ГрамотаИБ ГрамотаИБ

Сколько хранить персональные данные

Редакция ГрамотаИБ · Опубликовано 01.07.2026

Сколько времени оператор должен хранить персональные данные: почему единого срока в 152-ФЗ нет, как срок зависит от цели обработки, основания и требований других законов (налоговых, бухгалтерских, кадровых), ориентиры по типам данных (кадры по перечню Росархива, бухгалтерия и налоги — 5 лет, договоры — срок исковой давности), что делать по истечении срока (уничтожение или обезличивание) и как составить номенклатуру сроков.

«Сколько хранить персональные данные?» — один из самых частых вопросов оператора. Единого срока «для всех» в 152-ФЗ нет: закон требует не хранить данные дольше, чем нужно для цели, а конкретные сроки задают цель обработки, основание и требования других законов — налоговых, бухгалтерских, кадровых, архивных. Разберём принцип и ориентиры по типам данных.

Главный принцип: не дольше, чем нужно для цели

По части 7 статьи 5 152-ФЗ персональные данные хранятся в форме, позволяющей определить субъекта, не дольше, чем этого требует цель обработки, если срок не установлен законом или договором. По достижении цели данные нужно уничтожить или обезличить, если иное не предусмотрено. То есть срок привязан к цели и основанию, а не к универсальному числу.

От чего зависит срок

  • Цель обработки. Как только цель достигнута, дальнейшее хранение нужно обосновать — иначе данные уничтожают или обезличивают.
  • Основание обработки. По согласию — до его отзыва или достижения цели; по договору — на срок договора и срок для возможных претензий (общая исковая давность — 3 года, статья 196 ГК РФ); по требованию закона — на установленный им срок.
  • Требования других законов. Налоговое, бухгалтерское и архивное законодательство часто задают минимальный срок хранения документов с ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)., даже если цель обработки уже достигнута.

Ориентиры по типам данных

Тип данныхОриентировочный срокЧем задан
Документы по личному составу (личные дела, трудовые договоры, основные приказы по личному составу)50 лет, если делопроизводство завершено после 1 января 2003 года; 75 лет — если до 2003 годаПеречень Росархива (приказ от 20.12.2019 №236)
Расчётно-платёжные ведомости (при наличии лицевых счетов)6 летПеречень Росархива
Лицевые счета по заработной плате50 / 75 летПеречень Росархива
Бухгалтерские и налоговые документы с ПДнне менее 5 летЗакон о бухгалтерском учёте, Налоговый кодекс
Данные клиентов по договорусрок договора плюс срок исковой давности (как правило 3 года)ГК РФ
Резюме соискателяна время подбора на конкретную вакансию; для кадрового резерва — по отдельному согласию152-ФЗ
Видеозаписи с камеркороткий срок (часто до 30–60 дней)цель и локальные акты
Данные для рекламных рассылок (по согласию)до отзыва согласия152-ФЗ

Сроки ориентировочные: точные значения по кадровым и архивным документам сверяйте с действующим перечнем Росархива, а по бухгалтерии и налогам — с актуальными редакциями соответствующих законов.

Что делать по истечении срока

  • Уничтожить или обезличить. Если данные больше не нужны и нет требования закона их хранить — их уничтожают или обезличивают.
  • Соблюсти сроки. При отзыве согласия или достижении цели обработки — в срок, не превышающий 30 дней (статья 21 152-ФЗ), если нет иного основания.
  • Сделать это необратимо и по акту. На бумаге — шредированием или вымарыванием; при автоматизированной обработке подтверждение уничтожения оформляется с учётом требований приказа Роскомнадзора №179. Подробнее о хранении и уничтожении — в статье «Бумажные оригиналы и ИСПДн».
  • Не хранить бессрочно «на всякий случай». Избыточное хранение нарушает принцип ограничения и увеличивает ущерб при утечке.

