Кто отвечает за утечку у подрядчика: заказчик или исполнитель?

Когда «просто удалить» не работает: полное руководство для оператора ПДн

Три места, где ПДн теряются навсегда

Компании тщательно защищают CRM и базы данных — но ПДн утекают из трёх «серых зон», которые обычно выпадают из периметра защиты: Excel-выгрузки, письма с вложениями и сетевые диски.

По данным исследований, большинство корпоративных утечек персональных данных связаны не со взломом серверов, а с тем, что файлы с клиентскими базами и кадровыми данными просто лежат в неконтролируемых местах. Сотрудник выгрузил таблицу для анализа, отправил коллеге почтой, положил на общий диск — и цепочка разрывается. Никто не знает, где эта копия, кто её читал, когда её нужно удалить.

Данная статья — практическое руководство для DPO, ИБ-специалистов и IT-руководителей: как привести три канала в соответствие с требованиями 152-ФЗ, не парализовав бизнес-процессы.

1. Правовая рамка: что говорит 152-ФЗ об уничтожении ПДн

1.1. Принцип минимизации и ограничения сроков

Статья 5 Федерального закона № 152-ФЗ устанавливает фундаментальный принцип: хранение персональных данных должно осуществляться не дольше, чем это требуют цели обработки [1]. Как только цель достигнута или исчезла — ПДн подлежат уничтожению либо обезличиванию.

Обработка ПДн «на всякий случай», «вдруг пригодятся» или «мы всегда так делали» — прямое нарушение принципа целесообразности. Закон не предусматривает права хранить данные впрок.

1.2. Сроки уничтожения

Статья 21 152-ФЗ устанавливает конкретные сроки в зависимости от основания [2]:

1. Достижение цели обработки — уничтожить в течение 30 дней.
2. Отзыв согласия на обработку — прекратить немедленно, уничтожить в течение 30 дней (если нет иного законного основания для продолжения).
3. Требование субъекта о прекращении обработки (ст. 21 ч. 5.1, действует с 1 марта 2023 года) — прекратить в течение 10 рабочих дней.
4. Неправомерная обработка — уничтожить в течение 10 рабочих дней с момента выявления.
5. Требование Роскомнадзора — уничтожить в установленный регулятором срок.

1.3. Требования к документированию факта уничтожения

С 1 марта 2023 года действует Приказ Роскомнадзора от 28.10.2022 № 179, который устанавливает обязательные требования к подтверждению уничтожения ПДн [3]. Для автоматизированной обработки (то есть фактически для любого Excel, почтового сервера и файлового хранилища) требуются два документа:

• акт об уничтожении персональных данных;
• выгрузка из журнала регистрации событий информационной системы.

Оба документа хранятся 3 года. Типовой форм нет — оператор утверждает их самостоятельно, но содержание должно соответствовать требованиям Приказа № 179.

1.4. Ответственность в 2025–2026 годах

С 30 мая 2025 года вступили в силу изменения в КоАП, закреплённые Федеральным законом от 30.11.2024 № 420-ФЗ [4]. Штрафы выросли многократно:

• незаконная обработка ПДн — для юридических лиц от 150 000 до 300 000 рублей;
• утечка данных от 1 000 до 10 000 субъектов — от 3 до 5 млн рублей;
• утечка данных от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей;
• утечка более 100 000 субъектов — от 15 до 20 млн рублей;
• повторная утечка — оборотный штраф от 1% до 3% годовой выручки, но не менее 20 млн и не более 500 млн рублей.

Помимо административной, с декабря 2024 года действует уголовная ответственность: в УК РФ введена ст. 272.1 — за незаконный сбор, хранение и распространение компьютерной информации с ПДн. Максимальное наказание — до 10 лет лишения свободы [5].

2. Excel-выгрузки: почему «Delete» не работает

2.1. Что хранит Excel помимо данных в ячейках

Когда сотрудник нажимает Delete в ячейке или удаляет строку, он видит пустоту. Но формат .xlsx — это ZIP-архив с XML-файлами. Внутри структуры книги могут сохраняться:

• метаданные файла: имя автора, организация, история изменений (Файл → Сведения → Свойства);
• история версий и теневые копии (если включена функция «Общая книга» или трекинг изменений);
• комментарии к ячейкам с именами комментаторов;
• именованные диапазоны и скрытые листы, которые визуально не видны;
• данные в формах, сводных таблицах с исходным кешем;
• внешние ссылки с путями к файлам сетевых дисков — по которым косвенно восстанавливается инфраструктура.

