ГрамотаИБ ГрамотаИБ

Бумага и ИСПДн: что хранить, сколько и когда уничтожать персональные данные

25.06.2026

Клиент подписал согласие и договор на бумаге, а данные внесли в информационную систему. Нужно ли после этого уничтожать оригиналы документов и сколько их хранить? Когда и как удалять данные из ИСПДн? Разбираем жизненный цикл персональных данных на двух носителях сразу: зачем хранить бумажный оригинал как доказательство законности обработки, какие сроки хранения у согласий и договоров, когда наступает обязанность уничтожить данные (30 дней по статье 21 152-ФЗ) и как оформить уничтожение по Приказу Роскомнадзора №179.

Типичная ситуация: клиент пришёл в офис, подписал согласие и договор на бумаге, а менеджер тут же завёл карточку в CRM или учётной системе. С этого момента одни и те же персональные данные живут сразу на двух носителях — в бумажном оригинале и в информационной системе (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.). Возникают вопросы: нужно ли уничтожать бумагу после внесения в систему, сколько её хранить и когда удалять запись из ИСПДн. Разберём весь жизненный цикл данных, чтобы не уничтожить лишнее раньше времени и не хранить ничего дольше, чем разрешает закон.

Бумага и ИСПДн — две обработки одних и тех же данных

Подписанное согласие и договор на бумаге — это обработка персональных данных без средств автоматизации (регулируется Положением, утверждённым Постановлением Правительства РФ №687). Карточка клиента в CRM — обработка с использованием средств автоматизации, то есть ИСПДн (под неё работают ПП-1119 и приказы ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ.). Это два разных режима, но данные в них одни и те же, и оба подчиняются 152-ФЗ.

Ключевая мысль: бумажный оригинал и запись в системе выполняют разные функции. Запись в ИСПДн — это рабочий инструмент: по ней оператор ведёт расчёты, рассылки, обслуживание. Подписанный на бумаге документ — это доказательство законности обработки: он подтверждает, что субъект дал согласие или что данные нужны для исполнения договора. Поэтому внесение данных в систему не отменяет необходимости хранить оригинал, и наоборот.

Здесь же важно оформить документы правильно изначально: согласие на обработку должно быть отдельным документом, а не пунктом внутри договора. Этого требует статья 9 152-ФЗ — согласие даётся конкретно, осознанно и отдельно от иных документов, которые подписывает субъект; «спрятанное» в текст договора согласие при проверке могут не зачесть.

Нужно ли уничтожать оригиналы после внесения в ИСПДн

Нет. Распространённое заблуждение — «данные уже в системе, бумагу можно выбросить». На самом деле всё ровно наоборот: пока вы обрабатываете данные клиента, подписанный оригинал согласия или договора — ваше основное доказательство законности обработки. Если Роскомнадзор, прокуратура или сам субъект спросят, на каком основании вы обрабатываете данные, проще всего подтвердить это подписанной бумагой. Доказательством может быть и электронная форма — согласие с электронной подписью или договор в системе ЭДО, — но в бумажном процессе именно оригинал на руках является самым очевидным подтверждением.

Уничтожать оригинал нужно не после внесения в ИСПДн, а после того как истекут все сроки его хранения и отпадёт цель обработки. До этого момента бумага и запись в системе живут параллельно. Более того, преждевременное уничтожение согласия при продолжающейся обработке данных — это нарушение: вы продолжаете обрабатывать данные, но уже не можете подтвердить законное основание.

Сколько хранить бумажные оригиналы

Единого срока нет — он зависит от типа документа и цели обработки. Действует общий принцип статьи 5 152-ФЗ: хранить данные можно не дольше, чем этого требует цель обработки, но при этом не меньше, чем предписывают другие законы (налоговое, бухгалтерское, архивное, трудовое право). То есть нижнюю границу задаёт закон, а верхнюю — достижение цели. Ориентиры по основным документам:

ДокументОриентир по сроку храненияОснование
Согласие на обработку ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн).В течение срока, указанного в самом согласии; по Перечню Росархива — как правило 3 года после истечения срока действия или отзываПеречень Росархива №236 (срок); ст. 9 152-ФЗ (реквизиты согласия)
Договор с клиентом и сопутствующие документыСрок действия договора плюс срок исковой давности (общий — 3 года)ст. 196 ГК РФ
Первичные бухгалтерские документы (платёжные, акты, счета)Не менее 5 летст. 29 Закона №402-ФЗ о бухучёте
Документы для целей налогообложенияНе менее 5 летНалоговый кодекс РФ
Кадровые документы (личные дела, приказы по личному составу)От 5 до 50/75 лет в зависимости от видаПеречень Росархива №236

Важно: срок считается отдельно по каждому документу, цели и категории данных, а не одним общим максимумом для всего массива. Если по части документов закон требует более долгого хранения (например, бухгалтерская первичка по сделке), это продлевает хранение именно этих документов и именно для этой цели — учёта и защиты в возможном споре, — но не «оживляет» истёкшее согласие и не разрешает продолжать прежние цели вроде маркетинговых рассылок. Поэтому данные, у которых после достижения цели не осталось отдельного основания, убирают, даже если соседние документы по тому же клиенту хранятся дольше. Подробнее о видах согласий и их реквизитах — в статье «Согласие на обработку персональных данных».

Когда уничтожать данные из ИСПДн

Обязанность прекратить обработку и уничтожить данные прямо закреплена в статье 21 152-ФЗ. Она возникает в нескольких случаях:

  • Достигнута цель обработки (ч.4 ст.21). Цель, ради которой собрали данные, исчерпана — оператор обязан прекратить обработку и уничтожить данные в срок не более 30 дней с даты достижения цели, если иное не предусмотрено договором или законом.
  • Субъект отозвал согласие (ч.5 ст.21). Если согласие было единственным основанием и хранение данных больше не требуется для цели — уничтожить в срок не более 30 дней с даты получения отзыва.
  • Субъект потребовал прекратить обработку (ч.5.1 ст.21). Получив такое требование, оператор прекращает обработку в срок до 10 рабочих дней; срок может быть продлён не более чем на 5 рабочих дней с уведомлением субъекта. Исключение — когда обработка продолжается на другом законном основании (части 2-11 статьи 6, статьи 10 и 11 152-ФЗ).
  • Обработка оказалась неправомерной (ч.3 ст.21). Неправомерную обработку нужно прекратить в срок до 3 рабочих дней, а если обеспечить её правомерность нельзя — уничтожить данные в срок до 10 рабочих дней с даты выявления нарушения.
  • Истёк срок хранения. Закончились установленные законом или политикой сроки, и дальше держать данные нет законного основания.

Если уничтожить данные в эти сроки технически невозможно (например, они остались в резервных копиях), оператор обязан их заблокировать и уничтожить в срок не более 6 месяцев, если иной срок не установлен федеральным законом (ч.6 ст.21).

Важная оговорка к отзыву согласия: если у вас есть другое законное основание продолжать обработку (например, исполнение договора, требование закона о хранении бухгалтерских документов, защита ваших интересов в суде), отзыв согласия не обязывает немедленно стереть данные. В этом случае вы прекращаете обработку только в тех целях, которые держались на согласии, а данные, нужные по другим основаниям, продолжаете хранить положенный срок. Это та же логика, что и при обработке данных работников, где многие операции идут без согласия.

Как правильно уничтожать данные

Уничтожение должно быть необратимым и задокументированным — и для бумаги, и для системы способы разные.

Бумажные оригиналы

Носители уничтожают способом, исключающим восстановление и дальнейшую обработку: шредирование, сжигание, передача в специализированную организацию по акту. Если на одном носителе есть данные, которые ещё нужны, а часть подлежит уничтожению, допускается частичное уничтожение — вымарывание или удаление отдельных полей так, чтобы их нельзя было прочесть, сохранив остальную часть документа (п. 12 Положения №687). Факт уничтожения оформляется актом, где указывают, какие документы и чьи данные уничтожены, дату, способ и кто провёл уничтожение (обычно это комиссия, но закон требует именно сведения о выполнивших лицах). Подробнее о бумажном режиме — в статье «Обработка персональных данных без средств автоматизации».

Данные в ИСПДн

В системе данные удаляют так, чтобы их нельзя было восстановить, и подтверждают это по Приказу Роскомнадзора №179 от 28.10.2022 (требования к подтверждению уничтожения ПДн). Подтверждением служит акт об уничтожении с обязательными реквизитами, а при автоматизированной обработке к нему дополнительно прикладывается выгрузка из журнала регистрации событий в ИСПДн, фиксирующая сам факт удаления. В акте указывают дату и основание уничтожения, состав данных и категории субъектов, наименование ИСПДн, способ уничтожения и сведения о лицах, выполнивших операцию. Акт и выгрузку оператор хранит не менее 3 лет с даты уничтожения.

Частый подвох: удаление записи из интерфейса CRM ещё не означает уничтожение во всей ИСПДн. Те же данные могут остаться в резервных копиях, репликах, архивах базы, журналах и выгрузках. Их нужно либо тоже уничтожить, либо, если сразу нельзя, заблокировать и уничтожить при ближайшей ротации в пределах сроков статьи 21.

Обезличивание как альтернатива

Вместо уничтожения данные можно обезличить — привести в состояние, когда без дополнительной информации нельзя определить принадлежность конкретному человеку. Это альтернатива из принципа статьи 5 152-ФЗ («подлежат уничтожению либо обезличиванию» по достижении цели), а не из процедуры статьи 21, где речь идёт об уничтожении. Поэтому обезличивание надо обосновать конкретной целью — например, сохранением обезличенной статистики по продажам, когда сами личности больше не нужны. Как сделать это корректно — в статье «Обезличивание персональных данных».

Чтобы бумага и система не разошлись

Главная организационная задача — синхронизировать два носителя, чтобы не получилось, что в системе данные удалены, а в шкафу лежит непрошедший срок оригинал (или наоборот). Что для этого делают:

  • Ведут учёт сроков хранения по категориям данных и документов — отдельной таблицей или в политике обработки ПДн.
  • Регулярно (например, раз в год) проводят ревизию: какие цели достигнуты, какие сроки истекли, что пора уничтожить.
  • Уничтожают данные по акту — и в системе, и на бумаге, фиксируя оба действия (обычно это делает комиссия, но закон требует именно сведения о выполнивших лицах).
  • Прикладывают к акту по ИСПДн выгрузку из журнала событий, как требует Приказ РКНРоскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; надзор за обработкой ПДн. №179.
  • Не уничтожают согласие, пока продолжается обработка по нему, — оно нужно как доказательство основания.
  • Если CRM или иной сервис — это обработчик (облако, подрядчик), оформляют поручение на обработку (ст. 6 ч.3 152-ФЗ) и при удалении данных требуют уничтожить их и на стороне обработчика, получив подтверждение.

Типичные ошибки

  • Выбрасывают оригинал сразу после ввода в систему. Потом нечем подтвердить законность обработки при проверке или жалобе.
  • Хранят вечно. Данные держат годами после достижения цели — нарушается принцип ограничения срока хранения.
  • Удаляют только в системе. Запись стёрли, а бумажный оригинал с теми же данными остался без основания и сроков.
  • Чистят интерфейс, забывают про бэкапы. Запись удалили из CRM, но те же данные остались в резервных копиях, логах и выгрузках.
  • Уничтожают без акта. Нет акта и выгрузки из журнала — формально нечем подтвердить, что данные действительно уничтожены в срок.
  • Путают отзыв согласия с обязанностью всё стереть. Удаляют данные, которые по закону или договору должны храниться дальше.

Главное

Бумажный оригинал и запись в ИСПДн — это две обработки одних данных с разными функциями: бумага доказывает законность, система обеспечивает работу. Вносить данные в систему и при этом хранить подписанный оригинал — норма, а не дублирование. Срок хранения считается отдельно по каждому документу, цели и категории данных — с учётом цели обработки, требований закона, договора и локальной номенклатуры сроков, а не одним общим сроком для всего массива. Уничтожать данные нужно при достижении цели или отзыве согласия (как правило, в течение 30 дней по статье 21 152-ФЗ), необратимо и по акту — на бумаге шредированием или вымарыванием, в ИСПДн с выгрузкой из журнала по Приказу РКН №179. ГрамотаИБ помогает вести реестр носителей и ИСПДн, отслеживать сроки хранения и формировать акты уничтожения под профиль оператора — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Обработка персональных данных соискателей при найме: согласие, кадровый резерв и сроки

Как работодателю законно обрабатывать персональные данные соискателей на этапе найма: на каком основании можно рассматривать резюме без отдельного согласия, почему хранение резюме в кадровом резерве требует отдельного согласия и срока, когда нужно согласие на проверку кандидата, принцип минимизации данных и сроки удаления после отказа. Типичные нарушения, за которые штрафует Роскомнадзор.

Согласие на обработку персональных данных работников: когда нужно, а когда нет

Разбираемся, когда работодателю действительно нужно согласие работника на обработку персональных данных, а когда хватает закона и трудового договора. Главная ошибка — брать согласие на всё подряд. Что изменилось с 1 сентября 2025 года (отдельный документ), требования ТК РФ и 152-ФЗ, что обязательно должно быть в согласии и типичные нарушения работодателей.

Политика обработки ПДн для сайта на внешнем хранилище Яндекса: передача данных третьим лицам

Разбор на конкретном примере: как сайту, который хранит персональные данные во внешнем облаке Яндекса (Yandex Object Storage, Яндекс Облако), правильно оформить передачу данных. Почему облако — это поручение обработки, а не слив данных на сторону, как закрывается локализация, что отразить в политике, что должно быть в согласии и в договоре поручения с провайдером. С примерами формулировок.

Как разработать политику обработки персональных данных: требования и типичные нарушения

Пошаговое руководство по разработке политики обработки персональных данных: чем регламентирован документ (статья 18.1 152-ФЗ и рекомендации Роскомнадзора), что обязательно должно быть внутри, где и как его публиковать, как составить под реальные процессы компании, а также подводные камни и характерные нарушения, за которые операторов штрафуют по статье 13.11 КоАП.