Сколько хранить персональные данные
Сколько времени оператор должен хранить персональные данные: почему единого срока в 152-ФЗ нет, как срок зависит от цели обработки, основания и требований других законов (налоговых, бухгалтерских, кадровых), ориентиры по типам данных (кадры по перечню Росархива, бухгалтерия и налоги — 5 лет, договоры — срок исковой давности), что делать по истечении срока (уничтожение или обезличивание) и как составить номенклатуру сроков.
«Сколько хранить персональные данные?» — один из самых частых вопросов оператора. Единого срока «для всех» в 152-ФЗ нет: закон требует не хранить данные дольше, чем нужно для цели, а конкретные сроки задают цель обработки, основание и требования других законов — налоговых, бухгалтерских, кадровых, архивных. Разберём принцип и ориентиры по типам данных.
Главный принцип: не дольше, чем нужно для цели
По части 7 статьи 5 152-ФЗ персональные данные хранятся в форме, позволяющей определить субъекта, не дольше, чем этого требует цель обработки, если срок не установлен законом или договором. По достижении цели данные нужно уничтожить или обезличить, если иное не предусмотрено. То есть срок привязан к цели и основанию, а не к универсальному числу.
От чего зависит срок
- Цель обработки. Как только цель достигнута, дальнейшее хранение нужно обосновать — иначе данные уничтожают или обезличивают.
- Основание обработки. По согласию — до его отзыва или достижения цели; по договору — на срок договора и срок для возможных претензий (общая исковая давность — 3 года, статья 196 ГК РФ); по требованию закона — на установленный им срок.
- Требования других законов. Налоговое, бухгалтерское и архивное законодательство часто задают минимальный срок хранения документов с ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)., даже если цель обработки уже достигнута.
Ориентиры по типам данных
| Тип данных | Ориентировочный срок | Чем задан |
|---|---|---|
| Документы по личному составу (личные дела, трудовые договоры, основные приказы по личному составу) | 50 лет, если делопроизводство завершено после 1 января 2003 года; 75 лет — если до 2003 года | Перечень Росархива (приказ от 20.12.2019 №236) |
| Расчётно-платёжные ведомости (при наличии лицевых счетов) | 6 лет | Перечень Росархива |
| Лицевые счета по заработной плате | 50 / 75 лет | Перечень Росархива |
| Бухгалтерские и налоговые документы с ПДн | не менее 5 лет | Закон о бухгалтерском учёте, Налоговый кодекс |
| Данные клиентов по договору | срок договора плюс срок исковой давности (как правило 3 года) | ГК РФ |
| Резюме соискателя | на время подбора на конкретную вакансию; для кадрового резерва — по отдельному согласию | 152-ФЗ |
| Видеозаписи с камер | короткий срок (часто до 30–60 дней) | цель и локальные акты |
| Данные для рекламных рассылок (по согласию) | до отзыва согласия | 152-ФЗ |
Сроки ориентировочные: точные значения по кадровым и архивным документам сверяйте с действующим перечнем Росархива, а по бухгалтерии и налогам — с актуальными редакциями соответствующих законов.
Что делать по истечении срока
- Уничтожить или обезличить. Если данные больше не нужны и нет требования закона их хранить — их уничтожают или обезличивают.
- Соблюсти сроки. При отзыве согласия или достижении цели обработки — в срок, не превышающий 30 дней (статья 21 152-ФЗ), если нет иного основания.
- Сделать это необратимо и по акту. На бумаге — шредированием или вымарыванием; при автоматизированной обработке подтверждение уничтожения оформляется с учётом требований приказа Роскомнадзора №179. Подробнее о хранении и уничтожении — в статье «Бумажные оригиналы и ИСПДн».
- Не хранить бессрочно «на всякий случай». Избыточное хранение нарушает принцип ограничения и увеличивает ущерб при утечке.
Как организовать
- составьте номенклатуру сроков хранения по целям и категориям данных;
- зафиксируйте сроки в политике обработки ПДн и локальных актах, а в уведомлении Роскомнадзора укажите срок или условие прекращения обработки;
- контролируйте сроки и своевременно уничтожайте или обезличивайте данные, фиксируя это актами и в журнале;
- учитывайте, что у одного документа может быть несколько сроков (например, договор — по ГК, а бухгалтерские документы по нему — по Налоговому кодексу): применяется наибольший подходящий срок.
Право субъекта потребовать досрочного уничтожения и порядок ответа на такие обращения — в статье «Права субъекта ПДн».
Главное
Единого срока хранения персональных данных нет: по 152-ФЗ их хранят не дольше, чем нужно для цели обработки, а конкретные сроки задают цель, основание и другие законы. Кадровые документы хранят по перечню Росархива (как правило 50 или 75 лет), бухгалтерские и налоговые — не менее 5 лет, данные по договору — в пределах срока договора и исковой давности, данные по согласию — до его отзыва. По достижении цели или отзыве согласия данные уничтожают или обезличивают (при отзыве — в течение 30 дней), необратимо и по акту. Хранить бессрочно «на всякий случай» нельзя. Чтобы не ошибаться, составьте номенклатуру сроков и закрепите её в политике.