аналитика 11 сентября 2026 По состоянию на 11 сентября 2026

Принцип уничтожения ПДн при достижении целей

Ст. 5 ФЗ-152 обязывает оператора уничтожить или обезличить персональные данные, как только исчезает правовое основание их обработки. Хранить данные «на всякий случай» — нарушение.

С 30.05.2025 за невыполнение требования субъекта об уничтожении ПДн грозит штраф до 90 000 ₽ по ч. 5 ст. 13.11 КоАП, а при повторном нарушении — до 500 000 ₽ по ч. 5.1. Документальное обоснование срока хранения и порядка уничтожения становится обязательным элементом ОРД.

→ Если вы юрист и проверяете комплаенс компании — ниже разбор нормы, сроков, типичных ошибок и стратегий защиты.

Принцип уничтожения ПДн при достижении целей — один из семи базовых принципов обработки персональных данных, закреплённых в ст. 5 ФЗ-152. На практике он нарушается чаще других: компании годами хранят резюме отказанных кандидатов, анкеты бывших клиентов и архивные базы маркетинговых рассылок. РКН последовательно включает избыточное хранение в перечень индикаторов риска при плановых проверках. В этой статье разобраны норма и её связь с правовыми основаниями по ст. 6 ФЗ-152, типичные ошибки операторов, актуальная санкционная карта по ст. 13.11 КоАП в редакции с 30.05.2025 и практические сценарии для юриста, сопровождающего оператора ПДн.

Что означает принцип уничтожения ПДн при достижении целей по ст. 5 ФЗ-152?

Ст. 5 ФЗ-152 формулирует принцип следующим образом: обработка персональных данных должна прекращаться, а сами данные — уничтожаться или обезличиваться, как только достигнута цель, ради которой они собирались, либо отпало правовое основание обработки. Закон не даёт оператору права продолжать хранение после достижения цели — хранение само по себе является обработкой по смыслу ст. 3 ФЗ-152.

Понятие «цель обработки» неотделимо от правового основания по ст. 6 ФЗ-152. Если данные обрабатываются на основании согласия (п. 1 ч. 1 ст. 6), цель считается достигнутой или утраченной в момент отзыва согласия. Если основание — исполнение договора (п. 5 ч. 1 ст. 6), то прекращение договорных отношений обязывает оператора оценить, сохраняется ли иное самостоятельное основание для хранения (например, требование налогового или бухгалтерского законодательства). Если такого основания нет — данные подлежат уничтожению.

«Ст. 5 ФЗ-152 — принцип не дольше необходимого: оператор обязан уничтожить или обезличить ПДн при достижении цели обработки либо в случае утраты необходимости в её достижении, если иное не предусмотрено федеральным законом.»

Ключевое слово — «если иное не предусмотрено федеральным законом». Это исключение работает, когда специальный закон устанавливает обязательный срок хранения. Примеры: первичные бухгалтерские документы — не менее 5 лет по ФЗ-402, трудовые договоры и личные дела — 75 лет по правилам архивного хранения, кредитные истории — 7 лет по ФЗ-218. В подобных случаях оператор не нарушает ст. 5 ФЗ-152, продолжая хранить данные. Но обязан обеспечить, что хранение ведётся ровно в той части данных и ровно тем составом, который требует специальный закон — не шире.

Субъект персональных данных вправе потребовать уничтожения своих данных по ст. 21 ФЗ-152, если основание обработки отпало или данные обрабатываются незаконно. Оператор обязан рассмотреть обращение и либо уничтожить данные, либо письменно обосновать, почему хранение продолжается на законном основании. Срок рассмотрения — 10 рабочих дней с возможностью продления до пяти рабочих дней при уведомлении субъекта.

Есть вопросы по срокам хранения и порядку уничтожения ПДн?

Принцип уничтожения ПДн — не теоретическая норма: РКН фиксирует избыточное хранение при каждой второй плановой проверке. Если вы юрист и проверяете комплаенс компании, важно убедиться, что в ОРД закреплены конкретные сроки по каждой категории данных и есть регламент их фактического уничтожения. DATUM проведёт аудит обработки ПДн по чек-листу из 38 пунктов и выдаст отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как правовые основания по ст. 6 ФЗ-152 определяют момент уничтожения?

Практический вопрос для юриста — не «нужно ли уничтожать», а «в какой момент». Ответ зависит от того, какое именно основание из ч. 1 ст. 6 ФЗ-152 применялось при сборе данных.

При основании «согласие» момент уничтожения определяется одним из трёх событий: отзыв согласия субъектом, истечение срока, указанного в самом согласии, либо достижение цели, для которой согласие давалось. С 01.09.2025 согласие оформляется отдельным документом по требованиям ФЗ-156 и должно содержать срок действия. Если срок в согласии не указан, оператор должен самостоятельно определить разумный срок, обоснованный целью обработки, и закрепить его в политике или регламенте.

При основании «исполнение договора» данные, собранные для его исполнения, хранятся до момента, когда все взаимные обязательства по договору исполнены и истекли сроки предъявления требований. После этого — если нет налогового или иного специального основания — данные уничтожаются. Типичная ошибка: оператор хранит контактные данные клиента после закрытия договора, ссылаясь на «возможные претензии», — без фиксации конкретного срока исковой давности и без привязки к специальному закону.

При основании «исполнение обязанности, предусмотренной законодательством» срок хранения определяется напрямую этим законодательством. Оператор обязан знать, какой именно закон формирует обязанность, и хранить данные ровно тот объём и тот срок, который закон предписывает.

«Ст. 6 ч. 1 ФЗ-152 — 11 правовых оснований обработки ПДн. Каждое основание существует до наступления определённого события; после него — хранение без нового основания незаконно.»

Отдельного внимания требует обработка специальных категорий ПДн по ст. 10 ФЗ-152 (здоровье, судимость, биометрия). Для них требования по уничтожению строже: при отзыве согласия оператор обязан уничтожить такие данные в трёхдневный срок, если иное не предусмотрено специальным законом.

Какие нарушения принципа уничтожения ПДн влекут штрафы по ст. 13.11 КоАП?

Невыполнение обязанности по уничтожению ПДн квалифицируется по нескольким составам ст. 13.11 КоАП в редакции с 30.05.2025, в зависимости от конкретного нарушения.

Ч. 5 ст. 13.11 — невыполнение требования субъекта, его представителя или РКН об уничтожении ПДн в установленные сроки. Для юридического лица штраф составляет от 50 000 до 90 000 ₽. При повторном нарушении по ч. 5.1 — от 300 000 до 500 000 ₽.

Ч. 1 ст. 13.11 — обработка ПДн в случаях, не предусмотренных законом. Хранение данных без действующего правового основания является обработкой в незаконных целях. Штраф для юрлица — от 150 000 до 300 000 ₽; при повторном нарушении по ч. 1.1 — от 300 000 до 500 000 ₽.

«Ст. 13.11 КоАП в ред. ФЗ-420 от 30.11.2024 (действует с 30.05.2025) — 18 частей. Нарушение принципа уничтожения ПДн может одновременно квалифицироваться по ч. 1 (незаконная обработка) и ч. 5 (невыполнение требования об уничтожении).»

Если в результате избыточного хранения произошла утечка, санкции кратно возрастают. За утечку от 1 000 до 10 000 субъектов по ч. 12 ст. 13.11 — от 3 до 5 млн ₽; от 10 000 до 100 000 субъектов по ч. 13 — от 5 до 10 млн ₽; свыше 100 000 субъектов по ч. 14 — от 10 до 15 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Данные, которых не должно было быть в базе, — это данные, утечка которых могла быть предотвращена исполнением принципа уничтожения.

Что подготовить юристу для проверки принципа уничтожения ПДн

Реестр систем обработки ПДн с указанием цели обработки, правового основания и срока хранения для каждой категории данных.
Политику обработки ПДн с разделом о сроках хранения и порядке уничтожения (ч. 2 ст. 18.1 ФЗ-152).
Регламент уничтожения ПДн: кто инициирует, кто исполняет, как фиксируется факт уничтожения (акт или протокол).
Журнал учёта обращений субъектов с запросами на уничтожение и документацию о выполнении каждого запроса.
Перечень специальных законов, формирующих обязанность хранения (налоговый кодекс, ФЗ-402, ТК, ФЗ-218), с указанием конкретных сроков по каждому.