Обычное удаление данных из ячейки не гарантирует их безвозвратного уничтожения — Excel не предоставляет встроенных механизмов гарантированного удаления ПДн из всей структуры файла [6].

2.2. Инспектор документов: минимальный стандарт

Microsoft предоставляет встроенный инструмент — «Инспектор документов» (Файл → Сведения → Поиск проблем → Инспектор документов). Он позволяет найти и удалить [7]:

• личную информацию из свойств файла;
• скрытые строки, столбцы и листы;
• содержимое в буфере обмена;
• данные форм;
• внедрённые документы.

Однако Инспектор не удаляет данные из истории версий в SharePoint/OneDrive, из именованных диапазонов, из Power Query. Для них требуются отдельные действия или специализированные инструменты.

2.3. Практические меры для Excel

Технические:

1. Перед передачей файла третьим лицам — всегда запускать Инспектор документов.
2. Для файлов с ПДн — использовать шифрование (пароль на открытие) как минимальную меру.
3. При окончательном уничтожении — не просто удалить файл в корзину, а использовать гарантированное уничтожение (Eraser, DBAN, BCWipe или функцию безопасного удаления на уровне СХД).
4. При работе с ПДн в Excel — ограничить круг лиц, у которых файл может находиться (через права на сетевую папку или DLP-политики).

Организационные:

1. Принять внутреннее правило: выгрузки с ПДн — только в контролируемые папки с явно заданным сроком хранения.
2. Запретить хранение выгрузок с ПДн на рабочих столах и в папке «Загрузки».
3. Ввести обязательное журналирование создания Excel-выгрузок с ПДн через DLP или средства аудита файловой системы.

2.4. Особый риск: Google Таблицы и зарубежные облака

Хранение выгрузок с ПДн российских граждан в Google Sheets, Microsoft 365 с иностранными серверами создаёт риск трансграничной передачи без надлежащего оформления. Хотя сама по себе трансграничная передача не является уголовным нарушением, это существенный дополнительный регуляторный риск [8].

3. Корпоративная почта: ПДн, которые не удаляются из почтового ящика

3.1. Масштаб проблемы

Корпоративная почта — самый ёмкий и самый бесконтрольный хранитель ПДн в большинстве организаций. Резюме кандидатов, договоры с ФИО и паспортными данными, счета с ИНН физлиц, переписка с жалобами клиентов — всё это годами хранится в почтовых ящиках сотрудников без какой-либо системы.

Отправка ПДн по электронной почте — это обработка персональных данных в полном смысле 152-ФЗ: и хранение, и передача. Даже если цель обработки достигнута (например, кандидат на вакансию не принят), письмо с его резюме продолжает храниться у рекрутера.

3.2. Специфика почтовой инфраструктуры

Удаление письма из папки «Входящие» не означает его уничтожения. Типичная цепочка копий одного письма с ПДн:

• почтовый ящик отправителя (папка «Отправленные»);
• почтовый ящик получателя (папка «Входящие», затем «Удалённые», затем — если не очищена — сервер);
• журналы транспортного агента (mail server logs);
• резервные копии почтового сервера;
• архивный сервер (если используется Exchange Journal или аналог);
• вложение, сохранённое получателем в общую папку.

На корпоративных почтовых серверах (Microsoft Exchange, Почта для домена и пр.) письмо из папки «Удалённые» реально хранится ещё определённое время — пока не завершится цикл очистки. Выгрузка данных из резервных копий почты требует отдельной процедуры.

3.3. Риск пересылки ПДн на личную почту сотрудника

Отдельная группа рисков — сотрудники, которые пересылают рабочие файлы с ПДн на свои личные адреса «чтобы поработать дома». Согласно позиции судов и Конституционного суда РФ, отправка корпоративных данных на личный e-mail создаёт условия для их неконтролируемого распространения и является нарушением режима конфиденциальности [9].

Работодатель вправе и обязан зафиксировать этот запрет в локальных нормативных актах. На практике суды поддерживают работодателей, если:

• факт пересылки зафиксирован техническими средствами (DLP);
• в ЛНА явно прописан запрет на пересылку ПДн на личные адреса;
• сотрудник под подпись ознакомлен с режимом конфиденциальности.

