Перейти к содержанию
инструкция 21 декабря 2026 По состоянию на 21 декабря 2026

Продолжение обработки после отзыва: на каких основаниях

Отзыв согласия не обязывает оператора прекратить обработку ПДн, если существует иное правовое основание по ст. 6 ФЗ-152.
С 01.09.2025 каждое согласие оформляется отдельным документом (ФЗ-156). Если юрист оператора не разграничил основания — отзыв согласия субъектом автоматически влечёт требование уничтожить данные, штраф по ч. 5 ст. 13.11 КоАП (50–90 тыс. ₽) и риск проверки РКН.
→ Если вы юрист оператора и получили уведомление об отзыве — проверьте, какое из 11 оснований ст. 6 ФЗ-152 продолжает действовать.

Субъект персональных данных вправе отозвать согласие в любой момент (ч. 2 ст. 9 ФЗ-152). Для юриста оператора это не конец обработки, а точка проверки: на каком основании данные обрабатывались до отзыва и сохраняется ли оно после. Ошибка в этом анализе — либо незаконное продолжение обработки (ч. 1 ст. 13.11 КоАП, штраф 150–300 тыс. ₽), либо неправомерное уничтожение данных, нужных для исполнения договора или выполнения обязанности. Ниже — пошаговый разбор для практики.

Шаг 1. Почему отзыв согласия не всегда останавливает обработку?

Согласие субъекта — только одно из 11 правовых оснований обработки, перечисленных в ст. 6 ФЗ-152. Оно стоит первым (п. 1 ч. 1 ст. 6), но не является единственным. Отзыв согласия устраняет именно это основание и не затрагивает остальные десять.

Ключевые альтернативные основания, на которые юрист должен проверить ситуацию:

  • Исполнение договора с субъектом (п. 5 ч. 1 ст. 6) — договор купли-продажи, оказания услуг, трудовой договор. Пока договор действует или его исполнение не завершено — основание сохраняется.
  • Исполнение законодательной обязанности оператора (п. 2 ч. 1 ст. 6) — налоговый учёт, бухгалтерская отчётность, воинский учёт работников, хранение первичных документов по ФЗ-402. Субъект не вправе своим отзывом устранить обязанность, установленную для оператора другим законом.
  • Защита жизни или здоровья субъекта либо третьих лиц (п. 7 ч. 1 ст. 6) — актуально для медицинских и экстренных ситуаций.
  • Осуществление правосудия (п. 3 ч. 1 ст. 6) — данные в материалах судебного дела не могут быть уничтожены по требованию стороны.
  • Обеспечение безопасности государства и общественного порядка (п. 4 ч. 1 ст. 6) — для соответствующих операторов.
«Ч. 3 ст. 9 ФЗ-152: оператор вправе продолжить обработку ПДн без согласия субъекта в случаях, предусмотренных пунктами 2–11 ч. 1 ст. 6, частью 2 ст. 10 и частью 2 ст. 11 ФЗ-152.»

Практический вывод: юрист должен зафиксировать в ОРД, какое именно основание применяется для каждой цели обработки. Если единственным основанием было согласие — его отзыв означает обязанность прекратить обработку и уничтожить данные.

Шаг 2. Как зафиксировать действующее основание после отзыва?

Получив уведомление об отзыве, юрист оператора выполняет следующий алгоритм:

  1. Идентифицировать цели обработки по реестру обработки ПДн или уведомлению в РКН (ст. 22 ФЗ-152, Приказ РКН №180). Для каждой цели — проверить, на каком основании из ст. 6 она обеспечена.
  2. Разграничить «согласные» и «несогласные» цели. Цели, единственным основанием которых было согласие субъекта, — прекратить. Цели с иным основанием (договор, закон) — продолжить с фиксацией этого основания.
  3. Уведомить субъекта о том, что обработка по таким-то целям продолжается на основании п. N ч. 1 ст. 6 ФЗ-152. Срок ответа субъекту по ст. 20 ФЗ-152 — 10 рабочих дней с даты обращения (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта).
  4. Зафиксировать решение в журнале обращений субъектов. Запись должна содержать: дата отзыва, перечень целей, прекращённых и продолженных, ссылку на основание продолжения, подпись ответственного по ст. 22.1 ФЗ-152.
  5. При необходимости скорректировать уведомление в реестре РКН (ст. 22 ФЗ-152), если фактические цели обработки изменились.
«Ч. 5 ст. 9 ФЗ-152: в случае отзыва согласия оператор вправе продолжить обработку ПДн без согласия при наличии оснований, указанных в п. 2–11 ч. 1 ст. 6 ФЗ-152.»

