Алексей Ветров
Эксперт по защите данных IC-TECH
Персональные данные подлежат удалению (или уничтожению), когда достигнуты цели их обработки, истекли установленные законом сроки хранения либо субъект отозвал согласие (если обработка велась на его основании). Оператор не может хранить ПДн «просто так» без оснований: всегда должна быть цель или прямая норма закона, которая обязывает сохранять документы.
Обоснование по законодательству
- Ст. 5 ч. 5 ФЗ-152: хранение ПДн допускается не дольше, чем этого требуют цели обработки.
- Ст. 21 ФЗ-152: при достижении целей обработки или утрате необходимости оператор обязан уничтожить данные либо обезличить их.
- Ст. 24 Трудового кодекса РФ, ст. 29 Налогового кодекса РФ и иные акты устанавливают конкретные сроки хранения кадровых и бухгалтерских документов (например, 75 лет для личных дел сотрудников, 5 лет для бухгалтерских документов).
Примеры ситуаций
- Данные клиента, полученные для выполнения договора, можно удалить после исполнения обязательств и окончания срока хранения бухгалтерских документов.
- Резюме соискателей можно хранить только до окончания отбора (если кандидат не принят — данные нужно удалить).
- Кадровые документы сотрудников хранятся столько, сколько требуют законы об архивном деле (чаще всего десятки лет).
- Если клиент отозвал согласие на рассылку, его e-mail нужно удалить из базы подписчиков.
Рекомендации и выводы
Удалять ПДн можно, когда они больше не нужны для достижения целей обработки или когда закон разрешает завершить хранение. На практике лучше прописывать сроки в локальных документах компании (например, в положении о хранении ПДн), чтобы у Роскомнадзора не возникло вопросов. Универсальная формулировка: «персональные данные уничтожаются по достижении целей обработки либо по истечении установленных законом сроков хранения».
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
