Акт уничтожения ПДн: 5 обязательных пунктов
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи, самостоятельный состав за невыполнение требований субъекта об уничтожении ПДн. Одновременно ФЗ-156 от 24.06.2025 изменил ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку оформляется отдельным документом, а его отзыв влечёт обязанность уничтожить данные. Акт уничтожения — доказательство того, что обязанность исполнена. В этой инструкции — пять пунктов, без которых документ не защитит оператора.
Шаг 1. Укажите правовое основание уничтожения
Каждый акт должен содержать ссылку на норму, которая обязала оператора уничтожить ПДн. Оснований несколько, и они неравнозначны по правовым последствиям.
По ст. 21 ФЗ-152 оператор уничтожает ПДн при достижении цели обработки, при отзыве согласия субъектом, при требовании субъекта или Роскомнадзора, при незаконности обработки. Каждое из этих оснований — отдельный юридический факт, который должен быть зафиксирован документально. По ст. 5 ФЗ-152 оператор не вправе хранить данные дольше, чем это необходимо для достижения целей обработки.
Если основанием послужил отзыв согласия субъектом, в акте укажите реквизиты письменного заявления об отзыве: дату, входящий номер, ФИО субъекта. Если основание — достижение цели (истечение срока договора, закрытие вакансии, выполнение маркетинговой кампании), зафиксируйте дату события и реквизиты документа, из которого следует прекращение цели. Отсутствие этой связки превращает акт в формальную бумагу без доказательственной силы.
Шаг 2. Опишите состав уничтожаемых данных и носители
Второй обязательный пункт — перечень категорий ПДн и перечень носителей или информационных систем, на которых они обрабатывались. Это требование вытекает из ст. 18.1 ФЗ-152: оператор обязан обеспечить контроль за мерами защиты ПДн, что невозможно без документального описания состава обрабатываемых данных.
Перечисляйте категории, а не конкретных субъектов: «фамилия, имя, отчество, дата рождения, паспортные данные, контактный телефон». Если уничтожаются специальные категории ПДн по ст. 10 ФЗ-152 (сведения о состоянии здоровья, судимости, религиозных взглядах) — фиксируйте это явно: такие данные в случае утечки попадают под ч. 16–17 ст. 13.11 КоАП с минимальным штрафом 10–20 млн ₽.
Для каждого носителя укажите тип (база данных в ИСПДн, файл на сервере, бумажный носитель, резервная копия) и идентификатор (инвентарный номер носителя, имя файла или таблицы, сетевой путь). Резервные копии — отдельная строка. Практика проверок РКН показывает: оператор, уничтоживший данные в основной базе и забывший про бэкап, нарушает ст. 21 ФЗ-152, поскольку фактически сохраняет обрабатываемые сведения.
Собираете ОРД для оператора и не уверены в составе документов?
Если вы юрист и готовите пакет документов по 152-ФЗ — проверьте, что акт уничтожения согласован с политикой обработки и журналом учёта. Несогласованность документов — первое, что фиксирует инспектор РКН при плановой проверке. Срок на устранение нарушений по предписанию ограничен: промедление влечёт повторный состав по ч. 5.1 ст. 13.11 КоАП.
Собрать ОРД под ключ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Зафиксируйте способ уничтожения
Третий обязательный пункт — конкретный способ уничтожения. Для электронных носителей и ИСПДн — метод, соответствующий требованиям Приказа ФСТЭК №21. Для бумажных носителей — шредирование с указанием класса шредера или акт передачи на специализированное уничтожение с реквизитами контрагента.
Недопустимы абстрактные формулировки: «данные удалены», «носитель уничтожен». Акт с такими словами не подтверждает необратимость уничтожения. Инспектор РКН вправе запросить техническое подтверждение того, что данные не подлежат восстановлению.
Для ИСПДн опишите действие: «удалена запись из таблицы [name] базы данных [name] с последующим перезаписыванием свободного пространства методом [метод], соответствующим УЗ-[номер]». Если применялся алгоритм безопасного удаления по ГОСТ или стандарту NIST — укажите его. Если носитель физически уничтожен — приложите акт утилизации от специализированной организации.
Шаг 4. Подпишите акт уполномоченными лицами
Четвёртый пункт — состав подписантов. Акт уничтожения ПДн — не внутренняя служебная записка. Его подписывают: лицо, ответственное за обработку ПДн по ст. 22.1 ФЗ-152 (или уполномоченное им должностное лицо), и непосредственный исполнитель, осуществлявший техническое уничтожение.
С 01.09.2025 ФЗ-156 от 24.06.2025 изменил требования к согласию как документу — но требование о назначении ответственного по ст. 22.1 действует с момента введения нормы. Если ответственный назначен приказом, а акт подписан другим лицом без делегирования полномочий — документ может быть оспорен как ненадлежаще оформленный.
Если уничтожение проводит подрядчик (по договору поручения обработки ПДн по п. 3 ст. 6 ФЗ-152) — акт подписывается представителем подрядчика и заверяется оператором. В этом случае к акту прилагается ссылка на договор поручения: без неё оператор несёт риск ответственности за действия подрядчика по принципу, подтверждённому судебной практикой ВС РФ (оператор отвечает за утечку через подрядчика).
Что проверить перед подписанием акта уничтожения ПДн
- Правовое основание уничтожения зафиксировано и подтверждено документом (заявление субъекта, истечение срока, предписание РКН)
- Перечислены все категории ПДн и все носители, включая резервные копии
- Способ уничтожения описан конкретно с указанием метода; необратимость подтверждена
- Акт подписан ответственным по ст. 22.1 ФЗ-152 или уполномоченным им лицом и исполнителем
- Дата уничтожения соответствует срокам, установленным ст. 21 ФЗ-152 для соответствующего основания
Шаг 5. Проставьте дату и храните акт с документами ОРД
Пятый пункт — дата уничтожения и место хранения акта. Дата критична: она определяет, нарушил ли оператор сроки, установленные ст. 21 ФЗ-152. При отзыве согласия субъектом оператор обязан уничтожить ПДн в срок, предусмотренный ФЗ-152 для соответствующего основания. Если дата в акте выходит за этот предел — нарушение зафиксировано документально самим оператором.
Акт хранится в составе организационно-распорядительной документации по ПДн. По ст. 18.1 ФЗ-152 оператор обязан принять меры, направленные на подтверждение соблюдения требований закона, в том числе обеспечить сохранность документов. Минимальный рекомендуемый срок хранения актов уничтожения ПДн — 3 года с момента составления: это период, в течение которого РКН или субъект вправе инициировать проверку по соответствующему факту обработки.
Акт включается в реестр записей об обработке ПДн, который оператор ведёт по требованию ст. 22 ФЗ-152 и Приказа РКН №180 от 28.10.2022. При плановой проверке РКН запрашивает этот реестр в числе первых документов. Отсутствие акта уничтожения в реестре при том, что в уведомлении оператора указан ограниченный срок хранения ПДн, — прямое противоречие, которое фиксируется как нарушение ст. 22 ФЗ-152 по ч. 10 ст. 13.11 КоАП.
Как применяются эти требования на практике
Сценарий 1. Субъект отозвал согласие, а акт составлен через месяц
Ситуация: в HR-службе торговой компании (Сибирский ФО, 2026 год) бывший соискатель направил заявление об отзыве согласия на обработку ПДн. Специалист удалил резюме из CRM, однако акт уничтожения составил и подписал спустя 35 дней. Доказательства: штамп входящей почты на заявлении и дата акта. Вероятный исход: нарушение сроков ст. 21 ФЗ-152 — основание для штрафа по ч. 5 ст. 13.11 КоАП до 90 000 ₽. Стратегия: ввести регламент реагирования на обращения субъектов с автоматической постановкой задачи на составление акта в день поступления заявления.
Сценарий 2. Акт есть, но резервные копии не упомянуты
Ситуация: медицинская лаборатория (Центральный ФО, начало 2026 года) уничтожила данные пациентов по истечении срока действия договора. Акт содержал описание основной базы данных МИС. При плановой проверке РКН инспектор обнаружил, что резервные копии на внешнем хранилище содержат те же данные — акт их не охватывал. Доказательства: акт без указания резервных копий и журнал резервирования. Вероятный исход: нарушение ст. 21 ФЗ-152 — неполное уничтожение данных. Стратегия: включить в шаблон акта обязательный раздел «Резервные копии» с перечнем носителей и датами их уничтожения.
Сценарий 3. Подрядчик уничтожил данные, оператор не составил собственный акт
Ситуация: интернет-магазин (Северо-Западный ФО, осень 2025 года) передал клиентскую базу на обработку колл-центру по договору поручения. После окончания договора подрядчик уничтожил данные и направил оператору своё внутреннее уведомление. Оператор не составил акт со своей стороны. При проверке РКН запросил документы оператора — их не оказалось. Вероятный исход: штраф по ч. 5 ст. 13.11 КоАП; оператор несёт ответственность за действия подрядчика. Стратегия: в договор поручения обработки включить обязанность подрядчика предоставлять акт уничтожения; оператор составляет сводный акт на основании акта подрядчика.
