Уничтожение персональных данных: полное руководство по требованиям Роскомнадзора

Краткое резюме: как не получить многомиллионный штраф за хранение лишних данных

Представьте, что вы храните резюме кандидата, которому отказали полгода назад. Или анкету клиента, который давно ничего не покупал. Раньше это было просто неаккуратным ведением дел. Сегодня — это потенциальный штраф до 500 000 рублей за повторное нарушение.¹ С 1 марта 2023 года в России действуют новые, предельно строгие правила, которые изменили всё. Роскомнадзор больше не интересует, нажали ли вы кнопку «Delete». Теперь от каждой компании требуется железобетонное, документально оформленное доказательство того, что персональные данные уничтожены правильно и в срок.²

Простое удаление файлов больше не работает. Отсутствие правильно составленного акта об уничтожении или выгрузки из системного журнала — это прямое нарушение закона, которое инспекторы легко выявляют при проверках.⁵ Штрафы за нарушения в сфере персональных данных резко выросли и могут достигать 15 миллионов рублей за утечку информации, которую вы должны были давно уничтожить.⁶

Эта статья — не очередной пересказ закона. Это исчерпывающее пошаговое руководство, которое проведет вас через все этапы законного уничтожения персональных данных: от определения оснований и сроков до выбора правильного шредера и оформления акта, который выдержит любую проверку Роскомнадзора. Мы разберем реальные кейсы, сложные моменты, связанные с архивным и отраслевым законодательством, и дадим четкий алгоритм действий, который защитит ваш бизнес от колоссальных финансовых и репутационных рисков. Дочитайте до конца, чтобы превратить головную боль комплаенса в отлаженный и безопасный бизнес-процесс.

Раздел 1. Почему об этом все говорят: правовые основы уничтожения данных

Чтобы понять суть новых требований, необходимо разобраться в двух ключевых документах, которые формируют правовую базу. Первый — это фундаментальный закон, определяющий сами правила игры. Второй — это подзаконный акт регулятора, который детализирует, как именно нужно подтверждать соблюдение этих правил. Непонимание этой двухуровневой системы является основной причиной большинства нарушений.

1.1. Фундамент: закон № 152-фз «о персональных данных»

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — это основа основ для любой организации, работающей с информацией о физических лицах в России.⁸ Закон оперирует несколькими ключевыми понятиями, которые должен знать каждый руководитель, кадровик или IT-специалист:

• Персональные данные (ПДн): любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Это не только ФИО и паспорт, но и номер телефона, email, адрес, сведения о зарплате, состоянии здоровья и многое другое.⁸
• Оператор ПДн: любая компания, ИП, государственный или муниципальный орган, который организует и (или) осуществляет обработку персональных данных. Если у вас есть хотя бы один сотрудник или клиент-физлицо, вы — оператор.¹⁰
• Обработка ПДн: любое действие с персональными данными, включая сбор, запись, хранение, уточнение, использование, передачу, блокирование, удаление и, что самое важное для нашей темы, уничтожение.¹¹

Ключевой для процесса уничтожения является статья 21 этого закона.⁹ Именно она устанавливает прямую обязанность оператора прекратить обработку и уничтожить персональные данные при наступлении определенных условий. Таким образом, 152-ФЗ отвечает на вопрос «ПОЧЕМУ и КОГДА» нужно уничтожать данные. Он закладывает правовое основание, делая уничтожение не просто хорошей практикой, а юридическим долгом оператора.

1.2. Регулятор наносит удар: что изменил приказ роскомнадзора № 179

Если 152-ФЗ — это конституция в мире персональных данных, то Приказ Роскомнадзора от 28.10.2022 № 179 — это подробная инструкция по ее применению в части уничтожения.² Этот документ, вступивший в силу с 1 марта 2023 года и действующий до 1 марта 2029 года, стал настоящим game-changer’ом для всех операторов.³

Его главная цель — стандартизировать и формализовать процесс подтверждения факта уничтожения. Приказ № 179 не вводит новых оснований для уничтожения, но он отвечает на вопрос «КАК доказать, что вы это сделали правильно». Он вводит два ключевых документа, которые теперь являются обязательными:

1. Акт об уничтожении персональных данных. Этот документ обязателен во всех случаях, независимо от того, как обрабатывались данные — на бумаге или в электронном виде.²
2. Выгрузка из журнала регистрации событий в информационной системе персональных данных (ИСПДн). Этот документ требуется дополнительно к акту, если обработка велась с использованием средств автоматизации (то есть в компьютерных системах, базах данных, CRM и т.д.).¹⁵

Таким образом, compliance (соответствие требованиям) в области уничтожения данных превратился в двухкомпонентную задачу. Недостаточно просто выполнить техническое действие по удалению информации. Необходимо создать формальный, юридически значимый бумажный (или электронный с ЭЦП) след, который подтвердит законность и своевременность ваших действий. IT-отдел может идеально стереть данные с сервера, но если комиссия не собралась и не подписала акт с указанием всех обязательных реквизитов, с точки зрения Роскомнадзора компания является нарушителем.

1.3. Уничтожение vs. обезличивание: не путайте понятия

В контексте прекращения обработки данных часто возникает путаница между двумя терминами: уничтожение и обезличивание. Крайне важно их различать, поскольку это совершенно разные по своей сути и правовым последствиям процедуры.

• Уничтожение — это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители ПДн.¹¹ Ключевое слово — «невозможно». Это необратимый процесс.
• Обезличивание — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.¹⁰ Данные при этом не уничтожаются, а преобразуются. Например, из базы данных клиентов убираются ФИО и контакты, но остаются данные о покупках, привязанные к анонимному ID.

Обезличивание само по себе является одним из видов обработки ПДн и используется для целей статистики, аналитики или машинного обучения, когда не требуется знать, кто именно совершил то или иное действие.¹⁸ Уничтожение же — это полное прекращение обработки. Эти процедуры регулируются разными нормативными актами и служат разным целям. Попытка подменить требуемое законом уничтожение обезличиванием является нарушением.

Раздел 2. Когда пора нажать «delete»: основания и сроки для уничтожения

Закон № 152-ФЗ четко определяет исчерпывающий перечень ситуаций, когда у оператора возникает обязанность уничтожить персональные данные. Каждое из этих оснований имеет свой собственный срок исполнения, нарушение которого является самостоятельным правонарушением. Для удобства мы свели все требования в единую таблицу, но сначала разберем каждое основание подробно.

2.1. Достижение цели обработки

Это самое распространенное и логичное основание. Персональные данные собираются не просто так, а для достижения конкретной, заранее определенной и законной цели (например, для исполнения договора, трудоустройства, оказания услуги).¹⁹ Как только эта цель достигнута, дальнейшая обработка (включая хранение) становится избыточной и незаконной.

• Примеры:

• Интернет-магазин собрал адрес клиента для доставки товара. После того как товар доставлен и гарантийный срок истек, цель обработки (исполнение договора купли-продажи) считается достигнутой.
• Компания собирала анкеты соискателей на открытую вакансию. После того как вакансия закрыта и сотрудник нанят, цель обработки данных остальных кандидатов достигнута.²¹
• Сотрудник предоставил медицинские документы для оформления материальной помощи на лечение. После выплаты помощи цель обработки этих специальных категорий данных достигнута.²²

Срок уничтожения: В течение 30 календарных дней с даты достижения цели обработки.¹⁹

2.2. Отзыв согласия субъектом

Субъект персональных данных имеет право в любой момент отозвать свое согласие на их обработку.²⁴ Отзыв должен быть оформлен в той же форме, в какой давалось согласие, либо в письменной форме. После получения отзыва оператор обязан прекратить обработку.

Важный нюанс: если существуют иные законные основания для продолжения обработки (например, требования архивного или налогового законодательства, действующий договор), то оператор вправе продолжить обработку данных в том объеме, который диктуется этими основаниями.²⁶ Однако если единственным основанием было согласие, данные подлежат уничтожению.

Срок уничтожения: В течение 30 календарных дней с даты поступления отзыва согласия.¹⁹

2.3. Выявление неправомерной обработки

Оператор может сам в ходе внутреннего аудита или по сигналу от субъекта или Роскомнадзора обнаружить, что обработка ПДн ведется с нарушением закона. Например, собираются избыточные данные, отсутствует письменное согласие на обработку специальных категорий данных или данные используются не для тех целей, которые были заявлены.

В этом случае закон предписывает оператору сначала попытаться обеспечить правомерность обработки (например, получить недостающее согласие). Если же это невозможно, данные должны быть уничтожены.

• Пример: Кадровик хранит у себя копии свидетельств о рождении детей сотрудника «на всякий случай», хотя письменного согласия на обработку этих данных (не требуемых трудовым законодательством напрямую) получено не было. Это неправомерная обработка.²¹

Срок уничтожения: В течение 10 рабочих дней с момента выявления неправомерной обработки.²¹ При этом прекратить саму неправомерную обработку нужно в срок, не превышающий 3 рабочих дней с даты выявления.²³

2.4. Требование субъекта

Субъект ПДн вправе потребовать от оператора уничтожить его данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.²² В отличие от отзыва согласия, здесь субъект должен предоставить доказательства, подтверждающие его требование.

• Пример: Клиент обнаружил в личном кабинете на сайте компании устаревший адрес проживания и неактуальный номер телефона. Он вправе потребовать удалить эту неактуальную информацию.

Срок уничтожения: В течение 7 рабочих дней с даты представления субъектом (или его представителем) сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными.²²

2.5. Истечение срока хранения

Для многих документов, содержащих персональные данные, сроки хранения установлены отдельными нормативными актами, в первую очередь, законодательством об архивном деле. По истечении этих сроков документы подлежат уничтожению.²² Этот вопрос подробно будет рассмотрен в Разделе 5. Для удобства все основания и сроки сведены в таблицу ниже.

