Срок действия согласия на обработку ПДн
Срок действия согласия на обработку — один из обязательных реквизитов по ст. 9 ФЗ-152. На практике именно его отсутствие или некорректная формулировка чаще всего становятся основанием для протокола по ч. 2 ст. 13.11 КоАП. После вступления в силу ФЗ-156 требования к документу ужесточились: согласие должно быть автономным. Инструкция ниже охватывает шесть шагов — от определения цели до проверки порядка хранения.
Шаг 1. Определите цель обработки и привяжите к ней срок
Срок действия согласия производен от цели обработки: пока цель актуальна — согласие действует. Ст. 5 ФЗ-152 запрещает хранить данные дольше, чем это необходимо для достижения цели. Поэтому формулировка «бессрочно» технически допустима, но юридически уязвима: если цель прекратилась, а данные продолжают обрабатываться, оператор нарушает принцип ограничения хранения.
Практическая логика — три варианта привязки срока:
- К событию — «до момента достижения цели» (например, до исполнения договора). Подходит для согласий в рамках клиентских отношений.
- К периоду — конкретный срок в годах или месяцах. Применяется в маркетинге, рассылках, программах лояльности.
- До отзыва — согласие действует, пока субъект его не отозвал. Используется, когда срок объективно не определяем (долгосрочные HR-базы, обращение пациентов).
Укажите в документе одну из этих конструкций явно. Размытые формулировки («в течение срока сотрудничества», «на весь период обслуживания») создают неопределённость и оспариваются при проверке.
Шаг 2. Проверьте обязательные реквизиты согласия по ст. 9 ФЗ-152
Ст. 9 ФЗ-152 в редакции с 01.09.2025 устанавливает перечень обязательных элементов согласия. Отсутствие любого из них означает, что согласие не отвечает требованиям закона — это самостоятельное основание для штрафа по ч. 2 ст. 13.11 КоАП.
Дополнительные требования с 01.09.2025:
- Согласие не включается в текст договора, публичной оферты или политики конфиденциальности — только отдельный документ.
- Молчание, бездействие или предварительно проставленные галочки не признаются согласием.
- Форма согласия на распространение ПДн (ст. 10.1 ФЗ-152) — самостоятельный документ, отдельный от основного согласия.
Ранее полученные согласия, собранные до 01.09.2025, переоформлять не требуется — ФЗ-156 обратной силы не имеет. Но если субъект обратился с запросом или возник спор — старое согласие, встроенное в договор, суд может признать ненадлежащим.
Согласия до сих пор вшиты в договор или политику?
С 01.09.2025 согласие — обязательно отдельный документ по ФЗ-156. Каждое несоответствующее согласие — потенциальный штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM соберут полный пакет ОРД: политика, согласия, приказы, регламенты — в соответствии с требованиями 2025 года.
Собрать ОРД под ключ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Установите порядок отзыва и зафиксируйте его в документе
Право на отзыв согласия — безусловное право субъекта по ст. 9 ФЗ-152. Оператор не вправе ограничить или усложнить его реализацию. В документе нужно указать конкретный способ отзыва: письменное заявление по адресу, электронное письмо на указанный адрес, форма на сайте.
После получения отзыва оператор обязан прекратить обработку и уничтожить данные, если нет иных оснований для их обработки по ст. 6 ФЗ-152 (например, исполнение договора, исполнение обязанностей по закону, защита жизни). Срок уничтожения по ч. 4 ст. 21 ФЗ-152 — 30 дней, если иное не предусмотрено договором или законом.
Важный нюанс для юриста: если согласие отозвано, но договор ещё исполняется — обработка продолжается на основании п. 5 ч. 1 ст. 6 ФЗ-152 (достижение целей договора). Согласие как правовое основание в этом случае уже не нужно. Это часто смешивается на практике и приводит к ошибкам в ОРД.
Как оформить срок в согласии: что пишут суды и РКН?
Роскомнадзор при проверках анализирует не только факт наличия согласия, но и конкретность формулировок. Размытый срок — «в разумные сроки», «по мере необходимости» — расценивается как нарушение требований к составу документа.
Устойчивые формулировки, прошедшие проверку практикой:
- «Настоящее согласие действует до момента его отзыва субъектом персональных данных.»
- «Настоящее согласие действует в течение 3 (трёх) лет с даты подписания.»
- «Настоящее согласие действует до момента достижения цели обработки, указанной в разделе [N].»
Если цель — маркетинговые рассылки, оптимальный срок — 1–3 года с возможностью продления через повторное согласие. Если цель — ведение личного дела работника, согласие действует в течение трудовых отношений и 75 лет после их окончания (типовой срок хранения архивных кадровых документов).
Шаг 4. Свяжите срок согласия с политикой обработки и уведомлением РКН
Политика обработки ПДн по ст. 18.1 ФЗ-152 должна отражать сроки обработки по каждой категории данных. Разрыв между тем, что указано в согласии, и тем, что закреплено в политике — типовая ошибка при проверке. РКН сравнивает оба документа.
Уведомление РКН по ст. 22 ФЗ-152, направляемое через pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022, содержит поле «срок обработки». Значение в уведомлении должно совпадать со значением в политике и согласии. При расхождении — предписание об устранении и штраф по ч. 10 ст. 13.11 КоАП (100 000 — 300 000 ₽ за нарушение порядка уведомления).
Если оператор изменил сроки обработки — нужно подать уведомление об изменении сведений в реестре. Срок подачи — 10 рабочих дней с момента изменений.
Шаг 5. Назначьте ответственного и зафиксируйте порядок учёта согласий
Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Именно это лицо обеспечивает ведение реестра согласий, контроль сроков и порядок реагирования на отзывы.
Минимальный состав документации по учёту согласий:
- Приказ о назначении ответственного по ст. 22.1 с указанием полномочий.
- Журнал учёта полученных и отозванных согласий (с датами, идентификатором субъекта, целью).
- Регламент реагирования на отзыв согласия (сроки уничтожения, ответственные, порядок уведомления).
- Форма ответа субъекту при запросе сведений об обработке — срок ответа 10 рабочих дней по ст. 20 ФЗ-152.
Отсутствие журнала учёта согласий не образует самостоятельного состава нарушения, но при проверке РКН используется как косвенное доказательство ненадлежащей организации обработки — основание для предписания и штрафа по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽ за непубликацию политики или отсутствие мер по ст. 18.1).
Если вы юрист и проверяете ОРД оператора — реестр согласий, политика и уведомление РКН должны быть согласованы. Несовпадение сроков в трёх документах — системная ошибка, которую выявляет любая проверка. Аудит DATUM охватывает 38 позиций и выдаёт приоритизированный план устранения.
Заказать аудит 152-ФЗШаг 6. Проверьте порядок хранения и уничтожения согласий
Само согласие как документ хранится у оператора в течение срока обработки данных плюс срок исковой давности (три года по ст. 196 ГК РФ) — чтобы оператор мог доказать правомерность обработки при возникновении спора.
После истечения срока согласия или его отзыва оператор обязан уничтожить персональные данные, если нет иных правовых оснований для обработки. Уничтожение фиксируется актом. Если данные хранились в ИСПДн — уничтожение должно подтверждаться техническим актом с указанием метода (перезапись, физическое уничтожение носителя, криптографическое стирание).
Для специальных категорий ПДн (ст. 10 ФЗ-152: здоровье, биометрия, судимость) требования к уничтожению жёстче — операция документируется отдельно, с указанием даты и способа уничтожения. Это требование проверяется при плановых проверках РКН в медицинских и образовательных организациях.
Типовые ситуации: когда срок согласия становится проблемой
Ситуация 1. Срок истёк, но данные продолжают обрабатываться. Оператор собрал согласия на рассылку сроком 1 год, но не выстроил процесс контроля истечения. Через 14 месяцев РКН получил жалобу субъекта — данные по-прежнему использовались. Доказательства: журнал рассылок, переписка. Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽). Стратегия: внедрить автоматический контроль дат истечения согласий в CRM; при необходимости — запросить новое согласие до истечения текущего.
Ситуация 2. Согласие вшито в договор, проверка состоялась после 01.09.2025. Торговая компания использовала единый договор с клиентом, включавший раздел «согласие на обработку ПДн». При плановой проверке РКН осенью 2025 года инспектор квалифицировал документ как не отвечающий требованиям ст. 9 ФЗ-152 в новой редакции. Исход: предписание об устранении, протокол по ч. 2 ст. 13.11 КоАП. Стратегия: до начала обработки для новых субъектов — отдельный документ согласия; для действующих субъектов с договорными отношениями — оценить, требуется ли согласие вообще (если обработка ведётся на основании п. 5 ч. 1 ст. 6 ФЗ-152).
Ситуация 3. Срок «до отзыва» при увольнении работника. HR-директор производственного предприятия (Уральский ФО, осень 2025) столкнулся с требованием уволенного сотрудника уничтожить его персональные данные. Согласие содержало формулировку «до отзыва», но кадровые документы подлежат хранению 75 лет. Вероятный исход: отказ в уничтожении правомерен — обработка продолжается на основании ст. 22.1 ТК РФ и требований архивного законодательства, а не согласия. Стратегия: разграничить в ОРД основания обработки: согласие — для данных, обрабатываемых исключительно по воле субъекта; нормативные основания — для данных, хранение которых обязательно.
