инструкция 25 января 2027 По состоянию на 25 января 2027

Регламент уничтожения ПДн: акт и журнал

Уничтожение персональных данных — обязанность оператора по ст. 21 ФЗ-152. Отсутствие регламента, акта или журнала при проверке Роскомнадзора означает нарушение ст. 18.1 ФЗ-152 и штраф по ч. 1 ст. 13.11 КоАП: от 150 000 до 300 000 рублей.

Регламент уничтожения ПДн входит в обязательный пакет ОРД. Без него оператор не может доказать факт уничтожения данных субъекту, выполнившему отзыв согласия, и инспектору РКН при плановой или внеплановой проверке. Каждый из трёх документов — регламент, акт, журнал — имеет обязательные реквизиты и порядок хранения.

→ Если вы юрист компании и выстраиваете ОРД под ключ — эта инструкция покажет, какие документы составить, в каком порядке и что в них включить.

С 01.09.2025 вступили в силу поправки по ФЗ-156 от 24.06.2025: согласие на обработку ПДн оформляется отдельным документом. Это прямо влияет на регламент уничтожения — при отзыве такого согласия оператор обязан уничтожить данные в установленный срок и зафиксировать факт. Ниже — пошаговая инструкция по разработке регламента, составлению акта и ведению журнала.

Шаг 1. Определите основания и сроки уничтожения ПДн

Уничтожение ПДн обязательно в нескольких случаях, перечисленных в ст. 21 ФЗ-152. Первый — достижение целей обработки или утрата необходимости в ней. Второй — отзыв субъектом согласия на обработку (ст. 9 ФЗ-152). Третий — выявление незаконной обработки. Четвёртый — требование субъекта об уничтожении неправомерно обрабатываемых данных.

«Ст. 21 ФЗ-152 — оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней с момента отзыва согласия, если иной срок не установлен договором или законом. При невозможности уничтожения — обезличивание. Уничтожение незаконно обрабатываемых ПДн по требованию субъекта или РКН — в течение 7 рабочих дней.»

Регламент должен содержать исчерпывающий перечень оснований. Для каждого основания — конкретный срок в рабочих или календарных днях, ответственное подразделение и способ уничтожения. Типовые основания: истечение срока хранения по графику, отзыв согласия, окончание договора, ликвидация оператора, требование субъекта или РКН.

Срок хранения устанавливается в политике обработки ПДн по ст. 18.1 ФЗ-152 и должен совпадать со сроком в уведомлении РКН по Приказу РКН №180 от 28.10.2022. Несоответствие между документами — типичная ошибка, которую выявляет инспектор при проверке.

Шаг 2. Разработайте регламент уничтожения: обязательные разделы

Регламент уничтожения ПДн — организационно-распорядительный документ оператора. Он утверждается приказом руководителя и является частью системы внутренних актов по ст. 18.1 ФЗ-152. Отсутствие регламента при проверке РКН — нарушение обязанности принять меры по обеспечению выполнения требований ФЗ-152.

Обязательные разделы регламента уничтожения ПДн

Цели и область применения: какие ИСПДн и категории ПДн охватывает регламент.
Основания уничтожения: перечень из ст. 21 ФЗ-152 с указанием сроков для каждого основания.
Способы уничтожения: отдельно для электронных носителей (гарантированное затирание, физическое уничтожение), бумажных носителей (шредер, сжигание) и резервных копий.
Порядок инициирования и согласования: кто подаёт заявку, кто утверждает уничтожение, кто является членом комиссии.
Порядок оформления акта и записи в журнал: реквизиты, сроки составления, место хранения.

Регламент разрабатывает лицо, ответственное за организацию обработки ПДн по ст. 22.1 ФЗ-152. Оно же контролирует соблюдение регламента и отвечает перед РКН за его наличие и актуальность. Если ответственный не назначен — это самостоятельное нарушение ч. 3 ст. 13.11 КоАП.

Нет ответственного по ст. 22.1 или регламент уничтожения не утверждён?

Если юрист компании не может найти в системе приказ о назначении ответственного за обработку ПДн и утверждённый регламент уничтожения — эти документы отсутствуют. Плановая проверка РКН начинается именно с проверки наличия ОРД. Штраф за отсутствие политики — до 60 000 рублей по ч. 3 ст. 13.11 КоАП; за каждый последующий выявленный состав — отдельно. Юристы DATUM соберут пакет ОРД под ключ: политика, регламент уничтожения, акты, журналы, приказы о назначении ответственного.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Составьте акт уничтожения персональных данных

Акт уничтожения ПДн — первичный документ, подтверждающий факт уничтожения. Он составляется комиссией непосредственно в момент уничтожения или сразу после него. Акт хранится постоянно или в течение срока, установленного регламентом, — но не менее 3 лет для обеспечения возможности предъявить его при проверке.

