Сроки хранения персональных данных

Срокам и способам хранения персональных данных законодатель уделяет особое внимание.

Из статьи вы узнаете:

• как и на какой период сохранять персведения
• какая ответственность предусмотрена за нарушение установленных сроков и способов хранения

Что такое персональные данные и кто их обязан хранить

К персональным данным относится информация, которая так или иначе ассоциируется с конкретным физическим лицом: имя, фамилия, отчество, паспортные данные, СНИЛС и другие сведения, идентифицирующие личность (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).

Обязанность хранения персональных данных (ПД) ложится на операторов – государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных, определяющие цели их обработки, состав и действия, совершаемые с персональными данными.

До начала обработки ПД оператор обязан направить уведомление в Роскомнадзор о намерении осуществлять обработку. Уведомление служит основанием для внесения сведений об операторе в специальный реестр (п. 1 ст. 22 Закона N 152-ФЗ).

Подавать уведомление не требуется, если:

• данные уже есть в государственных информационных системах
• данные обрабатываются для обеспечения безопасности транспорта
• обработка данных происходит только вручную и не предполагает использования автоматизированных систем

Сложно найти компанию, которая не использует в своей работе компьютеры, электронные носители информации, электронную почту и другие аналогичные средства. В связи с этим большинство компаний становятся операторами персданных и обязаны зарегистрироваться в Роскомнадзоре.

Как хранить персональные данные

Способ хранения персданных зависит от того, как они обрабатываются:

• автоматизированная обработка — в этом случае используются информационные системы или специальное программное обеспечение
• обработка без применения автоматизации — ПД обрабатываются вручную, чаще всего в бумажном формате

При физическом хранении документы, содержащие персданные (трудовые книжки, личные дела сотрудников и другие), должны находиться в несгораемых металлических шкафах. Шкафы запираются на замок и располагаются в помещениях, недоступных для посторонних. Доступ к документам имеют только уполномоченные сотрудники, список которых определяется внутренними регламентами компании. Обычно документы хранятся в алфавитном порядке или по регистрационным номерам.

При автоматизированном хранении персданных информационные базы размещаются на защищенных серверах в России. Для защиты данных компания должна использовать специальные средства: антивирусные программы, системы контроля доступа и аутентификация пользователей. Если используются облачные сервисы, они должны удовлетворять требованиям Закона N 152-ФЗ.

Например, если компания работает с программой 1С: ФРЕШ, за хранение ПД отвечает организация «Центр Хранения Данных». При использовании коробочной версии 1С компания самостоятельно обеспечивает защиту данных, приобретая средства защиты.

Запрещено передавать персданные граждан РФ через определенные иностранные мессенджеры: Telegram, Skype, Microsoft Teams, WhatsApp, Viber и др. (Информация Роскомнадзора).

С 01. 07. 2025 хранение данных россиян разрешено только на территории России с использованием отечественных баз данных (Федеральный закон от 28.02.2025 N 23-ФЗ). При использовании зарубежных сервисов (Google Forms, Google Analytics) оператор должен получить разрешение в Роскомнадзоре на трансграничную передачу данных или не использовать эти сервисы.

С 01.09.2025 ст. 5 Закона 152-ФЗ дополнена новым требованием — согласие на обработку ПДн должно оформляться отдельным документом и не может быть включено в текст трудового договора. В связи с этим необходимо внести изменения в действующие трудовые договоры, если они содержали согласие на обработку ПД (Федеральный закон от 24.06.2025 N 156-ФЗ)

Срок хранения персональных данных

Срок хранения персональных данных регулируется Федеральным законом от 27.07.2006 N 152-ФЗ , иными НПА, и зависит от их типа.

К примеру, кадровые документы, содержащие персональные данные работников, хранятся в соответствии со сроками, установленными Перечнем утв. Приказом Росархива от 20.12.2019 N 236:

Хранение в составе кадровых документов паспортных данных, ИНН, СНИЛС, документов о браке и рождении детей, дипломов об образовании и военных билетов может считаться избыточным даже при наличии согласия на это сотрудника (постановления 15-го ААС N15АП-22502/13 от 14.03.2014, 17-го АСС N17АП-5329/15 от 10.06.2015). Таким образом, документы и их копии следует возвращать владельцам после того, как из них была извлечена необходимая информация.

При отборе сотрудников на вакансии срок хранения ПД соискателей не должен превышать 30 дней или срока, предусмотренного в договоре (соглашении) с соискателем (ч. 4 ст. 21 Закона N 152-ФЗ). Этот период начинается с момента принятия решения об отказе в приеме на работу. Хранение анкет соискателей, в том числе для цели формирования кадрового резерва, возможно только с их согласия.

ПД нельзя хранить дольше, чем это необходимо для установленных целей их обработки (ст. 5 Закона N 152-ФЗ). Если в законе или договоре отсутствует установленный срок хранения персданных, данные следует удалить или обезличить:

• или после достижения цели их обработки
• или если была утрачена необходимость в достижении этих целей

Как уничтожить персданные после истечения сроков хранения

Основное требование при уничтожении ПД – невозможность последующего восстановления данных. Для бумажных документов могут применяться методы, включающие измельчение бумаги, ее сжигание, обработку химическими реагентами или механическое разрушение.

Данные на электронных носителях удаляют с помощью специализированного программного обеспечения. При этом обычное удаление через папку «Корзина» интерфейса компьютера недостаточно. Также возможно физическое уничтожение носителя (например, флеш-накопителя, жесткого диска) или удаление данных из баз данных и информационных систем.

Документы, подтверждающие уничтожение ПД (Приказ Роскомнадзора от 28.10.2022 N 179):

• акт об уничтожении персональных данных — если их обработка не автоматизирована
• акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных — если обработка персональных данных осуществляется оператором с использованием средств автоматизации

Нарушение установленных правил хранения ПД влечет административную ответственность, а в случае утечки — и уголовную. Если оператор ПД не выполняет обязанность по обеспечению хранения с применением баз данных, находящихся на территории РФ, возможен административный штраф (ч. 8 ст. 13.11 КоАП РФ):

Операторы персданных устанавливают в своих ЛНА порядок хранения, способы защиты, уничтожения с учетом действующего законодательства.

• Защита персональных данных работников
• Уничтожение персональных данных сотрудников (ЗУП 3.1.23.812 / 3.1.27.23)
• Согласие на обработку персональных данных в ЗУП 3.1

Кратко о сроках хранения персональных данных

• Хранение персональных данных осуществляется операторами ПД, которыми являются государственные и муниципальные органы, компании и физлица, организующие и (или) осуществляющие обработку персональных данных, определяющие цели такой обработки, состав данных и совершаемые с ними действия
• Срок хранения персональных данных регулируется Федеральным законом от 27.07.2006 N152-ФЗ и зависит от их типа
• Хранение ПД граждан РФ разрешено только на территории России с применением отечественных баз данных. Использование иностранных мессенджеров для передачи персданных запрещено
• При истечении срока хранения производится уничтожение ПД с оформлением акта установленной формы
• За несоблюдение законодательных требований к обработке и хранению персданных возможны значительные административные штрафы

Помогла статья?

Получите еще секретный бонус и полный доступ к справочной системе Бухэксперт на 8 дней бесплатно

E-mail

Пароль будет выслан на указанный email