Типичные ошибки операторов и как их квалифицирует РКН

Анализ практики РКН и судов за 2024–2026 годы позволяет выделить четыре устойчивых паттерна нарушений принципа уничтожения ПДн.

Ошибка 1. Отсутствие сроков хранения в ОРД. Оператор собирает данные, но в политике конфиденциальности и внутренних регламентах нет конкретных сроков хранения по каждой категории. РКН при проверке квалифицирует это как нарушение ч. 2 ст. 18.1 ФЗ-152 и одновременно как риск незаконной обработки по ч. 1 ст. 13.11. Исправление: закрепить сроки в политике отдельным разделом с привязкой к правовому основанию и к специальному закону (если он есть).

Ошибка 2. Формальное уничтожение без документального подтверждения. Данные удаляются из рабочей базы, но сохраняются в резервных копиях или архивах. РКН вправе запросить подтверждение фактического уничтожения. Рекомендация: регламент уничтожения должен охватывать все места хранения, включая резервное копирование.

Ошибка 3. Хранение «на всякий случай» после расторжения договора. Коммерческие данные клиента хранятся годами после прекращения договора под предлогом возможных претензий. Законный срок хранения в таком случае — до истечения общего срока исковой давности (три года по ГК РФ), но только в части, необходимой для его соблюдения. Полная копия клиентской карточки на этот период не нужна.

Ошибка 4. Игнорирование запросов субъектов об уничтожении. Нередко запросы о прекращении обработки и уничтожении данных фиксируются как «входящие письма» без выстроенного процесса ответа и исполнения. Ч. 5 ст. 13.11 КоАП применяется именно в этих случаях — при наличии требования субъекта и отсутствии документально подтверждённого ответа в срок.

Если у вас накоплены данные бывших клиентов или кандидатов без актуального правового основания — каждый такой массив создаёт риск штрафа по ч. 1 ст. 13.11 КоАП. DATUM поможет собрать ОРД с разделом о сроках хранения и регламентом уничтожения данных.

Собрать ОРД под ключ

Как на практике применяется принцип уничтожения: три сценария для юриста

Разобранные ниже сценарии описывают ситуации, с которыми юрист сталкивается при сопровождении оператора ПДн.

Сценарий 1. Субъект отозвал согласие, но оператор продолжает хранение. Ситуация: пользователь интернет-магазина направил письменный отзыв согласия на обработку ПДн в маркетинговых целях. Оператор удалил его из рассылок, но не уничтожил карточку клиента в CRM, сославшись на «возможные повторные заказы». Доказательства нарушения: письмо субъекта, дата получения, данные CRM после даты отзыва. Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП (хранение без основания) и ч. 5 (невыполнение требования) при наличии прямого запроса об уничтожении. Стратегия: выстроить автоматизированный процесс уничтожения данных после отзыва согласия; фиксировать факт уничтожения актом; уведомлять субъекта об исполнении.

Сценарий 2. Резюме соискателей хранятся неограниченно. Ситуация: компания принимает резюме через сайт. Согласие на обработку ПДн кандидата дано для конкретного вакансного конкурса. После отказа соискателю данные остаются в ATS-системе без ограничения по времени. Доказательства нарушения: дата закрытия вакансии, дата последнего взаимодействия с кандидатом, текущий статус данных в системе. Вероятный исход: нарушение ст. 5 ФЗ-152 в части принципа не дольше необходимого; при проверке РКН — штраф по ч. 1 ст. 13.11. Стратегия: установить срок хранения резюме (типично 6–12 месяцев после закрытия вакансии), закрепить в согласии кандидата и в регламенте HR-обработки, настроить автоудаление в ATS.

Сценарий 3. Данные хранятся под предлогом специального закона, но его требования не выполняются. Ситуация: оператор ссылается на обязанность хранить документы 5 лет по ФЗ-402, однако хранит полную клиентскую базу с историей заказов, персональными предпочтениями и поведенческими паттернами — тогда как ФЗ-402 требует хранить только первичные учётные документы. Доказательства нарушения: сопоставление состава хранимых данных с перечнем, который предписывает специальный закон. Вероятный исход: хранение избыточных данных без правового основания квалифицируется по ч. 1 ст. 13.11. Стратегия: провести инвентаризацию хранимых данных, разграничить категории по основаниям хранения, удалить избыточные поля.