Обязательные реквизиты акта уничтожения ПДн:

Дата и место составления акта.
Основание уничтожения: реквизиты документа (отзыв согласия, приказ, требование субъекта) или ссылка на пункт регламента.
Перечень уничтоженных ПДн: категория, объём (количество записей или носителей), наименование ИСПДн или базы данных.
Способ уничтожения: программный (с указанием используемого средства), физический (шредер, термическое уничтожение).
Сведения о резервных копиях: уничтожены ли, где хранились, каким способом удалены.
Состав комиссии: должности, ФИО, подписи; не менее трёх членов по типовой практике.
Подпись ответственного за обработку ПДн по ст. 22.1 ФЗ-152.

«Ст. 18.1 ФЗ-152 — оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ-152. К таким мерам относится разработка и применение локальных актов по обработке ПДн, включая документирование фактов уничтожения.»

Типичная ошибка: акт составляется по факту удаления записей из базы данных, но резервные копии на отдельном сервере или в облаке не уничтожаются. РКН при проверке запрашивает подтверждение уничтожения именно всех копий. Включите в регламент отдельный пункт о порядке работы с резервными копиями и резервными носителями.

Как вести журнал уничтожения персональных данных?

Журнал уничтожения ПДн — регистрационный документ, в котором фиксируются все случаи уничтожения в хронологическом порядке. Он позволяет оператору оперативно ответить на запрос субъекта о том, когда и по какому основанию его данные уничтожены. Срок ответа субъекту — 10 рабочих дней по ст. 20 ФЗ-152, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.

Обязательные графы журнала уничтожения ПДн:

Порядковый номер записи.
Дата уничтожения.
Категория и объём уничтоженных ПДн (число субъектов или записей).
Основание: реквизиты акта уничтожения, ссылка на обращение субъекта или иной инициирующий документ.
Способ уничтожения (кратко).
ФИО и подпись ответственного сотрудника, произведшего запись.

Журнал может вестись в бумажной или электронной форме. При электронном ведении необходимо обеспечить защиту от несанкционированного изменения записей — например, через систему контроля версий или ЭП. Хранение журнала — не менее 3 лет; конкретный срок устанавливается в регламенте.

Если юрист получил запрос от субъекта об уничтожении его данных — у вас 30 календарных дней на исполнение по ст. 21 ФЗ-152 и 10 рабочих дней на ответ субъекту по ст. 20. Отсутствие журнала означает, что факт уничтожения нечем подтвердить. Юристы DATUM разработают регламент, акт и журнал в комплекте с полным пакетом ОРД.

Собрать ОРД под ключ

Что меняется в регламенте после 01.09.2025 и ФЗ-156?

ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть включено в текст трудового договора, договора-оферты или политики конфиденциальности. Это влияет на регламент уничтожения в двух точках.

Первая: при отзыве согласия, оформленного по новым правилам, оператор обязан зафиксировать дату получения отзыва, запустить процедуру уничтожения и составить акт в течение 30 дней. Если согласие было отдельным документом — именно его реквизиты указываются в акте как основание уничтожения.

Вторая: регламент уничтожения должен разграничивать два потока. Первый — плановое уничтожение по истечении срока хранения. Второй — внеплановое уничтожение по отзыву согласия, полученного как отдельный документ с 01.09.2025. Для каждого потока — свои сроки, комиссия и форма акта (они могут быть едиными, но порядок инициирования — разный).

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 (действует с 01.09.2025) — согласие субъекта персональных данных оформляется в форме отдельного документа. Согласия, полученные до 01.09.2025, переоформлять не требуется. При отзыве согласия оператор обязан прекратить обработку и уничтожить ПДн в срок, установленный ст. 21 ФЗ-152.»

Как это применяется на практике

Кейс 1. Производственная компания (Уральский ФО, осень 2025) прошла плановую проверку РКН. Инспектор запросил пакет ОРД: политику, регламент уничтожения, журнал. Журнал уничтожения отсутствовал — компания удаляла данные, но не документировала. Акты уничтожения составлялись от случая к случаю и не содержали сведений о резервных копиях. Инспектор возбудил производство по ч. 1 ст. 13.11 КоАП (обработка с нарушением обязанностей оператора). Штраф — в диапазоне от 150 000 до 300 000 рублей. После проверки компания разработала полный пакет ОРД, включая регламент уничтожения, типовой акт и журнал.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) получила от бывшего работника требование об уничтожении его персональных данных после окончания трудовых отношений. Ответственный за обработку ПДн по ст. 22.1 ФЗ-152 ответил субъекту в течение 10 рабочих дней, уничтожил данные в 7 рабочих дней, составил акт и внёс запись в журнал. Субъект обратился в РКН с жалобой, однако компания предъявила полный комплект документов. РКН закрыл проверку без возбуждения производства.