Таблица 1. Сводка оснований и сроков уничтожения персональных данных

Основание для уничтожения	Срок уничтожения	Ссылка на норму закона	Пример
Достижение цели обработки ПДн	30 календарных дней	ч. 4 ст. 21 ФЗ-152	Закрыта вакансия, на которую соискатель присылал резюме.
Отзыв субъектом согласия на обработку ПДн	30 календарных дней	ч. 5 ст. 21 ФЗ-152	Клиент отозвал согласие на получение маркетинговых рассылок.
Выявление неправомерной обработки ПДн	10 рабочих дней	ч. 3 ст. 21 ФЗ-152	Компания обнаружила, что хранит копии паспортов родственников сотрудников без их согласия.
Требование субъекта об уничтожении неполных, устаревших, неточных, незаконно полученных или не являющихся необходимыми для цели обработки ПДн	7 рабочих дней	ч. 1 ст. 14, ч. 3 ст. 20 ФЗ-152	Пользователь сайта потребовал удалить его старый профиль, которым он не пользуется.
Истечение срока хранения, установленного законом или локальным актом	Зависит от срока, установленного конкретным нормативным актом (например, Приказом Росархива № 236)	ст. 5 ФЗ-152, Приказ Росархива № 236	Истек 5-летний срок хранения приказов о командировках.

Источники: ²¹

Раздел 3. От приказа до акта: пошаговая инструкция по процедуре уничтожения

Правильное документальное оформление — это сердце всего процесса. Технически безупречное удаление данных без надлежащей фиксации не защитит компанию от претензий Роскомнадзора. Процедура уничтожения — это формальный бизнес-процесс, который должен быть выстроен заранее и неукоснительно соблюдаться. Он состоит из нескольких обязательных шагов.

3.1. Шаг 1: разработка внутренних правил (локального нормативного акта)

Первый и самый важный шаг — это формализация процедуры внутри компании. Нельзя полагаться на устные договоренности или импровизацию. Необходимо разработать и утвердить приказом руководителя локальный нормативный акт (ЛНА), например, «Положение о порядке уничтожения персональных данных».²³

Этот документ должен детально описывать весь процесс:

• Порядок и критерии отбора носителей ПДн к уничтожению.
• Состав и полномочия постоянно действующей комиссии по уничтожению.
• Конкретные способы уничтожения для разных типов носителей (бумажных, электронных), принятые в организации.
• Порядок документальной фиксации, включая утвержденные формы акта об уничтожении и требования к выгрузке из журнала событий.³⁰
• Порядок и сроки хранения подтверждающих документов.
• Ответственных лиц на каждом этапе.

Наличие такого ЛНА демонстрирует регулятору системный подход компании к защите данных и является первым документом, который запросят при проверке.

3.2. Шаг 2: создание и полномочия комиссии по уничтожению

Уничтожение данных не может быть решением одного человека. Закон и практика требуют коллегиального подхода. Руководитель организации должен издать приказ о создании постоянно действующей комиссии по уничтожению персональных данных.²⁸

• Состав комиссии: Рекомендуется включать не менее трех человек.²⁷ Типичный состав:

• Представитель IT-отдела (ответственный за техническую реализацию).
• Представитель кадровой службы или бухгалтерии (как владелец процессов, где обрабатывается большинство ПДн).
• Ответственный за организацию обработки персональных данных в компании (DPO) или юрист.
• Руководитель структурного подразделения, чьи данные уничтожаются.
• Полномочия: Приказом утверждается состав комиссии и ее полномочия, которые включают отбор носителей, контроль за процессом уничтожения и подписание акта.

3.3. Шаг 3: процесс отбора носителей и данных для уничтожения

На основании служебной записки от руководителя подразделения или в рамках плановой работы (например, по результатам экспертизы ценности документов) комиссия проводит отбор данных и их носителей, подлежащих уничтожению. Комиссия проверяет наличие законных оснований (истек срок хранения, отозвано согласие и т.д.) и отсутствие обстоятельств, препятствующих уничтожению (например, незавершенная проверка или судебный спор). Результаты отбора фиксируются в протоколе заседания комиссии или непосредственно в акте об уничтожении.

3.4. Шаг 4: документальное подтверждение — ключ к соответствию требованиям

Это кульминационный и самый ответственный этап. Именно здесь создаются документы, которые требует Приказ Роскомнадзора № 179.

3.4.1. Акт об уничтожении: обязательные реквизиты и образец

Акт составляется на каждый факт уничтожения. Унифицированной, обязательной к применению формы акта нет, поэтому каждая компания разрабатывает ее самостоятельно и утверждает в своем ЛНА.²³ Однако Приказ № 179 устанавливает исчерпывающий перечень сведений, которые

обязательно должны присутствовать в акте.³³ Отсутствие хотя бы одного из них делает документ недействительным.

Обязательные реквизиты акта об уничтожении ПДн:

1. Наименование и адрес оператора: полное наименование юридического лица или ФИО ИП, адрес местонахождения.
2. Наименование и адрес обработчика (если есть): если данные обрабатывались по вашему поручению третьим лицом (например, облачным провайдером, аутсорсинговым колл-центром), его данные также указываются.
3. Информация о субъектах: ФИО субъектов, чьи данные уничтожаются, или иные идентификаторы, позволяющие их однозначно определить.
4. Информация об исполнителях: ФИО, должности и личные подписи всех членов комиссии, которые произвели уничтожение.
5. Перечень категорий уничтоженных ПДн: например, «анкетные данные», «паспортные данные», «сведения об образовании». Не нужно перечислять сами данные, только их категории.
6. Наименование материальных носителей (для неавтоматизированной обработки): если уничтожались бумажные документы, указывается их наименование (например, «Личная карточка работника Т-2», «Анкета соискателя») и количество листов в каждом.²³
7. Наименование ИСПДн (для автоматизированной обработки): название информационной системы, из которой были удалены данные (например, «1С:Зарплата и управление персоналом», «CRM-система Bitrix24»).
8. Способ уничтожения: конкретное описание метода (например, «измельчение на шредере HSM SECURIO B24 с уровнем секретности P-4», «программное стирание методом DoD 5220.22-M (3 прохода)», «физическое уничтожение жесткого диска путем дробления»).
9. Причина уничтожения: ссылка на одно из оснований, рассмотренных в Разделе 2 (например, «достижение цели обработки», «отзыв согласия субъекта ПДн от 15.05.2024»).
10. Дата уничтожения: фактическая дата проведения процедуры.

Примерный образец акта представлен в Разделе 7.

3.4.2. Выгрузка из журнала регистрации событий: что это и как ее сформировать

Если ПДн уничтожались из информационной системы (базы данных, CRM, ERP и т.д.), то в дополнение к акту необходимо сформировать выгрузку из журнала регистрации событий (логов) этой системы.³⁰ Эта выгрузка — техническое подтверждение факта удаления записей. IT-отдел должен обеспечить, чтобы информационные системы логировали операции по удалению данных. Если стандартный функционал системы этого не позволяет, его необходимо доработать или использовать внешние средства мониторинга.

Обязательные сведения в выгрузке из журнала:

1. Информация о субъектах: ФИО или иной идентификатор субъекта (например, ID пользователя в системе).
2. Перечень категорий уничтоженных ПДн.
3. Наименование ИСПДн, из которой данные были уничтожены.
4. Причина уничтожения.
5. Дата уничтожения.²³

Если система по техническим причинам не может залогировать какое-либо из этих сведений (например, причину уничтожения), эта недостающая информация должна быть внесена непосредственно в акт об уничтожении.³³

Примерный образец выгрузки представлен в Разделе 7.

3.5. Шаг 5: хранение подтверждающих документов

После того как данные уничтожены, а акт и выгрузка оформлены и подписаны, работа не заканчивается. Эти подтверждающие документы необходимо хранить.

Срок хранения: 3 года с момента уничтожения персональных данных.¹⁵

Эти документы должны быть доступны для предоставления по запросу Роскомнадзора в ходе проверки. Их отсутствие или ненадлежащее оформление будет расценено как нарушение порядка уничтожения ПДн.

Раздел 4. Технологии уничтожения: от шредера до криптографического стирания

Закон требует, чтобы уничтожение делало восстановление данных невозможным.¹¹ Однако он не предписывает конкретные технические методы. Это означает, что оператор сам несет ответственность за выбор и применение такого способа, который будет надежным и, что не менее важно, защищаемым в случае проверки или инцидента. Выбор метода зависит от типа носителя информации.

