Перейти к содержанию
инструкция 21 февраля 2027 По состоянию на 21 февраля 2027

Уничтожение согласий при отзыве

Отзыв согласия на обработку персональных данных влечёт обязанность оператора прекратить обработку и уничтожить данные — без права на промедление.
По ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025, действует с 01.09.2025) после отзыва у оператора есть 30 дней на уничтожение ПДн, а если основания обработки исчерпаны — срок сокращается. Штраф за неисполнение по ч. 5 ст. 13.11 КоАП — от 50 000 до 90 000 ₽, при повторности — до 500 000 ₽.
→ Если вы юрист и у вас нет задокументированного регламента уничтожения согласий — любая проверка РКН вскроет нарушение: читайте пошаговую инструкцию.

С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025): оно не встраивается в договор, политику или оферту. Это означает, что у каждого согласия есть явный жизненный цикл: выдача — хранение — отзыв — уничтожение. Процедура уничтожения согласий при отзыве — часть ОРД оператора, и её отсутствие фиксируется Роскомнадзором как нарушение ст. 18.1 ФЗ-152. В инструкции ниже — шесть шагов: от получения заявления об отзыве до актирования уничтожения и закрытия задачи.

Шаг 1. Получите и зарегистрируйте заявление об отзыве

Субъект вправе отозвать согласие в любой момент без объяснения причин — это прямое требование ст. 9 ФЗ-152. Оператор не может ставить отзыв в зависимость от формы: заявление может поступить письменно, через форму на сайте, по электронной почте или устно при личном визите. Юридически значимым моментом является дата получения заявления оператором — с неё отсчитываются сроки.

«Ст. 9 ФЗ-152 — субъект вправе отозвать согласие в любое время; оператор обязан прекратить обработку после получения отзыва и уничтожить ПДн в установленный срок (по общему правилу — 30 дней), если иное основание обработки отсутствует.»

Что делать юристу на этом шаге: зафиксировать дату и канал получения в журнале учёта обращений субъектов; присвоить заявлению входящий номер; уведомить ответственного за обработку ПДн (ст. 22.1 ФЗ-152) и владельца процесса, который использовал эти данные.

Что проверить при регистрации заявления

  • Дата и время получения зафиксированы в журнале (бумажном или электронном)
  • Идентификация субъекта подтверждена (ФИО, контакт, связь с конкретным согласием)
  • Ответственный по ст. 22.1 уведомлён в тот же рабочий день
  • Определены все системы и процессы, в которых используются данные субъекта
  • Установлена дата истечения 30-дневного срока уничтожения

Шаг 2. Проверьте наличие иных оснований обработки

Отзыв согласия не означает автоматического прекращения всей обработки ПДн субъекта. Если у оператора есть другое законное основание по ст. 6 ФЗ-152 — исполнение договора (п. 5), исполнение законной обязанности (п. 2) или иное — обработка по этому основанию продолжается. Уничтожению подлежат только те данные, которые обрабатывались исключительно на основании отозванного согласия.

Юрист обязан составить матрицу: какие категории ПДн → в каких системах → на каком основании → с какой целью. Если данные обрабатываются по двум основаниям и одно из них — согласие, нужно разделить потоки: прекратить то, что основано на согласии, сохранить то, что основано на договоре или законе. Смешение оснований — типичная ошибка, которую РКН выявляет при проверке.

Согласия в договорах ещё не разделены на отдельные документы?

Если юрист только сейчас приводит документацию в соответствие с ФЗ-156 от 24.06.2025 — до проверки РКН может оставаться меньше времени, чем кажется. Каждое несоответствие формы согласия требованиям ст. 9 ФЗ-152 — основание для штрафа по ч. 2 ст. 13.11 КоАП: от 300 000 до 700 000 ₽ за одно нарушение. Юристы DATUM соберут комплект ОРД по новым требованиям, включая форму согласия, регламент отзыва и акт уничтожения.

Собрать ОРД под ключ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Прекратите обработку и заблокируйте данные

После получения отзыва и подтверждения отсутствия иных оснований — оператор обязан немедленно прекратить обработку ПДн субъекта по целям, на которые было дано согласие. До момента фактического уничтожения данные блокируются: это означает запрет на любые операции с ними, кроме самой операции уничтожения.

«Ст. 21 ФЗ-152 — при отсутствии оснований для обработки оператор обязан уничтожить ПДн в течение 30 дней с даты получения отзыва. До уничтожения — блокирование. Срок уничтожения при специальных категориях и биометрии — такой же, если иное не установлено законом.»

Блокирование фиксируется документально: системный администратор или владелец процесса ставит отметку в реестре обработки или в самой ИСПДн. Если система не поддерживает флаг «заблокировано» — достаточно письменного распоряжения с запретом на обращение к данным субъекта до уничтожения.

