Самое главное:
Уничтожить ПДн нужно в следующих случаях: достигнуты цели обработки, физлицо отозвало согласие или направило требование о прекращении обработки, выявлен факт незаконной обработки ПДн.
В зависимости от конкретного случая у оператора есть до 7 или 10 рабочих дней, либо до 30 календарных дней, чтобы уничтожить данные. В отдельных ситуациях срок может быть продлен до 5 рабочих дней.
Правила подтверждения уничтожения ПДн утверждены приказом Роскомнадзора от 28.10.2022 № 179. Подтверждающие документы — это соответствующий акт и выписка из журнала событий в ИСПДн.
Кроме того, следует разработать локальный акт о порядке уничтожения ПДн, создать комиссию, определить способы ликвидации носителей (сведений).
Штрафы за нарушение сроков уничтожения ПДн указаны в ч. 5 и 5.1 ст. 13.11 КоАП.
Законодательное требование об уничтожении персональных данных
Закон от 27.07.2006 № 152-ФЗ устанавливает случаи, при которых оператор персональных данных обязан прекратить обработку данных граждан (физлиц):
достигнуты цели обработки ПДн;
владелец данных отозвал свое согласие на обработку ПДн (или на распространение);
выявлена неправомерная обработка личной информации физлиц;
поступило требование от субъекта ПДн о прекращении обработки его данных.
При наступлении вышеназванных случаев оператор обязан прекратить обработку и уничтожить данные. В зависимости от способа обработки ПДн оператор определяет список документов и их содержательную часть.
Решение о прекращении обработки, а также об уничтожении материальных, электронных носителей, записей в информационных системах принимает комиссия или ответственный за организацию обработки ПДн в компании.
Случаи прекращения обработки и сроки уничтожения ПДн
Подробнее остановимся на случаях, когда наступает обязанность по прекращению обработки и уничтожению данных.
Сразу отметим: если у оператора нет возможности уничтожить данные (обеспечить уничтожение) в обозначенные ниже сроки, то необходимо заблокировать данные и уничтожить их в течение полугода или в течение срока, указанного в НПА (ч. 6 ст. 21 закона № 152-ФЗ).
Достижение целей обработки
Оператор обязан остановить работу с персональными данными и перейти к их уничтожению, если достигнуты цели, для которых эти данные использовались (хранились, распространялись, передавались и т. д.).
Если по поручению оператора обработкой занималась третья сторона, то оператор обязан обеспечить прекращение и уничтожение данных на этой стороне. По общему правилу это нужно сделать в течение 30 дней от даты, когда поставленные цели были достигнуты (ч. 4 ст. 21 закона № 152-ФЗ).
В некоторых случаях сроки могут быть другими, если:
прописаны в договоре, стороной которого, выгодоприобретателем или поручителем по которому обозначен субъект персональных данных;
указаны в соглашении между оператором и гражданином (владельцем ПДн);
оператор не может выполнять любые действия с данными физлица без его согласия по основаниям, утвержденным нормами закона № 152-ФЗ или НПА федерального уровня (ч. 7 ст. 5, ч. 4, 5 ст. 21 закона № 152-ФЗ).
Ключевое правило: после достижения целей обработки оператор не вправе дальше использовать личную информацию физлица. Например, цели и сроки обработки фиксируются в политике ПДн, согласии субъекта ПДн.
Отзыв согласия
Сроки и требования о прекращении и уничтожении ПДн при отзыве субъектом согласия аналогичны, как в случае с достижением целей обработки. Срок прекращения и уничтожения данных (или срок обеспечения этих действий на стороне другого лица) — не должен превышать 30 дней (ч. 5 ст. 21 закона № 152-ФЗ).
Могут быть установлены другие сроки, если:
прописаны в договоре, стороной которого, выгодоприобретателем или поручителем по которому обозначен субъект персональных данных;
указаны в соглашении между оператором и гражданином (владельцем ПДн);
оператор не может выполнять любые действия с данными физлица без его согласия по основаниям, утвержденным нормами закона № 152-ФЗ или НПА федерального уровня (ч. 7 ст. 5, ч. 4, 5 ст. 21 закона № 152-ФЗ).
Примечание: если от гражданина поступил отзыв согласия, то оператор обязан в установленный срок прекратить обработку (обеспечить прекращение). В случае, если сохранение данных не требуется для целей обработки, то эти данные нужно уничтожить (обеспечить уничтожение).