Услуги DATUM по теме

Комплект ОРД под ключ — регламент уничтожения, акты, журналы и ещё 35 документов.
Аудит соответствия 152-ФЗ — проверим полноту ОРД по чек-листу из 38 пунктов.
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Обязательный минимум по ст. 18.1 ФЗ-152: политика обработки ПДн (опубликованная в открытом доступе), приказ о назначении ответственного по ст. 22.1, согласия субъектов (с 01.09.2025 — отдельный документ по ФЗ-156), регламент уничтожения ПДн, журнал уничтожения и акты. Дополнительно — соглашения о конфиденциальности с работниками, инструкции пользователей ИСПДн, регламент реагирования на инциденты. Отсутствие любого из этих документов при проверке РКН — повод для протокола по ст. 13.11 КоАП.

2. Как составить политику обработки ПДн?

Политика обработки ПДн разрабатывается по требованиям ч. 2 ст. 18.1 ФЗ-152. Обязательные разделы: цели обработки, перечень обрабатываемых ПДн, правовые основания по ст. 6 ФЗ-152, сроки хранения, порядок уничтожения, права субъектов, сведения об ответственном по ст. 22.1. Политика публикуется на сайте оператора в открытом доступе. Отсутствие публикации — нарушение ч. 3 ст. 13.11 КоАП (штраф 30 000–60 000 рублей для юрлица). Политика должна совпадать со сведениями в уведомлении РКН по Приказу РКН №180.

3. Кого назначить ответственным по ст. 22.1?

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Это может быть штатный работник (юрист, специалист по ИБ, HR-директор) или внешний исполнитель по договору — DPO-аутсорсинг. Назначение оформляется приказом руководителя с указанием функций и полномочий. Ответственный должен знать требования ФЗ-152 и подзаконных актов. Отсутствие назначенного ответственного — нарушение, фиксируемое при проверке как часть ненадлежащей организации обработки ПДн.

4. Можно ли использовать шаблон политики из интернета?

Шаблон из открытого источника не учитывает специфику конкретного оператора: категории ПДн, цели обработки, используемые ИСПДн, перечень третьих лиц, сроки хранения. Использование чужого шаблона без адаптации означает, что политика не отражает реальную обработку. При проверке РКН инспектор сопоставляет политику с фактической деятельностью оператора. Несоответствие — основание для протокола по ч. 1 ст. 13.11 КоАП. Адаптировать шаблон под компанию может ответственный по ст. 22.1 ФЗ-152 или внешний юрист.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом: не включается в трудовой договор, договор-оферту или политику. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО и контактные данные субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва. Ранее полученные согласия переоформлять не нужно — обратной силы закон не имеет. Новые согласия с 01.09.2025 — только как отдельный документ.

6. Что проверяет инспектор РКН при плановой проверке?

При плановой проверке РКН запрашивает: уведомление оператора в реестре (ст. 22 ФЗ-152, Приказ РКН №180), политику обработки ПДн, приказ об ответственном по ст. 22.1, согласия субъектов (соответствие форме по ст. 9), журнал учёта обращений субъектов, регламент уничтожения ПДн, акты и журнал уничтожения. Инспектор проверяет соответствие документов между собой и с фактической обработкой. Несоответствие в любом элементе — повод для протокола по соответствующей части ст. 13.11 КоАП.

Итог

Регламент уничтожения ПДн, акт и журнал — три взаимосвязанных документа, которые оператор обязан иметь и применять в практике. Регламент определяет основания, сроки и способы уничтожения. Акт фиксирует конкретный факт. Журнал позволяет подтвердить историю уничтожения при запросе субъекта или проверке РКН. После 01.09.2025 регламент необходимо обновить с учётом нового порядка оформления согласий по ФЗ-156.

Юристы DATUM разрабатывают полный пакет ОРД для операторов ПДн: от политики конфиденциальности до регламента уничтожения, актов и журналов. Опыт сопровождения проверок РКН с 2014 года позволяет учесть требования, которые инспекторы предъявляют на практике, а не только в тексте закона.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.