Шаг 4. Уничтожьте данные во всех системах и носителях

Уничтожение — это не удаление записи из одной таблицы. Юристу необходимо совместно с ответственным за обработку и IT-специалистом проверить все точки хранения: основная ИСПДн, резервные копии, архивы, бумажные носители, облачные хранилища, системы подрядчиков (если обработка по поручению, ст. 6 ч. 3 ФЗ-152).

Способы уничтожения зависят от типа носителя. Электронные данные: гарантированное удаление с невозможностью восстановления (перезапись, дегауссирование, уничтожение носителя). Бумажные носители: измельчение через шредер. Резервные копии: если немедленное уничтожение невозможно технически — в ближайшем плановом цикле ротации резервов, но не позднее 30 дней. Каждая операция уничтожения документируется отдельной строкой в акте.

Подрядчику, обрабатывающему данные по поручению, направляется письменное требование об уничтожении — с подтверждением исполнения. Ответственность оператора перед субъектом за действия подрядчика сохраняется.

Если у юриста нет готового акта уничтожения ПДн — при проверке РКН это фиксируется как нарушение ст. 18.1 ФЗ-152: штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽ только за отсутствие локального акта, и это не предел. DATUM составит полный комплект документов: регламент, акт, журнал.

Заказать аудит 152-ФЗ

Шаг 5. Составьте акт уничтожения

Акт уничтожения персональных данных — обязательный документ ОРД оператора. Он доказывает выполнение требований ст. 21 ФЗ-152 при любой проверке РКН или судебном разбирательстве. Форма акта законом не установлена, но реквизиты должны позволять идентифицировать субъекта, состав уничтоженных данных, дату и способ уничтожения, ответственных лиц.

Обязательные реквизиты акта уничтожения:

  • Наименование оператора и подразделения
  • Дата составления акта
  • Идентификатор субъекта (без дублирования уничтоженных данных в акте — указать номер обращения из журнала)
  • Реквизиты отозванного согласия (дата выдачи, цель обработки)
  • Перечень уничтоженных данных по категориям
  • Системы и носители, в которых произведено уничтожение
  • Метод уничтожения (удаление с перезаписью, шредер и т. д.)
  • ФИО и подпись ответственного за уничтожение
  • ФИО и подпись ответственного за обработку ПДн (ст. 22.1 ФЗ-152)

Акт хранится в составе ОРД оператора. Срок хранения рекомендуется устанавливать не менее 3 лет — с учётом сроков исковой давности по возможным требованиям субъектов.

Шаг 6. Уведомьте субъекта и закройте обращение

После уничтожения оператор уведомляет субъекта об исполнении его требования. Форма уведомления — письменная или в том же канале, через который поступил отзыв. Срок ответа субъекту на запрос — 10 рабочих дней по ст. 20 ФЗ-152 (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Применительно к отзыву согласия: уведомление об исполнении направляется после фактического уничтожения, но в пределах 30-дневного срока.

Обращение закрывается в журнале учёта: проставляется дата уведомления субъекта, номер акта уничтожения, отметка «исполнено». Ответственный по ст. 22.1 ФЗ-152 визирует закрытие. Журнал — доказательная база при проверке РКН по Приказу РКН №180 от 28.10.2022.

Типовые ситуации при отзыве согласия: три сценария для юриста

Сценарий 1. Субъект отозвал согласие, но данные остались в резервной копии. Ситуация: IT-служба уничтожила запись в основной базе, но резервная копия создана за день до отзыва. Доказательства: журнал резервного копирования, дата снимка. Вероятный исход: если при проверке РКН выяснится, что данные остались в резервной копии и срок уничтожения истёк — фиксируется нарушение ч. 5 ст. 13.11 КоАП (штраф 50 000–90 000 ₽). Стратегия: прописать в регламенте срок ротации резервных копий и условие уничтожения при отзыве; включить проверку резервов в акт уничтожения.

Сценарий 2. Согласие отозвано, но данные используются подрядчиком по поручению. Ситуация: маркетинговое агентство продолжает рассылку после отзыва согласия клиентом, потому что оператор не направил требование об уничтожении. Доказательства: даты рассылок, журнал требований к подрядчикам. Вероятный исход: оператор несёт ответственность как за собственные действия — ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Стратегия: регламент должен включать автоматическое уведомление всех подрядчиков при поступлении отзыва; договор поручения — обязательство подтверждать уничтожение в течение 3 рабочих дней.