Если юрист получил запрос РКН и ОРД не укомплектован — каждый день без актов уничтожения создаёт дополнительный состав нарушения. Юристы DATUM проведут аудит ОРД по 38 пунктам и восполнят недостающие документы.
Заказать аудит 152-ФЗЧастые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный состав ОРД: уведомление в реестре РКН (ст. 22 ФЗ-152, Приказ РКН №180), политика обработки ПДн по ч. 2 ст. 18.1, приказ о назначении ответственного по ст. 22.1, согласия субъектов (отдельными документами с 01.09.2025 по ФЗ-156), регламент реагирования на обращения субъектов и инциденты, журнал учёта обращений, акты уничтожения ПДн, договоры поручения с подрядчиками. Для трансграничной передачи — дополнительное уведомление по ст. 12 ФЗ-152. Полный чек-лист включает 38 позиций.
2. Как составить политику обработки ПДн?
Политика обработки ПДн должна содержать реквизиты, установленные ч. 2 ст. 18.1 ФЗ-152: наименование и контакты оператора, цели и правовые основания обработки, категории субъектов и перечни ПДн по каждой цели, сроки обработки, порядок реализации прав субъектов, сведения о трансграничной передаче (при наличии), описание мер защиты. Политика размещается в открытом доступе — на сайте или в точке сбора данных. Использование типового шаблона без адаптации под реальную деятельность оператора — нарушение ч. 3 ст. 13.11 КоАП, штраф до 60 000 ₽.
3. Кого назначить ответственным по ст. 22.1?
Ответственным за организацию обработки ПДн по ст. 22.1 ФЗ-152 назначается работник оператора или привлечённое лицо на основании договора. Закон не требует специального образования, однако ч. 4 ст. 22.1 устанавливает требования к ознакомлению с законодательством о ПДн. На практике назначают штатного юриста, специалиста по ИБ или подключают DPO-аутсорсинг — в этом случае функции ответственного исполняет внешний исполнитель по договору.
4. Можно ли использовать шаблон политики из интернета?
Шаблон из открытых источников — только отправная точка. Политика обработки ПДн должна описывать реальную деятельность конкретного оператора: фактические цели, категории данных, сроки, подрядчиков. Если политика размещена на сайте, но не отражает реальную обработку (например, не упоминает передачу данных в CRM-систему за рубежом), это фиксируется как нарушение ч. 1 ст. 13.11 КоАП — обработка ПДн вне заявленных целей, штраф 150 000–300 000 ₽.
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется только отдельным документом: его нельзя включать в трудовой договор, оферту, пользовательское соглашение или политику конфиденциальности. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва. Ранее полученные согласия обратной силы не имеют и переоформлять их не требуется — но только при условии, что они соответствовали действовавшим на момент подписания требованиям.
6. Нужен ли акт уничтожения, если данные хранились только на бумаге?
Да. Требования ст. 21 ФЗ-152 распространяются на все формы обработки, включая неавтоматизированную. Акт уничтожения бумажных носителей составляется аналогично электронным: основание, перечень документов, способ уничтожения (шредирование или передача специализированной организации), подпись ответственного. Ч. 6 ст. 13.11 КоАП в редакции с 30.05.2025 прямо устанавливает ответственность за несоблюдение условий хранения материальных носителей, повлёкшее неправомерный доступ, — до 100 000 ₽.
Итог
Акт уничтожения ПДн — обязательный элемент ОРД, не факультативный. Пять реквизитов, описанных в этой инструкции — правовое основание, состав данных и носителей, способ уничтожения, подписи уполномоченных лиц, дата — образуют минимальный доказательный набор, который позволяет подтвердить исполнение обязанности по ст. 21 ФЗ-152 при проверке РКН или обращении субъекта. Отсутствие любого из них переводит оператора из позиции «исполнил» в позицию «нарушил».
DATUM сопровождает операторов при формировании полного пакета ОРД, включая шаблоны актов уничтожения, согласий в редакции ФЗ-156 и регламентов реагирования на обращения субъектов. Практика Ветров и партнёры по 152-ФЗ — с 2014 года.
Услуги DATUM по теме
- Комплект ОРД под ключ — 38 документов, включая акт уничтожения ПДн и регламент реагирования
- Аудит соответствия 152-ФЗ — проверка полноты и актуальности ОРД по чек-листу
- DPO-аутсорсинг — исполнение функций ответственного по ст. 22.1 на абонентском обслуживании
17 февраля 2027 года