Перейти к содержанию
справочник 25 января 2027 По состоянию на 25 января 2027

Срок хранения ПДн: как зафиксировать в политике

Срок хранения персональных данных — период, в течение которого оператор вправе обрабатывать ПДн субъекта. После его истечения данные подлежат уничтожению или обезличиванию (ст. 5 ФЗ-152).
Отсутствие конкретных сроков в политике обработки ПДн — одно из типовых оснований для предписания РКН. С 30.05.2025 штраф за ненадлежащую политику по ч. 3 ст. 13.11 КоАП составляет до 60 000 ₽, а за сопутствующие нарушения по ч. 1 — до 300 000 ₽.
→ Если вы юрист, который проверяет комплаенс компании, этот справочник покажет, какие сроки должны быть зафиксированы, где взять основания и как избежать типовых ошибок.

Принцип ограничения хранения закреплён в ст. 5 ФЗ-152: данные не должны храниться дольше, чем этого требуют цели обработки. При этом закон не устанавливает единый универсальный срок — он складывается из нескольких источников: отраслевых НПА, условий договора и внутреннего решения оператора. Задача юриста — собрать сроки из всех источников, сопоставить их и закрепить в политике без противоречий.

Что такое срок хранения ПДн и откуда он берётся?

Субъект ПДн — физическое лицо, к которому относятся данные. Оператор ПДн — организация или лицо, самостоятельно определяющее цели и состав обработки. Срок хранения — это не срок действия согласия, не срок договора и не срок исковой давности, хотя все три могут на него влиять.

Источники срока хранения располагаются в следующем порядке приоритета:

  • Специальный НПА — устанавливает минимальный срок хранения для конкретной категории данных. Имеет приоритет над всеми иными основаниями. Примеры: личные дела работников — 75 лет, кредитные истории по ФЗ-218 — 7 лет, бухгалтерские документы — 5 лет по закону о бухучёте.
  • Срок договора плюс срок исковой давности — ПДн в договорных отношениях могут храниться до истечения исковой давности (по общему правилу 3 года по ГК РФ) после прекращения договора.
  • Срок действия согласия — если обработка ведётся только на основании согласия субъекта по ст. 9 ФЗ-152, срок хранения не может превышать срок, указанный в согласии.
  • Решение оператора — при отсутствии специального НПА оператор определяет срок самостоятельно, обосновывая его целями обработки.
«Ст. 5 ФЗ-152 — принцип ограничения хранения: обработка ПДн должна прекращаться при достижении цели; данные подлежат уничтожению или обезличиванию, если иное не предусмотрено законодательством РФ.»

Как правильно зафиксировать сроки хранения в политике?

Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 должна содержать сроки обработки, в том числе сроки хранения. Расплывчатая формулировка «до достижения целей» без конкретных значений — нарушение. РКН при проверке требует таблицу или перечень с указанием категории данных, цели, основания и конкретного срока.

Структура фиксации срока в политике включает четыре элемента:

  • Категория данных — например, «данные кандидатов на вакансию», «данные клиентов интернет-магазина», «данные контрагентов».
  • Цель обработки — конкретная, из ст. 6 ФЗ-152. Цель не может быть «обработка персональных данных» — это тавтология.
  • Правовое основание — одно из 11 оснований ст. 6 ФЗ-152: согласие, договор, исполнение обязанности оператора, судопроизводство и т. д.
  • Срок в конкретных единицах — лет, месяцев, дней; либо привязка к событию («до истечения 3 лет с даты прекращения договора», «до отзыва согласия»).

Политика не содержит конкретных сроков хранения?

Если юрист обнаружил, что в политике прописаны только цели без сроков — это устранимое нарушение, но только до проверки РКН. После начала проверки исправление политики не снимает ответственность за уже зафиксированное несоответствие. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и подготовят политику с корректными сроками хранения по каждой категории данных.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие сроки хранения обязательны по специальным НПА?

Ряд категорий ПДн имеет нормативно установленные сроки хранения, ниже которых опускаться нельзя. Оператор не вправе уничтожить такие данные раньше истечения обязательного срока, даже если субъект отозвал согласие. Это прямо следует из ч. 2 ст. 9 ФЗ-152: отзыв согласия не прекращает обработку, если она продолжается на ином законном основании.

Кадровые данные работников
Личное дело работника — 75 лет (Приказ Росархива № 236 от 20.12.2019). Расчётные ведомости — 6 лет. Табели учёта рабочего времени — 5 лет (при вредных условиях — 75 лет).
Данные кандидатов на вакансию
Специальный НПА не установлен. Оператор определяет срок самостоятельно. Рекомендуемая практика: 6 месяцев с даты отказа в трудоустройстве, если кандидат дал согласие на хранение резюме. Без согласия — уничтожение сразу после отказа.
Данные клиентов по договору
Срок действия договора плюс общий срок исковой давности 3 года (ст. 196 ГК РФ). Для отдельных договоров — специальные сроки (например, по транспортным накладным — 5 лет).
Кредитные истории
7 лет с даты последней операции по ФЗ-218 «О кредитных историях». Срок хранения в БКИ — вне контроля банка, однако банк как оператор обязан зафиксировать его в своей политике при ссылке на передачу в БКИ.
Данные пациентов медицинских организаций
Медицинская карта — 25 лет (Приказ Минздрава № 834н от 15.12.2014). Данные о психиатрической помощи — 75 лет. Согласие на медицинское вмешательство — 25 лет.
Бухгалтерские и налоговые документы с ПДн
Первичные учётные документы — 5 лет (ФЗ-402 «О бухгалтерском учёте»). Документы, необходимые для исчисления налогов, — 5 лет (НК РФ). ПДн в этих документах хранятся столько же, сколько сам документ.
Данные пользователей интернет-сервисов
Специальный НПА не установлен. Оператор определяет срок, исходя из целей: для маркетинговых рассылок — до отзыва согласия; для истории заказов — срок договора плюс 3 года; для технических логов — определяется внутренней политикой ИБ.
«Ст. 9 ч. 2 ФЗ-152 — отзыв согласия не влечёт прекращения обработки, если имеется иное законное основание. Оператор обязан уведомить субъекта об этом при получении отзыва.»

