Клиент требует удалить его данные: как действовать и что можно не удалять
Клиент вправе потребовать удаления своих персональных данных в любой момент — это прямое право по ст. 21 152-ФЗ (проверено: май 2026). У вас есть 30 дней на исполнение требования, иначе — штраф и жалоба в РКН. Но «удалить всё» не значит «удалить буквально всё»: часть данных можно и нужно сохранить законно — для исполнения договора, бухгалтерии и налогового учёта. Разбираем, что удалять, что оставлять и как правильно подтвердить удаление клиенту.
Письмо от клиента с требованием удалить его данные — уже не редкость. Одни онлайн-школы паникуют и удаляют вообще всё, другие игнорируют запрос и получают жалобы в РКН. Обе крайности ведут к проблемам. Правильный путь — понять, что именно закон обязывает удалить, а что удалять нельзя, и выстроить чёткий процесс ответа.
Разберём всё по шагам: от правовой базы до конкретного чеклиста по системам.
Право клиента на удаление: что говорит 152-ФЗ
Субъект персональных данных вправе потребовать прекратить обработку и удалить его данные — это закреплено в ст. 21 Федерального закона No 152-ФЗ «О персональных данных» (проверено: май 2026). Оператор обязан удалить данные, если основание для их обработки отпало или клиент отозвал согласие. Исключений немного, и они строго определены законом.
Статья 21 152-ФЗ формулирует право субъекта так: если персональные данные обрабатываются незаконно или стали избыточными для заявленных целей, оператор обязан их удалить или уточнить. То же самое происходит при отзыве согласия — основного правового основания, на котором большинство онлайн-школ обрабатывают данные клиентов.
Важно понимать механизм: клиент может отозвать согласие частично. Например, отозвать согласие на рекламную рассылку, сохранив при этом договорные отношения с вами. В этом случае данные для исполнения договора продолжают обрабатываться на другом правовом основании — ст. 6 ч. 1 п. 5 152-ФЗ (исполнение договора).
| Основание для обработки | Что происходит при требовании удалить | Действие оператора |
|---|---|---|
| Согласие субъекта | Согласие отозвано — основание пропало | Удалить (с исключениями) |
| Исполнение договора | Договор действует — основание сохраняется | Обрабатывать законно |
| Законное основание (налоги, бухучёт) | Обязанность по закону — основание сохраняется | Хранить согласно срокам |
| Законный интерес оператора | Нужна оценка соразмерности | Проанализировать и решить |
Обратите внимание на понятие персональных данных в глоссарии: это любая информация, прямо или косвенно идентифицирующая человека. Email, имя, телефон, история покупок — всё это ПДн. Удаление касается каждого элемента отдельно.
30 дней: срок ответа и последствия нарушения
С момента получения требования об удалении у оператора есть 30 дней — именно столько даёт ст. 21 152-ФЗ (проверено: май 2026). Если в течение 30 дней вы не удалили данные и не уведомили клиента об отказе с обоснованием — это нарушение. Клиент вправе пожаловаться в Роскомнадзор или обратиться в суд.
30 дней — календарные, не рабочие. Отсчёт идёт с даты получения требования. Если письмо пришло по email, фиксируйте дату получения. Если через форму на сайте — дату заполнения формы.
максимальный срок для удаления данных по требованию клиента (ст. 21 152-ФЗ)
Что грозит за нарушение срока? По часто задаваемым вопросам о 152-ФЗ: штрафы существенно выросли с 2024 года. Повторное или умышленное нарушение прав субъекта ПДн влечёт штраф до 500 000 рублей для юридического лица. Первичное — до 100 000 рублей. Плюс репутационный ущерб и проверка со стороны РКН.
Есть законное основание для отказа в удалении — но оно должно быть чётко обоснованным. Вы вправе отказать, если обработка данных необходима для:
- исполнения договора с самим клиентом;
- выполнения требований законодательства (налоговый учёт, бухгалтерия);
- защиты ваших законных интересов в суде.
В этом случае вы обязаны письменно уведомить клиента об отказе с указанием конкретной нормы закона — тоже в течение 30 дней.
