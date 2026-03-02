Штрафы за нарушение сроков уничтожения ПДн указаны в ч. 5 и 5.1 ст. 13.11 КоАП .

Кроме того, следует разработать локальный акт о порядке уничтожения ПДн, создать комиссию, определить способы ликвидации носителей (сведений).

Правила подтверждения уничтожения ПДн утверждены приказом Роскомнадзора от 28.10.2022 № 179 . Подтверждающие документы — это соответствующий акт и выписка из журнала событий в ИСПДн.

В зависимости от конкретного случая у оператора есть до 7 или 10 рабочих дней, либо до 30 календарных дней, чтобы уничтожить данные. В отдельных ситуациях срок может быть продлен до 5 рабочих дней.

Уничтожить ПДн нужно в следующих случаях: достигнуты цели обработки, физлицо отозвало согласие или направило требование о прекращении обработки, выявлен факт незаконной обработки ПДн.

Решение о прекращении обработки, а также об уничтожении материальных, электронных носителей, записей в информационных системах принимает комиссия или ответственный за организацию обработки ПДн в компании.

При наступлении вышеназванных случаев оператор обязан прекратить обработку и уничтожить данные . В зависимости от способа обработки ПДн оператор определяет список документов и их содержательную часть.

поступило требование от субъекта ПДн о прекращении обработки его данных.

владелец данных отозвал свое согласие на обработку ПДн (или на распространение);

Закон от 27.07.2006 № 152-ФЗ устанавливает случаи, при которых оператор персональных данных обязан прекратить обработку данных граждан (физлиц):

Случаи прекращения обработки и сроки уничтожения ПДн

Подробнее остановимся на случаях, когда наступает обязанность по прекращению обработки и уничтожению данных. Сразу отметим: если у оператора нет возможности уничтожить данные (обеспечить уничтожение) в обозначенные ниже сроки, то необходимо заблокировать данные и уничтожить их в течение полугода или в течение срока, указанного в НПА (ч. 6 ст. 21 закона № 152-ФЗ).

Достижение целей обработки

Оператор обязан остановить работу с персональными данными и перейти к их уничтожению, если достигнуты цели, для которых эти данные использовались (хранились, распространялись, передавались и т. д.). Если по поручению оператора обработкой занималась третья сторона, то оператор обязан обеспечить прекращение и уничтожение данных на этой стороне. По общему правилу это нужно сделать в течение 30 дней от даты, когда поставленные цели были достигнуты (ч. 4 ст. 21 закона № 152-ФЗ). В некоторых случаях сроки могут быть другими, если: прописаны в договоре, стороной которого, выгодоприобретателем или поручителем по которому обозначен субъект персональных данных;

указаны в соглашении между оператором и гражданином (владельцем ПДн);

оператор не может выполнять любые действия с данными физлица без его согласия по основаниям, утвержденным нормами закона № 152-ФЗ или НПА федерального уровня (ч. 7 ст. 5, ч. 4, 5 ст. 21 закона № 152-ФЗ). Ключевое правило: после достижения целей обработки оператор не вправе дальше использовать личную информацию физлица. Например, цели и сроки обработки фиксируются в политике ПДн, согласии субъекта ПДн.

Отзыв согласия

Сроки и требования о прекращении и уничтожении ПДн при отзыве субъектом согласия аналогичны, как в случае с достижением целей обработки. Срок прекращения и уничтожения данных (или срок обеспечения этих действий на стороне другого лица) — не должен превышать 30 дней (ч. 5 ст. 21 закона № 152-ФЗ). Могут быть установлены другие сроки, если: прописаны в договоре, стороной которого, выгодоприобретателем или поручителем по которому обозначен субъект персональных данных;

указаны в соглашении между оператором и гражданином (владельцем ПДн);

оператор не может выполнять любые действия с данными физлица без его согласия по основаниям, утвержденным нормами закона № 152-ФЗ или НПА федерального уровня (ч. 7 ст. 5, ч. 4, 5 ст. 21 закона № 152-ФЗ). Примечание: если от гражданина поступил отзыв согласия, то оператор обязан в установленный срок прекратить обработку (обеспечить прекращение). В случае, если сохранение данных не требуется для целей обработки, то эти данные нужно уничтожить (обеспечить уничтожение).

Требование о прекращении обработки

По требованию гражданина оператор обязан остановить обработку и инициировать процесс уничтожения данных, если личная информация была использована для продвижения товаров, работ или услуг на рынке при прямом контакте с потребителем с использованием средств связи (ч. 2 ст. 15 закона № 152-ФЗ). После получения требования от физлица у оператора есть не более 10 рабочих дней, чтобы прекратить любые действия с ПДн и уничтожить их, или обеспечить прекращение и уничтожение данных на третьей стороне, которая действовала по поручению оператора. Исключение — случаи, обозначенные в п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. При необходимости продления срока оператор должен направить физлицу уведомление с мотивированным указанием причин такого продления. Количество дней, на которые можно продлить сроки прекращения обработки и уничтожения ПДн, — не более пяти рабочих (ст. 5.1 закона № 152-ФЗ).

Неправомерная обработка