3.4. Практические меры для почты

Технические:

1. Настроить автоматическую политику хранения: письма с метками ПДн удаляются из серверного хранилища по истечении установленного срока.
2. Внедрить DLP-политики, блокирующие исходящие письма с ПДн на личные почтовые адреса.
3. Настроить аудит: журналировать отправку файлов с персональными данными.
4. При увольнении сотрудника — закрыть почтовый ящик и обеспечить удаление ПДн из него в соответствии со сроками, установленными оператором.

Организационные:

1. Разработать и утвердить Правила работы с ПДн, переданными по электронной почте: какие данные можно отправлять, в каком формате (например, только в запароленном архиве), каким адресатам.
2. Ввести запрет на пересылку ПДн на личные адреса — зафиксировать в Положении о конфиденциальности.
3. Определить лицо, ответственное за очистку почтовых ящиков уволенных сотрудников.

3.5. Почта уволенных сотрудников — отдельная зона риска

После увольнения сотрудника его корпоративная почта может содержать ПДн клиентов, коллег и самого сотрудника. Закон 152-ФЗ обязывает уничтожить ПДн уволенного сотрудника (логин, корпоративный адрес, данные из систем) в течение 30 дней после прекращения необходимости в их обработке [10].

Практика показывает: многие компании просто «забывают» о почтовых ящиках уволенных — они висят на сервере годами, что само по себе является незаконным хранением ПДн.

4. Общие папки: самая неуправляемая зона

4.1. Почему общие папки — зона максимального риска

Общие сетевые папки (SMB-ресурсы, NAS, SharePoint On-Premises, «диск S:» и т.п.) исторически создавались как универсальные хранилища для совместной работы. Проблема в том, что:

• к ним обычно имеют доступ целые подразделения, а не конкретные сотрудники;
• никакой системы управления жизненным циклом файлов нет;
• файлы с ПДн попадают туда стихийно — «положил временно» превращается в «лежит пять лет»;
• при удалении файла с сетевого диска он не попадает в корзину локального компьютера, но и не уничтожается немедленно — остаётся на сервере до перезаписи;
• у SharePoint и аналогов — история версий, которая по умолчанию хранит сотни ревизий каждого файла [11].

4.2. Типичные категории ПДн в общих папках

По опыту аудитов, в сетевых папках чаще всего обнаруживаются:

1. Кадровые документы: копии паспортов, трудовые договоры, СНИЛС, личные карточки (Т-2) в отсканированном виде.
2. Маркетинговые базы: Excel-таблицы с ФИО, телефонами, email клиентов и потенциальных покупателей.
3. Резюме кандидатов: особая категория — часто содержат дату рождения, адрес, фото.
4. Отчёты и выгрузки из CRM/1С с ПДн контрагентов — физических лиц.
5. Медицинские документы (в компаниях с собственной медслужбой или ДМС-администрированием).
6. Финансовые документы с СНИЛС, ИНН физлиц.

4.3. Аудит файловых хранилищ: с чего начать

Ключевой вопрос: вы не можете удалить ПДн, которые не можете найти. Инвентаризация общих папок — первый шаг, без которого все остальные меры работают вслепую.

Алгоритм аудита:

1. Определить перечень файловых ресурсов организации: все SMB-ресурсы, NAS, SharePoint-библиотеки, облачные диски (если есть).
2. Провести сканирование на предмет файлов с паттернами ПДн: серии и номера паспортов, СНИЛС (XXX-XXX-XXX XX), номера телефонов в форматах +7/8-xxx, e-mail адреса в массивах.
3. Проверить права доступа: кто имеет доступ к папкам с ПДн — соответствует ли это принципу минимизации доступа.
4. Зафиксировать результаты: перечень папок, типы и примерный объём ПДн, сроки хранения.

4.4. Практические меры для общих папок

Технические:

1. Включить аудит доступа к папкам с ПДн на уровне файловой системы Windows (через групповые политики или PowerShell) — журнал Security Event Viewer фиксирует создание, изменение и удаление файлов [12].
2. Ввести разграничение доступа: папки с ПДн — только для конкретных пользователей или групп AD, не для всего подразделения.
3. Настроить автоматическую архивацию старых файлов с уведомлением ответственного.
4. При уничтожении файлов с ПДн — использовать гарантированное удаление (не стандартный Delete), фиксировать в журнале событий.