Что можно законно не удалять
Удалить «всё и сразу» по требованию клиента — ошибка, которая может навредить вам юридически. Часть данных вы обязаны хранить по другим законам: Налоговому кодексу, закону о бухучёте, ГК РФ. Удалив их досрочно, вы нарушите уже другие требования.
Разберём, что именно и на каком основании можно законно сохранить после требования клиента:
| Что храним | Правовое основание | Срок хранения |
|---|---|---|
| Договор (оферта + акцепт), переписка по сделке | ст. 196 ГК РФ (срок исковой давности) | 3 года с момента исполнения |
| Платёжные документы, чеки, квитанции | ст. 23 НК РФ | 5 лет |
| Первичная бухгалтерская документация | ФЗ No 402-ФЗ «О бухучёте» | 5 лет |
| Данные для налоговой отчётности | ст. 23 НК РФ | 5 лет |
| Сведения о возврате средств, претензиях | ЗоЗПП, ГК РФ | До истечения срока давности |
Практический совет: разделите базу данных клиентов на две части. Первая — «активные данные для маркетинга и коммуникаций» (удаляются по требованию). Вторая — «финансово-договорные данные» (хранятся в соответствии с законодательными сроками). Такое разделение упростит исполнение требований об удалении и защитит вас от претензий налоговой.
Подробнее о правовых основаниях для обработки данных читайте в статье о политике обработки персональных данных.
Что удалять точно: полный список
По требованию клиента вы обязаны удалить все данные, которые обрабатываются только на основании его согласия: данные для маркетинга, рассылок, профилирования, аналитики поведения. Договорные и финансовые данные — оставляем, всё остальное — удаляем.
Что входит в список «удалить обязательно»:
Чек-лист: что удаляем по требованию клиента
- ✓ Email-адрес из списков рассылки (маркетинговые, промо)
- ✓ Номер телефона из баз для SMS и звонков
- ✓ Cookie-идентификаторы и данные трекинга поведения
- ✓ Профиль в CRM (если создан для маркетинга, не договора)
- ✓ История просмотров курсов и поведенческие данные
- ✓ Данные из форм захвата, которые не привели к договору
- ✓ Фото и видео клиента (если не нужны для договора)
- ✓ Данные в аналитических системах (Яндекс.Метрика — ограничить)
- ✓ Записи о клиенте в мессенджерах и чат-ботах
Особый случай — данные в обучающей платформе (GetCourse, Teachable и аналоги). Если клиент прошёл курс, записи об успеваемости могут потребоваться для подтверждения факта обучения. Оцените каждый элемент: на каком основании хранится, нужен ли он для договора или только для маркетинга.
Про согласие на рассылку и его отзыв — подробно в статье об оформлении чекбокса согласия.
Чеклист: удаление из всех систем онлайн-школы
Удалить данные из одной системы недостаточно — они могут храниться в нескольких местах одновременно. Нужно пройтись по каждой системе, где есть данные клиента, и зафиксировать что удалено, а что сохранено законно.
Типичная онлайн-школа хранит данные клиента в 8-12 системах одновременно. Вот как проходить их систематически:
Чек-лист: системы для проверки и удаления
- ✓ CRM-система (AmoCRM, Битрикс24): удалить маркетинговый профиль, оставить карточку сделки с суммой и датой
- ✓ Email-сервис (Unisender, SendPulse): удалить контакт из всех списков рассылки
- ✓ Обучающая платформа (GetCourse): удалить личные данные из профиля, оценить записи об оплатах
- ✓ Мессенджеры и чат-боты (Telegram-бот, WhatsApp Business): удалить переписку с личными данными
- ✓ Яндекс.Метрика: запросить удаление данных конкретного пользователя через API или вручную
- ✓ Сервисы оплаты (ЮКасса, Тинькофф Касса): данные хранятся на стороне платёжного сервиса, не у вас — уведомить клиента
- ✓ Бухгалтерская система (1С, Контур): данные для налогового учёта — НЕ удалять, сохранить на основании НК РФ
- ✓ Google-таблицы, Excel-файлы: проверить все ручные базы данных команды
- ✓ Резервные копии: зафиксировать в журнале, что данные подлежат удалению при следующей ротации бэкапов
- ✓ Облачные хранилища (Диск, Dropbox): проверить папки с документами клиентов
Про передачу данных подрядчикам читайте в статье о передаче ПДн в CRM подрядчикам — там разобрано, кто несёт ответственность при цепочке обработчиков.
