Алексей Ветров
Эксперт по защите данных IC-TECH
Да, оформление регламента (или положения) о сроках хранения персональных данных обязательно. ФЗ-152 прямо требует, чтобы хранение ПДн не превышало сроков, необходимых для целей обработки. Чтобы подтвердить соблюдение этого принципа, организация должна документально закрепить сроки хранения для каждой категории данных и порядок их уничтожения или обезличивания.
Где фиксируются сроки хранения ПДн:
- Политика обработки ПДн — в ней отражаются общие принципы хранения и уничтожения.
- Положение (регламент) о ПДн — содержит конкретные сроки хранения для разных категорий субъектов (например, кадровые документы, клиентские данные, договоры).
- Перечень обрабатываемых ПДн — указывает сроки хранения по каждой категории данных.
- График документооборота и номенклатура дел — учитывают требования архивного законодательства (ФЗ «Об архивном деле» № 125-ФЗ и приказы Минкультуры).
- Порядок уничтожения ПДн — отдельный документ, закрепляющий, что происходит по окончании срока хранения.
Где фиксируются сроки хранения ПДн:
- Политика обработки ПДн — в ней отражаются общие принципы хранения и уничтожения.
- Положение (регламент) о ПДн — содержит конкретные сроки хранения для разных категорий субъектов (например, кадровые документы, клиентские данные, договоры).
- Перечень обрабатываемых ПДн — указывает сроки хранения по каждой категории данных.
- График документооборота и номенклатура дел — учитывают требования архивного законодательства (ФЗ «Об архивном деле» № 125-ФЗ и приказы Минкультуры).
- Порядок уничтожения ПДн — отдельный документ, закрепляющий, что происходит по окончании срока хранения.
Обоснование по законодательству
- Ст. 5 ФЗ-152, ч. 7 — хранение ПДн должно осуществляться не дольше, чем этого требуют цели обработки. По достижении целей данные подлежат уничтожению или обезличиванию.
- Ст. 18.1 ФЗ-152 — оператор обязан принять локальные акты, определяющие порядок обработки, включая хранение.
- ФЗ-125 «Об архивном деле» — устанавливает сроки хранения документов, в том числе содержащих ПДн.
- Приказы Минкультуры РФ (например, № 236 от 25.08.2010) — содержат типовые перечни сроков хранения документов.
Практика Роскомнадзора
На проверках РКН часто запрашивает регламент или положение, где прописаны сроки хранения. Если компания не может показать такие документы, это считается нарушением. В одной организации данные клиентов хранились бессрочно, что РКН расценил как незаконное хранение. В другом случае оператор показал перечень ПДн с привязкой к архивным срокам — претензий не возникло.
Что важно учитывать
- Сроки хранения зависят от категории данных: кадровые документы хранятся десятки лет, а маркетинговые базы — только до момента отзыва согласия.
- Отсутствие регламента создаёт риск признания обработки незаконной.
- Уничтожение или обезличивание данных также должно быть закреплено документально (акты, протоколы).
Рекомендации и выводы
Да, регламент по срокам хранения ПДн нужен в каждой организации. Чтобы соответствовать ФЗ-152:
- Определите сроки хранения по категориям данных с учётом законодательства и целей обработки.
- Утвердите регламент или положение, где эти сроки закреплены.
- Ведите перечень ПДн с указанием сроков хранения.
- Разработайте порядок уничтожения данных и оформляйте акты по завершении сроков.
Компания ICTech подготовит для вашей организации регламент по срокам хранения ПДн с учётом требований ФЗ-152 и архивного законодательства. Это позволит пройти проверку без штрафов и наладить безопасную работу с данными.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