4.1. Работа с бумажными носителями

Для документов на бумаге существует три основных метода уничтожения, но на практике наиболее применим первый.³⁷

• Механическое измельчение (шредирование). Самый распространенный, доступный и экологичный способ. Ключевым параметром здесь является уровень секретности шредера, который определяет размер получаемых фрагментов. Международный стандарт DIN 66399 классифицирует уровни секретности для бумажных носителей (индекс «P») от P-1 (широкие полосы) до P-7 (микрочастицы).³⁹ Для уничтожения документов, содержащих персональные данные, рекомендуется использовать шредеры с уровнем секретности
  не ниже P-4 (перекрестная резка, размер фрагмента не более 160 мм²), что делает ручное восстановление практически невозможным.⁴¹
• Термическое воздействие (сжигание). Эффективный метод для больших объемов, но требует специального оборудования (промышленных печей-инсинераторов) и строгого соблюдения норм пожарной безопасности и экологического законодательства, что делает его труднореализуемым для большинства организаций.³⁷
• Химическая обработка. Растворение бумаги и чернил в химических реагентах. Надежный, но дорогой и неэкологичный метод, практически не применяемый на практике.³⁷

Таблица 2. Уровни секретности шредеров по стандарту DIN 66399 (P-уровни для бумаги)

Уровень	Макс. площадь / ширина фрагмента	Пример уничтожаемых документов	Возможность восстановления
P-1	Полосы шириной до 12 мм	Публичные документы, черновики, открытая переписка	Легко восстановимо
P-2	Полосы шириной до 6 мм	Внутренние инструкции, неконфиденциальная переписка	Восстановимо с определенными усилиями
P-3	Фрагменты площадью до 320 мм²	Коммерческие предложения, прайс-листы, презентации	Восстановление требует значительных затрат
P-4	Фрагменты площадью до 160 мм²	Персональные данные, налоговая и бухгалтерская отчетность, коммерческая тайна	Восстановление практически невозможно
P-5	Фрагменты площадью до 30 мм²	Стратегические планы, конструкторская документация, медицинские данные	Восстановление технически невозможно современными методами
P-6	Фрагменты площадью до 10 мм²	Секретная документация госучреждений, данные спецслужб	Восстановление исключено
P-7	Фрагменты площадью до 5 мм²	Совершенно секретные документы государственной важности	Восстановление исключено

Источники: ³⁹

4.2. Работа с электронными носителями (hdd, ssd, флешки)

Уничтожение данных на цифровых носителях — более сложная задача, так как простое удаление файла через операционную систему лишь стирает ссылку на него в файловой таблице, оставляя сами данные на диске нетронутыми и легко восстанавливаемыми. Поэтому требуются специальные методы.

• Программное стирание (Data Wiping / Secure Erase). Этот метод заключается в многократной перезаписи секторов диска, где хранились данные, специальными последовательностями нулей, единиц и случайных символов, что делает восстановление исходной информации невозможным.⁴⁴ Существует несколько признанных международных и национальных стандартов:

• ГОСТ Р 50739-95 (Россия): Российский стандарт, который предполагает два цикла перезаписи: сначала нулями, затем случайными символами.⁴⁵
• DoD 5220.22-M (США): Стандарт Министерства обороны США, долгое время бывший «золотым стандартом» в индустрии. Включает 3 прохода перезаписи (нули, единицы, случайные данные) с последующей верификацией.⁴⁷ Существуют и расширенные версии с 7 проходами. Однако этот стандарт считается устаревшим для современных накопителей, особенно SSD.⁴⁸
• NIST SP 800-88 (США): Наиболее современный и рекомендуемый стандарт от Национального института стандартов и технологий США. Он не предписывает жесткое количество проходов, а вводит три метода: Clear (простая перезапись, защищает от простых методов восстановления), Purge (более сложные методы, включая криптографическое стирание, защищает от лабораторного восстановления) и Destroy (физическое уничтожение).⁴⁸ Для большинства корпоративных задач метод Purge является достаточным и наиболее релевантным.
• Аппаратные методы.

• Размагничивание (Degaussing): Применяется для магнитных носителей (жесткие диски HDD, стримерные ленты). Устройство-дегауссер создает мощное электромагнитное поле, которое полностью разрушает магнитную структуру носителя, уничтожая не только данные, но и служебную разметку. После размагничивания носитель становится непригодным для дальнейшего использования.⁵³ Этот метод неэффективен для SSD и флеш-накопителей.
• Физическое уничтожение: Дробление, измельчение, прокалывание или сгибание носителя в специализированных устройствах (шредерах для жестких дисков). Гарантирует 100% уничтожение, но исключает повторное использование носителя.²⁹
• Криптографическое стирание (Crypto Erase / Instant Secure Erase). Это самый современный, быстрый и надежный метод для накопителей с функцией самошифрования (Self-Encrypting Drives, SED), к которым относится большинство современных SSD и корпоративных HDD. Все данные на таком диске по умолчанию зашифрованы внутренним ключом шифрования. Процедура криптографического стирания заключается в удалении этого ключа и генерации нового. Без старого ключа данные на диске превращаются в бессмысленный набор символов, который невозможно расшифровать. Процесс занимает несколько секунд.⁵⁶

4.3. Особые случаи: резервные копии, архивы и облака

Одна из самых больших сложностей — обеспечить полное уничтожение данных во всех местах их хранения.

• Резервные копии и архивы: Уничтожение данных в основной (production) базе данных не решает проблему, если эти же данные остаются в еженедельных или ежемесячных бэкапах. Политика уничтожения ПДн должна распространяться и на резервные копии.⁵⁹ Необходимо либо иметь техническую возможность выборочно удалять данные из бэкапов, либо установить такой срок хранения бэкапов, чтобы по его истечении данные гарантированно удалялись вместе со всей резервной копией. Если технически немедленное удаление из архивов невозможно, закон допускает блокирование данных с их обязательным уничтожением в срок, не превышающий 6 месяцев.²⁹
  
• Облачные хранилища: При использовании облачных сервисов (IaaS, PaaS, SaaS) ответственность за уничтожение данных все равно лежит на операторе. Необходимо внимательно изучать договор с провайдером. В нем должно быть четко прописано, что провайдер обязуется по требованию оператора производить безвозвратное удаление данных и предоставлять соответствующее подтверждение. Оператор, в свою очередь, на основании этого подтверждения составляет собственный акт об уничтожении.

Таблица 3. Сравнение методов уничтожения для разных типов носителей

Тип носителя	Рекомендуемый метод	Преимущества	Недостатки	Уровень надежности
Бумажные носители	Шредирование (P-4 и выше)	Доступно, экологично, контролируемо	Требуется качественное оборудование	Высокий
Жесткие диски (HDD)	Программное стирание (NIST 800-88 Purge); Размагничивание; Физическое уничтожение	Возможность повторного использования (стирание); Очень высокая скорость (размагничивание); Максимальная надежность (уничтожение)	Длительное время (стирание); Носитель не подлежит восстановлению (размагничивание, уничтожение)	Высокий / Максимальный
Твердотельные накопители (SSD)	Криптографическое стирание (Crypto Erase); Программное стирание (NIST 800-88 Clear/Purge); Физическое уничтожение	Мгновенно, не изнашивает диск (Crypto Erase); Возможность повторного использования (стирание); Максимальная надежность (уничтожение)	Требует поддержки SED (Crypto Erase); Многопроходное стирание изнашивает ячейки памяти; Носитель не подлежит восстановлению (уничтожение)	Максимальный
Оптические диски (CD/DVD/Blu-ray)	Физическое уничтожение (шредирование)	Просто, дешево, надежно	Носитель не подлежит восстановлению	Максимальный
Облачное хранилище	Удаление через API провайдера с получением подтверждения	Удобство, масштабируемость	Зависимость от провайдера, сложность контроля	Зависит от провайдера

Раздел 5. Конфликт законов: когда уничтожать данные запрещено

Одной из самых сложных задач для оператора является навигация в ситуации, когда разные законы предъявляют противоречивые требования. Закон № 152-ФЗ обязывает уничтожить данные по требованию субъекта или при достижении цели обработки, но другие федеральные законы могут требовать их хранить в течение длительного времени. В этом случае действует принцип правовой иерархии: специальный закон, устанавливающий обязательные сроки хранения для определенных категорий документов, имеет приоритет над общим правом субъекта на удаление данных по 152-ФЗ.

Рассмотрим ключевые примеры таких «конфликтов».

5.1. Архивное законодательство (приказ росархива № 236)

Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения» — это настольная книга любого кадровика и архивариуса.⁶² Он устанавливает длительные сроки хранения для большинства кадровых документов, содержащих ПДн.

• Трудовые договоры, личные карточки работников (форма Т-2), приказы по личному составу (о приеме, переводе, увольнении): 50 лет, если делопроизводство по ним закончено после 01.01.2003, и 75 лет, если до этой даты.⁶²
• Согласия на обработку персональных данных: 3 года после истечения срока их действия или отзыва.⁶²
• Графики отпусков: 3 года.⁶²
• Расчетные ведомости по зарплате (при отсутствии лицевых счетов): 50/75 лет.⁶⁶

Практическое следствие: Когда сотрудник увольняется и отзывает свое согласие на обработку ПДн, работодатель не имеет права уничтожать его трудовой договор, приказы о приеме/увольнении и личную карточку. Эти документы должны быть переданы в архив организации на установленный законом срок хранения. В ответ на требование сотрудника оператор должен уведомить его, что данные, обработка которых требуется в соответствии с архивным законодательством, не могут быть уничтожены. Однако данные, для которых нет таких требований (например, анкеты, заполненные при собеседовании, копии необязательных документов), должны быть уничтожены в установленном порядке.

5.2. Отраслевая специфика: медицина (приказ минздрава № 408)

Медицинские организации работают с одной из самых чувствительных категорий ПДн — сведениями о состоянии здоровья. Для медицинской документации установлены свои, очень длительные сроки хранения, утвержденные Приказом Минздрава России от 03.08.2023 № 408.⁶⁷

• Медицинская карта пациента (амбулаторная или стационарная): 25 лет на бумажном носителе и 50 лет в электронной форме в медицинской информационной системе (МИС).⁶⁷
• История родов: 25 лет.⁷⁰
• Результаты анализов: 25 лет.⁷⁰

Практическое следствие: Пациент не может потребовать от клиники немедленного удаления своей медицинской карты, даже если он прекратил пользоваться услугами этой клиники и отозвал согласие на обработку ПДн. Клиника обязана обеспечить хранение этих данных в течение всего установленного срока.

5.3. Отраслевая специфика: банковская сфера (положение цб рф № 801-п)

Для кредитных организаций действует свой отраслевой перечень документов со сроками хранения, утвержденный Положением Банка России и Росархива от 12.07.2022 № 801-П.⁷² Этот документ устанавливает сроки для огромного перечня банковской документации.

