Уничтожение персональных данных: какие документы обязан оформить оператор и как подтвердить процедуру в 2026 году

Закон от 27.07.2006 № 152-ФЗ устанавливает случаи, при которых оператор персональных данных обязан прекратить обработку данных граждан (физлиц):

• достигнуты цели обработки ПДн;

• владелец данных отозвал свое согласие на обработку ПДн (или на распространение);

• выявлена неправомерная обработка личной информации физлиц;

• поступило требование от субъекта ПДн о прекращении обработки его данных.

При наступлении вышеназванных случаев оператор обязан прекратить обработку и уничтожить данные. В зависимости от способа обработки ПДн оператор определяет список документов и их содержательную часть. 

Решение о прекращении обработки, а также об уничтожении материальных, электронных носителей, записей в информационных системах принимает комиссия или ответственный за организацию обработки ПДн в компании.

Подробнее остановимся на случаях, когда наступает обязанность по прекращению обработки и уничтожению данных. 

Сразу отметим: если у оператора нет возможности уничтожить данные (обеспечить уничтожение) в обозначенные ниже сроки, то необходимо заблокировать данные и уничтожить их в течение полугода или в течение срока, указанного в НПА (ч. 6 ст. 21 закона № 152-ФЗ).

Оператор обязан остановить работу с персональными данными и перейти к их уничтожению, если достигнуты цели, для которых эти данные использовались (хранились, распространялись, передавались и т. д.). 

Если по поручению оператора обработкой занималась третья сторона, то оператор обязан обеспечить прекращение и уничтожение данных на этой стороне. По общему правилу это нужно сделать в течение 30 дней от даты, когда поставленные цели были достигнуты (ч. 4 ст. 21 закона № 152-ФЗ).

В некоторых случаях сроки могут быть другими, если:

• прописаны в договоре, стороной которого, выгодоприобретателем или поручителем по которому обозначен субъект персональных данных;

• указаны в соглашении между оператором и гражданином (владельцем ПДн);

• оператор не может выполнять любые действия с данными физлица без его согласия по основаниям, утвержденным нормами закона № 152-ФЗ или НПА федерального уровня (ч. 7 ст. 5, ч. 4, 5 ст. 21 закона № 152-ФЗ).

Ключевое правило: после достижения целей обработки оператор не вправе дальше использовать личную информацию физлица. Например, цели и сроки обработки фиксируются в политике ПДн, согласии субъекта ПДн. 

Сроки и требования о прекращении и уничтожении ПДн при отзыве субъектом согласия аналогичны, как в случае с достижением целей обработки. Срок прекращения и уничтожения данных (или срок обеспечения этих действий на стороне другого лица) — не должен превышать 30 дней (ч. 5 ст. 21 закона № 152-ФЗ).

Могут быть установлены другие сроки, если:

• прописаны в договоре, стороной которого, выгодоприобретателем или поручителем по которому обозначен субъект персональных данных;

• указаны в соглашении между оператором и гражданином (владельцем ПДн);

• оператор не может выполнять любые действия с данными физлица без его согласия по основаниям, утвержденным нормами закона № 152-ФЗ или НПА федерального уровня (ч. 7 ст. 5, ч. 4, 5 ст. 21 закона № 152-ФЗ).

Примечание: если от гражданина поступил отзыв согласия, то оператор обязан в установленный срок прекратить обработку (обеспечить прекращение). В случае, если сохранение данных не требуется для целей обработки, то эти данные нужно уничтожить (обеспечить уничтожение).

По требованию гражданина оператор обязан остановить обработку и инициировать процесс уничтожения данных, если личная информация была использована для продвижения товаров, работ или услуг на рынке при прямом контакте с потребителем с использованием средств связи (ч. 2 ст. 15 закона № 152-ФЗ). 

После получения требования от физлица у оператора есть не более 10 рабочих дней, чтобы прекратить любые действия с ПДн и уничтожить их, или обеспечить прекращение и уничтожение данных на третьей стороне, которая действовала по поручению оператора. Исключение — случаи, обозначенные в п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ.

Неправомерная обработка или совершение действий с персональными данными без законных на то оснований, требует от оператора строгого соблюдения сроков (ч. 3 ст. 21 закона № 152-ФЗ):

• в течение трех рабочих дней прервать обработку ПДн (обеспечить прекращение) — если установлен факт совершения неправомерных действий с ПДн;

• в течение 10 рабочих дней обеспечить уничтожение данных (у себя или на стороне третьего лица, действовавшего по поручению) — если невозможно обеспечить правомерность обработки.

Кроме того, оператор должен проинформировать физлицо об исправлении нарушений или ликвидации данных. А также направить соответствующее уведомление в Роскомнадзор, если запрос был получен от этого контролирующего органа. 

Уведомить Роскомнадзор потребуется в случае инцидента — если оператор допустил незаконную или случайную утечку данных, которая нарушает права субъекта ПДн. Отреагировать нужно в сроки:

• уведомить РКН в течение 24 часов после произошедшего инцидента (утечки, несанкционированной передачи или распространения данных);

• провести внутреннее расследование и отчитаться в уполномоченный орган о полученных результатах в течение 72 часов (почему произошла утечка, кто из сотрудников виновен).

Гражданин вправе требовать от оператора уничтожить данные, если они были получены без законных оснований и не соответствуют целям обработки, указанным в документации оператора. В случае поступления такого требования у оператора есть не более семи рабочих дней на уничтожение данных (или в эти сроки обеспечить уничтожение другим лицом, действующим по поручению) (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ).

Для ликвидации персональных данных оператор должен подготовить документы и назначить комиссию из уполномоченных лиц. Роскомнадзор утвердил правила уничтожения ПДн в приказе от 28.10.2022 № 179. 

Количество документов в пакете и их содержание зависят от способа обработки ПДн в организации:

• Составляется акт уничтожения ПДн — если осуществляется неавтоматизированная обработка (ручной учет).

• Вместе с актом необходимо сделать выгрузку из журнала регистрации событий в ИСПДн (информационной системе) — если обработка ведется с использованием средств автоматизации, например, в компьютере. Эти же правила касаются комбинированной обработки — например, когда учет ведется одновременно вручную и на локальном устройстве, ПК. 

Срок хранения акта и выгрузки событий — три года с даты ликвидации сведений о физлице. 

Далее — инструкция, как организовать процесс уничтожения личной информации. 

Услуги в области персональных данных

Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене

Заказать услугу

Локальный акт (инструкция, регламент или положение) о порядке уничтожения ПДн регламентирует основные действия уполномоченных лиц. В законе отсутствует форма такого локального акта, поэтому составить его можно в произвольной форме. Но следует придерживаться общепринятой структуры:

• Раздел I. Общие положения. В нем отражаются основания для оформления документа, основные вопросы регулирования, условия внесения изменений, ответственные лица. 

• Раздел II. Порядок уничтожения персональных данных. Устанавливает обязанность по ликвидации ПДн при наступлении законодательных случаев (ч. 3–5.1 ст. 21 закона № 152-ФЗ), действия ответственного лица и членов комиссии, способы уничтожения данных, требования к выписке из журнала событий в ИСПДн.

В рамках делопроизводства локальный акт вводится в рабочий процесс путем издания приказа руководителя. Документ должны подписать ответственные сотрудники, чьих полномочий он касается (ч. 2 ст. 22 ТК, п. 6 ч. 1 ст. 18.1 закона № 152-ФЗ). Если в организации есть профсоюз, представляющий интересы сотрудников, то документ принимается с учетом его мнения (ст. 372 ТК).  

Уполномоченные лица, входящие в состав комиссии, будут разбирать случаи и выносить решение об уничтожении ПДн. Группа ответственных лиц назначается приказом. 

Например, комиссия может состоять из начальника кадровой службы, главного бухгалтера, руководителей департаментов. Обязательно нужно выбрать председателя. В приказе о создании комиссии указывают всех участников рабочей группы, цели, функции, сроки работы, способы уничтожения ПДн и другие положения.

Комиссия составляет список носителей (сведений), которые подлежат ликвидации в установленных законом случаях.   

Форма хранения персональных данных зависит от конкретного оператора:

1. На бумаге. Бумажные носители могут быть уничтожены путем сжигания, измельчения в шредере, гидрообработки. 

2. В электронной форме. Данные хранятся в онлайн-базах, на компьютерах, серверах оператора. Чтобы их уничтожить, нужно стереть записи о ПДн или деформировать цифровые носители (диски, USB-носители и др.).

При гибридной обработке ПДн (одновременно на бумаге и в электронной форме) данные уничтожаются соответствующими способами, которые отражаются в локальном акте. 

Акт составляют в форме, установленной приказом Роскомнадзора № 179 от 28 октября 2022 г., согласно которому в акте должны быть указаны:

• Сведения об операторе: ФИО, наименование организации, адрес.

• Информация о третьей стороне: если по поручению оператора обработкой данных занималось другое лицо. 

• Список с ФИО граждан, чьи данные были уничтожены. 

• ФИО и подписи ответственных сотрудников, которые ликвидировали ПДн.

• Категории уничтоженных данных.

• Список носителей, содержащих персональные данные, а также количество листов в документах, если уничтоженные ПДн хранились на бумаге. 

• Наименование информационной системы, из которой были удалены записи с ПДн граждан, если данные обрабатывались с использованием средств автоматизации.

• Причины уничтожения.

• Дата уничтожения.

Допускается оформление акта в бумажной или электронной форме. В зависимости от выбранного формата уполномоченные лица подписывают его от руки или электронной подписью.

Услуги в области персональных данных

Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене

Заказать услугу

За нарушение сроков уничтожения персональных данных оператору грозят штрафы по ч. 5 и 5.1 ст. 13.11 КоАП. Для наглядности собрали их в таблице:

Ответственность за нарушения в области персональных данных прямо указана в ст. 24 закона № 152-ФЗ.  

«Центр безопасности данных» оказывает локальные и комплексные услуги в области обработки ПДн: урегулирование вопросов с Роскомнадзором, подготовка документов оператора ПДн, аудит бизнес-процессов на соответствие требованиям 152-ФЗ, подготовка к проверкам, создание системы защиты ПДн. Специалисты «Центра» помогут законно избежать штрафов и ответят на ваши вопросы на консультации.   

Читайте также:

• Топ ошибок в уведомлениях об обработке персональных данных в 2026 году и как их избежать.

• 10 самых важных документов, которые должны быть у каждого оператора персональных данных в 2026 году.

• Как подготовить сайт к проверке Роскомнадзора в 2026 году: с учетом новых требований.

Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFJa1Yc9