Уничтожение ПДн: способы и документальное оформление

• 

Обновлено 28.03.2026 05:10

 

Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я участвовал в десятках проверок Роскомнадзора. И почти в каждой была одна и та же ошибка: «Мы удалили данные» — но не оформили это.

Многие думают: «Удалил файл — и всё». На деле — это не уничтожение, а нарушение 152-ФЗ.

В этой статье — как юридически и технически правильно уничтожить ПДн. Без воды, только практика.

1. Когда нужно уничтожать ПДн?

По ст. 21 152-ФЗ, ПДн подлежат уничтожению, если:

•             Истёк срок хранения,

•             Достигнута цель обработки,

•             Получено требование от субъекта ПДн (например, отзыв согласия),

•             Есть решение суда или Роскомнадзора.

На практике: в 2024 году ИП оштрафовали на 500 тыс. за хранение данных клиентов после расторжения договора — цель обработки утратила актуальность.

Я рекомендую: заведите график уничтожения ПДн — как часть политики. Проверяйте его раз в квартал.

2. Как уничтожать бумажные носители?

Физические документы (анкеты, договоры, заявления) уничтожаются:

•             Через шредер (уровень P-4 или выше),

•             Через специализированную организацию (с актом уничтожения),

•             С участием комиссии (2–3 человека).

По закону: приказ ФСТЭК № 21 требует подтверждения уничтожения.

Я рекомендую: не сжигайте и не выбрасывайте целые документы. Даже в мусорке данные могут быть восстановлены.

3. Как уничтожать электронные данные?

Простое удаление файла — не уничтожение.

Нужно:

•             Для HDD: многократное перезаписывание (по ГОСТ Р 50739-95 или методу Гутмана),

•             Для SSD: сброс TRIM + шифрование с уничтожением ключа,

•             Для облачных хранилищ: отключение резервных копий + принудительное удаление через API,

•             Для баз данных: очистка с логированием.

На практике: в 2023 году суд встал на сторону Роскомнадзора — данные были «удалены», но восстановлены из резервной копии.

Я рекомендую: используйте DLP-системы с функцией контролируемого удаления.

4. Как оформить акт уничтожения ПДн?

Акт — обязательный документ.

Он должен содержать:

•             Дату и место составления,

•             Описание уничтоженных данных (категории, объём, носители),

•             Способ уничтожения,

•             ФИО и подписи членов комиссии,

•             Отметку об отсутствии претензий.

По закону: ст. 22 152-ФЗ — оператор обязан фиксировать действия с ПДн.

Я рекомендую: храните акт 3 года — на случай проверки.

5. Что делать с резервными копиями и архивами?

Многие забывают: резервные копии тоже содержат ПДн.

Их нужно:

•             Уничтожать одновременно с основными данными,

•             Или настроить автоматическое удаление по истечении срока,

•             Или зашифровать с контролем ключей.

Я рекомендую: включите резервные копии в график уничтожения. Проверяйте это при аудите.

Резюме:

Уничтожение ПДн — это не просто удаление. Это процесс с документами, подтверждением и технической стороной.

Если не оформить — штраф от 50 тыс. до 75 млн рублей.

Сейчас — скачайте образец акта уничтожения ПДн от «ЛЕГАС». Он соответствует требованиям ФСТЭК и Роскомнадзора.

—Поделитесь статьёй с коллегой, который чистит архив

— Подпишитесь на legascom.ru — разбираем сложное просто