• Договоры банковского счета: 5 лет после прекращения обязательств по договору.⁶⁶
• Юридические дела клиента: 5 лет после прекращения отношений с клиентом.⁷⁴
• Информация об операциях по банковским счетам: 10 лет с года, в котором была совершена операция.⁷⁴
• Документы по персональным данным клиентов (анкеты, согласия): 5 лет (или дольше, если они хранятся в досье клиента, срок хранения которого не истек).⁷⁵

Практическое следствие: Клиент, закрывший счет в банке, не может потребовать немедленного уничтожения всех своих данных. Банк обязан хранить информацию о клиенте и его операциях в течение сроков, установленных Положением № 801-П, в том числе для целей противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (115-ФЗ).

Таким образом, перед тем как приступить к уничтожению данных по требованию субъекта, оператор всегда должен провести внутреннюю проверку: не подпадают ли эти данные под действие специальных законов, требующих их дальнейшего хранения.

Раздел 6. Цена ошибки: риски и административная ответственность

Нарушение правил обработки и, в частности, уничтожения персональных данных — это не просто формальное несоблюдение процедур. Это серьезное правонарушение, за которое предусмотрена административная, гражданско-правовая и даже уголовная ответственность.⁷⁶ С недавними поправками в законодательство финансовые риски для компаний-нарушителей стали чрезвычайно высокими.

6.1. Разбор статьи 13.11 коап рф

Основным инструментом наказания за нарушения в области ПДн является статья 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ).⁷⁷ Она содержит несколько составов правонарушений, но для нашей темы ключевое значение имеет

часть 5 статьи 13.11 КоАП РФ.

Она устанавливает ответственность за «невыполнение оператором в предусмотренный законодательством Российской Федерации в области персональных данных срок требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки».⁷⁹

Эта норма напрямую наказывает за просрочку или отказ от уничтожения данных, когда для этого есть законные основания. Кроме того, если компания не уничтожила данные по истечении срока хранения или после достижения цели обработки, это может быть квалифицировано по части 1 статьи 13.11 КоАП РФ как обработка ПДн в случаях, не предусмотренных законодательством.

6.2. Штрафы, штрафы и еще раз штрафы

Размеры штрафов по статье 13.11 КоАП РФ были значительно увеличены и представляют серьезную угрозу для бюджета любой компании, особенно при повторных нарушениях.

Таблица 4. Штрафы за нарушения в области персональных данных (ст. 13.11 КоАП РФ)

Состав правонарушения	Часть ст. 13.11 КоАП	Штраф для должностных лиц	Штраф для юридических лиц
Обработка ПДн в случаях, не предусмотренных законом (например, хранение после достижения цели)	ч. 1	10 000 – 20 000 руб.	60 000 – 100 000 руб.
Повторное совершение нарушения по ч. 1	ч. 1.1	20 000 – 50 000 руб.	100 000 – 300 000 руб.
Невыполнение в срок требования об уничтожении ПДн	ч. 5	8 000 – 20 000 руб.	50 000 – 90 000 руб.
Повторное невыполнение требования об уничтожении ПДн	ч. 5.1	30 000 – 50 000 руб.	300 000 – 500 000 руб.
Невыполнение обязанности по обеспечению записи/хранения баз данных граждан РФ на территории РФ	ч. 8	100 000 – 200 000 руб.	1 000 000 – 6 000 000 руб.
Неуведомление Роскомнадзора об утечке ПДн	ч. 11	400 000 – 800 000 руб.	1 000 000 – 3 000 000 руб.
Утечка данных (от 10 тыс. до 100 тыс. субъектов)	ч. 12	200 000 – 400 000 руб.	3 000 000 – 5 000 000 руб.
Утечка данных (более 100 тыс. субъектов)	ч. 14	400 000 – 600 000 руб.	10 000 000 – 15 000 000 руб.

Источники: ¹

Важно понимать каскадный характер рисков. Простое неисполнение требования об уничтожении данных (штраф до 90 тыс. руб.) может привести к тому, что эти «лишние» данные утекут. И тогда компания столкнется уже со штрафами в миллионы рублей за саму утечку. Таким образом, своевременное и правильное уничтожение — это не только исполнение прямой обязанности, но и важнейшая мера по минимизации рисков утечек.

6.3. Практика проверок Роскомнадзора

В ходе плановых и внеплановых проверок инспекторы Роскомнадзора уделяют процедуре уничтожения пристальное внимание. Практика показывает, что они запрашивают следующий пакет документов:

• Локальный нормативный акт, регулирующий порядок уничтожения ПДн.
• Приказ о назначении комиссии по уничтожению.
• Акты об уничтожении персональных данных за проверяемый период.
• Выгрузки из журналов регистрации событий (если применимо).

Отсутствие этих документов или их неполное/неправильное оформление (например, отсутствие обязательных реквизитов в акте) является прямым доказательством нарушения и основанием для составления протокола об административном правонарушении.⁵ Инспектору не нужно доказывать, что данные не были удалены технически; ему достаточно показать, что процесс не был задокументирован в соответствии с Приказом № 179.

6.4. Судебная практика

Судебная практика по статье 13.11 КоАП РФ обширна и в подавляющем большинстве случаев складывается не в пользу операторов. Суды подтверждают законность требований Роскомнадзора и признают операторов виновными даже при, казалось бы, незначительных процедурных нарушениях. Аргументы в духе «мы же удалили, просто бумажку не составили» судами не принимаются. Суды исходят из того, что установленный порядок подтверждения уничтожения является неотъемлемой частью обязанности оператора.⁸² Кроме того, суды отмечают, что невыполнение требования об уничтожении в установленный срок не является длящимся правонарушением, и срок давности (один год для ст. 13.11) начинает течь с момента истечения этого срока.⁸²

Раздел 7. Практический кейс: уничтожение данных уволенного сотрудника и клиента интернет-магазина

Теория важна, но лучше всего правила усваиваются на практике. Давайте рассмотрим на примере вымышленной компании ООО «Практика», как должен выглядеть процесс уничтожения данных в двух типичных ситуациях.

Вводные данные: В ООО «Практика» утверждено «Положение о порядке уничтожения персональных данных», а также приказом руководителя создана постоянно действующая комиссия в составе:

• Иванова И.И., начальника отдела кадров (председатель комиссии).
• Петрова П.П., системного администратора.
• Сидоровой С.С., юрисконсульта (ответственной за организацию обработки ПДн).

---

Сценарий 1: Увольнение сотрудника

Ситуация: 31 мая 2024 года из ООО «Практика» увольняется менеджер по продажам Кузнецов А.А. Он подписывает все документы и отзывает свое согласие на обработку персональных данных.

Алгоритм действий:

1. Инициация (1 июня 2024 г.): Начальник отдела кадров Иванова И.И. готовит служебную записку на имя председателя комиссии (то есть на себя) о необходимости проведения процедуры уничтожения ПДн Кузнецова А.А. в связи с увольнением и отзывом согласия.
2. Заседание комиссии (3 июня 2024 г.): Комиссия собирается для анализа личного дела и электронных данных Кузнецова А.А.

• Решение комиссии:

• Документы, подлежащие длительному архивному хранению согласно Приказу Росархива № 236 (трудовой договор, личная карточка Т-2, приказы о приеме и увольнении), уничтожению не подлежат. Они передаются в архив организации на хранение сроком на 50 лет.
• Документы, срок хранения которых истек или для хранения которых нет законных оснований после увольнения (например, копия паспорта, анкета соискателя, старые характеристики, копия СНИЛС), подлежат уничтожению.
• Электронные учетные записи Кузнецова А.А. в системе «1С:Зарплата и управление персоналом» и в корпоративном мессенджере подлежат удалению.

3. Уничтожение и фиксация (4 июня 2024 г.):

• Бумажные носители: В присутствии всех членов комиссии Иванова И.И. уничтожает отобранные бумажные документы (всего 5 листов) с помощью офисного шредера 5 уровня секретности (P-5).
• Электронные носители: Системный администратор Петров П.П. удаляет учетную запись Кузнецова А.А. из ИСПДн «1С:Зарплата и управление персоналом». Система автоматически генерирует запись в журнале событий. Петров П.П. делает выгрузку из этого журнала.

4. Оформление документов (4 июня 2024 г.): Комиссия составляет и подписывает единый акт.

---

Образец Акта об уничтожении

АКТ № 12-УН

об уничтожении персональных данных

г. Москва

04 июня 2024 г.

Комиссия, назначенная приказом ООО «Практика» от 15.01.2023 № 5, в составе:

Председатель комиссии: начальник отдела кадров Иванова И.И.

Члены комиссии: системный администратор Петров П.П., юрисконсульт Сидорова С.С.

составила настоящий акт о том, что были уничтожены персональные данные следующего субъекта:

Кузнецов Алексей Андреевич

1. Уничтожены персональные данные на материальных носителях:

• Перечень категорий уничтоженных ПДн: анкетные данные, паспортные данные.
• Наименование носителей: Анкета соискателя (2 л.), Копия паспорта (2 л.), Копия СНИЛС (1 л.).
• Способ уничтожения: механическое измельчение на шредере HSM SECURIO C18 (уровень секретности P-5).

2. Уничтожены персональные данные в информационных системах:

• Перечень категорий уничтоженных ПДн: анкетные данные, сведения о трудовой деятельности, контактная информация.
• Наименование ИСПДн: «1С:Зарплата и управление персоналом», версия 8.3.
• Способ уничтожения: удаление учетной записи пользователя стандартными средствами системы.

Причина уничтожения: прекращение трудовых отношений, отзыв согласия на обработку персональных данных от 31.05.2024.

Дата уничтожения: 04.06.2024.

Приложение: Выгрузка из журнала регистрации событий в ИСПДн «1С:Зарплата и управление персоналом» от 04.06.2024 на 1 л.

