Прекращение обработки ПДн и удаление: чек‑лист

Table of contents

• Что такое прекращение обработки ПДн по 152‑ФЗ
• Когда надо прекратить обработку и удалить ПДн
• Отзыв согласия: последствия для оператора
• Чек‑лист закрытия процесса обработки ПДн
• Методы: блокирование, уничтожение, обезличивание
• Документирование и уведомления
• Сроки хранения: когда удалить нельзя
• Особенности ИСПДн, резервных копий и облаков
• Типичные ошибки и риски на проверках
• Мини‑шаблоны формулировок
• Вывод и следующий шаг

---

Что такое прекращение обработки ПДн по 152‑ФЗ

Прекращение обработки персональных данных (ПДн) — это юридически и технически оформленное завершение действий с ПДн по конкретной цели обработки: сбор, запись, систематизация, хранение, уточнение, передача, обезличивание, уничтожение и др. С этого момента оператор обязан остановить все операции с данными, заблокировать их и в установленные сроки уничтожить или обезличить — если нет иной правовой обязанности хранить.

Базовые определения и принципы:

• Понятия «обработка», «уничтожение», «блокирование» — см. глоссарий и ст. 3 и ст. 3 152‑ФЗ.
• Принцип хранения «не дольше, чем требуется целью» — ст. 5 152‑ФЗ и раздел принципы и цели обработки.
• Обязанность оператора прекращать обработку и уничтожать ПДн при достижении цели или утрате необходимости — ст. 21 152‑ФЗ.

Важно: есть случаи, когда действие закона 152‑ФЗ не распространяется полностью или применяется с особенностями. Например, на обработку ПДн физлицом для личных и семейных нужд, не связанных с предпринимательством, 152‑ФЗ не распространяется (см. ст. 1). Для иных режимов (СМИ, научная/творческая деятельность, гос.тайна) — применяются специальные правила и иные законы, см. связанные законы и о законе 152‑ФЗ.

![Схема прекращения обработки ПДн: блокирование — проверка законности — уничтожение или обезличивание]

Когда надо прекратить обработку и удалить ПДн

Основания для закрытия процесса обработки ПДн 152‑ФЗ встречаются в практике регулярно:

• Цель достигнута или утрачена необходимость (проект завершён, услуга оказана, договор исполнен полностью).
• Истёк срок обработки, указанный в политике/согласии/договоре.
• Получен отзыв согласия от субъекта ПДн.
• Выявлена незаконная обработка или неправомерный доступ (часто после инцидента).
• Прекращение деятельности оператора либо отдельного процесса (например, отключение формы на сайте или смена CRM).
• Требование уполномоченного органа.

Сводная таблица действий и оснований:

Основание	Срок реакции	Действия оператора	Нормативная опора
Достигнута цель обработки	Без промедления	Блокировка → оценка обязательных сроков → уничтожение/обезличивание	ст. 5, ст. 21
Отзыв согласия	Без промедления	Остановить операции по согласию; оставить только то, что требуется по закону/договору	права субъекта, заявления и отзыв согласия
Незаконная обработка	Немедленно	Блокировка → устранение нарушений → уничтожение, если нет законного основания	ст. 21, инциденты
Закрытие сервиса/процесса	По плану	Инвентаризация → блокировка → перенос/уничтожение → обновить реестр	обязанности оператора, реестр операторов

Отзыв согласия: последствия для оператора

Ключевой запрос: «отзыв согласия 152‑ФЗ последствия». Что обязан сделать оператор?

• Немедленно прекратить все операции, основанные исключительно на согласии. Исключение — если есть другая законная база: выполнение договора, закон, защита прав, и т. п. См. обработка без согласия.
• Заблокировать данные и подготовить их к уничтожению/обезличиванию.
• Уведомить субъект о последствиях: например, невозможность оказания услуги без минимально необходимых ПДн.
• Сообщить третьим лицам, которым были переданы ПДн, о необходимости прекратить обработку (и уничтожить копии), если нет иных оснований. См. передача третьим лицам и трансграничная передача.
• Обновить записи в реестрах и информационных системах, исключить из рассылок и рекламных сегментов. Для типовых форм посмотрите раздел отзыв согласия.

