Уничтожение персональных данных: какие документы обязан оформить оператор и как подтвердить процедуру в 2026 году

В ч. 3–5.1 ст. 21 закона № 152-ФЗ перечислены случаи, когда оператор обязан уничтожить персональные данные физлиц. Максимальный штраф на организацию за несоблюдение сроков уничтожения ПДн — 500 тыс. руб. Пошагово разобрали, как организовать весь процесс. 

Самое главное:

  • Уничтожить ПДн нужно в следующих случаях: достигнуты цели обработки, физлицо отозвало согласие или направило требование о прекращении обработки, выявлен факт незаконной обработки ПДн. 

  • В зависимости от конкретного случая у оператора есть до 7 или 10 рабочих дней, либо до 30 календарных дней, чтобы уничтожить данные. В отдельных ситуациях срок может быть продлен до 5 рабочих дней. 

  • Правила подтверждения уничтожения ПДн утверждены приказом Роскомнадзора от 28.10.2022 № 179. Подтверждающие документы — это соответствующий акт и выписка из журнала событий в ИСПДн.

  • Кроме того, следует разработать локальный акт о порядке уничтожения ПДн, создать комиссию, определить способы ликвидации носителей (сведений).

  • Штрафы за нарушение сроков уничтожения ПДн указаны в ч. 5 и 5.1 ст. 13.11 КоАП

Законодательное требование об уничтожении персональных данных

Закон от 27.07.2006 № 152-ФЗ устанавливает случаи, при которых оператор персональных данных обязан прекратить обработку данных граждан (физлиц):

  • достигнуты цели обработки ПДн;

  • владелец данных отозвал свое согласие на обработку ПДн (или на распространение);

  • выявлена неправомерная обработка личной информации физлиц;

  • поступило требование от субъекта ПДн о прекращении обработки его данных.

При наступлении вышеназванных случаев оператор обязан прекратить обработку и уничтожить данные. В зависимости от способа обработки ПДн оператор определяет список документов и их содержательную часть. 

Решение о прекращении обработки, а также об уничтожении материальных, электронных носителей, записей в информационных системах принимает комиссия или ответственный за организацию обработки ПДн в компании.

Случаи прекращения обработки и сроки уничтожения ПДн

Подробнее остановимся на случаях, когда наступает обязанность по прекращению обработки и уничтожению данных. 

Сразу отметим: если у оператора нет возможности уничтожить данные (обеспечить уничтожение) в обозначенные ниже сроки, то необходимо заблокировать данные и уничтожить их в течение полугода или в течение срока, указанного в НПА (ч. 6 ст. 21 закона № 152-ФЗ).

Достижение целей обработки 

Оператор обязан остановить работу с персональными данными и перейти к их уничтожению, если достигнуты цели, для которых эти данные использовались (хранились, распространялись, передавались и т. д.). 

Если по поручению оператора обработкой занималась третья сторона, то оператор обязан обеспечить прекращение и уничтожение данных на этой стороне. По общему правилу это нужно сделать в течение 30 дней от даты, когда поставленные цели были достигнуты (ч. 4 ст. 21 закона № 152-ФЗ).

В некоторых случаях сроки могут быть другими, если:

  • прописаны в договоре, стороной которого, выгодоприобретателем или поручителем по которому обозначен субъект персональных данных;

  • указаны в соглашении между оператором и гражданином (владельцем ПДн);

  • оператор не может выполнять любые действия с данными физлица без его согласия по основаниям, утвержденным нормами закона № 152-ФЗ или НПА федерального уровня (ч. 7 ст. 5, ч. 4, 5 ст. 21 закона № 152-ФЗ).

Ключевое правило: после достижения целей обработки оператор не вправе дальше использовать личную информацию физлица. Например, цели и сроки обработки фиксируются в политике ПДн, согласии субъекта ПДн. 

Отзыв согласия

Сроки и требования о прекращении и уничтожении ПДн при отзыве субъектом согласия аналогичны, как в случае с достижением целей обработки. Срок прекращения и уничтожения данных (или срок обеспечения этих действий на стороне другого лица) — не должен превышать 30 дней (ч. 5 ст. 21 закона № 152-ФЗ).