Сценарий 3. Согласие отозвано, но оператор ссылается на договорное основание. Ситуация: оператор продолжает обрабатывать контактные данные для рекламной рассылки, ссылаясь на договор купли-продажи. Доказательства: текст договора, цель рассылки, политика конфиденциальности. Вероятный исход: если договор не предусматривал рекламных коммуникаций как цели — основание отсутствует, обработка незаконна; ч. 1 ст. 13.11 КоАП. Стратегия: юрист должен чётко разграничить в документах, какие данные обрабатываются по согласию, какие — по договору; рекламные рассылки — только на согласии (ст. 10.1 ФЗ-152 для распространения).

Связанные услуги DATUM

  • Комплект ОРД под ключ — полный пакет документов: регламент отзыва согласий, акт уничтожения, журнал учёта обращений
  • Аудит соответствия 152-ФЗ — проверка действующих форм согласий и процедур уничтожения по чек-листу из 38 пунктов
  • DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 на абонентской основе, включая обработку отзывов субъектов

Частые вопросы

1. Какие документы должны быть у оператора ПДн для подтверждения уничтожения?

Минимальный комплект: журнал учёта обращений субъектов с входящим запросом на отзыв, акт уничтожения персональных данных с реквизитами по ст. 18.1 ФЗ-152, журнал закрытия обращений с отметкой об уведомлении субъекта. Если данные хранились у подрядчика — дополнительно требование об уничтожении и его письменное подтверждение. Отсутствие любого из этих документов при проверке РКН фиксируется как нарушение ст. 18.1 ФЗ-152.

2. Как составить политику обработки ПДн с учётом процедуры уничтожения?

Политика конфиденциальности должна содержать раздел о порядке прекращения обработки и уничтожения ПДн по требованию субъекта — это требование ч. 2 ст. 18.1 ФЗ-152. В разделе указываются: срок (30 дней по общему правилу), способ подачи отзыва, порядок взаимодействия с подрядчиками. Шаблоны из интернета, как правило, не содержат этого раздела — они писались до введения требований ФЗ-156 от 24.06.2025 об отдельном согласии.

3. Кого назначить ответственным по ст. 22.1 и каковы его полномочия при уничтожении согласий?

Ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152 — штатный работник оператора-юрлица. Его полномочия при уничтожении: получение и регистрация отзывов, координация уничтожения между подразделениями, подписание акта уничтожения, уведомление субъекта. Ст. 22.1 не устанавливает требований к должности — это может быть юрист, HR-директор или DPO. При отсутствии штатного ресурса функция передаётся аутсорсинговому DPO по гражданско-правовому договору.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблон из открытого доступа допустим только как отправная точка. Большинство размещённых в сети форм не учитывают: требования к отдельному согласию по ФЗ-156 от 24.06.2025 (с 01.09.2025), новую нумерацию ст. 13.11 КоАП по ФЗ-420 от 30.11.2024, специфику конкретного оператора (категории ПДн, цели, подрядчики). Использование чужого шаблона без адаптации — риск штрафа по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽) уже на первой проверке.

5. Какие согласия нужны после 01.09.2025 и как это влияет на процедуру уничтожения?

После 01.09.2025 согласие на обработку ПДн — отдельный документ с обязательными реквизитами: ФИО субъекта, наименование оператора, цель, перечень данных, срок, способ отзыва (ст. 9 ФЗ-152 в ред. ФЗ-156). Это упрощает процедуру уничтожения: при отзыве однозначно понятно, какие данные и для каких целей подлежат уничтожению. Старые согласия, встроенные в договор, обратной силы не имеют — переоформлять не требуется, но при отзыве они обрабатываются по прежним правилам ст. 21 ФЗ-152.

6. Что делать, если субъект требует уничтожения, но данные нужны для исполнения договора?

Если ПДн обрабатываются по двум основаниям — согласию и договору — отзыв согласия прекращает обработку только по целям, основанным на согласии. Договорное основание (п. 5 ст. 6 ФЗ-152) сохраняется. Юрист оформляет частичное уничтожение: в акте фиксируются именно те данные и цели, которые уничтожены, а не весь массив. Субъекту направляется мотивированный ответ о сохранении части данных со ссылкой на договор.

Итог

Уничтожение согласий при отзыве — шестишаговая процедура с документальным следом на каждом этапе: регистрация, проверка оснований, блокирование, уничтожение во всех системах и носителях, актирование, уведомление субъекта. Отсутствие любого шага или документа — готовый повод для штрафа при проверке РКН по ст. 18.1 или ст. 21 ФЗ-152.

Юристы DATUM сопровождают разработку регламентов уничтожения ПДн, форм акта, журналов учёта обращений и полного пакета ОРД — с учётом требований ФЗ-156 от 24.06.2025 и новой редакции ст. 13.11 КоАП по ФЗ-420 от 30.11.2024.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

21 февраля 2027 года