Нужно ли удалять устаревшие персональные данные клиентов?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, удалять или уточнять устаревшие персональные данные необходимо. Это прямое требование ФЗ-152, которое возлагает на оператора обязанность поддерживать актуальность обрабатываемых данных. Хранение и использование неактуальной информации считается нарушением принципов обработки ПДн.

Что это значит на практике:

• если клиент сменил номер телефона или адрес, оператор обязан обновить сведения по его запросу;
• если данные больше не нужны для целей обработки (например, заказ выполнен, договор расторгнут), их нужно уничтожить или обезличить;
• хранение устаревших контактов и использование их для рассылки или звонков = нарушение закона.

Обоснование по законодательству

• Ст. 5, ч. 6 ФЗ-152 — при обработке должны быть обеспечены точность, достаточность и актуальность данных; оператор обязан удалять или уточнять неполные и неточные данные.
• Ст. 5, ч. 7 ФЗ-152 — хранение ПДн допускается не дольше, чем этого требуют цели обработки.
• Ст. 14 ФЗ-152 — субъект имеет право требовать уточнения, блокирования или уничтожения своих данных.
• Ст. 13.11 КоАП РФ — нарушение этих правил влечёт штраф до 150 000 руб. для юрлиц.

Практика проверок Роскомнадзора

• В интернет-магазине хранили старые e-mail и телефоны клиентов, которые давно перестали пользоваться услугами. База использовалась для рассылки — Роскомнадзор назначил штраф за хранение и использование устаревших ПДн.
• В банке клиент сменил номер телефона, но старый продолжали использовать для SMS. После жалобы клиента регулятор обязал банк обновить данные и вынес предупреждение.
• В образовательном центре анкеты бывших клиентов хранились более 5 лет без необходимости. Проверка признала это нарушением принципа ограничения сроков.

Важный нюанс

Самостоятельная «регулярная проверка актуальности» законом прямо не установлена, но оператор обязан реагировать на обращения субъектов и не использовать заведомо неверные данные.

По достижении целей обработки данные должны быть уничтожены или обезличены (например, статистика без привязки к личности). С 01.09.2025 порядок обновления и уничтожения ПДн должен быть закреплён в локальных актах компании как часть пакета документов по ФЗ-152.

Рекомендации и выводы

Да, устаревшие данные необходимо удалять или актуализировать. Чтобы соответствовать закону, компании следует:

1. Установить регламент хранения ПДн с чёткими сроками.
2. Реагировать на запросы клиентов об уточнении или удалении данных.
3. Обеспечить уничтожение данных после выполнения целей (составление акта).
4. Включить эти правила в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать регламенты по хранению, актуализации и уничтожению ПДн, включив их в пакет документов. Это позволит работать с клиентскими данными законно и безопасно, исключив риски штрафов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге