Алексей Ветров
Эксперт по защите данных IC-TECH
Хранить персональные данные бессрочно только на основании согласия субъекта — нельзя.
Даже если человек подписал согласие «на бессрочную обработку», оператор обязан ограничить срок хранения данными целями обработки. Как только цель достигнута, данные подлежат уничтожению или обезличиванию.
Закон прямо запрещает устанавливать «бессрочные» сроки хранения персональных данных. Согласие субъекта не освобождает организацию от обязанности соблюдать принцип минимизации и соразмерности обработки (ст. 5 152-ФЗ).
Даже если человек подписал согласие «на бессрочную обработку», оператор обязан ограничить срок хранения данными целями обработки. Как только цель достигнута, данные подлежат уничтожению или обезличиванию.
Закон прямо запрещает устанавливать «бессрочные» сроки хранения персональных данных. Согласие субъекта не освобождает организацию от обязанности соблюдать принцип минимизации и соразмерности обработки (ст. 5 152-ФЗ).
Обоснование по законодательству
- 152-ФЗ «О персональных данных»:
- Ст. 5 ч. 5 — хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки. После достижения целей обработки данные должны быть уничтожены или обезличены.
- Ст. 9 — согласие субъекта должно содержать срок его действия. Согласие может быть бессрочным, но это не делает бессрочным срок хранения данных.
- Разъяснения Роскомнадзора: формулировки «хранение данных бессрочно» или «до отзыва согласия» признаются нарушающими требования закона, так как срок хранения всегда привязан к цели.
Типичные ошибки организаций
- Указывают в согласии «срок хранения — бессрочно» или «до отзыва согласия».
- Хранят клиентские базы, которыми давно не пользуются, ссылаясь на якобы бессрочные согласия.
- Не прописывают конкретные сроки и основания уничтожения данных в локальных актах.
Особенности применения на практике
- Допустимо указывать в согласии срок «до достижения цели обработки» с обязательным уточнением, что после этого данные уничтожаются.
- Для сотрудников: сроки хранения персональных данных определяются архивным законодательством, и они могут составлять до 75 лет — но это именно срок хранения документов, а не «бессрочность».
- Для клиентов: если обработка осуществляется для оказания услуги, хранение допускается до момента её завершения или до истечения гарантийного/срока исковой давности.
Рекомендации и выводы
- Никогда не используйте формулировку «бессрочное хранение персональных данных».
- Привязывайте срок хранения к конкретным целям обработки или нормативно установленным срокам хранения документов.
- В согласиях используйте корректные формулировки: «до достижения целей обработки» или «в течение срока действия договора и срока исковой давности по нему».
- Обеспечьте процедуру уничтожения или обезличивания данных после окончания целей обработки.
Если вы хотите быть уверены, что ваши согласия, политики и регламенты соответствуют требованиям закона и не содержат формулировок, которые могут привести к штрафам, — закажите в ICTech подготовку полного комплекта документов по защите персональных данных. Мы адаптируем документы под деятельность вашей организации, пропишем правильные сроки хранения и процедуры уничтожения данных. Это избавит вас от рисков и обеспечит готовность к проверке Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