Получили отзыв согласия и не уверены, продолжать ли обработку?

Ошибка в оценке оснований приводит к штрафу по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) или к незаконному уничтожению данных, которые нужны для договора. У вас 10 рабочих дней на ответ субъекту — срок исчисляется с даты получения отзыва. Юристы DATUM проверят основания обработки по чек-листу из 38 пунктов и подготовят ответ субъекту с правовым обоснованием.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Что изменилось с 01.09.2025 для оснований обработки?

С 01.09.2025 вступил в силу ФЗ-156 от 24.06.2025, изменивший ч. 1 ст. 9 ФЗ-152: согласие на обработку ПДн должно быть оформлено отдельным документом и не может объединяться с договором, офертой, политикой конфиденциальности или иными документами. Это изменение прямо влияет на анализ оснований после отзыва.

Проблема смешанных документов. До 01.09.2025 многие операторы включали согласие в текст трудового договора или договора об оказании услуг. После отзыва такого «встроенного» согласия возникал спор: прекратилось ли только согласие или основание для обработки исчезло полностью? С 01.09.2025 этой двусмысленности быть не должно — согласие и договор разделены, основания чётко разграничены.

Ранее выданные согласия. ФЗ-156 не имеет обратной силы: согласия, полученные до 01.09.2025 в прежнем формате, переоформлять не обязательно. Однако если субъект отзывает такое «старое» согласие — оператор обязан оценить, не смешано ли оно с договорным основанием, и при необходимости разграничить.

Последствие для ОРД. В политике конфиденциальности по ч. 2 ст. 18.1 ФЗ-152 теперь необходимо явно указывать для каждой цели обработки: применяется согласие (п. 1 ч. 1 ст. 6) или иное основание. Это позволяет субъекту понять, что произойдёт после отзыва, а оператору — защититься от претензий.

Шаг 4. Какие данные подлежат уничтожению после отзыва?

Уничтожению после отзыва подлежат только те данные и только в той части, в которой обработка осуществлялась исключительно на основании согласия. Порядок действий:

  • Составить перечень данных, обрабатываемых только на основании согласия. Это могут быть: адрес доставки, собранный только для маркетинговой рассылки; биометрия для СКУД без договорного закрепления; cookie-данные для таргетированной рекламы.
  • Выделить данные с двойным основанием. Например, телефон работника — и в согласии на рассылку новостей, и в трудовом договоре. После отзыва согласия телефон уничтожается только из базы рассылки, но остаётся в кадровой системе.
  • Уничтожить данные в установленный срок — по общему правилу ч. 3.1 ст. 9 ФЗ-152 в течение 30 дней с момента получения отзыва (если иной срок не установлен договором или законом).
  • Составить акт уничтожения с указанием категорий уничтоженных данных, способа уничтожения и даты. Акт хранится у ответственного по ст. 22.1 ФЗ-152.
«Ч. 3.1 ст. 9 ФЗ-152: при отзыве субъектом согласия оператор обязан прекратить обработку и уничтожить ПДн в срок, не превышающий 30 дней, если иное не предусмотрено договором или законом.»

Что подготовить при получении отзыва согласия

  • Реестр целей обработки с указанием правового основания по ст. 6 ФЗ-152 для каждой цели
  • Копию или электронную версию отозванного согласия с датой получения отзыва
  • Письменный ответ субъекту (в срок до 10 рабочих дней) с перечислением продолжаемых и прекращаемых целей
  • Акт уничтожения данных, обрабатывавшихся только на основании согласия
  • Запись в журнале обращений субъектов с решением ответственного по ст. 22.1

Шаг 5. Как защитить оператора от претензий субъекта и РКН?

После оценки оснований и принятия решения о продолжении обработки важно обеспечить доказательственную базу. Риски двух видов: жалоба субъекта в РКН и внеплановая проверка.

