Уничтожение персональных данных: сроки, порядок и документы

Когда оператор обязан уничтожить ПД

По статье 21 ФЗ-152 оператор обязан прекратить обработку и уничтожить персональные данные в следующих случаях:

| Основание | Срок уничтожения | |---|---| | Достижение цели обработки | Без промедления | | Отзыв согласия субъектом | 30 дней | | Запрос субъекта об удалении | 7 рабочих дней | | Выявление незаконной обработки | 7 рабочих дней | | Истечение срока хранения | Не позднее следующего рабочего дня |

Что считается уничтожением

Уничтожение — это безвозвратное прекращение существования ПД. Важно понимать, что именно к нему относится:

Цифровые данные

• Безвозвратное удаление с перезаписью секторов (инструменты: shred, Eraser, DBAN)
• Удаление из базы данных с последующей перезаписью свободного пространства
• Уничтожение ключей шифрования (для зашифрованных данных)
• Физическое уничтожение носителя (размагничивание, дробление)

Бумажные документы

• Шредирование (степень P-4 и выше для чувствительных данных)
• Сжигание
• Передача специализированной организации с актом уничтожения

Что НЕ является уничтожением

• Перемещение в корзину (данные на диске)
• Архивирование «для истории»
• Передача другому подразделению
• Деактивация пользователя в системе без удаления данных
• Обезличивание (это отдельный процесс, не уничтожение)

Акт об уничтожении персональных данных

Уничтожение ПД должно быть задокументировано. Акт — обязательный документ при проверке Роскомнадзора.

Обязательные реквизиты акта

• Дата уничтожения
• Перечень уничтоженных ПД (категории, объём)
• Носитель (база данных, файловый сервер, бумажный носитель)
• Метод уничтожения
• ФИО и должности лиц, проводивших уничтожение
• Подписи ответственных

Пример структуры акта

АКТ ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Дата: 15.05.2024
Основание: истечение срока хранения

Уничтожены:
— база email-рассылки клиентов за 2020 год
— резюме кандидатов без трудоустройства
— бумажные анкеты посетителей

Метод уничтожения:
— безвозвратное удаление из CRM
— очистка резервных копий
— шредирование документов

Ответственные:
Иванов И.И. — специалист ИБ
Петров А.А. — администратор CRM

Подписи:
____________

<RiskAlert severity="medium" label="Акт хранить минимум 3 года">
Сам акт об уничтожении — это документ компании, который нужно хранить. Роскомнадзор при проверке запросит акты, чтобы убедиться в выполнении обязанностей.
</RiskAlert>

## Практика по отраслям

### Интернет-сервисы и e-commerce

- После отказа от рассылки: email удаляется из активных списков, но может храниться в списке «отписанных» для исключения из рассылок — это допустимо
- После закрытия аккаунта: данные удаляются в течение 30 дней
- Данные о заказах: хранятся по налоговому законодательству (5 лет), затем уничтожаются

### Кадровый учёт

- Личные дела уволенных: 50 лет (изменение 2022 года)
- Сведения о кандидатах, не принятых на работу: 3 года, затем уничтожение
- Медицинские документы сотрудников: по срокам медицинского законодательства

### CRM и базы клиентов

- Данные потенциальных клиентов без сделки: 1–3 года (по внутреннему регламенту)
- Данные покупателей: срок действия гарантии + период претензионной давности (3 года)
- Данные по завершённым договорам: 5 лет (налоговый архив)

## Сложности гибридных хранилищ

Во многих компаниях ПД одновременно находятся:
- в облачной CRM;
- на локальном файловом сервере;
- в резервных копиях;
- в почтовых архивах сотрудников.

Это создаёт риск «неполного уничтожения», когда данные удалены только из основной системы.

Например:
- карточка клиента удалена из CRM;
- но экспорт Excel остался у менеджера;
- резервная копия базы хранится ещё 90 дней;
- email-переписка продолжает содержать ПД.

В такой ситуации Роскомнадзор может посчитать, что уничтожение фактически не выполнено.