в среднем хранит данные одного клиента типичная онлайн-школа — проверьте каждую
Как подтвердить клиенту удаление
Закон не требует специального формата подтверждения, но письменный ответ клиенту — ваша защита при возможных жалобах. Уведомите клиента о том, что именно удалено, что сохранено и по какому основанию. Сохраните копию этого уведомления у себя.
Что должен содержать ответ клиенту:
- Подтверждение получения требования — дата и канал (email, форма на сайте).
- Перечень удалённых данных — конкретно: «email из рассылок, телефон из CRM, профиль в GetCourse».
- Перечень сохранённых данных с обоснованием — например: «Данные о сделке (ФИО, сумма, дата) сохраняются на основании ст. 23 НК РФ в течение 5 лет».
- Информация о третьих лицах — если данные были переданы подрядчикам, укажите что уведомили их о требовании удаления.
- Контактные данные ответственного за ПДн — для дальнейших вопросов.
Ответ направляйте тем же каналом, которым пришло требование. Если требование пришло по email — отвечайте по email с уведомлением о прочтении. Сохраните переписку не менее 3 лет.
Важный нюанс: если клиент требует подтвердить удаление из конкретной системы — вы обязаны ответить по каждой. Расплывчатый ответ «данные удалены» без конкретики не считается надлежащим исполнением.
Ознакомьтесь с нашими тарифами на юридическую проверку — мы можем проверить ваш процесс работы с запросами на удаление и помочь выстроить его правильно.
Частые вопросы
В течение какого срока нужно удалить данные клиента по его запросу?
Какие данные клиента можно законно не удалять?
Что будет, если не удалить данные в срок?
Как подтвердить клиенту, что его данные удалены?
Клиент требует удалить данные, но у нас действующий договор — что делать?
Пока договор действует, вы вправе продолжать обработку данных, необходимых для его исполнения, — это прямое исключение из ст. 21 152-ФЗ (проверено: май 2026). Но данные, которые обрабатываются только по согласию (рассылки, маркетинг), нужно удалить. Уведомите клиента, что часть данных сохранена на основании договора, и укажите какая именно.
Можно ли автоматически анонимизировать данные вместо удаления?
Да, анонимизация засчитывается как прекращение обработки персональных данных — после неё данные перестают быть ПДн по определению ст. 3 152-ФЗ. Важно: анонимизация должна быть необратимой. Замена имени на «Клиент 123» при сохранении email или телефона — это не анонимизация, а псевдонимизация, которая ПДн статус не снимает.
Что если клиент требует подтвердить удаление нотариально заверенным документом?
Закон не устанавливает такого требования. Достаточно письменного уведомления по email или в ответ на письменный запрос. Нотариальное заверение — избыточное требование, которое вы не обязаны исполнять. Объясните клиенту, что обычное письменное подтверждение соответствует требованиям 152-ФЗ.
Клиент подал жалобу в РКН на нас — что делать сразу?
Первый шаг — убедитесь, что требование об удалении фактически исполнено, и соберите доказательства: скриншоты, логи удаления, переписку с клиентом. РКН рассматривает жалобу и запрашивает у вас объяснения. Наличие письменного ответа клиенту с перечнем удалённых данных — ваш главный аргумент. Обратитесь к специалисту для подготовки ответа на запрос РКН.
Не хотите разбираться сами?
ЭдПрав проверит ваш процесс работы с запросами на удаление данных и поможет составить правильный шаблон ответа клиентам. Справочные вопросы к AI-юристу бесплатно, без ограничений. Персонализированная проверка с верификацией юристом от 396 руб. за запрос.
Статья подготовлена на основе актуального законодательства РФ на май 2026 года. Для получения консультации по вашему конкретному случаю рекомендуем обратиться к специалисту.
Не хотите разбираться сами?
ЭдПрав проверит ваш сайт и подготовит все необходимые документы. От 396 ₽ за запрос.
Попробовать бесплатно →