Организационные:

1. Разработать классификацию папок: явно пометить папки с ПДн, назначить ответственных за их содержимое.
2. Установить правило: ни один файл с ПДн не хранится в общей папке без указанного срока хранения и ответственного лица.
3. Запретить хранение в общих папках «сырых» выгрузок баз данных с ПДн без шифрования.
4. Проводить ежегодный аудит содержимого папок с ПДн — с документальным подтверждением.

5. Обезличивание как альтернатива удалению

Когда данные нужны для аналитики, тестирования или отчётности, но без привязки к конкретному субъекту, удаление — не единственный вариант. 152-ФЗ допускает обезличивание как альтернативу уничтожению [13].

С 1 сентября 2025 года требования к обезличиванию существенно обновились: Приказ Роскомнадзора от 19.06.2025 № 140 заменил старый Приказ № 996. Новый регламент устанавливает, что обезличивание должно исключать возможность обратного преобразования — то есть фактически приравнивается к анонимизации [14].

5.1. Основные методы (по обновлённым требованиям)

1. Замена идентификаторов — каждому значению присваивается условный код («Иванов Иван» → «ID-7823»). Таблица соответствия хранится отдельно в защищённом контуре.
2. Семантическая замена — удаление или обобщение данных: вместо точного адреса — только город; вместо даты рождения — возрастная группа.
3. Перемешивание — значения одного атрибута перемешиваются между записями, нарушая связь с конкретным субъектом.
4. Изменение состава данных — удаление полей, по которым возможна реидентификация.

5.2. Что нельзя назвать обезличиванием

Распространённая ошибка — считать обезличиванием замену имени на инициалы или скрытие части номера телефона (XXX-XXX-XXXX). Если данные в совокупности позволяют идентифицировать субъекта — они по-прежнему являются ПДн, даже если часть полей скрыта.

После обезличивания запрещено хранить в одной базе или файле и обезличенные, и исходные персонализированные данные — это делает обезличивание бессмысленным [15].

6. Чек-лист: пошаговые действия для приведения в порядок

6.1. Excel-выгрузки

1. Провести инвентаризацию: где в компании хранятся Excel-файлы с ПДн (рабочие столы, диски, почтовые вложения, облако).
2. Установить срок хранения для каждого типа выгрузок — зафиксировать в Реестре обработки ПДн.
3. Назначить ответственного за удаление выгрузок по истечении срока.
4. Внедрить Инспектор документов как обязательный шаг перед передачей файла с ПДн.
5. Уничтожать файлы с ПДн средствами гарантированного удаления — не просто удалять в корзину.
6. Оформлять факт уничтожения актом и выгрузкой из журнала событий.

6.2. Корпоративная почта

1. Разработать Политику хранения почты: определить сроки хранения по категориям писем (кадровые, коммерческие, технические).
2. Настроить автоматическое применение политик хранения (retention policies) на почтовом сервере.
3. Запретить в ЛНА пересылку ПДн на личные адреса.
4. При увольнении сотрудника — в течение 30 дней обеспечить уничтожение ПДн из его почтового ящика (или архивирование с ограниченным доступом, если есть законные основания хранить).
5. Журналировать операции удаления ПДн из почты и хранить журнал 3 года.

6.3. Общие папки

1. Провести сканирование содержимого общих папок на предмет ПДн.
2. По результатам сканирования — удалить файлы с истёкшим сроком хранения, оформив акт.
3. Ввести разграничение доступа: папки с ПДн — не для всех.
4. Включить аудит доступа на уровне ОС (Windows Security Audit) для папок с ПДн.
5. Установить регламент: ни один файл с ПДн не появляется в общей папке без назначенного ответственного и срока хранения.
6. Провести повторный аудит через 6 месяцев — убедиться, что новые ПДн не накопились.

7. Типичные ошибки и как их избежать

Ошибка 1: «Мы удалили файл — ПДн уничтожены». Нет. Стандартное удаление в Windows или Linux не перезаписывает данные на диске — восстановление возможно специализированными инструментами. Уничтожение = перезапись или физическое уничтожение носителя.

Ошибка 2: «Наши ПДн только в базе данных, больше нигде». Ни одна компания ещё не подтвердила это после аудита. Всегда есть Excel-выгрузки, которые «временно» лежат на дисках, письма с вложениями, отчёты на файловом сервере.

Ошибка 3: «Инспектор документов Excel очистил всё». Инспектор удаляет метаданные файла, но не гарантирует уничтожение данных из кеша сводных таблиц, именованных диапазонов и истории версий в SharePoint.

