакции на запрос субъекта — 10 рабочих дней по ст. 20 ФЗ-152.

Подключить DPO-аутсорсинг

Как оформляется отзыв согласия и каков порядок прекращения обработки?

Отзыв согласия — это одностороннее волеизъявление субъекта ПДн, направленное оператору в письменной или электронной форме, устанавливающее требование прекратить обработку данных, ведущуюся на основании ранее выданного согласия. Форма отзыва законом не ограничена: письмо, заявление, электронное сообщение через личный кабинет.

После 01.09.2025 согласие по ФЗ-156 оформляется отдельным документом с обязательными реквизитами по ч. 4 ст. 9 ФЗ-152: наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва. Способ отзыва, прямо указанный в согласии, — это минимальный стандарт. Оператор не вправе требовать отзыва только тем способом, который создаёт для субъекта несоразмерную нагрузку.

Что подготовить для корректной работы с отзывами согласий

Форму отзыва согласия с указанием реквизитов — ФИО субъекта, номер согласия или дата, конкретные категории ПДн или цели.
Внутренний регламент: порядок фиксации получения отзыва, ответственное лицо, срок обработки (не более 30 дней).
Журнал учёта отзывов с датой получения и датой фактического уничтожения или блокирования ПДн.
Шаблон ответа субъекту с подтверждением прекращения обработки (срок ответа — 10 рабочих дней по ст. 20 ФЗ-152).
Анализ альтернативных правовых оснований по ст. 6 ФЗ-152 для данных, которые нельзя уничтожить немедленно.

Какие нарушения при работе с отзывами влекут ответственность по ст. 13.11 КоАП?

Ответственность за нарушение права на отзыв согласия распределяется по нескольким составам ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024).

Ч. 5 ст. 13.11 КоАП — невыполнение требования субъекта об уничтожении или блокировании ПДн в установленные сроки: штраф для юрлица 50 000–90 000 ₽. При повторном нарушении (ч. 5.1) — 300 000–500 000 ₽.
Ч. 1 ст. 13.11 КоАП — продолжение обработки после отзыва без иного правового основания (обработка, несовместимая с целями или без оснований): 150 000–300 000 ₽. Повторно (ч. 1.1) — 300 000–500 000 ₽.
Ч. 2 ст. 13.11 КоАП — если оператор использовал согласие с нарушением требований ч. 4 ст. 9 (недействительное согласие, не оформленное как отдельный документ после 01.09.2025): 300 000–700 000 ₽.

«Ч. 5.1 ст. 13.11 КоАП в ред. с 30.05.2025 — повторное невыполнение требования субъекта об уничтожении или блокировании ПДн влечёт штраф для юрлица 300 000–500 000 ₽.»

Дополнительно: субъект вправе обратиться в суд с иском о компенсации морального вреда. По делу Яндекс.Еды (2022) суд взыскал 5 000 ₽ за утечку — но при систематическом нарушении права на отзыв суды присуждают выше. Уголовная ответственность по ст. 272.1 УК РФ (введена с 11.12.2024) применяется при незаконном сборе, использовании, хранении или передаче ПДн в компьютерных системах — максимум по ч. 5 до 10 лет лишения свободы.

Нужно выстроить процедуру обработки отзывов согласий под ФЗ-156?

Если юрист обнаружил, что в компании нет регламента работы с отзывами, согласия встроены в договоры или отсутствует журнал учёта — каждый такой факт создаёт самостоятельный состав по ст. 13.11 КоАП. С 01.09.2025 требования ФЗ-156 обязательны: согласие — отдельный документ, способ отзыва — обязательный реквизит. DATUM соберёт пакет ОРД под ключ: политика, согласия по новым реквизитам, регламент обработки отзывов, журналы учёта.

Собрать ОРД под ключ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Типовые ситуации нарушения права на отзыв

Ситуация 1. Согласие встроено в договор — отзыв невозможен без расторжения. До 01.09.2025 распространённая практика: согласие на обработку включалось в оферту или трудовой договор. После отзыва оператор продолжал обработку, ссылаясь на «договорное основание». Вероятный исход: РКН квалифицирует как обработку без оснований (ч. 1 ст. 13.11) или нарушение требований к форме согласия (ч. 2 ст. 13.11). Стратегия: разделить правовые основания — договорную обработку по п. 5 ч. 1 ст. 6 и согласие как отдельный документ; переоформить по требованиям ФЗ-156.

