Сроки хранения персональных данных

Последнее изменение: 09.07.2025

Срокам и способам хранения персональных данных законодатель уделяет особое внимание. Расскажем, как и на какой период сохранять такие сведения, какая ответственность предусмотрена за нарушение установленных сроков и способов хранения.

Что такое персональные данные и кто обязан их хранить

К персональным данным относится информация, которая так или иначе ассоциируется с конкретным физическим лицом: имя, фамилия, отчество, паспортные данные, СНИЛС и другие сведения, идентифицирующие личность (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).

Обязанность хранения персональных данных (ПДн) ложится на операторов – государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных, определяющие цели их обработки, состав и действия, совершаемые с персональными данными.

До начала обработки ПДн оператор обязан направить уведомление в Роскомнадзор о намерении осуществлять такую обработку. Уведомление служит основанием для внесения сведений об операторе в специальный реестр (п. 1 ст. 22 Закона N 152-ФЗ).

Подавать уведомление не требуется, если:

  • данные уже есть в государственных информационных системах
  • данные обрабатываются для обеспечения безопасности транспорта
  • обработка данных происходит только вручную и не предполагает использования автоматизированных систем

На сегодняшний день сложно найти компанию, которая не использует в своей работе компьютеры, электронные носители информации, электронную почту и другие аналогичные средства. В связи с этим большинство компаний становятся операторами ПДн и обязаны зарегистрироваться в Роскомнадзоре.

Получите понятные самоучители 2025 по 1С бесплатно:

Как хранить персональные данные

Способ хранения ПДн зависит от того, как данные обрабатываются:

  • автоматизированная обработка — в этом случае используются информационные системы или специальное программное обеспечение
  • обработка без применения автоматизации — ПДн обрабатываются вручную, чаще всего в бумажном формате

При физическом хранении содержащие ПДн документы (трудовые книжки, личные дела сотрудников и другие) должны находиться в несгораемых металлических шкафах. Эти шкафы запираются на замок и располагаются в помещениях, недоступных для посторонних. Доступ к документам имеют только уполномоченные сотрудники, список которых определяется внутренними регламентами компании. Обычно документы хранятся в алфавитном порядке или по регистрационным номерам.

При автоматизированном хранении ПДн информационные базы размещаются на защищенных серверах в России. Для защиты данных компания должна использовать специальные средства: антивирусные программы, системы контроля доступа и аутентификация пользователей. Если используются облачные сервисы, они должны удовлетворять требованиям Закона N 152-ФЗ.

Например, если компания работает с программой 1С: ФРЕШ, за хранение ПДн отвечает организация «Центр Хранения Данных». При использовании коробочной версии 1С компания самостоятельно обеспечивает защиту данных, приобретая необходимые средства защиты.

Запрещено передавать ПДн граждан РФ через определённые иностранные мессенджеры: Telegram, Skype, Microsoft Teams, WhatsApp, Viber и др. (Информация Роскомнадзора).

С 01. 07. 2025 хранение ПДн граждан РФ разрешено только на территории России с использованием отечественных баз данных (Федеральный закон от 28.02.2025 N 23-ФЗ). При использовании зарубежных сервисов (Google Forms, Google Analytics) оператор должен получить разрешение в Роскомнадзоре на трансграничную передачу данных или не использовать эти сервисы.

С 01.09.2025 ст. 5 Закона 152-ФЗ дополнена новым требованием о том, что согласие на обработку ПДн должно оформляться отдельным документом и не может быть включено в текст трудового договора. В связи с этим, необходимо внести изменения в действующие трудовые договоры в случае, если они содержали согласие на обработку ПДн (Федеральный закон от 24.06.2025 N 156-ФЗ)

Срок хранения персональных данных

Срок хранения персональных данных регулируется Федеральным законом от 27.07.2006 N 152-ФЗ и иными НПА, и зависит от их типа.

К примеру, кадровые документы, содержащие персональные данные работников, хранятся в соответствии со сроками, установленными Перечнем утв. Приказом Росархива от 20.12.2019 N 236:

Документ Срок хранения
Согласие физического лица на обработку персональных данных (п. 441 Перечня)

3 года по истечении срока его действия или его отзыва, если другое не установлено договором или федеральным законом

Служебная документация (приказы об отпусках, дежурствах, командировках) (п. 434 Перечня):

  • по сотрудникам (за исключением тех, кто связан с вредными (опасными) условиями труда)
5 лет
  • по сотрудникам с вредными (опасными) условиями труда
50/75 лет
Документы по оплате труда работников организации и исчислении трудового стажа (протоколы, акты, справки, сведения) (п. 403 Перечня):
  • для уволенных до 01.01.2003
До 75 лет
  • для уволенных после 01.01.2003
До 50 лет
Трудовые книжки и трудовые договоры, если они не были востребованы работником (п. 449 Перечня) 50/75 лет
Сведения индивидуального (персонифицированного) учета, предоставленные в ПФР/СФР (п. 624 Перечня)
  • в письменном виде
5 лет
  • в электронном виде
75 лет

Хранение в составе кадровых документов паспортных данных, ИНН, СНИЛС, документов о браке и рождении детей, дипломов об образовании и военных билетов может считаться избыточным даже при наличии согласия на это сотрудника (Постановления 15-го ААС N15АП-22502/13 от 14.03.2014, 17-го АСС N17АП-5329/15 от 10.06.2015). Таким образом, документы и их копии следует возвращать владельцам после того, как из них была извлечена необходимая информация.

При отборе сотрудников на вакансии срок хранения ПДн соискателей не должен превышать 30 дней или срока, предусмотренного в договоре (соглашении) с соискателем (ч. 4 ст. 21 Закона N 152-ФЗ). Этот период начинается с момента принятия решения об отказе в приеме на работу. Хранение анкет соискателей, в том числе для цели формирования кадрового резерва, возможно только с их согласия.

ПДн нельзя хранить больше срока, чем это необходимо для установленных целей их обработки (ст. 5 Закона N 152-ФЗ). При отсутствии в законе или договоре установленного срока хранения ПДн, такие данные следует удалить или обезличить после достижения цели их обработки или если была утрачена необходимость в достижении этих целей.

Как уничтожить ПДн после истечения сроков хранения

Основное требование при уничтожении ПДн – невозможность последующего восстановления данных. Для бумажных документов могут применяться методы, включающие измельчение бумаги, её сжигание, обработку химическими реагентами или механическое разрушение.

Уничтожение данных на электронных носителях осуществляется с помощью специализированного программного обеспечения. При этом обычное удаление через папку «Корзина» интерфейса компьютера не является достаточным. Также возможно физическое уничтожение носителя (например, флеш-накопителя, жёсткого диска) или удаление данных из баз данных и информационных систем.

Документы, подтверждающие уничтожение Пнд (Приказ Роскомнадзора от 28.10.2022 N 179):

  • акт об уничтожении персональных данных — если их обработка не автоматизирована
  • акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных — если обработка персональных данных осуществляется оператором с использованием средств автоматизации

Нарушение установленных правил хранения ПДн влечёт за собой административную ответственность, а в случае утечки ПДн и уголовную ответственность. Если оператор ПДн не выполняет обязанности по обеспечению хранения ПДн с применением баз данных, находящихся на территории РФ, возможен административный штраф (ч. 8 ст. 13.11 КоАП РФ):

N Субъект административного правонарушения Первое правонарушение, руб. Повторное правонарушение, руб.
1. Физические лица от 30 до 50 тыс. от 50 до 100 тыс.
2. Должностные лица от 100 до 200 тыс. от 500 до 800 тыс.
3. Юридические лица от 1 до 6 млн. от 6 до 18 млн.

Операторы ПДн устанавливают в своих ЛНА порядок хранения, способы защиты, уничтожения ПДн с учетом действующего законодательства.

Кратко о сроках хранения персональных данных

  • Хранение персональных данных осуществляется операторами ПДн, которыми являются государственные и муниципальные органы, компании и физлица, организующие и (или) осуществляющие обработку персональных данных, определяющие цели такой обработки, состав данных и совершаемые с ними действия
  • Срок хранения персональных данных регулируется Федеральным законом от 27.07.2006 N152-ФЗ и зависит от их типа
  • Хранение ПДн граждан РФ разрешено только на территории России с применением отечественных баз данных. Использование иностранных мессенджеров для передачи ПДн запрещено
  • При истечении срока хранения Пдн производится их уничтожение с оформлением акта установленной формы
  • За несоблюдение законодательных требований к обработке и хранению ПДн возможны значительные административные штрафы

Помогла статья?

Получите еще секретный бонус и полный доступ к справочной системе Бухэксперт на 8 дней бесплатно

Пароль будет выслан на указанный email

Публикацию можно обсудить в комментариях ниже.
Обратите внимание!
В комментариях наши эксперты не отвечают на вопросы по программам 1С и законодательству.
Задать вопрос нашим специалистам можно в Личном кабинете

Добавить комментарий