Жалоба субъекта. РКН рассматривает жалобы субъектов об отказе оператора уничтожить данные. Оператор обязан обосновать продолжение обработки в ответе на запрос РКН, представив: политику обработки ПДн с указанием оснований по ст. 6, журнал обращений, акт частичного уничтожения данных, договор или норму закона, которая обязывает сохранять данные.

Проверка РКН. По ст. 18.1 ФЗ-152 оператор обязан уметь доказать, что его обработка соответствует закону. Если политика конфиденциальности не содержит перечня оснований обработки или не обновлена после 01.09.2025 — это самостоятельное основание для штрафа по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽).

Обновление ОРД. После каждого существенного изменения — новые согласия по ФЗ-156, добавление целей обработки, смена подрядчика — оператор обязан скорректировать уведомление в реестре РКН по ст. 22 ФЗ-152 и обновить политику по ст. 18.1. Ответственный за это — лицо, назначенное по ст. 22.1 ФЗ-152.

Если юрист оператора не уверен, соответствует ли политика конфиденциальности требованиям ст. 18.1 ФЗ-152 после 01.09.2025 — каждый день просрочки создаёт основание для штрафа по ч. 3 ст. 13.11 КоАП. Проверьте ОРД до проверки РКН.

Собрать ОРД под ключ

Типовые ситуации: три сценария для юриста оператора

Сценарий 1. Работник отозвал согласие на обработку биометрии в СКУД. Ситуация: биометрические данные работника (отпечаток пальца) собирались на основании отдельного согласия по ст. 11 ФЗ-152 для СКУД. Других оснований не было. Доказательства: нет договорного условия об использовании СКУД, нет законодательной обязанности применять именно биометрическую идентификацию. Вероятный исход при продолжении обработки: нарушение ч. 3 ст. 11 ФЗ-152, штраф по ч. 16 ст. 13.11 КоАП. Стратегия: прекратить обработку биометрии, уничтожить данные в 30 дней, перейти на альтернативный метод контроля доступа (карта, пин-код), составить акт уничтожения.

Сценарий 2. Клиент отозвал согласие, данные нужны для исполнения договора. Ситуация: интернет-магазин получил отзыв согласия от покупателя. В согласии были указаны цели: направление маркетинговых рассылок и обработка при доставке заказа. Действующий заказ на стадии доставки. Доказательства: договор публичной оферты, подтверждение заказа, трек-номер. Вероятный исход: продолжение обработки в части доставки — правомерно по п. 5 ч. 1 ст. 6 ФЗ-152; продолжение рассылок после отзыва — нарушение ч. 1 ст. 13.11 КоАП. Стратегия: прекратить рассылки немедленно, отписать от базы; данные о доставке хранить до исполнения обязательства по договору, затем уничтожить.

Сценарий 3. Субъект требует уничтожить данные, которые оператор обязан хранить по закону. Ситуация: бывший работник потребовал уничтожить личное дело, ссылаясь на отзыв согласия. Доказательства: перечень типовых управленческих архивных документов (Приказ Минкультуры РФ), ст. 22 ТК РФ, ст. 23 ФЗ-27 «Об индивидуальном учёте». Вероятный исход при уничтожении: нарушение требований архивного законодательства и трудового права. Стратегия: направить субъекту обоснованный отказ со ссылкой на п. 2 ч. 1 ст. 6 и п. 3 ч. 3.1 ст. 9 ФЗ-152; зафиксировать отказ в журнале обращений; хранить личное дело в течение 75 лет.

Из практики. В деле торговой компании (Уральский ФО, осень 2025) юрист оператора получил отзыв согласия от 400 клиентов одновременно — в результате массовой жалобной кампании. Оператор прекратил маркетинговые рассылки в течение двух рабочих дней и направил каждому субъекту ответ с указанием, что обработка данных о заказах продолжается на основании договора. РКН по результатам проверки не выявил нарушений: разграничение оснований было зафиксировано в политике конфиденциальности и реестре обработки.

