Срокам и способам хранения персональных данных законодатель уделяет особое внимание. Расскажем, как и на какой период сохранять такие сведения, какая ответственность предусмотрена за нарушение установленных сроков и способов хранения.
Содержание
Что такое персональные данные и кто обязан их хранить
К персональным данным относится информация, которая так или иначе ассоциируется с конкретным физическим лицом: имя, фамилия, отчество, паспортные данные, СНИЛС и другие сведения, идентифицирующие личность (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).
Обязанность хранения персональных данных (ПДн) ложится на операторов – государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных, определяющие цели их обработки, состав и действия, совершаемые с персональными данными.
До начала обработки ПДн оператор обязан направить уведомление в Роскомнадзор о намерении осуществлять такую обработку. Уведомление служит основанием для внесения сведений об операторе в специальный реестр (п. 1 ст. 22 Закона N 152-ФЗ).
Подавать уведомление не требуется, если:
- данные уже есть в государственных информационных системах
- данные обрабатываются для обеспечения безопасности транспорта
- обработка данных происходит только вручную и не предполагает использования автоматизированных систем
На сегодняшний день сложно найти компанию, которая не использует в своей работе компьютеры, электронные носители информации, электронную почту и другие аналогичные средства. В связи с этим большинство компаний становятся операторами ПДн и обязаны зарегистрироваться в Роскомнадзоре.
Получите понятные самоучители 2025 по 1С бесплатно:
Как хранить персональные данные
Способ хранения ПДн зависит от того, как данные обрабатываются:
- автоматизированная обработка — в этом случае используются информационные системы или специальное программное обеспечение
- обработка без применения автоматизации — ПДн обрабатываются вручную, чаще всего в бумажном формате
При физическом хранении содержащие ПДн документы (трудовые книжки, личные дела сотрудников и другие) должны находиться в несгораемых металлических шкафах. Эти шкафы запираются на замок и располагаются в помещениях, недоступных для посторонних. Доступ к документам имеют только уполномоченные сотрудники, список которых определяется внутренними регламентами компании. Обычно документы хранятся в алфавитном порядке или по регистрационным номерам.
При автоматизированном хранении ПДн информационные базы размещаются на защищенных серверах в России. Для защиты данных компания должна использовать специальные средства: антивирусные программы, системы контроля доступа и аутентификация пользователей. Если используются облачные сервисы, они должны удовлетворять требованиям Закона N 152-ФЗ.
Например, если компания работает с программой 1С: ФРЕШ, за хранение ПДн отвечает организация «Центр Хранения Данных». При использовании коробочной версии 1С компания самостоятельно обеспечивает защиту данных, приобретая необходимые средства защиты.
Запрещено передавать ПДн граждан РФ через определённые иностранные мессенджеры: Telegram, Skype, Microsoft Teams, WhatsApp, Viber и др. (Информация Роскомнадзора).
С 01. 07. 2025 хранение ПДн граждан РФ разрешено только на территории России с использованием отечественных баз данных (Федеральный закон от 28.02.2025 N 23-ФЗ). При использовании зарубежных сервисов (Google Forms, Google Analytics) оператор должен получить разрешение в Роскомнадзоре на трансграничную передачу данных или не использовать эти сервисы.
С 01.09.2025 ст. 5 Закона 152-ФЗ дополнена новым требованием о том, что согласие на обработку ПДн должно оформляться отдельным документом и не может быть включено в текст трудового договора. В связи с этим, необходимо внести изменения в действующие трудовые договоры в случае, если они содержали согласие на обработку ПДн (Федеральный закон от 24.06.2025 N 156-ФЗ)
Срок хранения персональных данных
Срок хранения персональных данных регулируется Федеральным законом от 27.07.2006 N 152-ФЗ и иными НПА, и зависит от их типа.
К примеру, кадровые документы, содержащие персональные данные работников, хранятся в соответствии со сроками, установленными Перечнем утв. Приказом Росархива от 20.12.2019 N 236:
| Документ | Срок хранения |
| Согласие физического лица на обработку персональных данных (п. 441 Перечня) |
3 года по истечении срока его действия или его отзыва, если другое не установлено договором или федеральным законом |
|
Служебная документация (приказы об отпусках, дежурствах, командировках) (п. 434 Перечня):
|
5 лет |
|
50/75 лет |
| Документы по оплате труда работников организации и исчислении трудового стажа (протоколы, акты, справки, сведения) (п. 403 Перечня): | |
|
До 75 лет |
|
До 50 лет |
| Трудовые книжки и трудовые договоры, если они не были востребованы работником (п. 449 Перечня) | 50/75 лет |
| Сведения индивидуального (персонифицированного) учета, предоставленные в ПФР/СФР (п. 624 Перечня) | |
|
5 лет |
|
75 лет |
Хранение в составе кадровых документов паспортных данных, ИНН, СНИЛС, документов о браке и рождении детей, дипломов об образовании и военных билетов может считаться избыточным даже при наличии согласия на это сотрудника (Постановления 15-го ААС N15АП-22502/13 от 14.03.2014, 17-го АСС N17АП-5329/15 от 10.06.2015). Таким образом, документы и их копии следует возвращать владельцам после того, как из них была извлечена необходимая информация.
При отборе сотрудников на вакансии срок хранения ПДн соискателей не должен превышать 30 дней или срока, предусмотренного в договоре (соглашении) с соискателем (ч. 4 ст. 21 Закона N 152-ФЗ). Этот период начинается с момента принятия решения об отказе в приеме на работу. Хранение анкет соискателей, в том числе для цели формирования кадрового резерва, возможно только с их согласия.
ПДн нельзя хранить больше срока, чем это необходимо для установленных целей их обработки (ст. 5 Закона N 152-ФЗ). При отсутствии в законе или договоре установленного срока хранения ПДн, такие данные следует удалить или обезличить после достижения цели их обработки или если была утрачена необходимость в достижении этих целей.
Как уничтожить ПДн после истечения сроков хранения
Основное требование при уничтожении ПДн – невозможность последующего восстановления данных. Для бумажных документов могут применяться методы, включающие измельчение бумаги, её сжигание, обработку химическими реагентами или механическое разрушение.
Уничтожение данных на электронных носителях осуществляется с помощью специализированного программного обеспечения. При этом обычное удаление через папку «Корзина» интерфейса компьютера не является достаточным. Также возможно физическое уничтожение носителя (например, флеш-накопителя, жёсткого диска) или удаление данных из баз данных и информационных систем.
Документы, подтверждающие уничтожение Пнд (Приказ Роскомнадзора от 28.10.2022 N 179):
- акт об уничтожении персональных данных — если их обработка не автоматизирована
- акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных — если обработка персональных данных осуществляется оператором с использованием средств автоматизации
Нарушение установленных правил хранения ПДн влечёт за собой административную ответственность, а в случае утечки ПДн и уголовную ответственность. Если оператор ПДн не выполняет обязанности по обеспечению хранения ПДн с применением баз данных, находящихся на территории РФ, возможен административный штраф (ч. 8 ст. 13.11 КоАП РФ):
| N | Субъект административного правонарушения | Первое правонарушение, руб. | Повторное правонарушение, руб. |
| 1. | Физические лица | от 30 до 50 тыс. | от 50 до 100 тыс. |
| 2. | Должностные лица | от 100 до 200 тыс. | от 500 до 800 тыс. |
| 3. | Юридические лица | от 1 до 6 млн. | от 6 до 18 млн. |
Операторы ПДн устанавливают в своих ЛНА порядок хранения, способы защиты, уничтожения ПДн с учетом действующего законодательства.
Кратко о сроках хранения персональных данных
- Хранение персональных данных осуществляется операторами ПДн, которыми являются государственные и муниципальные органы, компании и физлица, организующие и (или) осуществляющие обработку персональных данных, определяющие цели такой обработки, состав данных и совершаемые с ними действия
- Срок хранения персональных данных регулируется Федеральным законом от 27.07.2006 N152-ФЗ и зависит от их типа
- Хранение ПДн граждан РФ разрешено только на территории России с применением отечественных баз данных. Использование иностранных мессенджеров для передачи ПДн запрещено
- При истечении срока хранения Пдн производится их уничтожение с оформлением акта установленной формы
- За несоблюдение законодательных требований к обработке и хранению ПДн возможны значительные административные штрафы
Помогла статья?
Получите еще секретный бонус и полный доступ к справочной системе Бухэксперт на 8 дней бесплатно
Обратите внимание!
В комментариях наши эксперты не отвечают на вопросы по программам 1С и законодательству.
Задать вопрос нашим специалистам можно в Личном кабинете