Ошибка 4: «Мы обезличили данные — заменили имена на инициалы». Это не обезличивание по требованиям РКН. Если субъект идентифицируем по совокупности данных — ПДн сохраняют свой статус.

Ошибка 5: «У нас нет акта об уничтожении, но мы точно всё удалили». Без документа нет события с юридической точки зрения. При проверке Роскомнадзора или в суде доказать уничтожение без акта практически невозможно.

Ошибка 6: «Мы подождём, пока не будет проверки, и тогда разберёмся». Проверки с 2026 года проходят интенсивнее, а за неуведомление об утечке — штраф от 1 до 3 млн рублей, даже если утечки фактически не было, но вы не уведомили о факте неправомерной обработки.

8. Кейс: что происходит, когда ПДн «теряются» в файловой инфраструктуре

Рассмотрим типичную ситуацию, которая встречается при аудитах.

Компания с несколькими сотнями сотрудников проводит регулярные маркетинговые кампании. Отдел маркетинга ежеквартально выгружает из CRM базы клиентов в Excel и передаёт их в агентство. Через год сотрудник агентства уходит и «забирает» базу. Параллельно выясняется, что за 3 года накопилось 40+ таких файлов на общем диске маркетинга — никто их не удалял, сроки хранения не были установлены. Некоторые файлы содержат ПДн клиентов за 2019 год — людей, которые уже отозвали согласие на коммуникации.

При плановой проверке Роскомнадзора обнаружена неправомерная обработка (хранение ПДн после отзыва согласия), отсутствие актов уничтожения, несанкционированная передача третьей стороне. Результат — совокупный штраф и предписание. Если бы утечка клиентской базы была задокументирована — добавился бы штраф от 3 до 5 млн рублей.

Таких сценариев можно избежать системой: реестр выгрузок, сроки хранения, автоматическая очистка, акты уничтожения.

9. Тренды и будущее: автоматизация контроля за ПДн в неструктурированных данных

Главная проблема Excel, почты и общих папок — это неструктурированные данные (unstructured data). По оценкам аналитиков, более 80% корпоративных данных хранится именно в неструктурированном виде: файлы, письма, документы. При этом традиционные системы защиты (СУБД, CRM, ERP) контролируют лишь структурированный периметр.

Регуляторный тренд в 2025–2026 годах движется к требованию непрерывного мониторинга, а не разовых аудитов. Постановление Правительства РФ № 1286 от 27 августа 2025 года снизило порог для категории «Б» до 10 000 записей и ввело регулярные проверки для высокорисковых операторов.

Ответом на это становятся системы класса Data Discovery & Classification: автоматическое сканирование файловых хранилищ, почтовых серверов, облачных дисков на предмет ПДн — с инвентаризацией, категоризацией и отслеживанием изменений в режиме реального времени.

10. Заключение: от разовой «уборки» к непрерывному процессу

Удаление ПДн из Excel, почты и общих папок — это не однократная акция, а постоянный процесс. Компании, которые решают этот вопрос «раз в год перед проверкой», неизбежно накапливают риски быстрее, чем успевают их устранять.

Устойчивая система защиты строится на трёх столпах:

1. Знание — постоянно актуальная карта того, где в организации хранятся ПДн: какие системы, файлы, ящики, папки содержат персональные данные и в каком объёме.
2. Контроль — автоматизированные механизмы, которые не позволяют данным «расползаться»: DLP-политики, аудит файловой системы, права доступа.
3. Действие — отлаженные процедуры уничтожения с документальным подтверждением, которые выполняются по расписанию и по событию, а не по напоминанию.

Штрафы растут, ответственность ужесточается, а объём неструктурированных данных в компаниях только увеличивается. Это означает, что проблема без системного решения будет усугубляться.

Пятый фактор: автоматическая инвентаризация ПДн в файловой инфраструктуре

Описанные в статье задачи — найти ПДн в тысячах Excel-файлов, почтовых вложениях и папках на файловых серверах — невозможно решить вручную при сколько-нибудь значимом масштабе. Именно здесь становится необходима автоматизация.

Пятый фактор — on-premises платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах. Платформа сканирует файловые хранилища, почтовые серверы, базы данных, 1С и CRM, определяет, где именно хранятся ПДн, и строит живую карту данных: что, где, в каком объёме, кто владелец.

Ключевое: Пятый фактор работает с метаданными и агрегатами, не хранит и не передаёт «сырые» значения ПДн — и сам не становится источником риска.