Подписи:

Председатель комиссии: Иванова /Иванова И.И./

Члены комиссии: Петров /Петров П.П./

Сидорова /Сидорова С.С./

---

Образец Выгрузки из журнала

Выгрузка из журнала регистрации событий ИСПДн «1С:Зарплата и управление персоналом»

Дата и время	Событие	Субъект ПДн (ID)	Категории ПДн	Причина	Исполнитель
04.06.2024 11:32:15	Уничтожение ПДн	Кузнецов Алексей Андреевич (ID 789)	анкетные данные, сведения о трудовой деятельности, контактная информация	Отзыв согласия	Петров П.П.

---

Сценарий 2: Отзыв согласия клиента

Ситуация: 10 июня 2024 года в службу поддержки интернет-магазина ООО «Практика» поступает электронное письмо от клиента Васильева В.В. с требованием удалить его личный кабинет и все связанные с ним персональные данные.

Алгоритм действий:

1. Регистрация и передача (10 июня 2024 г.): Сотрудник поддержки регистрирует обращение и передает его юрисконсульту Сидоровой С.С.
   
2. Анализ и решение (11 июня 2024 г.): Сидорова С.С. проверяет, нет ли законных оснований для продолжения хранения данных. Она выясняет, что последняя покупка была совершена 2 года назад, гарантийные сроки истекли. Однако данные о самой покупке (сумма, дата, состав заказа) должны храниться в бухгалтерской системе для целей налогового учета еще 3 года. Данные в CRM-системе (история обращений, предпочтения, email для рассылок) могут быть удалены. Сидорова С.С. инициирует заседание комиссии.
3. Уничтожение и фиксация (12 июня 2024 г.):

• Петров П.П. удаляет профиль клиента Васильева В.В. из CRM-системы «RetailCRM». Система логирует это действие. Он формирует выгрузку из журнала.
• Бумажных носителей, связанных с клиентом, в компании нет.

4. Оформление документов (12 июня 2024 г.): Комиссия подписывает акт, аналогичный представленному выше, но с указанием данных клиента Васильева В.В., наименования ИСПДн «RetailCRM» и причины «отзыв согласия». К акту прикладывается выгрузка из журнала.
   
5. Уведомление клиента (13 июня 2024 г.): Сидорова С.С. направляет ответ Васильеву В.В., в котором сообщает, что его персональные данные, обрабатываемые на основании согласия, были уничтожены. При этом она информирует его, что информация о его заказах будет храниться в течение срока, установленного налоговым законодательством, после чего также будет уничтожена.

Эти два кейса показывают, что процесс уничтожения — это не просто техническая операция, а четко регламентированная процедура, требующая участия разных специалистов и обязательного документального оформления.

Раздел 8. Часто задаваемые вопросы (mini-faq)

1. Нужно ли уведомлять Роскомнадзор о факте уничтожения данных?

Нет, не нужно. Оператор обязан уведомлять Роскомнадзор о начале обработки ПДн, о трансграничной передаче и об утечках данных. Обязанности уведомлять регулятора о каждом факте планового или внепланового уничтожения данных законом не установлено.28 Вся процедура и ее подтверждение остаются внутренним делом компании, но должны быть готовы к представлению в ходе проверки.

2. Что делать, если технически невозможно удалить данные в установленный срок (например, из архивных бэкапов)?

Закон предусматривает такой сценарий. Если немедленное уничтожение технически невозможно, оператор обязан осуществить блокирование таких персональных данных (то есть прекратить к ним доступ и любую обработку, кроме хранения) и обеспечить их уничтожение в срок, не превышающий 6 месяцев с момента истечения основного срока. Об этих мерах и сроках оператор обязан уведомить субъекта ПДн.25

3. Кто может входить в состав комиссии по уничтожению?

Закон не устанавливает жестких требований к должностям членов комиссии. Оператор определяет состав самостоятельно. Рекомендуется включать в комиссию сотрудников, обладающих необходимой компетенцией: представителя IT-службы (для технической экспертизы), представителя подразделения, инициирующего уничтожение (например, HR или бухгалтерия), и ответственного за организацию обработки ПДн или юриста (для контроля за соблюдением законодательства).27 Главное, чтобы состав был утвержден приказом руководителя.

4. Можно ли передать уничтожение документов сторонней организации (например, архивной компании)?

Да, можно. Однако ответственность перед субъектом ПДн и Роскомнадзором все равно несет оператор. При передаче документов на уничтожение сторонней организации необходимо заключить с ней договор поручения на обработку (уничтожение) ПДн. Эта организация должна использовать сертифицированные методы и по итогам работы предоставить вам свой акт об уничтожении. На основании этого акта ваша внутренняя комиссия составляет и подписывает собственный акт, который и будет храниться у вас в течение 3 лет.

5. Как оформить акт, если данные уничтожаются и на бумаге, и в информационной системе одновременно?

Можно составить один общий акт, как это показано в кейсе с уволенным сотрудником (Раздел 7). В таком акте должны быть два раздела: один описывает уничтожение материальных (бумажных) носителей, а второй — уничтожение данных из ИСПДн. К такому сводному акту обязательно прикладывается выгрузка из журнала регистрации событий, подтверждающая удаление данных из системы.2

6. Что такое «блокирование» и когда оно применяется?

Блокирование — это временное прекращение обработки персональных данных (за исключением их хранения).25 Оно применяется в двух основных случаях:

• По требованию субъекта на период проверки, если он оспаривает точность, полноту или законность обработки своих данных.
• В случае, когда немедленное уничтожение данных технически невозможно (как описано в вопросе №2).
  Блокирование — это временная мера, которая в итоге должна закончиться либо уточнением и разблокировкой данных, либо их уничтожением.

7. Нужно ли вести отдельный журнал учета уничтожения ПДн?

Приказ № 179 не устанавливает прямой обязанности вести такой журнал. Основными подтверждающими документами являются акт и выгрузка из логов.85 Однако ведение единого «Журнала регистрации операций по уничтожению ПДн» является рекомендованной лучшей практикой.⁸⁶ Это позволяет систематизировать учет всех операций по уничтожению, легко отслеживать хронологию и быстро находить нужные акты при проверках. Форму такого журнала компания может разработать самостоятельно.

Принцип правового приоритета: специальный закон важнее общего

Это отличный и очень важный вопрос, который затрагивает одну из самых сложных зон комплаенса — так называемый «конфликт законов». С одной стороны, закон «О персональных данных» (152-ФЗ) требует уничтожать данные по достижении цели обработки или по требованию клиента. С другой — Налоговый кодекс и закон «О бухгалтерском учете» обязывают хранить финансовые документы годами.

Давайте разберемся, как эти требования соотносятся и какой закон имеет приоритет.

Ключевой принцип, который здесь работает, — это приоритет специального законодательства над общим.

• Федеральный закон № 152-ФЗ «О персональных данных» является общим законом, который регулирует все аспекты обработки любой информации о физических лицах.
• Налоговый кодекс РФ и Федеральный закон № 402-ФЗ «О бухгалтерском учете» являются специальными законами, которые устанавливают конкретные обязанности по хранению документов, необходимых для исчисления и уплаты налогов, а также для ведения бухгалтерского учета.

В случае возникновения коллизии, нормы специального закона имеют преимущество. Более того, сам закон 152-ФЗ предусматривает такие ситуации. Он разрешает оператору продолжать обработку персональных данных даже после отзыва согласия, если это необходимо «для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей».¹ Хранение документов для налогового учета как раз и является такой прямой обязанностью.

Таким образом, требования Налогового кодекса и законодательства о бухучете имеют приоритет над правом клиента на удаление данных, но только в отношении той информации, которая непосредственно относится к налоговому и бухгалтерскому учету.²

Какие конкретно данные и сколько нужно хранить

Налоговое и бухгалтерское законодательство устанавливает четкие сроки хранения для документов, подтверждающих транзакции и финансовые операции.

Вид документа	Срок хранения	Основание
Первичные учетные документы (договоры, акты, накладные, кассовые чеки, квитанции)	Не менее 5 лет после отчетного года	Ч. 1 ст. 29 Закона № 402-ФЗ «О бухгалтерском учете» 3
Документы, необходимые для исчисления и уплаты налогов (включая данные о доходах и расходах)	Не менее 5 лет	Пп. 8 п. 1 ст. 23 Налогового кодекса РФ 3
Счета-фактуры, книги покупок и продаж	Не менее 5 лет	Приказ Росархива № 236, пп. 8 п. 1 ст. 23 НК РФ 3
Документы по расчетам страховых взносов	6 лет	Пп. 6 п. 3.4 ст. 23 НК РФ 5

Принцип минимизации данных: храним только необходимое

Приоритет налогового законодательства не дает компании права хранить все данные о клиенте. Здесь вступает в силу другой важный принцип из 152-ФЗ — минимизация данных. Это означает, что вы обязаны хранить только тот объем информации, который строго необходим для выполнения требований закона.

Что это значит на практике:

• Вы обязаны хранить: информацию о транзакциях (дата, сумма, состав заказа), договор с клиентом, акты выполненных работ, счета-фактуры. Эти данные напрямую влияют на расчет налоговой базы.
  
• Вы обязаны уничтожить (по требованию клиента): его маркетинговые предпочтения, историю просмотров на сайте, переписку со службой поддержки на общие темы, согласие на получение рекламных рассылок и т.д. Эти данные не нужны для налогового учета.

Алгоритм действий при получении запроса от клиента на удаление

Если вы получили от клиента требование уничтожить его персональные данные, правильный алгоритм действий выглядит так:

1. Зарегистрируйте обращение. Убедитесь, что вы можете идентифицировать клиента.
2. Проведите анализ данных. Разделите все хранящиеся данные о клиенте на две категории:

• Категория 1: Данные, необходимые для исполнения требований налогового, бухгалтерского и архивного законодательства (история покупок, договоры, акты).
• Категория 2: Все остальные данные (маркетинговая информация, история обращений в поддержку и т.д.).

