справочник 22 октября 2026 По состоянию на 22 октября 2026

Удаление ПДн при отзыве согласия: условия

Отзыв согласия субъекта не означает автоматического уничтожения всех его персональных данных — оператор обязан прекратить обработку, но вправе сохранить ПДн, если есть иное правовое основание.

Ст. 9 и ст. 21 ФЗ-152 разграничивают момент прекращения обработки и обязанность уничтожить данные. При неверной квалификации юрист компании получает претензию субъекта, протокол РКН по ч. 5 ст. 13.11 КоАП и риск штрафа до 90 000 ₽ за единичный отказ исполнить требование.

→ Если вы юрист и разбираете требование субъекта об удалении — сверьтесь с этим справочником: пять ключевых понятий и три условия удаления.

Отзыв согласия — одна из самых частых причин спора между субъектом и оператором. Субъект считает, что согласие отозвано и данные должны быть уничтожены немедленно. Оператор удерживает данные, ссылаясь на договор или закон. Итог — жалоба в РКН, проверка, протокол. Справочник раскрывает пять терминов, без которых невозможно правильно квалифицировать ситуацию, и три условия, при которых удаление обязательно.

Что означает отзыв согласия по ст. 9 ФЗ-152?

Отзыв согласия — одностороннее волеизъявление субъекта персональных данных, направленное оператору и прекращающее то согласие на обработку ПДн, которое ранее было им выдано. Норма закреплена в ч. 2 ст. 9 ФЗ-152: субъект вправе отозвать согласие в любой момент без объяснения причин.

Отзыв не требует судебного решения, мотивировки или соблюдения формальностей сверх тех, что оператор сам установил в согласии. Достаточно письменного заявления или обращения через канал, который оператор указал в документе согласия.

«Ст. 9 ч. 2 ФЗ-152 — субъект вправе отозвать согласие на обработку ПДн; оператор после получения отзыва обязан прекратить обработку, а при отсутствии иных оснований — уничтожить ПДн в срок, не превышающий 30 дней.»

Ключевое последствие отзыва — прекращение той обработки, для которой согласие служило единственным правовым основанием. Если у оператора есть иные основания по ст. 6 ФЗ-152 (договор, закон, судебное решение), обработка на них продолжается. Согласие и иное основание — независимые разрешения.

Каковы пять ключевых понятий для квалификации требования об удалении?

Персональные данные (ст. 3 ФЗ-152) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту). Идентификация возможна через имя, телефон, email, IP-адрес, cookie-идентификатор и иные сочетания атрибутов.

Обработка персональных данных (ст. 3 ФЗ-152) — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Хранение без использования — тоже обработка.

Правовое основание обработки (ст. 6 ФЗ-152) — одно из одиннадцати условий, при которых обработка допустима без нарушения закона. Согласие субъекта (п. 1) — лишь одно из них. Договор (п. 5), исполнение обязанностей оператора (п. 2), судебное решение (п. 3) — самостоятельные основания, не зависящие от согласия.

Уничтожение персональных данных (ст. 3 ФЗ-152) — действия, в результате которых восстановить содержание ПДн в информационной системе невозможно, либо физические носители уничтожены. Уничтожение отличается от блокирования: заблокированные данные сохраняются, но недоступны для обработки.

Принцип минимизации (ст. 5 ФЗ-152) — требование обрабатывать только те ПДн, которые соответствуют заявленным целям. Избыточный объём — нарушение, независимо от наличия согласия. После отзыва согласия принцип минимизации усиливается: каждая категория удерживаемых данных должна быть обоснована конкретным действующим основанием.

Субъект прислал требование уничтожить ПДн — как квалифицировать?

Если юрист компании получил требование об удалении, первый вопрос — было ли согласие единственным основанием для каждой категории данных. Неверная квалификация в ответ субъекту — основание для протокола РКН по ч. 5 ст. 13.11 КоАП (штраф до 90 000 ₽). Юристы DATUM разберут состав оснований обработки и подготовят мотивированный ответ субъекту.

Подключить DPO-аутсорсинг

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

При каких условиях оператор обязан удалить данные после отзыва согласия?

Удаление обязательно при одновременном выполнении трёх условий.

Условие 1. Согласие — единственное основание для данной категории ПДн. Если данные обрабатываются также на основании договора (ст. 6 п. 5 ФЗ-152) или иного допустимого основания, отзыв согласия не влечёт обязанности уничтожить данные — только прекращение той части обработки, которая опиралась исключительно на согласие.

Условие 2. Цель обработки достигнута или утратила актуальность. Принцип ст. 5 ФЗ-152 запрещает хранение данных дольше, чем необходимо для достижения цели. Если цель сохраняется (действующий договор, судебное разбирательство), данные удерживаются законно.

