Кибероснова152-ФЗ

Акт уничтожения персональных данных: образец 2026 и порядок составления

Акт уничтожения персональных данных: когда составлять, порядок уничтожения, образец 2026, состав комиссии, способы уничтожения бумажных и электронных носителей.

22 января 2026 г.9 мин. чтения

Когда нужно уничтожить персональные данные

По ст. 21 закона 152-ФЗ оператор обязан уничтожить персональные данные в следующих случаях:

  • Достигнута цель обработки — данные больше не нужны для первоначальной цели (ч. 4 ст. 21)
  • Субъект отозвал согласие — оператор обязан уничтожить данные в течение 30 дней (ч. 5 ст. 21)
  • Истёк срок обработки — указанный в согласии или договоре
  • Обнаружена незаконная обработка — данные получены без оснований, нужно уничтожить в течение 10 рабочих дней
  • По требованию Роскомнадзора — при выявлении нарушений

Важно: факт уничтожения должен быть задокументирован. Для этого составляется акт уничтожения.

Что включить в акт уничтожения

Акт уничтожения персональных данных содержит:

  1. Дата и место составления
  2. Состав комиссии — не менее 3 человек: председатель (руководитель или заместитель), ответственный за ПДн, IT-специалист
  3. Основание уничтожения — ссылка на ст. 21 закона 152-ФЗ, приказ руководителя, отзыв согласия
  4. Перечень уничтожаемых данных — ФИО субъектов (обезличенно, например «данные 47 клиентов»), категории ПДн, объём
  5. Носители информации — бумажные документы, база данных, файлы на сервере, резервные копии
  6. Способ уничтожения — шредирование, форматирование, перезапись, физическое уничтожение
  7. Результат — «персональные данные уничтожены, восстановление невозможно»
  8. Подписи членов комиссии

Способы уничтожения персональных данных

Бумажные носители:

  • Шредирование (уровень P-4 и выше по DIN 66399)
  • Сжигание (в присутствии комиссии)
  • Химическое растворение (для больших объёмов)

Электронные носители:

  • Удаление записей из базы данных с очисткой корзины
  • Полное форматирование дисков (не быстрое!)
  • Перезапись данных (минимум 3 прохода по ГОСТ Р 50739-95)
  • Физическое уничтожение носителей (размагничивание, дробление)

Резервные копии:

  • Удаление из всех хранилищ (основной сервер, бэкапы, облако)
  • Если данные в shared-бэкапе — обезличивание или замена

Важно: простое удаление файла или записи из CRM недостаточно — данные можно восстановить. Уничтожение должно быть необратимым.

Комиссия по уничтожению

Уничтожение проводит комиссия, назначенная приказом руководителя. Минимальный состав:

  • Председатель — руководитель организации или заместитель
  • Ответственный за обработку ПДн — контролирует соответствие 152-ФЗ
  • IT-специалист / системный администратор — выполняет техническое уничтожение

Для регулярного уничтожения рекомендуется создать постоянную комиссию приказом руководителя с указанием периодичности (ежеквартально, ежегодно).

Сроки уничтожения

30 дней — после отзыва согласия субъектом (ч. 5 ст. 21 152-ФЗ). Если есть иные законные основания для хранения (договор, закон) — данные не уничтожаются.

10 рабочих дней — при обнаружении незаконной обработки (ч. 3 ст. 21).

По истечении срока обработки — указанного в согласии, договоре или нормативном акте.

Сроки хранения по другим законам (не уничтожать раньше!):

  • Бухгалтерские документы — 5 лет
  • Кадровые документы — 50–75 лет
  • Налоговые документы — 5 лет
  • Медицинские карты — 25 лет

Если ПДн содержатся в документах с длительным сроком хранения — уничтожить можно только после истечения этого срока.

Воронов Дмитрий

Воронов Дмитрий

Эксперт Киберосновы

Консультант по комплаенсу и регуляторным требованиям. Специализируется на отраслевой специфике: медицина, образование, финансы. Автор методических материалов по 152-ФЗ.

комплаенсотраслевая спецификамедицинаобразование

Часто задаваемые вопросы

Да. По ч. 3 ст. 21 закона 152-ФЗ оператор обязан задокументировать уничтожение. Акт — основной документ, подтверждающий факт уничтожения при проверке Роскомнадзора.
Нарушение ст. 5 ч. 7 (хранение дольше необходимого) влечёт штраф по ст. 13.11 КоАП: до 75 000 ₽ для юрлиц. При утечке хранимых «лишних» данных — оборотные штрафы.
Да. Уничтожение из основной базы без удаления из бэкапов не считается полным уничтожением. При восстановлении из бэкапа данные снова окажутся в системе.
Да, обезличивание — допустимая альтернатива. Обезличенные данные не являются персональными (ст. 3 152-ФЗ). Но обезличивание должно быть необратимым — без возможности восстановить связь с субъектом.
Рекомендуется не реже 1 раза в год. Создайте приказом постоянную комиссию и утвердите график. Внеплановое уничтожение — при отзыве согласия или по требованию РКН.

Связанные материалы

Акт уничтожения ПДн — шаблонГотовый образец 2026Положение об обработке ПДнРегламент с разделом об уничтоженииХранение ПДнСроки и порядок храненияШтрафы за ПДнСправочник штрафов за нарушение 152-ФЗ

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Собрать самостоятельно