справочник 28 октября 2026 По состоянию на 28 октября 2026

Уничтожение vs блокировка ПДн: разница и сроки

Уничтожение персональных данных — действия, в результате которых восстановление ПДн становится невозможным; блокирование — временное прекращение обработки при сохранении самих данных (ст. 3 ФЗ-152).

Оба действия являются формами обработки ПДн. Путаница между ними — одна из причин нарушений по ч. 5 ст. 13.11 КоАП: штраф для юрлица до 90 000 ₽, при повторном — до 500 000 ₽.

Если вы юрист и разграничиваете обязанности оператора — ниже разбор по статьям 152-ФЗ, срокам и основаниям применения каждой меры.

Оператор обязан уничтожить или заблокировать ПДн в конкретных случаях, предусмотренных 152-ФЗ. Обязанности различаются: блокирование применяется как временная мера — до устранения нарушения или проверки достоверности данных, уничтожение — как финальный акт прекращения обработки. Ошибка в выборе меры создаёт самостоятельное основание для протокола по ст. 13.11 КоАП.

Что такое уничтожение и блокировка ПДн по ст. 3 152-ФЗ?

Уничтожение персональных данных — действия, исключающие возможность восстановления содержания ПДн в информационной системе, и (или) уничтожение материальных носителей. Формат не регламентирован: допустимы программное удаление с перезаписью, физическое уничтожение носителя, дегауссирование. Главный критерий — необратимость.

Блокирование персональных данных — временное прекращение обработки (кроме случаев, когда обработка необходима для уточнения). Данные при этом сохраняются в системе, но любые операции с ними прекращаются: нельзя передавать, использовать, изменять. Блокирование применяется как промежуточное состояние — до принятия решения об уточнении или уничтожении.

«Ст. 3 ФЗ-152 определяет обработку ПДн как любое действие с ними, включая уничтожение и блокирование. Оба действия — формы обработки, а значит, требуют правового основания по ст. 6 ФЗ-152.»

Принципиальное различие: блокирование — обратимо, уничтожение — нет. Это влияет на последствия при восстановлении прав субъекта: после уничтожения выполнить требование об уточнении данных уже невозможно.

В каких случаях оператор обязан заблокировать или уничтожить ПДн?

Обязанности по блокированию и уничтожению возникают в нескольких ситуациях, каждая из которых предусмотрена отдельной нормой 152-ФЗ.

По требованию субъекта (ст. 21 ФЗ-152). Если субъект обратился с требованием об уточнении данных — оператор обязан заблокировать их на период проверки. После уточнения блокирование снимается. Если данные оказались недостоверными или обрабатывались незаконно — оператор уничтожает их в течение 7 рабочих дней.

При достижении цели обработки (ст. 5, ст. 21 ФЗ-152). Один из принципов обработки — данные не должны храниться дольше, чем необходимо для достижения целей. При достижении цели оператор обязан уничтожить ПДн или обезличить их. Блокирование в этом случае не является надлежащим исполнением обязанности.

При отзыве согласия (ст. 9 ФЗ-152). После отзыва субъектом согласия на обработку оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней, если нет иного правового основания для продолжения обработки. Временное блокирование здесь допустимо только для оценки наличия альтернативного основания.

По предписанию РКН (ст. 23 ФЗ-152). Роскомнадзор вправе требовать блокирования или уничтожения ПДн при выявлении нарушений. Неисполнение предписания — самостоятельный состав нарушения.

Получили требование субъекта или предписание РКН?

Срок реакции по ст. 21 ФЗ-152 — 7 рабочих дней на уничтожение недостоверных или незаконно обрабатываемых данных. При отзыве согласия — 30 дней. Неисполнение в срок образует состав по ч. 5 ст. 13.11 КоАП: штраф до 90 000 ₽, повторно — до 500 000 ₽. Юристы DATUM проводят аудит обработки ПДн по чек-листу из 38 пунктов и выдают план устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие сроки установлены для уничтожения и блокировки ПДн?

Сроки зависят от основания, по которому возникла обязанность.

Ключевые сроки уничтожения и блокировки

7 рабочих дней — уничтожение недостоверных или незаконно обрабатываемых ПДн после получения требования субъекта (ст. 21 ФЗ-152)
30 дней — уничтожение ПДн после отзыва согласия субъектом при отсутствии иного основания обработки (ст. 9 ФЗ-152)
Незамедлительно — блокирование при поступлении требования субъекта об уточнении на период проверки (ст. 21 ФЗ-152)
Срок, установленный оператором, — уничтожение при достижении целей обработки (ст. 5, ст. 21 ФЗ-152); должен быть закреплён в политике обработки
Срок из предписания РКН — при выявлении нарушений в ходе проверки (ст. 23 ФЗ-152)

Срок блокирования на период уточнения — 7 рабочих дней. По истечении этого срока оператор обязан принять решение: снять блокирование (если данные верны) или уничтожить (если нет). Неопределённое «заблокировано» без последующего действия — нарушение принципа достоверности данных из ст. 5 ФЗ-152.