Ситуация 2. Оператор получил отзыв, но не уничтожил данные в 30 дней. Субъект направил заявление через личный кабинет, не получил подтверждения, данные продолжают обрабатываться. Вероятный исход: штраф по ч. 5 ст. 13.11 (50 000–90 000 ₽); при повторном факте — ч. 5.1 (до 500 000 ₽). Стратегия: внедрить журнал учёта отзывов с автоматическим уведомлением ответственного и контрольным сроком.

Ситуация 3. После отзыва часть данных осталась у подрядчика (обработчика по поручению). Оператор уничтожил данные в своих системах, но не направил требование обработчику. Вероятный исход: оператор несёт ответственность за действия обработчика (принцип ВС РФ: оператор отвечает за утечку через подрядчика). РКН может квалифицировать как продолжение несанкционированной обработки. Стратегия: договор поручения обработки должен содержать обязанность обработчика уничтожить данные по требованию оператора в аналогичные сроки.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов, включая формы согласий и регламент работы с отзывами
DPO-аутсорсинг — ответы на запросы субъектов, ведение журнала отзывов, контроль сроков
Аудит соответствия 152-ФЗ — проверка всех правовых оснований обработки и формы согласий

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152, обработка персональных данных — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление или уничтожение. Хранение данных после отзыва согласия — уже обработка, требующая правового основания.

2. На основании чего можно обрабатывать ПДн?

Ч. 1 ст. 6 ФЗ-152 устанавливает 11 оснований обработки. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанностей по федеральному закону (п. 2), законные интересы оператора (п. 7 — применяется ограничительно). Согласие — лишь одно из оснований. Если после его отзыва есть иное основание, обработка законна. Если нет — данные подлежат уничтожению в течение 30 дней.

3. Что грозит за нарушение 152-ФЗ при игнорировании отзыва согласия?

Продолжение обработки после отзыва без иного правового основания квалифицируется по ч. 1 ст. 13.11 КоАП — штраф для юрлица 150 000–300 000 ₽ (в редакции с 30.05.2025). Невыполнение требования субъекта об уничтожении ПДн — ч. 5 ст. 13.11 (50 000–90 000 ₽). При повторности — ч. 1.1 (до 500 000 ₽) или ч. 5.1 (до 500 000 ₽). Субъект вправе обратиться в суд за компенсацией морального вреда независимо от административного дела.

4. Нужно ли уведомлять РКН малому бизнесу?

По ст. 22 ФЗ-152, обязанность подать уведомление о намерении обрабатывать ПДн распространяется на большинство операторов независимо от размера бизнеса. Исключения перечислены в ч. 2 ст. 22 — например, обработка только данных сотрудников для трудовых отношений или передача данных в рамках договора без дальнейшей обработки. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на обработку ПДн?

ФЗ-152 напрямую не устанавливает возрастного порога. По общему правилу ст. 9 ФЗ-152, согласие даёт сам субъект — дееспособное физическое лицо. Для детей до 14 лет согласие даёт законный представитель (родитель, опекун). Для несовершеннолетних 14–18 лет — они вправе давать согласие самостоятельно в объёме своей дееспособности по ГК РФ, однако оператор должен учитывать специфику конкретных категорий данных и целей обработки.

Итог

Право на отзыв согласия по ч. 2 ст. 9 ФЗ-152 — это не формальность: оно влечёт конкретные обязанности оператора по прекращению обработки и уничтожению данных в 30-дневный срок. После 01.09.2025 способ отзыва стал обязательным реквизитом согласия по ФЗ-156 — отсутствие этого реквизита само по себе делает согласие ненадлежащим. Игнорирование отзыва — самостоятельный состав по ч. 5 ст. 13.11 КоАП с возможностью повторного штрафа до 500 000 ₽.

DATUM сопровождает операторов в выстраивании процедуры работы с согласиями и их отзывами: от разработки форм под требования ФЗ-156 до DPO-аутсорсинга с ведением журналов и ответами субъектам в срок по ст. 20 ФЗ-152.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.