3. Выполните частичное уничтожение. Уничтожьте все данные из Категории 2 в установленный законом срок (обычно 30 дней при отзыве согласия).¹⁰ Обязательно зафиксируйте этот факт актом об уничтожении.
4. Подготовьте официальный ответ клиенту. В ответе необходимо вежливо и юридически грамотно объяснить ситуацию:

• Поблагодарите за обращение.
  
• Сообщите, что его запрос частично исполнен: данные, не требующиеся для исполнения законодательства (например, из его профиля для рассылок), были уничтожены.
• Объясните, что часть данных (информация о его заказах и платежах) не может быть удалена немедленно в связи с прямыми требованиями законодательства.
• Сошлитесь на конкретные нормы: часть 1 статьи 29 Федерального закона № 402-ФЗ «О бухгалтерском учете» и подпункт 8 пункта 1 статьи 23 Налогового кодекса РФ, которые обязывают хранить первичные учетные документы в течение 5 лет.
• Заверьте клиента, что по истечении установленного законом срока хранения эти данные также будут уничтожены в установленном порядке.

Такой подход демонстрирует ваше уважение к правам клиента и одновременно защищает компанию от претензий со стороны налоговых органов.

Удаление трансграничных персональных данных

Важно помнить: согласно российскому законодательству, вся ответственность за действия иностранного сервиса (обработчика) перед гражданином и Роскомнадзором лежит на вас, как на российской компании (операторе), которая эти данные собрала.

Подготовительный этап: до получения запроса

Прежде чем вы получите первый запрос на удаление, у вас уже должна быть выстроена система.

1. Разработайте внутренний регламент. Создайте и утвердите локальный нормативный акт (например, «Положение о порядке уничтожения персональных данных»), где будет описан весь процесс.
   
2. Назначьте комиссию. Сформируйте приказом постоянно действующую комиссию (минимум 3 человека), которая будет отвечать за документальную фиксацию уничтожения данных.
   
3. Изучите договор с иностранным сервисом. Убедитесь, что в вашем соглашении об обработке данных (Data Processing Agreement, DPA) с иностранным партнером прописана его обязанность удалять данные по вашему поручению и предоставлять технические средства для этого.
   
4. Обеспечьте техническую возможность. У вас должен быть механизм, позволяющий связать конкретного пользователя (например, по его email или логину) с его анонимными идентификаторами в иностранной системе (например, Client ID в Google Analytics). Без этого вы технически не сможете исполнить запрос.

Пошаговый план действий при получении запроса на удаление

Шаг 1. Получение и валидация запроса от субъекта

1. Прием обращения. Запрос на удаление поступает от гражданина РФ к вам — российской компании. Он должен быть направлен на ваш официальный адрес, указанный в политике конфиденциальности.
   
2. Идентификация и регистрация. Вы должны убедиться, что запрос поступил именно от того человека, чьи данные он просит удалить. Зарегистрируйте обращение во внутреннем журнале для отслеживания сроков.

Шаг 2. Внутренний анализ и принятие решения

1. Правовая оценка. Ваш ответственный за обработку персональных данных (DPO) или юрист должен проверить, нет ли у вас законных оснований для продолжения хранения части данных. Например, сведения о финансовых транзакциях необходимо хранить для налогового учета в течение 5 лет, и это требование имеет приоритет над правом на удаление.
   
2. Определение объема удаления. По результатам анализа вы четко определяете, какие данные подлежат немедленному уничтожению (например, маркетинговая информация, история поведения на сайте), а какие должны храниться дальше по закону.

Шаг 3. Техническое исполнение удаления в иностранном сервисе

1. Подача команды на удаление. Ваш технический специалист, используя инструменты иностранного сервиса (например, User Deletion API в Google Analytics), отправляет команду на удаление данных, связанных с конкретным идентификатором пользователя. Это действие является вашим официальным «поручением» иностранному обработчику.
   
2. Получение технического подтверждения. Вы должны получить от иностранного сервиса подтверждение, что команда на удаление принята и будет исполнена. Это может быть ответ от API, запись в лог-файле системы или уведомление в интерфейсе. Сохраните это подтверждение (например, в виде скриншота или текстового файла) — оно понадобится для следующего шага.

Шаг 4. Документальное оформление по требованиям РФ

Это самый важный этап для соответствия требованиям Роскомнадзора. Иностранный сервис не предоставит вам эти документы, вы должны создать их сами на основании технического подтверждения из шага 3.

1. Составление Акта об уничтожении. Ваша внутренняя комиссия составляет и подписывает «Акт об уничтожении персональных данных». В нем обязательно должны быть указаны:

• Ваши наименование и адрес (оператора).
• Наименование и адрес иностранного сервиса (обработчика).
• Идентификатор субъекта, чьи данные удалены.
• ФИО и должности членов вашей комиссии, их подписи.
• Перечень категорий уничтоженных данных (например, «данные о поведении на сайте, IP-адрес»).
• Наименование информационной системы (например, «Google Analytics, ресурс G-XXXXX»).
• Причина уничтожения (например, «отзыв согласия субъекта ПДн»).
• Способ уничтожения (например, «посредством API-запроса»).
• Дата уничтожения.

2. Формирование выгрузки из журнала. К акту необходимо приложить «Выгрузку из журнала регистрации событий». Ее вы формируете на основе технического подтверждения, полученного на шаге 3. Выгрузка должна содержать:

• Идентификатор субъекта.
• Перечень категорий уничтоженных данных.
• Наименование информационной системы.
• Причину и дату уничтожения.

3. Хранение документов. Составленный акт и выгрузку из журнала вы обязаны хранить у себя в течение трех лет.²¹

Шаг 5. Уведомление субъекта

1. Отправка ответа. После того как все процедуры выполнены и задокументированы, вы обязаны уведомить гражданина об уничтожении его данных.²
   
2. Разъяснение по данным, которые не были удалены. Если часть данных была сохранена на законных основаниях (например, для налогового учета), в ответе необходимо вежливо и четко объяснить причину, сославшись на соответствующий закон, и указать срок, по истечении которого эти данные также будут уничтожены.

Заключение: ключевые выводы и рекомендации

Процесс уничтожения персональных данных в России претерпел фундаментальные изменения. Из неформальной технической задачи он превратился в строго регламентированный, формализованный и аудируемый бизнес-процесс, цена ошибки в котором измеряется сотнями тысяч, а иногда и миллионами рублей. Игнорировать новые требования — значит подвергать компанию неоправданному риску.

Чтобы выстроить систему комплаенса, которая выдержит любую проверку, операторам необходимо сосредоточиться на пяти ключевых направлениях:

1. Формализуйте процесс. Не полагайтесь на устные инструкции. Разработайте и утвердите единый внутренний документ — «Положение о порядке уничтожения персональных данных». Это ваш фундамент и первый щит при проверке.
2. Документируйте всё. Акт об уничтожении и выгрузка из журнала событий — это не бюрократическая формальность, а ваше главное юридическое доказательство. Подходите к их составлению с максимальной скрупулезностью, проверяя наличие всех обязательных реквизитов. Помните: нет акта — не было уничтожения.
3. Помните о конфликте законов. Прежде чем уничтожить данные по требованию субъекта, всегда проверяйте, не обязывают ли вас другие федеральные законы (архивное, налоговое, медицинское, банковское законодательство) хранить их дальше. Правило простое: специальный закон имеет приоритет.
4. Инвестируйте в надежные технологии. Выбирайте такие методы уничтожения, которые не только эффективны, но и являются общепризнанными стандартами (DIN 66399 для бумаги, NIST SP 800-88 для электроники). Это позволит вам не просто заявить, что данные невосстановимы, но и доказать это, сославшись на авторитетный стандарт.
5. Обучайте персонал. Каждый сотрудник, работающий с персональными данными — от HR-менеджера до системного администратора — должен четко понимать свою роль и ответственность в процессе уничтожения. Регулярные инструктажи и внутренние аудиты помогут избежать ошибок, вызванных человеческим фактором.

Соблюдение новых требований — это не спринт, а марафон. Он требует первоначальных усилий по выстраиванию процессов и разработке документации. Но однажды созданная, эта система станет надежной защитой вашего бизнеса, превратив одну из самых рискованных зон комплаенса в управляемый и прозрачный механизм, работающий на сохранение вашей репутации и финансовой стабильности.