<LegalWarning type="info" title="Регламент должен охватывать все копии">
Процедура уничтожения должна учитывать не только основную систему, но и резервные копии, локальные выгрузки, тестовые среды и почтовые архивы сотрудников.
</LegalWarning>

## Автоматизация уничтожения

Рекомендуется настроить **автоматическое уничтожение** по истечении сроков:

- В CRM: политика хранения с автоудалением «холодных» контактов
- В базе данных: триггеры или задания по расписанию
- В файловых системах: политики хранения с автоматической очисткой
- В email-системах: правила архивирования с последующим удалением

### Пример автоматизации для CRM

- Лид без активности 24 месяца → перевод в архив
- Через 30 дней после архива → автоматическое удаление
- Формируется лог удаления
- Ответственный получает отчёт
- Акт уничтожения формируется автоматически раз в месяц

Такой подход снижает риск бессрочного хранения «старых» клиентов и забытых выгрузок.

## Ответственность за нарушение порядка уничтожения

| Нарушение | Возможные последствия |
|---|---|
| Хранение данных после достижения цели | Штраф до 90 000 ₽ |
| Отказ удалить данные по законному требованию | До 50 000 ₽ |
| Незаконное хранение специальных категорий ПД | До 500 000 ₽ |
| Повторное нарушение | До 18 000 000 ₽ |

### Пример из практики

Компания удалила аккаунт клиента из интерфейса сайта, но данные продолжали храниться в CRM и маркетинговой системе рассылок. После жалобы субъекта Роскомнадзор признал удаление формальным и выдал предписание об устранении нарушений.

## Чек-лист быстрого контроля

| Проверка | Статус |
|---|---|
| Определены сроки хранения для всех категорий ПД | ☐ |
| Есть регламент уничтожения | ☐ |
| Учитываются резервные копии | ☐ |
| Формируются акты уничтожения | ☐ |
| Настроено автоудаление старых данных | ☐ |
| Проверены выгрузки сотрудников и локальные копии | ☐ |

<ComplianceChecklist
  title="Чек-лист по уничтожению ПД"
  items={[
    { text: "Определены и задокументированы сроки хранения для каждой категории ПД", critical: true },
    { text: "Разработан регламент уничтожения, охватывающий все носители", critical: true },
    { text: "Форма акта об уничтожении утверждена и применяется", critical: true },
    { text: "Отзыв согласия обрабатывается в течение 30 дней с последующим уничтожением" },
    { text: "Резервные копии включены в регламент уничтожения" },
    { text: "Настроено автоматическое удаление данных по истечении сроков там, где возможно" }
  ]}
/>

<FAQAccordion
  title="Частые вопросы об уничтожении ПД"
  items={[
    { question: "Что делать, если данные нужно хранить по налоговому законодательству, но субъект требует удаления?", answer: "Оператор вправе отказать в удалении в части данных, хранение которых обязательно по закону (НК РФ, ТК РФ). Субъект должен получить письменный обоснованный отказ с указанием нормы закона." },
    { question: "Считается ли удаление записи из CRM уничтожением ПД?", answer: "Только если удаление безвозвратное. Во многих CRM удалённые записи попадают в корзину или архив. Нужно убедиться, что данные действительно уничтожены, а не скрыты." },
    { question: "Обязательно ли уничтожать данные контрагентов — юридических лиц?", answer: "Нет. ФЗ-152 регулирует ПД физических лиц. Данные юрлиц (название, ОГРН, юрадрес) не являются ПД и уничтожаются по внутренним правилам документооборота." },
    { question: "Нужно ли удалять тестовые базы и staging-копии?", answer: "Да. Если тестовая среда содержит реальные персональные данные — на неё распространяются все требования ФЗ-152, включая уничтожение по окончании цели обработки." },
    { question: "Можно ли хранить резервные копии бессрочно?", answer: "Нет. Для резервных копий также должны быть установлены сроки хранения и автоматический цикл удаления. Бессрочное хранение backup-файлов с ПД создаёт отдельный риск нарушения ФЗ-152." }
  ]}
/>

<AuditCTA
  title="Нет регламента уничтожения ПД?"
  description="Разработаем регламент, формы актов и настроим процесс своевременного уничтожения данных."
  buttonText="Заказать разработку регламента"
/>