Что делать с персональными данными после окончания срока хранения?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

После истечения срока хранения организация обязана прекратить обработку персональных данных. Это означает, что ПДн должны быть либо уничтожены, либо обезличены, если в дальнейшем нужны только для статистики, исследований или аналитики. Продолжать хранение «на всякий случай» закон запрещает.

Возможные действия оператора:

• Уничтожение данных — полное удаление бумажных и электронных носителей (акты об уничтожении, шредирование, безвозвратное удаление с серверов).
• Обезличивание — замена персональных данных на обезличенные идентификаторы для последующего использования в аналитике.
• Передача в архив — если иное предусмотрено федеральным законом (например, архивное хранение кадровых документов до 75 лет по закону об архивном деле).

Обоснование по законодательству

• Ст. 5 ФЗ-152, ч. 7 — хранение ПДн допускается не дольше, чем этого требуют цели обработки; по достижении целей они подлежат уничтожению или обезличиванию.
• Ст. 21 ФЗ-152 — оператор обязан принимать меры по выполнению требований законодательства о защите ПДн.
• Ст. 19 ФЗ-152 — оператор должен обеспечить безопасность и порядок уничтожения данных.
• ФЗ № 125 «Об архивном деле» — устанавливает сроки хранения кадровых документов и их передачу в архив.

Практика проверок Роскомнадзора

Компания продолжала хранить резюме кандидатов спустя 5 лет после окончания отбора. Роскомнадзор признал это нарушением принципа ограничения срока хранения.

В госучреждении данные уволенных сотрудников хранились дольше положенного срока. Проверка указала, что документы подлежат передаче в архив, а избыточные копии — уничтожению.

Важный нюанс

Документы с обязательными сроками хранения (кадровые, бухгалтерские, налоговые) должны храниться столько, сколько предписывает закон, даже без согласия субъекта. Все остальные данные должны быть уничтожены или обезличены сразу после окончания срока обработки.

Рекомендации и выводы

Организация обязана:

1. Установить сроки хранения для каждой категории ПДн.
2. По окончании сроков — уничтожить или обезличить данные, если они больше не нужны.
3. Составлять акты об уничтожении и хранить их для подтверждения при проверке.
4. Включить порядок уничтожения и обезличивания данных в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать регламент по срокам хранения и уничтожения ПДн, подготовить формы актов и включить их в пакет документов по 152-ФЗ. Это позволит пройти проверки Роскомнадзора без штрафов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге