Алексей Ветров
Эксперт по защите данных IC-TECH
Срок хранения персональных данных в организации напрямую зависит от целей обработки. В соответствии с законодательством РФ, данные нельзя хранить дольше, чем это необходимо для достижения заявленных целей. Как только цель обработки достигнута — данные должны быть уничтожены или обезличены.
При этом для отдельных категорий документов срок хранения установлен другими законами (например, трудовое законодательство, бухгалтерский учет, налоговое законодательство). В этих случаях персональные данные хранятся столько, сколько хранится сам документ. Например, личные дела работников хранятся 50 или 75 лет, бухгалтерские документы — 5 лет, кадровые приказы — 75 лет.
Таким образом, универсального «максимального срока хранения ПДн» в законе нет. Он всегда определяется либо конкретной целью обработки, либо сроками, установленными другими законами для соответствующих документов.
При этом для отдельных категорий документов срок хранения установлен другими законами (например, трудовое законодательство, бухгалтерский учет, налоговое законодательство). В этих случаях персональные данные хранятся столько, сколько хранится сам документ. Например, личные дела работников хранятся 50 или 75 лет, бухгалтерские документы — 5 лет, кадровые приказы — 75 лет.
Таким образом, универсального «максимального срока хранения ПДн» в законе нет. Он всегда определяется либо конкретной целью обработки, либо сроками, установленными другими законами для соответствующих документов.
Обоснование по законодательству
- 152-ФЗ «О персональных данных»:
- Ст. 5 ч. 5 — хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели их обработки.
- После достижения целей обработки данные подлежат уничтожению или обезличиванию.
- ФЗ № 125 «Об архивном деле в РФ», Приказ Минкультуры № 558 — устанавливают сроки хранения отдельных категорий документов.
- Трудовой кодекс РФ, Налоговый кодекс РФ, законы о бухгалтерском учёте — определяют обязательные сроки хранения кадровых и финансовых документов, которые содержат персональные данные.
Типичные ошибки организаций
- Устанавливают «бессрочный» срок хранения данных в документах или политиках. Это нарушение.
- Не привязывают срок хранения к конкретным целям, прописанным в согласиях и политике.
- Хранят устаревшие клиентские базы, которыми давно не пользуются, без законных оснований.
Особенности применения на практике
- Для клиентов: данные обрабатываются до момента оказания услуги или отзыва согласия.
- Для сотрудников: сроки хранения определяются трудовым и архивным законодательством (например, личные карточки — 75 лет).
- Для бухгалтерии: первичные документы — 5 лет, некоторые налоговые документы — до 10 лет.
- Внутренние локальные акты организации должны содержать регламент хранения и порядок уничтожения данных.
Рекомендации и выводы
- Установите сроки хранения персональных данных в соответствии с целями их обработки и действующим законодательством.
- Включите эти сроки в локальные нормативные акты, политику в отношении ПДн и согласия субъектов.
- Организуйте процедуру уничтожения или обезличивания данных по окончании срока хранения.
- Проверяйте базы клиентов и архивы на предмет устаревших данных, чтобы исключить нарушения.
Если вы хотите быть уверены, что в вашей организации корректно определены сроки хранения персональных данных и оформлены все необходимые приказы, регламенты и политики — компания ICTech подготовит для вас полный пакет документов по обработке персональных данных в организации. Это избавит вас от риска нарушений, штрафов и позволит сосредоточиться на развитии бизнеса, а не на бюрократии.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