Как организовать

  • составьте номенклатуру сроков хранения по целям и категориям данных;
  • зафиксируйте сроки в политике обработки ПДн и локальных актах, а в уведомлении Роскомнадзора укажите срок или условие прекращения обработки;
  • контролируйте сроки и своевременно уничтожайте или обезличивайте данные, фиксируя это актами и в журнале;
  • учитывайте, что у одного документа может быть несколько сроков (например, договор — по ГК, а бухгалтерские документы по нему — по Налоговому кодексу): применяется наибольший подходящий срок.

Право субъекта потребовать досрочного уничтожения и порядок ответа на такие обращения — в статье «Права субъекта ПДн».

Главное

Единого срока хранения персональных данных нет: по 152-ФЗ их хранят не дольше, чем нужно для цели обработки, а конкретные сроки задают цель, основание и другие законы. Кадровые документы хранят по перечню Росархива (как правило 50 или 75 лет), бухгалтерские и налоговые — не менее 5 лет, данные по договору — в пределах срока договора и исковой давности, данные по согласию — до его отзыва. По достижении цели или отзыве согласия данные уничтожают или обезличивают (при отзыве — в течение 30 дней), необратимо и по акту. Хранить бессрочно «на всякий случай» нельзя. Чтобы не ошибаться, составьте номенклатуру сроков и закрепите её в политике.

Частые вопросы

Сколько по закону нужно хранить персональные данные?

Единого срока нет. По 152-ФЗ персональные данные хранят не дольше, чем требует цель обработки (статья 5); конкретные сроки задают цель, основание и другие законы — например, бухгалтерские и налоговые документы хранят не менее 5 лет, кадровые — по перечню Росархива (как правило 50 или 75 лет), данные по договору — в пределах срока договора и исковой давности.

Что делать с персональными данными по истечении срока хранения?

Их уничтожают или обезличивают, если нет требования закона хранить дальше. При отзыве согласия или достижении цели обработки — в срок не более 30 дней (статья 21 152-ФЗ). Уничтожение должно быть необратимым и подтверждаться документально: актом, а при автоматизированной обработке — ещё и выгрузкой из журнала регистрации событий (по требованиям приказа Роскомнадзора №179).

Можно ли хранить персональные данные бессрочно на всякий случай?

Нет. Это нарушает принцип ограничения хранения и повышает ущерб при утечке. Хранить данные можно только пока есть цель обработки или прямое требование закона; затем их уничтожают или обезличивают.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Достаточность и обоснованность персональных данных: как понять, сколько собирать

Что такое достаточность и обоснованность персональных данных с точки зрения Роскомнадзора: принципы статьи 5 152-ФЗ (соответствие объёма целям и недопустимость избыточности, достаточность данных для цели) и как оператору понять, в каком объёме собирать данные. Практический алгоритм определения состава под цель, частые ошибки избыточного сбора и как обосновать состав документально.

Права субъекта персональных данных и как оператору на них отвечать

Какие права 152-ФЗ даёт субъекту персональных данных (доступ к своим данным, уточнение, блокирование и уничтожение, отзыв согласия, возражение против рекламной рассылки, обжалование) и как оператору правильно и вовремя на них отвечать: в какие сроки (10 и 5 рабочих дней, 30 дней на уничтожение), что должно быть в запросе, когда можно отказать и как выстроить процесс обработки обращений.

Журнал посетителей и выдачи ключей на проходной: это обработка ПДн? Как выполнить требования РКН

Являются ли журналы посетителей и выдачи ключей сотрудникам, которые ведёт охрана на проходной, обработкой персональных данных и как выполнить требования Роскомнадзора. Разбираем, почему это ПДн даже на бумаге, кто оператор и при чём здесь ЧОП, на каком основании ведётся обработка, нужно ли согласие и как организовать минимизацию, информирование, хранение и сроки.

Школа собирает данные родителей через Яндекс Форму: насколько это законно

Школы всё чаще собирают анкеты родителей через онлайн-формы (Яндекс Формы, Google Формы). Разбираем, законно ли это по 152-ФЗ: почему школа здесь оператор, а сервис форм — обработчик, чем Яндекс Формы выгодно отличаются от зарубежных по локализации, что обязательно должно быть в самой форме (ссылка на политику, согласие, минимизация полей) и как не собрать лишнего. Рекомендации и типичные ошибки.