Типовые ситуации применения норм

Ситуация 1. Субъект требует удалить данные, ссылаясь на отзыв согласия. Оператор получил обращение, проверяет, нет ли иного правового основания для обработки — например, договора или требования закона. Если основание есть — продолжение обработки правомерно, субъекту направляется мотивированный отказ со ссылкой на ст. 21 ФЗ-152. Если основания нет — данные уничтожаются в течение 30 дней. Доказательство исполнения: акт уничтожения с датой, подписями и перечнем носителей.

Ситуация 2. РКН в ходе проверки выявил обработку ПДн, цель которой достигнута два года назад. Оператор продолжал хранить базу клиентов закрытого проекта. Нарушены принципы ст. 5 ФЗ-152: хранение дольше необходимого. Оператор получает предписание об уничтожении. Неисполнение в установленный срок — штраф по ч. 5 ст. 13.11 КоАП. Стратегия: немедленное уничтожение, акт — регулятору, параллельно — проверка политики на наличие сроков хранения по каждой цели обработки.

Ситуация 3. Бывший работник требует уничтожить личное дело. Личное дело работника содержит ПДн, обязанность хранения которых установлена трудовым законодательством и архивными нормами — типовой срок 75 лет. Отзыв согласия не прекращает обязанность хранения, установленную законом (ст. 6, пп. 2 ч. 2 ст. 9 ФЗ-152). Оператор направляет мотивированный отказ с указанием правового основания и сроков хранения.

Если вы юрист и в компании нет актуального регламента уничтожения ПДн — каждое требование субъекта решается ситуативно, без документального подтверждения исполнения. Это риск при проверке РКН. Юристы DATUM соберут ОРД, включая регламент уничтожения и форму акта.

Собрать ОРД под ключ

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — это любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Уничтожение и блокирование входят в это определение, что означает: на них распространяются все требования к обработке, включая наличие правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований. Основные: согласие субъекта, исполнение договора с субъектом, исполнение возложенных законом обязанностей, защита жизни или здоровья, исполнение судебного акта. Уничтожение данных при отзыве согласия — тоже обработка, требующая подтверждения факта исполнения. Отсутствие документального подтверждения уничтожения при проверке РКН расценивается как неисполнение обязанности.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность — по ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024): 18 частей, штрафы для юрлиц от 30 000 ₽ (ч. 3) до 500 млн ₽ (оборотный по ч. 15). За неисполнение требования об уточнении, блокировании или уничтожении ПДн — ч. 5 ст. 13.11: до 90 000 ₽, повторно — до 500 000 ₽. Уголовная ответственность — ст. 272.1 УК РФ (с 11.12.2024): до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

По ст. 22 ФЗ-152 уведомление обязательно для всех операторов, кроме случаев из ч. 2 ст. 22 — перечень исключений узкий (обработка только для исполнения договора, данные общедоступны, обработка без автоматизации в установленных случаях и ряд других). Большинство компаний, включая малый бизнес, под исключения не подпадают. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП: от 100 000 до 300 000 ₽ для юрлиц.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единого возрастного порога. По общему правилу гражданского законодательства дееспособность наступает с 18 лет; до 14 лет согласие дают законные представители. В ряде случаев (например, при регистрации в информационных системах) операторы ориентируются на возраст 14 лет — с момента получения паспорта. Для сферы образования и при обработке ПДн несовершеннолетних рекомендуется получать согласие от родителей независимо от возраста ребёнка.

Итог

Уничтожение и блокирование — разные по правовым последствиям меры. Блокирование применяется временно, уничтожение — необратимо. Смешение оснований и сроков создаёт риск нарушений по ч. 5 ст. 13.11 КоАП. Каждое из действий требует документального подтверждения: акта уничтожения или журнала блокирования.

Юристы DATUM сопровождают операторов при получении требований субъектов и предписаний РКН: разграничивают основания, выстраивают процедуры уничтожения и блокирования, формируют доказательную базу на случай проверки.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка процедур уничтожения и блокирования по 38 пунктам
Комплект ОРД под ключ — регламент уничтожения, форма акта, журналы учёта
DPO-аутсорсинг — ответы на запросы субъектов, ведение журналов, контроль сроков

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности.

28 октября 2026 года