Кейс 1. Оператор электронной коммерции в Приволжском ФО (осень 2025) получил предписание РКН по итогам плановой проверки: в базе данных обнаружены записи о клиентах, чьи договоры были закрыты более четырёх лет назад. Оператор не смог документально подтвердить правовое основание хранения. РКН возбудил дело по ч. 1 ст. 13.11; штраф составил сотни тысяч рублей. После введения в ОРД срока хранения и акта уничтожения повторных претензий не было. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Кейс 2. HR-служба технологической компании в Центральном ФО (начало 2026) накопила резюме около 8 000 соискателей за три года. После запроса одного из кандидатов об уничтожении его данных оператор не ответил в установленный срок. РКН вынес протокол по ч. 5 ст. 13.11 КоАП. Юрист компании оспорил постановление, доказав, что ответ был направлен в срок, но не был зафиксирован в системе учёта обращений. Суд вернул дело на пересмотр. Компания одновременно внедрила автоматизированный учёт запросов субъектов. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверим сроки хранения и регламент уничтожения ПДн по 38 пунктам
Комплект ОРД под ключ — разработаем политику, регламент уничтожения и журналы учёта обращений
DPO-аутсорсинг — возьмём функцию ответственного по ст. 22.1 ФЗ-152 на абонентское обслуживание

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152, обработка персональных данных — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Хранение данных без их использования также является обработкой, поэтому требует самостоятельного правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ч. 1 ст. 6 ФЗ-152 содержит 11 правовых оснований: согласие субъекта (п. 1), исполнение федерального закона (п. 2), судопроизводство (п. 3), исполнение договора, стороной которого является субъект (п. 5), и другие. Оператор обязан определить применимое основание до начала обработки и зафиксировать его в документах. Отсутствие действующего основания делает обработку незаконной — в том числе хранение данных по истечении установленного срока.

3. Что грозит за нарушение 152-ФЗ?

Санкции распределены по 18 частям ст. 13.11 КоАП (в редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025). За незаконную обработку — от 150 000 до 300 000 ₽ (ч. 1); за невыполнение требования об уничтожении — от 50 000 до 90 000 ₽ (ч. 5), при повторном нарушении — до 500 000 ₽ (ч. 5.1). При утечке данных свыше 100 000 субъектов — от 10 до 15 млн ₽ по ч. 14; при повторной утечке — оборотный штраф до 500 млн ₽ по ч. 15. Дополнительно с 11.12.2024 действует ст. 272.1 УК РФ — незаконные действия с ПДн влекут уголовную ответственность до 10 лет лишения свободы по квалифицированному составу.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152, уведомление РКН о намерении обрабатывать ПДн обязательно для большинства операторов до начала обработки. Исключения перечислены в ч. 2 ст. 22 ФЗ-152: в частности, от уведомления освобождены операторы, обрабатывающие данные только в рамках трудовых отношений или только для исполнения договора с субъектом. Малый бизнес, ведущий клиентские базы или маркетинговые рассылки, под эти исключения, как правило, не подпадает. Неуведомление влечёт штраф до 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единого возрастного порога напрямую. По общему правилу гражданского права, до 14 лет согласие даёт законный представитель; с 14 до 18 лет — согласие даёт сам несовершеннолетний, однако оператор, предоставляющий услуги информационного общества, обязан принимать меры для получения согласия родителей. Практика РКН при проверках в сфере образования и детских платформ строго относится к обработке ПДн несовершеннолетних: отсутствие согласия родителя квалифицируется по ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽.

Итог

Принцип уничтожения ПДн при достижении целей — один из наиболее практически значимых элементов комплаенса по 152-ФЗ. Его нарушение охватывает одновременно несколько составов ст. 13.11 КоАП и создаёт дополнительный риск в случае утечки. Документальное закрепление сроков хранения по каждой категории данных, регламент уничтожения и система учёта запросов субъектов — минимальный набор мер для снижения этого риска.

DATUM сопровождает операторов персональных данных по вопросам соответствия ФЗ-152: разработка ОРД, аудит обработки ПДн, подготовка к проверкам РКН и защита в случае возбуждения административного производства по ст. 13.11 КоАП.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — согласия в интернет-магазинах и SaaS, cookies как ПДн, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности.

11 сентября 2026 года