Источники

1. Штраф за неуничтожение персональных данных уволенных сотрудников — Б-152, дата последнего обращения: сентября 15, 2025, https://b-152.ru/udalenie-personalnyh-dannyh-na-uvolennyh-sotrudnikov-shtrafy
2. Роскомнадзором установлены Требования к подтверждению уничтожения персональных данных — Новости — Юристy — КонсультантПлюс Свердловская Область, дата последнего обращения: сентября 15, 2025, https://www.consultantso.ru/news/show/type/lawyer/year/2022/month/12/alias/trebovaniya_k_podtverzhdeniyu_unichtozheniya_personalnyh_dannyh
3. Роскомнадзором установлены требования к подтверждению уничтожения персональных данных — КонсультантПлюс, дата последнего обращения: сентября 15, 2025, https://www.consultant.ru/law/hotdocs/78098.html
4. Уничтожение персональных данных: как соблюсти новые требования, дата последнего обращения: сентября 15, 2025, https://profkadrovik.ru/articles/office-work/unichtozhenie-personalnykh-dannykh-kak-soblyusti-novye-trebovaniya-23-m3/
5. Уничтожение персональных данных. Как найти баланс между требованиями РКН и интересами компании, дата последнего обращения: сентября 15, 2025, https://e.tspor.ru/1107948
6. Ответственность за обработку персональных данных: изменения 2025 года — Контур, дата последнего обращения: сентября 15, 2025, https://kontur.ru/articles/55870-otvetstvennost_za_obrabotku_pers_dannyh
7. Размеры штрафов за персональные данные с 30 мая 2025 года, дата последнего обращения: сентября 15, 2025, https://www.tspor.ru/article/2254-qqq-17-m6-02-06-2017-personalnye-dannye-rabotnikov-s-1-iyulya
8. Федеральный закон от 27.07.2006 N 152-ФЗ(ред. от 08.08.2024)»О персональных данных», дата последнего обращения: сентября 15, 2025, https://www.ksp.mos.ru/upload/docs/6_%D0%A4%D0%97-152%20(%D1%80%D0%B5%D0%B4.%20%D0%BE%D1%82%2008.08.2024).rtf
9. Закон о персональных данных от 27.07.2006 N 152-ФЗ (последняя редакция) | ГАРАНТ, дата последнего обращения: сентября 15, 2025, https://base.garant.ru/12148567/
10. Приказ Роскомнадзора от 19.06.2025 N 140 — Контур.Норматив, дата последнего обращения: сентября 15, 2025, https://normativ.kontur.ru/document?moduleId=1&documentId=500957
11. Инструкция по уничтожению и обезличиванию персональных данных на бу, дата последнего обращения: сентября 15, 2025, https://sc282.kirov.spb.ru/images/pd/15_instrukciya_po_unichtozheniyu_materialnyh_nositeley_informacii_i_informacii_s_materialnyh_nositeley_informacii.pdf
12. Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных \ КонсультантПлюс, дата последнего обращения: сентября 15, 2025, https://www.consultant.ru/document/cons_doc_LAW_61801/d3fe43a7c415353b17faab255bc0de92bea127da/
13. Федеральный закон «О персональных данных» от 27.07.2006 N …, дата последнего обращения: сентября 15, 2025, https://www.consultant.ru/document/cons_doc_LAW_61801/
14. Приказ Роскомнадзора от 28.10.2022 N 179 «Об утверждении …, дата последнего обращения: сентября 15, 2025, https://www.consultant.ru/document/cons_doc_LAW_432556/
15. Роскомнадзор установил требования к подтверждению уничтожения персональных данных | Новости: ГАРАНТ.РУ, дата последнего обращения: сентября 15, 2025, https://www.garant.ru/news/1588437/
16. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 N 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» — Документы системы ГАРАНТ, дата последнего обращения: сентября 15, 2025, https://base.garant.ru/405821247/
17. Как документально оформить факт уничтожения персональных данных – разъяснения Роскомнадзора | Новости: ГАРАНТ.РУ, дата последнего обращения: сентября 15, 2025, https://www.garant.ru/news/1605887/
18. Инструкция по обезличиванию данных с 1 сентября 2025: методы и порядок действий, дата последнего обращения: сентября 15, 2025, https://www.klerk.ru/blogs/klerk/660468/
19. ПОЛИТИКА обработки и защиты персональных данных в Федеральном государственном бюджетном учреждении «Национальный медико-хирургический Центр, дата последнего обращения: сентября 15, 2025, https://fcmk.minzdrav.gov.ru/wp-content/uploads/2023/12/personal-data-policy.pdf
20. Политика в отношении обработки персональных данных — Дуэт Клиник, дата последнего обращения: сентября 15, 2025, https://duetclinic.ru/privacy-policy/
21. Уничтожение персональных данных: как соблюсти новые требования, дата последнего обращения: сентября 15, 2025, https://profkadrovik.ru/info/articles/office-work/unichtozhenie-personalnykh-dannykh-kak-soblyusti-novye-trebovaniya-23-m3/
22. Какие персональные данные нужно уничтожить 2025: сроки, образец акта — Упрощенка, дата последнего обращения: сентября 15, 2025, https://www.26-2.ru/art/358032-kak-unichtojat-dokumenty-soderjashchie-personalnye-dannye-perechen-kategoriy-oformlenie
23. Уничтожение персональных данных в 2025 году — Время бухгалтера, дата последнего обращения: сентября 15, 2025, https://www.v2b.ru/articles/unichtozhenie-personalnyh-dannyh-s-1-marta-2023-goda/
24. Новое в законе 152-ФЗ о персональных данных: изменения — Учет. Налоги. Право, дата последнего обращения: сентября 15, 2025, https://www.gazeta-unp.ru/articles/53285-zakon-152-fz-o-personalnyh-dannyh
25. Раздел Статья 21. Пункт 5. Федерального Закона № 152-ФЗ — Контроль соответствия, дата последнего обращения: сентября 15, 2025, https://service.securitm.ru/docs/152-fz/statya-21-punkt-5
26. Как правильно уничтожать персональные данные по требованиям Роскомнадзора, дата последнего обращения: сентября 15, 2025, https://habr.com/ru/articles/946790/
27. Уничтожение персональных данных по новым правилам: положение, способы, акты 2025 — Pro-personal.ru, дата последнего обращения: сентября 15, 2025, https://www.pro-personal.ru/article/1099460-20-m12-unichtojenie-personalnyh-dannyh
28. Как правильно уничтожать персональные данные по 152-ФЗ — АНО ДПО «ЕВИДПО», дата последнего обращения: сентября 15, 2025, https://evidpo.ru/blog/%D0%9A%D0%B0%D0%BA%20%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE%20%D1%83%D0%BD%D0%B8%D1%87%D1%82%D0%BE%D0%B6%D0%B0%D1%82%D1%8C%20%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5%20%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5%20%D0%BF%D0%BE%20152-%D0%A4%D0%97
29. Уничтожение персональных данных в 2025 году: порядок и образец акта — Business.ru, дата последнего обращения: сентября 15, 2025, https://www.business.ru/article/2186-unichtojenie-personalnyh-dannyh-gg
30. Рекомендации по процедуре уничтожения персональных данных, дата последнего обращения: сентября 15, 2025, https://comply.ru/tpost/5xcrm0ro31-rekomendatsii-po-protsedure-unichtozheni
31. Акт об уничтожении персональных данных: образец, дата последнего обращения: сентября 15, 2025, https://www.sekretariat.ru/article/211523-akt-ob-unichtojenii-personalnyh-dannyh-obrazets
32. Роскомнадзор рассказал, как подтвердить факт уничтожения персональных данных., дата последнего обращения: сентября 15, 2025, https://dialogit.ru/news/roskomnadzor-rasskazal-kak-podtverdit-fakt-unichtozheniya-personalnykh-dannykh/
33. Приказ Роскомнадзора от 28.10.2022 N 179 — Редакция от …, дата последнего обращения: сентября 15, 2025, https://normativ.kontur.ru/document?moduleId=1&documentId=437010
34. Правила уничтожения персональных данных, дата последнего обращения: сентября 15, 2025, https://delo-press.ru/journals/staff/prakticheskie-rekomendatsii/66235-pravila-unichtozheniya-personalnykh-dannykh/
35. Образец акта об уничтожении персональных данных — Кадровое Дело, дата последнего обращения: сентября 15, 2025, https://www.kdelo.ru/art/386664-akt-ob-unichtojenii-personalnyh-dannyh
36. Как уничтожать персональные данные в 2023 году — Контур.Экстерн, дата последнего обращения: сентября 15, 2025, https://www.kontur-extern.ru/info/43656-unichtozhenie_personalnyx_dannyx
37. Как правильно уничтожить документы — бухгалтерские и с истекшим сроком хранения, дата последнего обращения: сентября 15, 2025, https://www.archiv.ru/useful/metody-unichtozheniya-dokumentov/
38. 3. Уничтожение документов, созданных на бумажном носителе и в машиночитаемом виде — КонсультантПлюс, дата последнего обращения: сентября 15, 2025, https://www.consultant.ru/document/cons_doc_LAW_392748/65b1c16335caac75d9ddf3db471f1a4fa9582f7a/
39. Уровни секретности шредеров и уничтожителей документов, дата последнего обращения: сентября 15, 2025, https://lpm-shreder.ru/level-secret/
40. Protection classes | HSM GmbH + Co. KG — HSM EU, дата последнего обращения: сентября 15, 2025, https://eu.hsm.eu/ru/klassy-sekretnosti
41. Уровни секретности шредеров — стандарт DIN 66399 — bulros, дата последнего обращения: сентября 15, 2025, https://bulros.com/urovni-sekretnosti-shrederov-standart-din-66399/
42. Для чего нужен шредер — принцип работы, характеристики — Gus-info.ru, дата последнего обращения: сентября 15, 2025, https://gus-info.ru/digest/digest_2718.html
43. Уровни секретности шредеров по стандарту DIN 66399. — А-Техно, дата последнего обращения: сентября 15, 2025, https://a-techno.com.ua/news-1157-id5128/
44. Уничтожение персональных данных в 2025 году — Портал-Юг, дата последнего обращения: сентября 15, 2025, https://portal-yug.ru/blog/unichtozhenie-personalnykh-dannykh-/
45. Безопасное удаление данных — iShredder — Protectstar.com, дата последнего обращения: сентября 15, 2025, https://www.protectstar.com/ru/products/ishredder