Требование о прекращении обработки
По требованию гражданина оператор обязан остановить обработку и инициировать процесс уничтожения данных, если личная информация была использована для продвижения товаров, работ или услуг на рынке при прямом контакте с потребителем с использованием средств связи (ч. 2 ст. 15 закона № 152-ФЗ).
После получения требования от физлица у оператора есть не более 10 рабочих дней, чтобы прекратить любые действия с ПДн и уничтожить их, или обеспечить прекращение и уничтожение данных на третьей стороне, которая действовала по поручению оператора. Исключение — случаи, обозначенные в п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ.
При необходимости продления срока оператор должен направить физлицу уведомление с мотивированным указанием причин такого продления. Количество дней, на которые можно продлить сроки прекращения обработки и уничтожения ПДн, — не более пяти рабочих (ст. 5.1 закона № 152-ФЗ).
Неправомерная обработка
Неправомерная обработка или совершение действий с персональными данными без законных на то оснований, требует от оператора строгого соблюдения сроков (ч. 3 ст. 21 закона № 152-ФЗ):
в течение трех рабочих дней прервать обработку ПДн (обеспечить прекращение) — если установлен факт совершения неправомерных действий с ПДн;
в течение 10 рабочих дней обеспечить уничтожение данных (у себя или на стороне третьего лица, действовавшего по поручению) — если невозможно обеспечить правомерность обработки.
Кроме того, оператор должен проинформировать физлицо об исправлении нарушений или ликвидации данных. А также направить соответствующее уведомление в Роскомнадзор, если запрос был получен от этого контролирующего органа.
Уведомить Роскомнадзор потребуется в случае инцидента — если оператор допустил незаконную или случайную утечку данных, которая нарушает права субъекта ПДн. Отреагировать нужно в сроки:
уведомить РКН в течение 24 часов после произошедшего инцидента (утечки, несанкционированной передачи или распространения данных);
провести внутреннее расследование и отчитаться в уполномоченный орган о полученных результатах в течение 72 часов (почему произошла утечка, кто из сотрудников виновен).
Гражданин вправе требовать от оператора уничтожить данные, если они были получены без законных оснований и не соответствуют целям обработки, указанным в документации оператора. В случае поступления такого требования у оператора есть не более семи рабочих дней на уничтожение данных (или в эти сроки обеспечить уничтожение другим лицом, действующим по поручению) (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ).
Защита персональных данных и создание информационной безопасности — одна из самых сложных задач оператора ПДн. Заниматься этим вопросом может ответственный сотрудник, но если объемы данных слишком большие, то лучше обратиться к сторонним специалистам. В «Центре безопасности данных» вам помогут провести аудит текущих процессов на наличие нарушений, разработать пакет локальных документов и отреагировать на предписания Роскомнадзора.
Порядок уничтожения ПДн
Для ликвидации персональных данных оператор должен подготовить документы и назначить комиссию из уполномоченных лиц. Роскомнадзор утвердил правила уничтожения ПДн в приказе от 28.10.2022 № 179.
Количество документов в пакете и их содержание зависят от способа обработки ПДн в организации:
Составляется акт уничтожения ПДн — если осуществляется неавтоматизированная обработка (ручной учет).
Вместе с актом необходимо сделать выгрузку из журнала регистрации событий в ИСПДн (информационной системе) — если обработка ведется с использованием средств автоматизации, например, в компьютере. Эти же правила касаются комбинированной обработки — например, когда учет ведется одновременно вручную и на локальном устройстве, ПК.
Срок хранения акта и выгрузки событий — три года с даты ликвидации сведений о физлице.
Далее — инструкция, как организовать процесс уничтожения личной информации.
Услуги в области персональных данных
Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене
Разработать локальный акт о порядке уничтожения ПДн
Локальный акт (инструкция, регламент или положение) о порядке уничтожения ПДн регламентирует основные действия уполномоченных лиц. В законе отсутствует форма такого локального акта, поэтому составить его можно в произвольной форме. Но следует придерживаться общепринятой структуры:
Раздел I. Общие положения. В нем отражаются основания для оформления документа, основные вопросы регулирования, условия внесения изменений, ответственные лица.
Раздел II. Порядок уничтожения персональных данных. Устанавливает обязанность по ликвидации ПДн при наступлении законодательных случаев (ч. 3–5.1 ст. 21 закона № 152-ФЗ), действия ответственного лица и членов комиссии, способы уничтожения данных, требования к выписке из журнала событий в ИСПДн.
В рамках делопроизводства локальный акт вводится в рабочий процесс путем издания приказа руководителя. Документ должны подписать ответственные сотрудники, чьих полномочий он касается (ч. 2 ст. 22 ТК, п. 6 ч. 1 ст. 18.1 закона № 152-ФЗ). Если в организации есть профсоюз, представляющий интересы сотрудников, то документ принимается с учетом его мнения (ст. 372 ТК).
Создать комиссию
Уполномоченные лица, входящие в состав комиссии, будут разбирать случаи и выносить решение об уничтожении ПДн. Группа ответственных лиц назначается приказом.
Например, комиссия может состоять из начальника кадровой службы, главного бухгалтера, руководителей департаментов. Обязательно нужно выбрать председателя. В приказе о создании комиссии указывают всех участников рабочей группы, цели, функции, сроки работы, способы уничтожения ПДн и другие положения.
Комиссия составляет список носителей (сведений), которые подлежат ликвидации в установленных законом случаях.
Определить способы уничтожения ПДн
Форма хранения персональных данных зависит от конкретного оператора:
На бумаге. Бумажные носители могут быть уничтожены путем сжигания, измельчения в шредере, гидрообработки.
В электронной форме. Данные хранятся в онлайн-базах, на компьютерах, серверах оператора. Чтобы их уничтожить, нужно стереть записи о ПДн или деформировать цифровые носители (диски, USB-носители и др.).
При гибридной обработке ПДн (одновременно на бумаге и в электронной форме) данные уничтожаются соответствующими способами, которые отражаются в локальном акте.
Если данные физлица включены в разные базы или хранятся на разных носителях, то следует удалить записи из всех мест и ликвидировать материальные носители. Например, нельзя удалить данные клиентов из одной базы и сохранить список в другой базе.
Составить акт уничтожения ПДн
Акт составляют в форме, установленной приказом Роскомнадзора № 179 от 28 октября 2022 г., согласно которому в акте должны быть указаны:
Сведения об операторе: ФИО, наименование организации, адрес.
Информация о третьей стороне: если по поручению оператора обработкой данных занималось другое лицо.
Список с ФИО граждан, чьи данные были уничтожены.
ФИО и подписи ответственных сотрудников, которые ликвидировали ПДн.
Категории уничтоженных данных.
Список носителей, содержащих персональные данные, а также количество листов в документах, если уничтоженные ПДн хранились на бумаге.
Наименование информационной системы, из которой были удалены записи с ПДн граждан, если данные обрабатывались с использованием средств автоматизации.
Причины уничтожения.
Дата уничтожения.
Допускается оформление акта в бумажной или электронной форме. В зависимости от выбранного формата уполномоченные лица подписывают его от руки или электронной подписью.
Услуги в области персональных данных
Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене
Административная ответственность
За нарушение сроков уничтожения персональных данных оператору грозят штрафы по ч. 5 и 5.1 ст. 13.11 КоАП. Для наглядности собрали их в таблице:
Штраф / вид нарушения
Первичное нарушение
Повторное нарушение
На должностное лицо
8 000 – 20 000 руб.
30 000 – 50 000 руб.
На ИП
20 000 – 40 000 руб.
50 000 – 100 000 руб.
На организацию
50 000 – 90 000 руб.
300 000 – 500 000 руб.
Ответственность за нарушения в области персональных данных прямо указана в ст. 24 закона № 152-ФЗ.
«Центр безопасности данных» оказывает локальные и комплексные услуги в области обработки ПДн: урегулирование вопросов с Роскомнадзором, подготовка документов оператора ПДн, аудит бизнес-процессов на соответствие требованиям 152-ФЗ, подготовка к проверкам, создание системы защиты ПДн. Специалисты «Центра» помогут законно избежать штрафов и ответят на ваши вопросы на консультации.
Читайте также:
Топ ошибок в уведомлениях об обработке персональных данных в 2026 году и как их избежать.
10 самых важных документов, которые должны быть у каждого оператора персональных данных в 2026 году.
Как подготовить сайт к проверке Роскомнадзора в 2026 году: с учетом новых требований.
Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFJa1Yc9
Начать дискуссию