Если юрист сверяет политику с реальной обработкой — проверьте, что для каждой категории данных указан срок в конкретных единицах и правовое основание. Типовая ошибка: один срок на все категории без разбивки. DATUM соберёт пакет ОРД с корректными сроками под ключ.

Собрать ОРД под ключ

Что происходит после истечения срока хранения?

По ст. 21 ФЗ-152 оператор обязан уничтожить или обезличить ПДн при достижении целей обработки или истечении установленного срока. Уничтожение — полная ликвидация данных без возможности восстановления. Обезличивание — приведение данных к виду, при котором невозможно установить принадлежность конкретному субъекту.

Процедура уничтожения фиксируется актом. Форма акта законом не установлена, но на практике он содержит: перечень уничтоженных категорий, количество записей, дату, способ уничтожения, подписи ответственных лиц. Акт хранится для подтверждения соблюдения сроков при проверке.

Обезличивание как альтернатива уничтожению допустимо только при применении методов, установленных актом РКН (с 01.09.2025): введение идентификаторов, изменение состава или семантики, декомпозиция, перемешивание, обобщение. Произвольное «маскирование» части полей обезличиванием не считается.

Как это выглядит на практике

Кейс 1. Торговая компания (Сибирский ФО, осень 2025): в политике конфиденциальности был указан единый срок «3 года» для всех категорий ПДн. РКН при плановой проверке установил, что кадровые данные хранятся в нарушение 75-летнего срока по Приказу Росархива — документы уничтожались через 3 года. Компания получила предписание с требованием привести политику в соответствие и восстановить уничтоженные сведения из архива. Итог: штраф по ч. 3 ст. 13.11 КоАП и затраты на восстановление кадрового архива. Привлечение юриста на этапе составления политики обошлось бы существенно дешевле.

Кейс 2. IT-компания (Центральный ФО, начало 2026): субъект потребовал уничтожения своих данных, сославшись на истечение срока действия согласия. Оператор уничтожил данные немедленно, не учтя, что часть из них относится к налоговым документам со сроком хранения 5 лет. Налоговый орган при проверке зафиксировал отсутствие первичных документов. Формулировка в политике «уничтожаем по требованию субъекта немедленно» оказалась неверной. Корректная политика должна разграничивать данные, подпадающие под специальный срок, и данные, обрабатываемые только на основании согласия.

Что проверить в политике по срокам хранения

  • Для каждой категории ПДн указан срок в конкретных единицах (лет/месяцев) или привязан к событию.
  • Сроки по специальным НПА соблюдены и не занижены (личные дела — 75 лет, кредитные истории — 7 лет, медкарты — 25 лет).
  • Есть разграничение между сроком согласия и сроком хранения при наличии иного законного основания.
  • Установлена процедура уничтожения или обезличивания с составлением акта.
  • Политика опубликована в актуальной редакции на сайте оператора (ч. 2 ст. 18.1 ФЗ-152).

Услуги DATUM по теме

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Хранение без использования — это тоже обработка, поэтому сроки хранения относятся к регулируемым параметрам.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований. Наиболее часто применяемые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанностей оператора по законодательству (п. 2). Срок хранения определяется отдельно для каждого основания: согласие — до отзыва или истечения срока; договор — до прекращения плюс срок исковой давности; законная обязанность — по нормативному акту, её устанавливающему.

3. Что грозит за нарушение 152-ФЗ в части сроков хранения?

Отсутствие сроков в политике — штраф по ч. 3 ст. 13.11 КоАП до 60 000 ₽ для юрлица. Хранение ПДн сверх установленного срока или обработка в целях, несовместимых с исходными, — ч. 1 ст. 13.11, до 300 000 ₽. При повторном нарушении по ч. 1 — до 500 000 ₽ (ч. 1.1). Оба состава действуют в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024).

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если только не применяется одно из исключений ст. 22 ФЗ-152: обработка исключительно данных собственных работников без передачи третьим лицам; обработка без использования средств автоматизации в строго определённых целях. Интернет-магазин, сервис с личным кабинетом или работодатель, использующий КЭДО, под исключения не подпадают. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП до 300 000 ₽.

5. С какого возраста нужно согласие на обработку ПДн?

ФЗ-152 не устанавливает возраст прямо. По общему правилу дееспособность наступает с 18 лет (ГК РФ). До 18 лет согласие даёт законный представитель — родитель или опекун. Частичная дееспособность с 14 лет позволяет несовершеннолетнему самостоятельно распоряжаться заработком, что на практике применяется при согласиях в сфере трудоустройства и ряда финансовых продуктов. Оператор обязан предусмотреть механизм проверки возраста.

Итог

Срок хранения персональных данных — не формальный реквизит политики, а юридически значимый параметр обработки. Его отсутствие или некорректность создают основание как для предписания РКН, так и для административного штрафа. Юрист, проверяющий комплаенс компании, должен сверить сроки в политике с требованиями специальных НПА, условиями договоров и основаниями обработки по ст. 6 ФЗ-152.

Практика DATUM по 152-ФЗ включает аудит политик обработки, подготовку ОРД с корректными сроками хранения и сопровождение при проверках РКН. Типовые ошибки — единый срок на все категории, отсутствие ссылки на специальный НПА, смешение срока согласия и срока хранения — устраняются на этапе аудита до проверки.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

25 января 2027 года