Условие 3. Срок хранения по закону или договору истёк либо не предусмотрен. Ряд категорий ПДн обязателен к хранению по отраслевым законам: трудовые документы — 75 лет, первичная бухгалтерия — 5 лет, кредитная история — 7 лет. Согласие субъекта не отменяет эти сроки.

Что проверить юристу при требовании об удалении ПДн

Основания обработки каждой категории ПДн по реестру обработки (не только согласие)
Актуальность целей обработки на дату получения требования
Нормативные сроки хранения по отраслевым законам и договору
Наличие активных судебных или регуляторных разбирательств, где ПДн — доказательство
Срок направления мотивированного ответа субъекту — 10 рабочих дней со дня обращения (ст. 20 ФЗ-152)

Если юрист не успевает ответить субъекту в 10 рабочих дней — это нарушение ст. 20 ФЗ-152 и дополнительное основание для протокола по ч. 4 ст. 13.11 КоАП. DPO-аутсорсинг DATUM закрывает ответы на запросы субъектов в рамках абонентского обслуживания.

Подключить DPO-аутсорсинг

Как это работает на практике

Кейс 1. В компании розничной торговли (Центральный ФО, начало 2026) субъект отозвал согласие на маркетинговые рассылки и потребовал уничтожить все ПДн. Юрист компании направил мотивированный ответ: данные о покупках удерживаются на основании договора (ст. 6 п. 5 ФЗ-152) и требований бухгалтерского хранения, рассылочный профиль — удалён в течение 3 дней. РКН при последующей проверке нарушений не выявил.

Кейс 2. HR-служба производственного предприятия (Приволжский ФО, осень 2025) получила от бывшего работника требование уничтожить личное дело. Оператор не разграничил основания обработки и удалил документы. Впоследствии при налоговой проверке компания не смогла подтвердить выплаты: первичные документы с ПДн уничтожены до истечения 5-летнего срока. Случай показывает: отзыв согласия требует анализа каждой категории ПДн, а не паушального уничтожения.

Услуги DATUM по теме

DPO-аутсорсинг — обработка запросов субъектов, ответы в 10 рабочих дней, ведение реестра обращений
Комплект ОРД под ключ — реестр обработки, формы ответов субъектам, журнал обращений
Аудит соответствия 152-ФЗ — проверка оснований обработки по каждой категории ПДн, 38 пунктов

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — это любое действие с персональными данными: сбор, запись, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Хранение без активного использования тоже является обработкой, поэтому удержание ПДн после отзыва согласия без иного основания — нарушение закона.

2. На основании чего можно обрабатывать ПДн без согласия?

Ст. 6 ФЗ-152 содержит 11 оснований. Наиболее применимые для бизнеса: исполнение договора с субъектом (п. 5), исполнение обязанностей оператора по закону (п. 2), судебное решение (п. 3), жизненно важные интересы субъекта (п. 7). Если хотя бы одно из них применимо к конкретной категории данных — отзыв согласия не влечёт обязанности уничтожить именно эту категорию.

3. Что грозит оператору за отказ уничтожить ПДн после законного требования?

Невыполнение требования субъекта об уточнении, блокировании или уничтожении ПДн в установленные сроки квалифицируется по ч. 5 ст. 13.11 КоАП: штраф для юридического лица — от 50 000 до 90 000 ₽. Повторное нарушение по ч. 5.1 влечёт штраф от 300 000 до 500 000 ₽. Ответ субъекту обязателен в течение 10 рабочих дней со дня обращения (ст. 20 ФЗ-152).

4. Нужно ли уведомлять РКН малому бизнесу об обработке ПДн?

По общему правилу ст. 22 ФЗ-152 уведомление обязательно для всех операторов до начала обработки. Исключения — ч. 2 ст. 22: обработка в рамках трудовых отношений, данные членов организации, общедоступные данные, однократные пропуска и ряд других. Малый бизнес подпадает под исключения только при соответствии конкретному составу — не автоматически.

5. С какого возраста требуется самостоятельное согласие на обработку ПДн?

ФЗ-152 не устанавливает прямой возрастной планки для согласия на обработку ПДн в общем случае. В сфере информационных услуг, направленных детям, применяется требование согласия законного представителя. На практике операторы обычно применяют аналогию с гражданской дееспособностью — 14 лет для частичной, 18 лет для полной. Точный порог определяется с учётом отраслевых норм и цели обработки.

Итог

Удаление ПДн при отзыве согласия обязательно только тогда, когда согласие было единственным основанием обработки, цель обработки утрачена и нормативные сроки хранения не препятствуют уничтожению. В остальных случаях оператор прекращает ту часть обработки, которая опиралась на согласие, и сохраняет данные на действующих основаниях ст. 6 ФЗ-152.

Юристы DATUM сопровождают операторов при разборе требований субъектов: от квалификации оснований обработки до подготовки мотивированных ответов и ведения журнала обращений в рамках DPO-аутсорсинга.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

22 октября 2026 года