Могут быть установлены другие сроки, если:

  • прописаны в договоре, стороной которого, выгодоприобретателем или поручителем по которому обозначен субъект персональных данных;

  • указаны в соглашении между оператором и гражданином (владельцем ПДн);

  • оператор не может выполнять любые действия с данными физлица без его согласия по основаниям, утвержденным нормами закона № 152-ФЗ или НПА федерального уровня (ч. 7 ст. 5, ч. 4, 5 ст. 21 закона № 152-ФЗ).

Примечание: если от гражданина поступил отзыв согласия, то оператор обязан в установленный срок прекратить обработку (обеспечить прекращение). В случае, если сохранение данных не требуется для целей обработки, то эти данные нужно уничтожить (обеспечить уничтожение).

Требование о прекращении обработки

По требованию гражданина оператор обязан остановить обработку и инициировать процесс уничтожения данных, если личная информация была использована для продвижения товаров, работ или услуг на рынке при прямом контакте с потребителем с использованием средств связи (ч. 2 ст. 15 закона № 152-ФЗ). 

После получения требования от физлица у оператора есть не более 10 рабочих дней, чтобы прекратить любые действия с ПДн и уничтожить их, или обеспечить прекращение и уничтожение данных на третьей стороне, которая действовала по поручению оператора. Исключение — случаи, обозначенные в п. 211 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ.

При необходимости продления срока оператор должен направить физлицу уведомление с мотивированным указанием причин такого продления. Количество дней, на которые можно продлить сроки прекращения обработки и уничтожения ПДн, — не более пяти рабочих (ст. 5.1 закона № 152-ФЗ). 

Неправомерная обработка

Неправомерная обработка или совершение действий с персональными данными без законных на то оснований, требует от оператора строгого соблюдения сроков (ч. 3 ст. 21 закона № 152-ФЗ):

  • в течение трех рабочих дней прервать обработку ПДн (обеспечить прекращение) — если установлен факт совершения неправомерных действий с ПДн;

  • в течение 10 рабочих дней обеспечить уничтожение данных (у себя или на стороне третьего лица, действовавшего по поручению) — если невозможно обеспечить правомерность обработки.

Кроме того, оператор должен проинформировать физлицо об исправлении нарушений или ликвидации данных. А также направить соответствующее уведомление в Роскомнадзор, если запрос был получен от этого контролирующего органа. 

Уведомить Роскомнадзор потребуется в случае инцидента — если оператор допустил незаконную или случайную утечку данных, которая нарушает права субъекта ПДн. Отреагировать нужно в сроки:

  • уведомить РКН в течение 24 часов после произошедшего инцидента (утечки, несанкционированной передачи или распространения данных);

  • провести внутреннее расследование и отчитаться в уполномоченный орган о полученных результатах в течение 72 часов (почему произошла утечка, кто из сотрудников виновен).

Гражданин вправе требовать от оператора уничтожить данные, если они были получены без законных оснований и не соответствуют целям обработки, указанным в документации оператора. В случае поступления такого требования у оператора есть не более семи рабочих дней на уничтожение данных (или в эти сроки обеспечить уничтожение другим лицом, действующим по поручению) (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ).

Защита персональных данных и создание информационной безопасности — одна из самых сложных задач оператора ПДн. Заниматься этим вопросом может ответственный сотрудник, но если объемы данных слишком большие, то лучше обратиться к сторонним специалистам.

Порядок уничтожения ПДн

Для ликвидации персональных данных оператор должен подготовить документы и назначить комиссию из уполномоченных лиц. Роскомнадзор утвердил правила уничтожения ПДн в приказе от 28.10.2022 № 179

Количество документов в пакете и их содержание зависят от способа обработки ПДн в организации:

  • Составляется акт уничтожения ПДн — если осуществляется неавтоматизированная обработка (ручной учет).

  • Вместе с актом необходимо сделать выгрузку из журнала регистрации событий в ИСПДн (информационной системе) — если обработка ведется с использованием средств автоматизации, например, в компьютере. Эти же правила касаются комбинированной обработки — например, когда учет ведется одновременно вручную и на локальном устройстве, ПК. 

Срок хранения акта и выгрузки событий — три года с даты ликвидации сведений о физлице. 