Из практики. Медицинская организация (Центральный ФО, начало 2026) продолжила хранить данные пациента после его отзыва согласия, не разграничив основания обработки в ОРД. РКН квалифицировал ситуацию как незаконную обработку по ч. 1 ст. 13.11 КоАП; штраф составил в диапазоне от 150 до 300 тыс. ₽. После подготовки пакета ОРД и обжалования в порядке ст. 4.1.1 КоАП штраф был заменён на предупреждение ввиду первичности нарушения. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн, чтобы обосновать продолжение обработки после отзыва?

Минимальный пакет: политика конфиденциальности с перечислением оснований обработки по ст. 6 ФЗ-152 для каждой цели (требования ч. 2 ст. 18.1 ФЗ-152); реестр обработки ПДн с привязкой целей к основаниям; журнал обращений субъектов с записью об отзыве и решении оператора; документ — договор или норма закона, — подтверждающий иное основание; акт частичного уничтожения данных, обрабатывавшихся только по согласию. Без этого пакета оператор не может защититься от жалобы субъекта в РКН.

2. Как составить политику обработки ПДн, чтобы она учитывала ситуацию отзыва согласия?

В политике необходимо для каждой цели обработки указать правовое основание из ст. 6 ФЗ-152. Если цель обеспечена только согласием — прямо написать, что при отзыве обработка прекращается. Если цель обеспечена договором или законом — указать конкретный пункт договора или норму закона. Такая структура выполняет требование ч. 2 ст. 18.1 ФЗ-152 и снимает претензии РКН при проверке. Шаблоны из интернета, как правило, не содержат этой детализации.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152 и что входит в его обязанности при отзыве согласия?

По ст. 22.1 ФЗ-152 оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Это может быть штатный юрист, сотрудник ИБ или внешний DPO-аутсорсер. При отзыве согласия ответственный фиксирует отзыв в журнале, оценивает оставшиеся основания, организует уничтожение данных при необходимости и подписывает акт. Ч. 4 ст. 22.1 устанавливает требования к квалификации: знание законодательства о ПДн и внутренних актов оператора.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблон допустим как отправная точка, но не как итоговый документ. Типовые шаблоны не учитывают специфику конкретного оператора: отраслевые требования (медицина — ст. 10 ФЗ-152 + ст. 13 ФЗ-323; HR — ст. 86–88 ТК × 152-ФЗ), актуальные изменения (ФЗ-156 от 24.06.2025 — отдельное согласие с 01.09.2025), перечень ваших систем и подрядчиков. Ошибка в политике — самостоятельный штраф по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽) вне зависимости от инцидентов.

5. Какие согласия нужно переоформить после 01.09.2025 в связи с ФЗ-156?

Согласия, полученные до 01.09.2025, переоформлять не требуется — ФЗ-156 не имеет обратной силы. Переоформление необходимо для новых согласий с 01.09.2025: они должны быть оформлены отдельным документом, не включёнными в текст договора, оферты или политики. Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Нарушение состава согласия — штраф по ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽).

6. Что делать, если срок 30 дней на уничтожение данных после отзыва уже пропущен?

Пропуск срока — нарушение ч. 3.1 ст. 9 ФЗ-152, за которое применяется ч. 5 ст. 13.11 КоАП (50–90 тыс. ₽). Действия: уничтожить данные немедленно, составить акт, направить субъекту уведомление об уничтожении с извинениями за задержку. При жалобе субъекта в РКН — представить доказательства устранения нарушения. При первичности нарушения для малого и микропредприятия возможно применение ст. 4.1.1 КоАП — замена штрафа на предупреждение.

Итог

Отзыв согласия субъекта запускает для юриста оператора обязательный алгоритм: проверить, на каком из 11 оснований ст. 6 ФЗ-152 обрабатываются данные, разграничить «согласные» и «несогласные» цели, уничтожить только то, что обрабатывалось исключительно по согласию, и ответить субъекту в течение 10 рабочих дней. С 01.09.2025 ФЗ-156 сделал это разграничение обязательным на уровне документов — согласие отдельно, договор отдельно.

DATUM сопровождает операторов при получении отзывов согласия, проверяет соответствие оснований обработки закону и готовит пакет ОРД, в котором каждая цель привязана к конкретному основанию из ст. 6 ФЗ-152.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.

21 декабря 2026 года