Что подготовить для соответствия требованиям к согласиям
Минимальный пакет документов
- Форма согласия на обработку ПДн — отдельный документ с реквизитами по ст. 9 ФЗ-152 (в ред. ФЗ-156), включая срок и способ отзыва.
- Политика обработки ПДн по ст. 18.1 ФЗ-152 — с разделом о сроках обработки по каждой цели; опубликована в открытом доступе.
- Уведомление РКН по ст. 22 ФЗ-152 — сведения о сроках обработки совпадают с политикой и формой согласия.
- Приказ о назначении ответственного по ст. 22.1 ФЗ-152 с перечнем полномочий.
- Журнал учёта согласий и регламент реагирования на отзыв — с фиксацией сроков уничтожения данных.
Услуги DATUM по теме
- Комплект ОРД под ключ — полный пакет из 38 документов, включая формы согласий по ст. 9 ФЗ-152 в редакции с 01.09.2025.
- Аудит соответствия 152-ФЗ — проверка всех оснований обработки, сроков и ОРД по чек-листу; отчёт с приоритизированным планом устранения.
- DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, включая контроль сроков согласий и ответы на запросы субъектов.
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный обязательный пакет включает: политику обработки ПДн (ст. 18.1 ФЗ-152), уведомление в реестре РКН (ст. 22 ФЗ-152), приказ о назначении ответственного (ст. 22.1), формы согласий по ст. 9 ФЗ-152, договоры поручения обработки с подрядчиками (ст. 6 ФЗ-152), а также локальные акты об организационных и технических мерах защиты по ст. 19 ФЗ-152. Итого в развёрнутом виде — 38 позиций.
2. Как составить политику обработки ПДн?
Политика должна соответствовать ч. 2 ст. 18.1 ФЗ-152: содержать цели обработки, категории субъектов и ПДн, основания обработки, сроки, меры защиты, сведения об ответственном, порядок реагирования на запросы субъектов. Политика публикуется в открытом доступе (на сайте или при входе в офис). Использование шаблона допустимо только при условии адаптации под реальные процессы оператора.
3. Кого назначить ответственным по ст. 22.1?
Закон не устанавливает требований к должности — ответственным может быть штатный юрист, сотрудник службы ИБ или внешний аутсорсер. Ключевые требования по ч. 4 ст. 22.1 ФЗ-152: наличие знаний в области законодательства о ПДн и доступа ко всем процессам обработки. Назначение оформляется приказом с перечнем полномочий.
4. Можно ли использовать шаблон политики из интернета?
Использовать шаблон как основу — можно, но без адаптации под конкретного оператора он создаёт риск. РКН при проверке сопоставляет содержание политики с реальной обработкой данных. Если политика описывает процессы, которых у оператора нет, или не отражает те, которые есть, — это основание для предписания. Типовой шаблон нужно дорабатывать под каждый вид деятельности, систему, подрядчика и категорию субъектов.
5. Какие согласия нужны после 01.09.2025?
После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется только как отдельный документ. Нельзя включать его в договор, оферту или политику конфиденциальности. Согласие на распространение ПДн (ст. 10.1 ФЗ-152) — отдельный документ от основного согласия. Если обработка ведётся на иных основаниях (договор, закон) — согласие не требуется. Ранее полученные согласия переоформлять не нужно: обратной силы у ФЗ-156 нет.
6. Что делать, если срок согласия истёк, а данные ещё нужны?
Если правовым основанием обработки являлось только согласие — после истечения срока нужно либо запросить новое согласие, либо прекратить обработку и уничтожить данные. Если параллельно существует иное основание (ст. 6 ФЗ-152 — договор, закон) — обработка продолжается без нового согласия. Уничтожение данных при отсутствии оснований для хранения фиксируется актом в течение 30 дней.
Итог
Срок действия согласия — не формальная строка в документе, а точка, до которой оператор вправе обрабатывать данные на этом основании. Ошибки в формулировке срока, его отсутствие или несогласованность с политикой и уведомлением РКН дают инспектору три независимых повода для протокола. С 01.09.2025 к этому добавилось требование об отдельном документе.
DATUM сопровождает операторов на всех этапах: от составления форм согласий по ст. 9 ФЗ-152 в редакции ФЗ-156 до представления интересов в РКН при проверке. Практика по 152-ФЗ в сети «Ветров и партнёры» с 2014 года.
29 декабря 2026 года