Важно: отзыв согласия не аннулирует ранее выполненную законную обработку и не отменяет обязанностей по хранению, прямо установленных законом (например, бухгалтерские/кадровые документы). Об этом — в разделе про сроки хранения.

Чек‑лист закрытия процесса обработки ПДн

Закрытие процесса обработки ПДн 152‑ФЗ удобно проводить как проект со сквозной фиксацией:

1. Назначьте ответственного и регламент. Сошлитесь на внутренний акт/политику (ответственный за обработку, внутренний контроль, политика обработки ПДн).
2. Инвентаризируйте массивы ПДн: системы (CRM, ERP, Helpdesk), файловые хранилища, e‑mail, мессенджеры (мессенджеры и 152‑ФЗ), бумажные дела, резервные копии, тестовые/обучающие стенды.
3. Остановите сбор: выключите формы и интеграции, обновите баннеры/политику на сайте, сегменты аналитики (формы на сайте и согласие, cookie и баннеры, Яндекс Метрика).
4. Заблокируйте ПДн до принятия решения: временно запретите доступ и операции (уничтожение и блокировка ПДн).
5. Проведите правовой анализ: есть ли обязательные сроки хранения? другой правовой базис обработки? (договор, закон, легитимный интерес). См. принципы и цели, обработка без согласия.
6. Выберите способ: уничтожить, обезличить или сохранить на обязательный срок с ограничением доступа.
7. Исполните технически: удаление из систем, скрипты зачистки логов, очистка кэшей, очередь на «слипучее» удаление из бэкапов.
8. Оформите документы: акт уничтожения/обезличивания, отчёт об инвентаризации, уведомления третьим лицам и субъектам, обновления в реестре операторов (при полном прекращении деятельности с ПДн).
9. Обновите регламенты и реестр процессов: исключите закрытую цель, внесите изменения в пакет документов 152‑ФЗ и политику.
10. Проведите выборочную проверку: убедитесь, что данные не «всплывают» в отчётах, витринах, BI, тестовых средах.

Методы: блокирование, уничтожение, обезличивание

• Блокирование — временное прекращение доступа/операций с ПДн до проверки законности либо до уничтожения. Технически: изменение ACL, вывод из индексов, перевод в «архив» (без доступа обработчиков).
• Уничтожение — безвозвратное удаление, исключающее восстановление. Для бумажных носителей — шредер/утилизация по акту. Для ИТ — безопасное удаление, перезапись, криптографическое стирание. См. уничтожение и блокировка.
• Обезличивание — удаление идентификаторов, после чего данные перестают относиться к субъекту ПДн. Подходит для аналитики, где персональная идентификация не нужна. См. обезличивание ПДн.

Выбор метода определите в матрице целей и рисков, опираясь на ст. 5 и ваши меры безопасности (в т. ч. криптография).

Документирование и уведомления

Что важно зафиксировать и кому сообщить:

• Акт об уничтожении/обезличивании: дата, состав комиссии, перечень систем/массивов, метод, подтверждение невозможности восстановления, ссылки на нормы и внутренние регламенты. См. шаблоны и формы.
• Отчёт об инвентаризации и решении о прекращении.
• Уведомление субъектам (при обработке на основе согласия/заявления) об остановке и последствиях; ссылка на канал для запросов (права субъектов).
• Уведомление третьих лиц/операторов по поручению о необходимости прекратить обработку и уничтожить копии (поручение обработки).
• Актуализация записи в реестре операторов ПДн и во внутренних реестрах целей.
• При инциденте — действия по плану реагирования и, при наличии критериев, уведомление Роскомнадзора.

Сроки хранения: когда удалить нельзя

Не всякую информацию о субъекте можно уничтожить сразу. Частые группы, для которых действует «хранить, но ограничить доступ»:

Категория данных	Почему нельзя удалить	Что делать
Кадровые документы работников/кандидатов	Обязательные сроки хранения по трудовому и архивному законодательству	Хранить до истечения срока в архиве, доступ — по принципу необходимости, затем уничтожить по акту. См. документы для работодателя и сроки хранения ПДн.
Бухгалтерские и налоговые документы	Установленные НК РФ и иные нормы	Хранить в учётных системах, обеспечить режим ограниченного доступа, удаление — по истечении сроков.
Документы по судебным и претензионным делам	Защита прав и законных интересов	Хранить до окончания споров и сроков исковой давности, затем устранить.
Коммерческая тайна с ПДн	Режим тайны и договорные обязательства	Обеспечить режим, минимизировать доступ, удалить после истечения оснований. См. коммерческая тайна и ПДн.

Если единственным основанием была «согласие», а обязательных сроков нет — данные подлежат уничтожению или обезличиванию без промедления.

Особенности ИСПДн, резервных копий и облаков

• ИСПДн и уровни защищённости: при закрытии системы учитывайте требования к процедурам вывода из эксплуатации, журналы, ключи, носители. См. ИСПДн: определение и требования, уровни защищённости, модель угроз, требования ФСТЭК и ФСБ.
• Резервные копии: заложите цикл «естественного вымирания» бэкапов и процедуру безопасной очистки. Зафиксируйте в акте, какой срок полного удаления.
• Облака и провайдеры: проверьте условия возврата/уничтожения данных в SLA/DPA. При трансграничной передаче — уведомьте обработчиков о прекращении и убедитесь в зачистке. См. трансграничная передача ПДн и облака: Yandex Cloud.

Типичные ошибки и риски на проверках

• Хранение «на всякий случай» после достижения цели — нарушение ст. 5. Риск штрафов: см. ответственность и штрафы, КоАП 13.11.
• Отзыв согласия проигнорирован в отдельных каналах (e‑mail, мессенджеры, копии в BI/Excel). Решение: централизованный реестр согласий и автоматизация блокировки.
• Не очищены тестовые/обучающие стенды, лог‑хранилища и кэши.
• Нет актов уничтожения и доказательств исполнения. На проверке Роскомнадзора это критично.
• Уничтожили то, что по закону обязаны хранить. Проверьте сроки хранения ПДн.
• Не обновили реестр операторов после фактического прекращения обработки.

Для ориентира полезно изучать судебную практику по 152‑ФЗ.

Мини‑шаблоны формулировок

Ниже — примеры, которые можно адаптировать под свои бланки (готовые формы см. в разделе шаблоны и формы 152‑ФЗ):

• Решение оператора: «В связи с достижением цели обработки персональных данных (оказание услуги X) принято решение прекратить обработку, заблокировать и уничтожить ПДн субъектов, за исключением сведений, подлежащих хранению по закону».
• Уведомление третьей стороне: «Просим прекратить обработку и уничтожить ранее переданные персональные данные в рамках договора №…, поскольку цель обработки достигнута/согласие отозвано. Подтвердите уничтожение актом до …».
• Ответ субъекту на отзыв согласия: «Обработка на основе согласия прекращена. Сведения, обязательные к хранению по закону, будут храниться с ограничением доступа до истечения сроков, после чего уничтожены. Услуга X без этих данных недоступна».
• Акт уничтожения: «Комиссией в составе … произведено уничтожение ПДн в системах … методом …, восстановление невозможно. Приложение: логи/скриншоты, отчёты утилит».

Вывод и следующий шаг

Прекращение обработки персональных данных по 152‑ФЗ — это управляемый процесс: блокирование → правовой анализ → уничтожение/обезличивание → фиксация и обновление реестров. Ошибки чаще всего связаны с «забытыми» копиями и отсутствием документов. Используйте этот чек‑лист, чтобы закрыть процесс без рисков, а для комплексного подхода сверяйтесь с нашим общим чек‑листом 152‑ФЗ и базой знаний: структура и статьи 152‑ФЗ, последняя редакция, изменения 2025.

Нужна помощь с планом закрытия, актами и зачисткой ИТ‑ландшафта? Обратитесь в наш раздел консалтинг и документы под ключ или пройдите быстрый аудит сайта на 152‑ФЗ. Мы поможем завершить обработку корректно и доказуемо.