Далее — инструкция, как организовать процесс уничтожения личной информации

Разработать локальный акт о порядке уничтожения ПДн

Локальный акт (инструкция, регламент или положение) о порядке уничтожения ПДн регламентирует основные действия уполномоченных лиц. В законе отсутствует форма такого локального акта, поэтому составить его можно в произвольной форме. Но следует придерживаться общепринятой структуры:

  • Раздел I. Общие положения. В нем отражаются основания для оформления документа, основные вопросы регулирования, условия внесения изменений, ответственные лица. 

  • Раздел II. Порядок уничтожения персональных данных. Устанавливает обязанность по ликвидации ПДн при наступлении законодательных случаев (ч. 35.1 ст. 21 закона № 152-ФЗ), действия ответственного лица и членов комиссии, способы уничтожения данных, требования к выписке из журнала событий в ИСПДн.

В рамках делопроизводства локальный акт вводится в рабочий процесс путем издания приказа руководителя. Документ должны подписать ответственные сотрудники, чьих полномочий он касается (ч. 2 ст. 22 ТК, п. 6 ч. 1 ст. 18.1 закона № 152-ФЗ). Если в организации есть профсоюз, представляющий интересы сотрудников, то документ принимается с учетом его мнения (ст. 372 ТК).  

Создать комиссию

Уполномоченные лица, входящие в состав комиссии, будут разбирать случаи и выносить решение об уничтожении ПДн. Группа ответственных лиц назначается приказом. 

Например, комиссия может состоять из начальника кадровой службы, главного бухгалтера, руководителей департаментов. Обязательно нужно выбрать председателя. В приказе о создании комиссии указывают всех участников рабочей группы, цели, функции, сроки работы, способы уничтожения ПДн и другие положения.

Комиссия составляет список носителей (сведений), которые подлежат ликвидации в установленных законом случаях.   

Определить способы уничтожения ПДн

Форма хранения персональных данных зависит от конкретного оператора:

  1. На бумаге. Бумажные носители могут быть уничтожены путем сжигания, измельчения в шредере, гидрообработки. 

  2. В электронной форме. Данные хранятся в онлайн-базах, на компьютерах, серверах оператора. Чтобы их уничтожить, нужно стереть записи о ПДн или деформировать цифровые носители (диски, USB-носители и др.).

При гибридной обработке ПДн (одновременно на бумаге и в электронной форме) данные уничтожаются соответствующими способами, которые отражаются в локальном акте. 

Если данные физлица включены в разные базы или хранятся на разных носителях, то следует удалить записи из всех мест и ликвидировать материальные носители. Например, нельзя удалить данные клиентов из одной базы и сохранить список в другой базе.

Составить акт уничтожения ПДн

Акт составляют в форме, установленной приказом Роскомнадзора № 179 от 28 октября 2022 г., согласно которому в акте должны быть указаны:

  • Сведения об операторе: ФИО, наименование организации, адрес.

  • Информация о третьей стороне: если по поручению оператора обработкой данных занималось другое лицо. 

  • Список с ФИО граждан, чьи данные были уничтожены. 

  • ФИО и подписи ответственных сотрудников, которые ликвидировали ПДн.

  • Категории уничтоженных данных.

  • Список носителей, содержащих персональные данные, а также количество листов в документах, если уничтоженные ПДн хранились на бумаге. 

  • Наименование информационной системы, из которой были удалены записи с ПДн граждан, если данные обрабатывались с использованием средств автоматизации.

  • Причины уничтожения.

  • Дата уничтожения.

Допускается оформление акта в бумажной или электронной форме. В зависимости от выбранного формата уполномоченные лица подписывают его от руки или электронной подписью.

Административная ответственность

За нарушение сроков уничтожения персональных данных оператору грозят штрафы по ч. 5 и 5.1 ст. 13.11 КоАП. Для наглядности собрали их в таблице:

Штраф / вид нарушения

Первичное нарушение

Повторное нарушение

На должностное лицо

8 000 – 20 000 руб.

30 000 – 50 000 руб.

На ИП

20 000 – 40 000 руб.

50 000 – 100 000 руб.

На организацию

50 000 – 90 000 руб.

300 000 – 500 000 руб.

Ответственность за нарушения в области персональных данных прямо указана в ст. 24 закона № 152-ФЗ.  

Ответственность за нарушения в области персональных данных прямо указана в ст. 24 закона № 152-ФЗ.   

