Что делать компании при отзыве согласия на обработку персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Если субъект персональных данных отзывает своё согласие, организация обязана прекратить обработку таких данных, если только у неё нет других законных оснований для их хранения и использования. Отзыв согласия не всегда означает немедленное уничтожение данных — оператор должен оценить правовую ситуацию и действовать строго в рамках закона.

Алгоритм действий компании при отзыве согласия:

1. Принять заявление субъекта — в письменной или электронной форме.
2. Зарегистрировать обращение во внутренней системе (журнал входящей корреспонденции, CRM и т. п.).
3. Проанализировать основания обработки:
   • если данные обрабатывались только на основании согласия (например, рассылка, реклама) → обработку прекратить и данные уничтожить/обезличить;
   • если обработка основана на законе или договоре (кадровый учёт, налоговая отчётность, бухгалтерия) → данные можно продолжить хранить и использовать в установленных пределах.
4. Уведомить субъекта о прекращении обработки или о законных основаниях продолжения (срок — до 30 дней).
5. Документально зафиксировать действия (акт уничтожения данных, отметка в личном деле, запись в журнале).

Обоснование по законодательству

• Ст. 9 ФЗ-152, ч. 5 — субъект вправе отозвать согласие, оператор обязан прекратить обработку, если нет иных оснований.
• Ст. 5 ФЗ-152 — данные должны храниться не дольше, чем этого требуют цели обработки.
• Ст. 21 ФЗ-152 — оператор обязан обеспечивать соблюдение прав субъектов.
• Ст. 14 ФЗ-152 — субъект имеет право требовать уничтожения данных, обрабатываемых незаконно или избыточно.

Практика проверок Роскомнадзора

Компания не прекратила рекламную рассылку после отзыва согласия клиентом. Роскомнадзор оштрафовал за незаконную обработку ПДн.

В банке клиент отозвал согласие, но учреждение продолжило хранить его данные в кредитной истории. Проверка подтвердила правомерность: хранение требовалось законом, а не согласием.

Важный нюанс

Отзыв согласия не освобождает организацию от хранения данных, если это прямо предписано законом:

• кадровые документы (хранятся по Трудовому кодексу и архивному законодательству до 75 лет);
• бухгалтерские документы (ФЗ «О бухгалтерском учёте», срок хранения — не менее 5 лет);
• налоговые документы (Налоговый кодекс).

Рекомендации и выводы

Организации при отзыве согласия нужно:

1. Проверить основания обработки и прекратить её, если они отсутствуют.
2. Уничтожить или обезличить данные, которые обрабатывались только на основании согласия.
3. Продолжить хранение тех данных, которые нужны по закону или договору.
4. Зафиксировать действия документально и уведомить субъекта.
5. Прописать порядок действий при отзыве согласия в комплекте документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать регламент действий при отзыве согласий, подготовить формы актов и уведомлений, а также встроить процесс в пакет документов по ФЗ-152. Это позволит законно работать с персональными данными и быть готовыми к проверкам Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге