ГрамотаИБ ГрамотаИБ

Выгрузка персональных данных из 1С на локальный и общий диск: учёт, уничтожение, акт

Редакция ГрамотаИБ · Опубликовано 08.07.2026

Можно ли сотруднику выгрузить персональные данные клиента из ИСПДн на базе 1С на локальный диск и как сделать это правильно: цель и допуск, границы ИСПДн, учёт файла-выгрузки, гарантированное уничтожение и его актирование по приказу Роскомнадзора №179. Отдельно — выгрузка на общий сетевой диск для коллективной работы: как обеспечить учёт, разграничение доступа, журналирование и сохранность.

Типичная ситуация: в организации работает ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. на базе 1С, где обрабатываются персональные данные клиентов. Сотруднику нужно выгрузить данные клиента на локальный диск компьютера, чтобы поработать с ними в отдельном файле. Можно ли так делать, что при этом нарушается чаще всего и как оформить выгрузку, хранение и последующее уничтожение — разбираем по шагам. Отдельно — про выгрузку на общий сетевой диск для коллективной работы.

Можно ли вообще выгружать ПДн из 1С

Сама по себе выгрузка данных из 1С в файл — это обработка персональных данных (их извлечение, использование и хранение). Закон её не запрещает, но подчиняет тем же правилам, что и работу в самой информационной системе. Выгрузка допустима, если одновременно выполняются условия:

  • Есть цель и правовое основание. Работа с выгруженным файлом должна служить той же заявленной цели обработки, ради которой собраны данные (принцип соответствия цели, ст. 5 152-ФЗ). Выгрузка «на всякий случай» или в большем объёме, чем нужно для задачи, нарушает принцип минимизации.
  • Сотрудник допущен к этим данным. Он входит в перечень лиц, допущенных к обработке ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)., ознакомлен с внутренними документами и подписал обязательство о неразглашении (конфиденциальность — ст. 7 152-ФЗ). Работник обрабатывает данные в рамках трудовых обязанностей от имени оператора; отдельное поручение на обработку (как для стороннего подрядчика по ст. 6 152-ФЗ) здесь не требуется.
  • Объём — минимально необходимый. Выгружать стоит только те поля и тех клиентов, которые нужны для конкретной задачи, а не всю базу целиком.

Главное условие — не выйти за границы ИСПДн

Ключевой риск выгрузки — появление неучтённой копии ПДн вне защищённого периметра. Поэтому принципиально, куда именно происходит выгрузка.

Рабочее место (АРМАвтоматизированное рабочее место — Рабочее место пользователя с программно-техническими средствами обработки информации.), с которого сотрудник заходит в 1С, как правило, само входит в состав ИСПДн и защищено по приказу ФСТЭК №21 (управление доступом, антивирус, регистрация событий и другие меры). Выгрузка файла на локальный диск такого АРМ остаётся внутри периметра — это допустимо. А вот копирование на личный ноутбук, флешку, в личное облако или на компьютер вне контролируемой зоны выводит данные за границы ИСПДн и превращает их в неконтролируемую копию — так делать нельзя.

Любой носитель, на котором оказываются ПДн (диск АРМ, съёмный носитель, сетевая папка), — это машинный носитель информации. По приказу №21 к нему применяется группа мер ЗНИЗащита машинных носителей информации — Группа мер защиты: учёт, хранение и гарантированное затирание носителей с информацией. (защита машинных носителей): учёт носителей, разграничение доступа к ним и гарантированное удаление данных после использования. На практике это значит, что учтён должен быть не только компьютер, но и сам факт наличия файла-выгрузки.

Как правильно выгрузить данные на локальный диск

  • Определите цель и срок. Зафиксируйте, зачем нужна выгрузка и на какой срок; храните файл не дольше, чем требуется для задачи.
  • Выгружайте на учтённое рабочее место в границах ИСПДн, а не на произвольное устройство.
  • Ограничьте доступ к файлу. Отдельная папка с правами только для этого сотрудника, вход по учётной записи, без общего доступа.
  • Учтите копию. Внесите запись в журнал (реестр) учёта носителей и файлов-выгрузок ПДн: кто, когда, какой объём, с какой целью и где хранится.
  • Удалите после использования. По достижении цели файл уничтожается гарантированным способом (см. ниже).

Если для задачи не нужна прямая идентификация клиента (например, аналитика или тестирование), рассмотрите обезличивание вместо выгрузки «как есть» — это снимает большую часть рисков.

Нужно ли уничтожать данные с локального диска

Да. Хранить ПДн дольше, чем требуется для цели, нельзя: по её достижении данные подлежат уничтожению или обезличиванию — по общему правилу в срок не более 30 дней, если иное не установлено законом или договором (ст. 5 и ст. 21 152-ФЗ). Для рабочей копии на диске это означает, что после завершения задачи файл нужно уничтожить.

Уничтожение должно быть гарантированным. Простое перемещение файла в корзину или её очистка надёжным уничтожением не считаются — такие данные восстановимы. Файл удаляют средствами гарантированного стирания (затирание области данных, штатные средства безопасного удаления носителя), чтобы восстановление стало невозможным. Уничтожение отличается от обезличивания: при уничтожении данных больше нет, при обезличивании они остаются, но без привязки к конкретному человеку. Подробнее о сроках — в статье сколько хранить персональные данные.

Как актировать уничтожение

С 1 марта 2023 года факт уничтожения ПДн оператор обязан подтверждать документально. Требования установлены приказом Роскомнадзора №179 от 28.10.2022. Подтверждением служат:

  • Акт об уничтожении персональных данных — основной документ;
  • выгрузка из журнала регистрации событий в ИСПДн — дополнительно, если уничтожение выполнялось с использованием средств автоматизации.

В акте указывают: реквизиты оператора (а если данные уничтожает лицо по его поручению — и такого лица), кто именно уничтожил данные (Ф. И. О. и должности), наименование ИСПДн (при автоматизированном уничтожении), перечень категорий уничтоженных ПДн, наименование субъекта или количество субъектов, чьи данные уничтожены, дату и способ уничтожения. Акт и выгрузку из журнала хранят не менее 3 лет с даты уничтожения и предъявляют по запросу Роскомнадзора.

Важно не путать две ситуации. Удаление промежуточной рабочей копии, когда сами данные остаются в 1С и цель обработки не достигнута, — это внутренний учёт (запись в журнале об удалении файла-выгрузки). А уничтожение самих ПДн субъекта в случаях статьи 21 152-ФЗ (цель достигнута, отозвано согласие, поступило требование удалить данные) обязательно подтверждается актом по приказу №179 — журнал его не заменяет. Сформировать акт об уничтожении удобно в разделе «Носители ПДн» ГрамотаИБ.

Выгрузка на общий диск для коллективной работы

Когда данные выгружают на общий сетевой диск (файловый сервер, сетевую папку), чтобы с ними работало несколько сотрудников, этот ресурс нужно учесть в составе (границах) ИСПДн — со всеми вытекающими требованиями. Чтобы обеспечить учёт и сохранность:

  • Включите ресурс в состав (границы) ИСПДн и отразите его в модели угроз и документах — общий диск нельзя оставлять «сбоку» от защищённого периметра.
  • Разграничьте доступ. Права — только у сотрудников из перечня допущенных и по принципу минимально необходимого: каждый видит лишь нужные ему папки и данные. Никакого доступа «для всех».
  • Ведите журналирование. Регистрация доступа и действий с файлами, чтобы можно было установить, кто и когда обращался к данным.
  • Обеспечьте сохранность. Резервное копирование, контроль целостности, антивирусная защита, защита от несанкционированного изменения и удаления.
  • Учтите копии и ограничьте их распространение. Запрет копировать файлы с общего диска на личные устройства и наружу; учёт того, какие выгрузки где лежат.

Главный риск общего диска — бесконтрольное размножение копий: файл скачивают себе, пересылают, забывают удалить. Поэтому общий ресурс для ПДн должен быть не «просто сетевой папкой», а полноценным, учтённым и защищённым компонентом ИСПДн.

Что безопаснее вместо выгрузки

Чаще всего выгрузки на диск можно избежать. Для коллективной работы правильнее использовать возможности самой 1С: ролевую модель прав, при которой несколько сотрудников работают с данными прямо в системе, а не в разрозненных файлах. Для удалённого доступа безопасен терминальный или веб-доступ к серверу, когда данные не покидают периметр (см. про удалённую работу и про размещение 1С). Выгружать в отдельные файлы стоит только тогда, когда без этого действительно не обойтись, — минимальным объёмом, с учётом и последующим уничтожением. Готовые образцы инструкций и журналов есть в разделе образцов.

Главное

Выгружать ПДн клиентов из 1С на диск можно, если это нужно для цели обработки, сотрудник допущен к данным и объём минимален. Локальный диск учтённого рабочего места в границах ИСПДн — допустимое место хранения; личные устройства и носители вне периметра — нет. После использования файл уничтожают гарантированным способом, а факт уничтожения подтверждают актом (при автоматизированном уничтожении — плюс выгрузкой из журнала событий) по приказу Роскомнадзора №179. Общий диск для коллективной работы допустим только как учтённый и защищённый компонент ИСПДн — с разграничением доступа, журналированием, резервным копированием и запретом бесконтрольного копирования. Где возможно, вместо выгрузки в файлы используйте ролевой доступ внутри 1С.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Заявление о принятии мер по ограничению доступа к ПДн: форма из приказа Роскомнадзора №85

Что такое заявление субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением закона (приказ Роскомнадзора №85 от 22.07.2015, статья 15.5 149-ФЗ): когда его можно подать, зачем нужен судебный акт, какие сведения указываются в форме и что происходит дальше.

Реестр нарушителей прав субъектов ПДн и блокировка сайта: приказ Роскомнадзора №84

Что такое реестр нарушителей прав субъектов персональных данных, как работает механизм блокировки сайта за незаконную обработку ПДн по приказу Роскомнадзора №84 от 22.07.2015 и статье 15.5 149-ФЗ: роль судебного акта, взаимодействие Роскомнадзора с провайдером хостинга и операторами связи, сроки удаления информации.

Согласие на распространение персональных данных: приказ Роскомнадзора №18

Что такое согласие на обработку персональных данных, разрешённых субъектом для распространения (статья 10.1 152-ФЗ, приказ Роскомнадзора №18 от 24.02.2021), чем оно отличается от обычного согласия, что обязательно должно быть в его содержании, как субъект устанавливает запреты и условия и почему молчание не считается согласием.

Перечень стран с адекватной защитой ПДн: приказ Роскомнадзора №128

Что такое перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (приказ Роскомнадзора №128 от 05.08.2022, в силе с 1 марта 2023), как страны делятся на две группы, что это значит для трансграничной передачи данных и уведомления Роскомнадзора и как проверить государство получателя.