Для задач, описанных в статье, платформа решает главное препятствие: вы не можете удалить то, о чём не знаете. Пятый фактор даёт компании актуальную картину ПДн в неструктурированных данных — в том числе в Excel-выгрузках, почтовых архивах и общих папках. Это позволяет:

• планово удалять ПДн с истёкшим сроком хранения, а не искать их перед проверкой;
• замечать новые риски (например, новый сотрудник начал складывать кадровые документы в неконтролируемую папку) до того, как они превратятся в нарушение;
• обеспечивать доказательную базу для актов уничтожения — с опорой на автоматически собранные данные о факте удаления.

Источники

[1] consultant.ru — Статья 5 Федерального закона № 152-ФЗ «О персональных данных» — https://www.consultant.ru/document/cons_doc_LAW_61801/96fbc469f91f57235cc842a85e0516a99f23dc85/

[2] v2b.ru — Уничтожение персональных данных в 2026 году — https://www.v2b.ru/articles/unichtozhenie-personalnyh-dannyh-s-1-marta-2023-goda/

[3] sekretariat.ru — Акт об уничтожении персональных данных: образец 2025 — https://www.sekretariat.ru/article/211523-akt-ob-unichtojenii-personalnyh-dannyh-obrazets

[4] data-sec.ru — Штрафы за нарушения в области персональных данных в 2026 году — https://data-sec.ru/personal-data/fines/

[5] b-152.ru — Закон о персональных данных: изменения 2025–2026 годов — https://b-152.ru/zakon-o-personalnyh-dannyh-2025

[6] uchet-jkh.ru — Excel: персональные данные, которые невозможно удалить — https://uchet-jkh.ru/i/eksel-personalnye-dannye-kotorye-nevozmozno-udalit/

[7] support.microsoft.com — Remove hidden data and personal information by inspecting documents — https://support.microsoft.com/en-us/office/remove-hidden-data-and-personal-information-by-inspecting-documents-presentations-or-workbooks-356b7b5d-77af-44fe-a07f-9aa4d085966f

[8] sendsay.ru — Новые требования 152-ФЗ для маркетологов — https://sendsay.ru/blog/pr/kak-marketologu-rabotat-po-152-fz-i-ne-poteryat-klientov/

[9] blog.152doc.ru — Персональные данные в личной почте: риски — https://blog.152doc.ru/personalnye-dannye-v-lichnoy-pochte/

[10] b-152.ru — Удаление персональных данных уволенных сотрудников — https://b-152.ru/udalenie-personalnyh-dannyh-na-uvolennyh-sotrudnikov-shtrafy

[11] learn.microsoft.com — Устойчивость данных SharePoint и OneDrive — https://learn.microsoft.com/ru-ru/compliance/assurance/assurance-sharepoint-onedrive-data-resiliency

[12] winitpro.ru — Аудит доступа к папкам и файлам в Windows — https://winitpro.ru/index.php/2024/02/21/audit-dostupa-k-fajlam-i-papkam-windows/

[13] selectel.ru — Обезличивание персональных данных: цели, методы, схема — https://selectel.ru/blog/personal-data-anonymization/

[14] companies.rbc.ru — Как обезличивание становится главным инструментом экономики данных — https://companies.rbc.ru/news/nBqHTxymwA/kak-obezlichivanie-stanovitsya-glavnyim-instrumentom-ekonomiki-dannyih/

[15] data-sec.ru — Обезличивание персональных данных — https://data-sec.ru/personal-data/depersonalization/

[16] stakhanovets.ru — 152-ФЗ: требования и штрафы в 2026 году — https://stakhanovets.ru/blog/152-fz-o-zashhite-personalnyh-dannyh-trebovaniya-i-shtrafy-v-2026-godu/

[17] pro-personal.ru — Уничтожение персональных данных по новым правилам 2025 — https://www.pro-personal.ru/article/1099460-20-m12-unichtojenie-personalnyh-dannyh

[18] itelon.ru — Как хранить персональные данные по 152-ФЗ — https://itelon.ru/blog/kak-khranit-personalnye-dannye-po-152-fz/

[19] ic-tech.ru — Изменения в 152-ФЗ с 30 мая 2025 года — https://ic-tech.ru/blog/knowledge-base/shtrafy-za-narusheniya-152-fz-s-30-maya-2025-goda/

[20] it-pnk.ru — Увеличение штрафов за персональные данные с 30 мая 2025 — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/