Уничтожение и блокировка ПДн: процедуры и акты

Table of contents

• Что такое блокировка и уничтожение ПДн по 152‑ФЗ
• Когда требуется блокировка и уничтожение: типичные основания
• Процедура блокировки ПДн: пошаговый алгоритм
• Процедура уничтожения и удаление ПДн: методы и подтверждение
• Акты о блокировке и уничтожении: состав, примеры и хранение
• Сроки хранения, прекращение обработки и связь с политикой
• Особые случаи: поручение, трансграничная передача, биометрия и дети
• Контроль и доказательства соответствия: проверки и ответственность
• Частые ошибки и как их избежать
• Чек‑лист внедрения и что мы можем сделать для вас

Что такое блокировка и уничтожение ПДн по 152‑ФЗ

Блокировка персональных данных — это временное прекращение обработки конкретных данных, как правило, на период проверки законности, полноты и актуальности. Исключение: обработка, необходимая для уточнения данных субъекта, может продолжаться. Уничтожение ПДн — действия, после которых восстановить персональные данные невозможно.

Правовые основы:

• Ст. 5 152‑ФЗ — принципы и сроки хранения: данные не хранятся дольше, чем требуется целями; по достижении целей — подлежат уничтожению или обезличиванию. Подробнее: Статья 5, Принципы и цели обработки.
• Ст. 14 152‑ФЗ — права субъекта требовать блокировки, уточнения или уничтожения, если данные неполные, устаревшие, неточные, получены незаконно или не нужны заявленной цели. Подробнее: Статья 14, Права субъектов ПДн.
• Ст. 21 152‑ФЗ — обязанности оператора, в т.ч. прекращение незаконной обработки и уничтожение данных при достижении целей. Смотрите: Обязанности оператора.

Если вы ищете практическое толкование формулировок и актуальные сроки, используйте полный текст 152‑ФЗ (последняя редакция) и обзор изменений: Изменения 2025, а также общее введение: О законе 152‑ФЗ.

Ключевые запросы, с которыми сталкиваются операторы: «152 фз уничтожение персональных данных», «удаление персональных данных 152 фз», «уничтожение ПДн 152 фз», «прекращение обработки персональных данных 152 фз». Ниже — структурированные ответы.

Когда требуется блокировка и уничтожение: типичные основания

Ниже — компактная карта оснований, действий и документов (ориентир; конкретные сроки и формулировки уточняйте по актуальной редакции закона):

Основание	Что делаем	Правовая опора	Документальное подтверждение
Жалоба/заявление субъекта на неточность/незаконность	Блокируем ПДн на период проверки	Ст. 14 152‑ФЗ	Регистрация запроса, распоряжение о блокировке
Подтверждена незаконность/ненужность	Уничтожаем или корректируем; прекращаем обработку	Ст. 14, ст. 21 152‑ФЗ	Акт уничтожения/исправления, уведомление субъекта
Достижение цели обработки	Уничтожаем или обезличиваем	Ст. 5 152‑ФЗ	Акт уничтожения/обезличивания, запись в реестре операций
Отзыв согласия и нет иного основания	Прекращаем обработку, уничтожаем	Ст. 5, ст. 21 152‑ФЗ	Заявление об отзыве, акт уничтожения
Истечение срока хранения	Уничтожаем или обезличиваем	Ст. 5 152‑ФЗ	Реестр сроков, акт уничтожения
Требование Роскомнадзора/суда	Блокируем/уничтожаем в предписанный срок	Ст. 21 152‑ФЗ	Исполнение предписания, акты, переписка

Полезные материалы по теме: Прекращение обработки ПДн, Сроки хранения ПДн, Обезличивание ПДн.

Процедура блокировки ПДн: пошаговый алгоритм

Блокировка — управляемая ИБ‑процедура, ограничивающая доступ и обработку до завершения проверки.

Рекомендуемый порядок:

1. Принять и зарегистрировать обращение (субъекта, Роскомнадзора, внутренний инцидент). Присвоить идентификатор кейса.
2. Идентифицировать наборы данных в ИСПДн и внешних системах (CRM, ERP, DWH, архивы, облака, мессенджеры). Справочником служит карта данных и реестр ИСПДн: ИСПДн: определение и требования.
3. Выполнить блокировку: роль‑based запрет на операции, изоляция записи, перевод в статус «на проверке», запрет интеграционных задач и выгрузок. Не допускайте автоматических рассылок, аналитики, обучения моделей на этих данных.
4. Зафиксировать блокировку в журнале безопасности и в карточке кейса (кто, когда, какие наборы, срок, основания).
5. Провести проверку законности/актуальности, при необходимости — запросить уточнение у субъекта. Это допустимая обработка в период блокировки.
6. Принять решение: уточнение, продолжение обработки на законном основании или уничтожение. Решение фиксируется приказом/распоряжением ответственного за обработку ПДн.

Контрольные точки качества:

• Блокировка касается и копий: кэши, индексы поиска, аналитические витрины. Настройте автоматические хуки в ETL/ESB.
• Интеграции с подрядчиками: направьте им уведомление о блокировке с требованием зеркальной меры. Подробнее: Поручение обработки ПДн.

Процедура уничтожения и удаление ПДн: методы и подтверждение

Уничтожение ПДн по 152‑ФЗ — это не просто логическое «удаление» записи. Речь о технологически необратимой утрате возможности восстановления. Внутренние процедуры должны описывать, как выполняется удаление персональных данных (удаление персональных данных 152 ФЗ), и как фиксируется факт уничтожения (уничтожение ПДн 152 ФЗ).

Пошагово:

1. Основание: достижение цели, отзыв согласия без иных правовых оснований, истечение срока хранения, незаконная обработка. См. также: Прекращение обработки ПДн.
2. Идентификация всех мест хранения: продуктив, резервные копии, бумажные архивы, лог‑файлы, файлопомойки, почта, мессенджеры: Мессенджеры и 152‑ФЗ.
3. Выбор метода уничтожения, его выполнение и документирование (акт, журнал). При необходимости — уведомление субъекта и регулятора: Уведомление Роскомнадзор.
4. Контроль невозможности восстановления: проверка средствами восстановления, контрольные выборки, отчёт ИБ.

Технологии уничтожения (выбирайте под носители и риски):

Носитель/среда	Метод	Комментарий
БД и файловые системы	Перезапись, secure delete, обнуление блоков, «crypto‑shred» (уничтожение ключей шифрования)	Подтверждение логами СУБД/СХД, отчёт ИБ
Резервные копии	Отзыв ключей, истечение TTL, целевое удаление из бэкап‑хранилища	Регламентируйте в политике бэкапов; фиксируйте цикл удаления
Бумажные носители	Шредирование (класс по уровню секретности), термическое уничтожение	Акт утилизации, договор с подрядчиком
Мобильные/съёмные носители	Полное стирание, аппаратный сброс с перезаписью	Документируйте серийные номера, метод
Облака/СaaS	Средства платформы: удаление объекта, уничтожение snapshot/backup	Проверьте SLA провайдера: Облака и 152‑ФЗ

Важно: обезличивание как альтернатива. Если данные нужны для статистики, тестирования или аналитики, но не для идентификации, применяйте деперсонализацию. Это допустимый способ завершения обработки при соблюдении методик: Обезличивание ПДн.

Юридический итог: 152 ФЗ уничтожение персональных данных и фактическое прекращение обработки — связанные, но разные действия. Уничтожив данные, вы тем самым прекращаете их обработку; но можно прекратить обработку и без уничтожения, если, например, перешли на обезличивание и соблюдаете принципы ст. 5.

Акты о блокировке и уничтожении: состав, примеры и хранение

Для доказуемости соответствия формируйте стандартные формы. Полезные заготовки: Шаблоны и формы, Пакет документов 152‑ФЗ, Политика обработки ПДн.

Акт блокировки:

• Реквизиты оператора и ИСПДн, основание (заявление субъекта, предписание, внутренний инцидент).
• Дата/время начала блокировки, список систем и наборов данных.
• Ответственные лица, применённые меры (технические, организационные).
• Срок блокировки, ссылка на кейс проверки, подписи.

Акт уничтожения:

• Основание (достижение цели, отзыв согласия, истечение срока, незаконность).
• Категории ПДн, объём, носители, системы.
• Метод уничтожения (кратко), дата/время, ответственные.
• Подтверждение невозможности восстановления, при необходимости — реквизиты подрядчика.
• Уведомления, если направлялись субъекту/регулятору.

Храните акты и журналы в составе системы внутреннего контроля: Внутренний контроль и обучение.

Сроки хранения, прекращение обработки и связь с политикой

Чтобы «прекращение обработки персональных данных 152 ФЗ» выполнялось управляемо, опирайтесь на:

• Матрицу сроков хранения по категориям данных и целям: Сроки хранения ПДн.
• Процедуру «стоп‑процессов» при достижении цели или отзыве согласия: Прекращение обработки ПДн.
• Политику обработки и реестр операций как источники правовых оснований: Политика обработки ПДн.

Согласуйте сроки с отраслевыми и бухгалтерскими регламентами, если они требуют более длительного хранения отдельных документов. При отсутствии законного основания продолжать обработку — данные уничтожаются или обезличиваются.

Особые случаи: поручение, трансграничная передача, биометрия и дети

• Подрядчики-операторы по поручению. Пропишите в договоре зеркальные обязательства по блокировке и уничтожению, сроки и формат актов: Поручение обработки ПДн.
• Трансграничная передача. Убедитесь, что удаление/уничтожение исполнимо в юрисдикции получателя и зафиксировано в контракте: Трансграничная передача.
• Специальные категории, биометрия, медицинские данные, дети. Для этих категорий риски выше — усиленные меры и документирование: Специальные категории, Биометрические ПДн, Медицинские ПДн, Дети и несовершеннолетние.

Контроль и доказательства соответствия: проверки и ответственность

Готовность к проверкам Роскомнадзора подразумевает:

• Наличие и соблюдение процедур, журналов и актов, а также доказуемость действий в ИСПДн: Меры безопасности ПДн, Модель угроз ИСПДн.
• Реагирование на инциденты и утечки, уведомления при необходимости: Инциденты и утечки ПДн, Уведомление Роскомнадзор.
• Готовность к надзору: Проверки Роскомнадзора.

За несоблюдение требований — административная ответственность и штрафы: Ответственность и штрафы, КоАП 13.11, практические кейсы: Судебная практика.

Частые ошибки и как их избежать

• Удаляют запись в CRM, но забывают о витринах BI, логах, индексах поиска и кэше. Используйте единый реестр мест хранения и автоматические сценарии удаления.
• Нет сквозных идентификаторов — сложно найти все копии. Введите стабильный внутренний идентификатор субъекта.
• Игнорирование бэкапов: данные «воскресают». Опишите цикл удаления из резервных копий и crypto‑shred ключей.
• Нет актов — нечем подтвердить «152 ФЗ уничтожение персональных данных» на проверке. Готовьте унифицированные формы и храните их централизованно.
• Подрядчик ничего не удалил. Контрактно закрепите обязанности, аудит и штрафные оговорки, требуйте копии актов.
• Слабая роль ответственного за ПДн — решения «зависают». Назначьте и обучите ответственного: Ответственный за обработку ПДн.

Чек‑лист внедрения и что мы можем сделать для вас

Быстрый план работ:

1. Обновите политику и регламенты с учётом блокировки/уничтожения и картой сроков хранения: Пакет документов 152‑ФЗ.
2. Составьте карту данных и мест хранения, включая облака и подрядчиков.
3. Настройте в ИСПДн статусы блокировки и автоматические сценарии удаления. Проверьте аудит: Уровни защищённости ИСПДн.
4. Утвердите формы актов и журналы, обучите персонал: Внутренний контроль и обучение.
5. Проведите тестовое уничтожение на небоевом стенде, оформите акты и отчёты ИБ.
6. Закрепите в договорах с подрядчиками зеркальные процедуры, сроки и ответственность.
7. Подготовьтесь к проверке: чек‑лист, доказательства, ответственные: Подготовка к проверке, Чек‑лист 152‑ФЗ.

Нужна помощь в настройке процедур «прекращение обработки персональных данных 152 ФЗ», блокировки и уничтожения? Мы проведём аудит, подготовим документы и внедрим процессы «под ключ». Обратитесь в раздел услуг: Консалтинг и документы под ключ.

---

Вывод: корректная блокировка и надёжное уничтожение ПДн — обязательные элементы жизненного цикла данных по 152‑ФЗ. Делайте их управляемыми: формализуйте основания, автоматизируйте шаги, фиксируйте актами и журналами. Так вы снизите риски, пройдёте проверку и сохраните доверие клиентов.