Сроки хранения документов с персональными данными (ПДн) должны быть чётко закреплены в локальных актах организации и соответствовать требованиям законодательства. Это один из ключевых моментов, на который обращает внимание Роскомнадзор: хранить данные «на всякий случай» или бессрочно нельзя.
Что должно быть оформлено
- Перечень документов с ПДн и сроки их хранения
- Формируется на основании федеральных законов (например, Трудового кодекса, Налогового кодекса), подзаконных актов и внутренних потребностей компании.
- Пример: личные дела сотрудников — 50/75 лет, табели учёта рабочего времени — 5 лет, договоры с клиентами — срок действия договора + 5 лет.
- Локальный акт (регламент/положение) о сроках хранения ПДн
- Устанавливает порядок определения сроков, отвечает за контроль и фиксирует обязанности сотрудников.
- Приказ об утверждении перечня документов
- Руководитель утверждает сроки хранения и ответственных за их соблюдение.
- Журнал или реестр учёта сроков хранения
- Позволяет отслеживать, когда истекают сроки хранения и требуется уничтожение или обезличивание.
- Акты об уничтожении по истечении сроков
- Документально подтверждают исполнение требований ФЗ-152.
Обоснование по законодательству
- Ст. 5 ФЗ-152 (ч. 7) — хранение ПДн допускается не дольше, чем этого требуют цели обработки. По достижении целей или истечении сроков данные должны быть уничтожены или обезличены.
- Ст. 21 ФЗ-152 — оператор обязан блокировать или уничтожать данные в случаях, предусмотренных законом или обращением субъекта.
- Федеральный закон № 125-ФЗ «Об архивном деле» и приказы Росархива содержат сроки хранения основных видов документов.
- Отраслевое законодательство (например, для медицинских организаций или образовательных учреждений) также закрепляет конкретные сроки.
Практика Роскомнадзора и проверок
На проверках часто требуют показать перечень документов с ПДн и закреплённые сроки хранения. В одной компании не было утверждённого перечня, и документы с персональными данными хранились без учёта сроков — Роскомнадзор вынес предписание устранить нарушения. В другой организации был детализированный перечень с ссылками на законы, а по истечении сроков составлялись акты уничтожения — это признали правильной практикой.
Что важно учесть
- Сроки хранения определяются не только ФЗ-152, но и отраслевыми законами (например, медицинские карты — 25 лет).
- Важно различать сроки хранения документов и сроки хранения самих ПДн: данные могут храниться только пока нужны для цели, указанной субъекту.
- Для электронных архивов также должны быть прописаны сроки хранения и порядок удаления данных.
Рекомендации и выводы
Да, сроки хранения документов с ПДн должны быть оформлены документально: перечнем, приказами и регламентами. Чтобы соответствовать требованиям:
- Составьте перечень всех документов с ПДн и укажите сроки хранения по закону.
- Утвердите локальный акт с этим перечнем.
- Ведите учёт сроков хранения и оформляйте акты уничтожения после их истечения.
Компания ICTech разработает для вашей организации полный перечень документов с ПДн и установит сроки их хранения в соответствии с законодательством. Мы подготовим шаблоны приказов и актов, чтобы вы могли без проблем пройти проверку Роскомнадзора.
