Уничтожение персональных данных в соответствии с требованиями законодательства в 2026 году

Правильный порядок уничтожения персональных данных (ПДн) — ключевой элемент защиты информации. Неправильное или несвоевременное удаление данных может привести к штрафам и претензиям от клиентов. В 2026 году закон строго регламентирует, как и когда нужно уничтожать ПДн, какие документы нужно оформить по итогам процедуры. 

Когда требуется уничтожение ПДн

Уничтожение персональных данных — это действия, после которых никто не сможет восстановить ПДн в информационной системе и (или) на материальных носителях. Это не удаление в корзину, а безвозвратное стирание либо физическое уничтожение носителей.

Оператор обязан уничтожить ПД в строго установленных законом случаях (ст.21 ФЗ от 27.07.2006 №152-ФЗ):

1. Достигли цели обработки или необходимость отпала — прекратить обработку и уничтожить данные в течение 30 дней с даты достижения цели (если иное не следует из договора или закона). 
2. Субъект отозвал согласие, и хранение не нужно для целей обработки, — уничтожить в течение 30 дней с даты отзыва. 
3. Обработка признана неправомерной — уничтожить в течение 10 рабочих дней с момента выявления; саму неправомерную обработку прекратить за 3 рабочих дня.

Если в указанные сроки физически уничтожить ПДн невозможно, их блокируют и завершают уничтожение не позднее 6 месяцев.

Исключение — когда сроки хранения документов установлены законом (например, по архивным правилам): сначала выдерживают этот срок, затем уничтожают ПДн. 

Способы уничтожения 

Все способы должны быть определены в Положении о порядке уничтожения персональных данных — внутреннем документе компании или ИП. 

Способы зависят от вида носителя:

1. Бумажные документы уничтожаются путем шредирования, измельчения, сжигания.
2. Уничтожение материальных носителей персональных данных в электронном виде включает полное стирание с использованием специализированного ПО, перезапись с многократным затиранием, размагничивание, физическое разрушение дисков и флеш-накопителей.
3. Для гибридных систем (бумага + электронные копии) применяют комбинированные методы.
   

Выбранные способы обязательны для сотрудников, имеющих доступ к информации.

Порядок уничтожения персональных данных

Процедура регулируется ФЗ от 27.07.2006 № 152-ФЗ и Приказом Роскомнадзора от 28.10.2022 № 179. Процесс уничтожения персональных данных должен состоять из нескольких этапов:

1. Издание приказа об уничтожении персональных данных:
   • определяется состав комиссии по уничтожению ПДн;
   • назначаются ответственные лица;
   • указываются сроки и способы уничтожения данных.
2. Проведение уничтожения ПДн. Это делает комиссия в соответствии с установленными сроками и способами, обеспечивая невозможность восстановления уничтоженной информации.
3. Составление акта об уничтожении персональных данных при обработке без использования средств автоматизации. При обработке с использованием средств автоматизации или смешанной обработке оформляются:
   • акт об уничтожении ПДн;
   • выгрузка из журнала регистрации событий в ИСПДн.
4. Хранение документации. Акт об уничтожении и выгрузка из журнала ИСПДн хранятся в организации в течение трех лет с момента уничтожения.

Заключение 

Соблюдение требований к подтверждению уничтожения персональных данных и к самой процедуре — гарантия защиты информации ваших клиентов и сотрудников. Правильно оформленные документы позволяют доказать законность действий оператора и избежать штрафов. Четкое документирование каждого этапа снижает риски неправомерного использования данных и укрепляет доверие к вашему бизнесу.