46. Заметаем следы. Или как безвозвратно удалить файл на жестком диске | Статья, дата последнего обращения: сентября 15, 2025, https://club.directum.ru/post/164174
47. DoD 5220.22-M: основы стандартов очистки данных — NSYS Group, дата последнего обращения: сентября 15, 2025, https://nsysgroup.com/ru/blog/data-erasure-standards-101/
48. DoD 522022-M vs NIST 800-88 — какой стандарт удаления данных лучше — NSYS Group, дата последнего обращения: сентября 15, 2025, https://nsysgroup.com/ru/blog/dod-5220-22-m-vs-nist-800-88-which-is-better-for-your-business/
49. NIST 800-88 VS DoD 5220.22-M — Sipi Metals Corp., дата последнего обращения: сентября 15, 2025, https://www.sipicorp.com/wp-content/uploads/2019/09/NIST_vs_DoD_V3.pdf
50. NIST vs DoD – Which is More Preferable? — Data Erasure — SysTools, дата последнего обращения: сентября 15, 2025, https://www.systoolsgroup.com/updates/nist-vs-dod/
51. Удаление данных с накопителей при возврате — Media Sanitization Practices During Product Return Process, дата последнего обращения: сентября 15, 2025, https://www.seagate.com/files/www-content/support-content/warranty/_shared/Files/media-sanitization-practices-032116_RU.pdf
52. DoD vs. NIST- Which Is The Best Data Erasure Standard? — BitRaser, дата последнего обращения: сентября 15, 2025, https://www.bitraser.com/article/dod-vs-nist-data-erasure-standards.php
53. Промышленные размагничиватели инструмента, деталей, жестких, дата последнего обращения: сентября 15, 2025, https://www.copydisk.ru/erasers.html
54. Размагничиватели HDD (Degaussers) купить в интернет-магазине allbackup.ru, дата последнего обращения: сентября 15, 2025, https://www.allbackup.ru/catalog/mo-udo-blu-ray/blu-ray/degausser/
55. Какие методы используются для размагничивания современных жестких дисков? — Вопросы к Поиску с Алисой (Яндекс Нейро), дата последнего обращения: сентября 15, 2025, https://ya.ru/neurum/c/tehnologii/q/kakie_metody_ispolzuyutsya_dlya_razmagnichivaniya_fab221b5
56. Что такое криптостирание — Термины и определения в кибербезопасности, дата последнего обращения: сентября 15, 2025, https://www.vpnunlimited.com/ru/help/cybersecurity/crypto-shredding
57. С помощью технологии Seagate Instant Secure Erase (ISE), дата последнего обращения: сентября 15, 2025, https://www.seagate.com/files/www-content/product-content/_cross-product/ru/docs/how-to-ise-your-drive-tp-644-1-1211-ru.pdf
58. Secure Erase и Authenticated Erase: как накопители стирают данные навсегда | Блог Serverflow, дата последнего обращения: сентября 15, 2025, https://serverflow.ru/blog/stati/secure-erase-i-authenticated-erase-kak-nakopiteli-stirayut-dannye-navsegda/
59. Порядок уничтожения персональных данных — Институт развития образования Кировской области, дата последнего обращения: сентября 15, 2025, https://kirovipk.ru/wp-content/uploads/2022/05/poryadok-unichtozheniya-personalnyh-dannyh.pdf
60. VIII. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований — КонсультантПлюс, дата последнего обращения: сентября 15, 2025, https://www.consultant.ru/document/cons_doc_LAW_392542/6e3e74207b5e3d449f05f59953ad85b3b3681dc7/
61. Политика обработки персональных данных — Электронный документооборот (EDI и ЮЗДО), дата последнего обращения: сентября 15, 2025, https://edi.magnit-info.ru/pdn/
62. Срок хранения согласия на обработку персональных данных — Контур.Экстерн, дата последнего обращения: сентября 15, 2025, https://www.kontur-extern.ru/info/56049-srok_xraneniya_personalnyx_dannyx_rabotnikov
63. Приказ Росархива от 20.12.2019 N 236 — Редакция от 20.12 …, дата последнего обращения: сентября 15, 2025, https://normativ.kontur.ru/document?moduleId=1&documentId=354703
64. Приказ Росархива от 20 декабря 2019 г. № 236, дата последнего обращения: сентября 15, 2025, https://mz.gorodperm.ru/upload/sites/1/common/File/%D0%9F%D1%80%D0%B8%D0%BA%D0%B0%D0%B7%20%D0%A0%D0%BE%D1%81%D0%B0%D1%80%D1%85%D0%B8%D0%B2%D0%B0%20%D0%BE%D1%82%2020.12.2019%20%E2%84%96%20236.pdf
65. Приказ Росархива от 20.12.2019 N 236″Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»(Зарегистри, дата последнего обращения: сентября 15, 2025, https://stategovernor.admhmao.ru/upload/iblock/fbb/Prikaz-Rosarkhiva-ot-20.12.2019-N-236-Ob-utverzhdenii-Perechnya.rtf
66. Срок хранения банковских документов в 2025 году — Упрощенка, дата последнего обращения: сентября 15, 2025, https://www.26-2.ru/art/351494-srok-hraneniya-bankovskih-dokumentov-
67. Приказ Минздрава России от 03.08.2023 N 408″Об утверждении Перечня докуме, дата последнего обращения: сентября 15, 2025, https://gorpol39.spb.ru/wp-content/uploads/2019/02/%D0%9F%D1%80%D0%B8%D0%BA%D0%B0%D0%B7-%D0%9C%D0%B8%D0%BD%D0%B7%D0%B4%D1%80%D0%B0%D0%B2%D0%B0-%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8-%D0%BE%D1%82-03.08.2023-N-408-%D0%9E%D0%B1-%D1%83%D1%82%D0%B2%D0%B5%D1%80%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B8.pdf
68. Установлены сроки хранения всех медицинских документов — Право-мед.ру, дата последнего обращения: сентября 15, 2025, http://pravo-med.ru/news/17630/
69. Приказ Минздрава России от 03.08.2023 N 408 — про роомс, дата последнего обращения: сентября 15, 2025, https://mos-medsestra.ru/about/novosti/1379-prikaz-minzdrava-rossii-ot-03-08-2023-n-408
70. Минздрав России утвердил перечень документов, образующихся в деятельности медицинских организаций | Новости — ГАРАНТ, дата последнего обращения: сентября 15, 2025, https://www.garant.ru/news/1642226/
71. Определять сроки хранения документов медорганизации смогут по перечню Минздрава — КонсультантПлюс, дата последнего обращения: сентября 15, 2025, https://www.consultant.ru/legalnews/23080/
72. Долгожданный документ: утвержден перечень документов кредитных организаций со сроками их хранения — ПрофБанкинг, дата последнего обращения: сентября 15, 2025, https://www.profbanking.com/news/154-2022/4272-801-p
73. Положение Федерального архивного агентства и Банка России от 12.07.2022 N 1/801-П «Об утверждении Перечня документов, образующихся в процессе деятельности кредитных организаций, с указанием сроков их хранения» | ГАРАНТ, дата последнего обращения: сентября 15, 2025, https://base.garant.ru/405013121/
74. Положение Росархива N 1, ЦБ РФ N 801-П от 12.07.2022 — Контур.Норматив, дата последнего обращения: сентября 15, 2025, https://normativ.kontur.ru/document?moduleId=1&documentId=427808
75. Об утверждении Перечня документов, образующихся в процессе деятельности кредитных организаций, с указанием сроков их хранения от 12 июля 2022 — docs.cntd.ru, дата последнего обращения: сентября 15, 2025, https://docs.cntd.ru/document/351234133
76. Юридическая ответственность за нарушение порядка обработки персональных данных, дата последнего обращения: сентября 15, 2025, https://brace-lf.com/informaciya/cifrovoe/yuridicheskaya-otvetstvennost-za-narushenie-poryadka-obrabotki-personal-nykh-dannykh
77. КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных \ КонсультантПлюс, дата последнего обращения: сентября 15, 2025, https://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/
78. Судебная практика по ст. 13.11 КоАП РФ — Договор-Юрист.Ру, дата последнего обращения: сентября 15, 2025, https://dogovor-urist.ru/%D1%81%D1%83%D0%B4%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D0%BA%D0%B0/%D1%81%D1%82%D0%B0%D1%82%D1%8C%D1%8F/%D0%BA%D0%BE%D0%B0%D0%BF_%D1%80%D1%84/%D1%81%D1%82_13_11/
79. Ответственность за нарушение требований ФЗ «О персональных данных» — VEGAS LEX, дата последнего обращения: сентября 15, 2025, https://www.vegaslex.ru/analytics/publications/responsibility_for_violation_of_requirements_of_the_federal_law_on_personal_data/
80. Ответственность за нарушение закона о персональных данных — ГАРАНТ, дата последнего обращения: сентября 15, 2025, https://www.garant.ru/actual/persona/otvetstvennost/
81. Ответственность в области обработки и защиты персональных данных, дата последнего обращения: сентября 15, 2025, https://asta74.ru/content/otvetstvennost-v-oblasti-obrabotki-i-zashchity-personalnyh-dannyh
82. Постановление Верховного Суда РФ от 21 марта 2017 г. N 91-АД17-2 Поскольку суд не установил даты достижения цели обработки персональных данных, необходимой для исчисления срока давности привлечения к ответственности, выводы суда о виновности ответчика в неуничтожении анкет заемщиков с персональными данными, использование которых завершено, подлежат исключению из судебных актов по делу об административном правонарушении | Документы ленты ПРАЙМ — ГАРАНТ, дата последнего обращения: сентября 15, 2025, https://www.garant.ru/products/ipo/prime/doc/71554048/
83. Ответственность по ст. 13.11 КоАП РФ — Ульяновский областной суд, дата последнего обращения: сентября 15, 2025, http://www.uloblsud.ru/index.php?option=3&id=90&idCard=67705
84. Частная политика ООО «СМЛТ БАНК» в отношении обработки и защиты персональных данных, дата последнего обращения: сентября 15, 2025, https://samoletbank.ru/about/privacy-policy
85. Журнал учета уничтожения носителей персональных данных, дата последнего обращения: сентября 15, 2025, https://www.sekretariat.ru/article/211647-jurnal-unichtojeniya-personalnyh-dannyh-obrazets
86. Нужно ли вести журнал регистрации уничтожения персональных данных?, дата последнего обращения: сентября 15, 2025, https://www.kdelo.ru/qa/295544-nujno-li-vesti-jurnal-registratsii-unichtojeniya-personalnyh-dannyh