Хранение персональных данных: сроки, требования и порядок уничтожения

Федеральный закон № 152-ФЗ устанавливает несколько ключевых требований к хранению персональных данных.

1. Ограничение срока хранения (ст. 5 ч. 7)

Хранение ПДн должно осуществляться не дольше, чем этого требуют цели обработки. По достижении цели или утрате необходимости данные подлежат уничтожению или обезличиванию.

2. Локализация на территории РФ (ст. 18 ч. 5)

При сборе персональных данных граждан РФ оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн с использованием баз данных, находящихся на территории Российской Федерации. Это не запрещает передачу копий данных за рубеж (трансграничная передача), но первичная база должна быть в России.

3. Обеспечение безопасности (ст. 19)

Оператор обязан принимать организационные и технические меры для защиты ПДн при хранении: разграничение доступа, шифрование, антивирусная защита, резервное копирование, физическая защита помещений.

4. Уничтожение при достижении целей (ст. 21)

Оператор обязан уничтожить ПДн в течение 30 дней с момента достижения целей обработки, отзыва согласия субъектом, выявления незаконной обработки или по требованию субъекта.

Сроки хранения ПДн определяются целями обработки и нормативными актами. Вот основные сроки для типичных категорий данных:

Важно: если для одних и тех же ПДн законом установлены разные сроки хранения (например, кадровый документ — 50 лет, бухгалтерский — 5 лет), хранить необходимо в течение максимального из применимых сроков.

Уничтожение ПДн — обязательная процедура, которую оператор должен выполнить по истечении срока хранения, при достижении целей обработки или по требованию субъекта.

Когда необходимо уничтожить ПДн:

• Достигнуты цели обработки (ст. 21 ч. 4)
• Субъект отозвал согласие (ст. 21 ч. 5)
• Обработка признана незаконной (ст. 21 ч. 3)
• Истёк срок хранения, установленный законом или договором

Сроки уничтожения:

• При достижении цели или отзыве согласия — 30 дней
• При выявлении незаконной обработки — 10 рабочих дней

Процедура уничтожения:

• Бумажные носители: уничтожаются шредером или сжиганием. Составляется акт уничтожения с указанием состава данных и способа уничтожения
• Электронные данные: удаление из баз данных и информационных систем с обеспечением невозможности восстановления. Для жёстких дисков — дополнительное затирание или физическое уничтожение

Каждый факт уничтожения оформляется актом уничтожения персональных данных. Подготовить регламент уничтожения можно с помощью шаблона регламента уничтожения ПДн.

С 1 сентября 2015 года действует требование локализации баз данных (ст. 18 ч. 5 152-ФЗ). При сборе персональных данных граждан РФ оператор обязан хранить первичную базу на серверах, расположенных на территории России.

Что это означает на практике:

• Сервер базы данных (PostgreSQL, MySQL, MongoDB и т.д.) должен физически находиться в России — в собственном дата-центре, на хостинге или в облаке российского провайдера
• Допускается дублирование данных за рубеж (например, для резервного копирования или работы зарубежного офиса), но первичная запись должна быть на российском сервере
• Использование иностранных облачных сервисов (AWS, Azure, Google Cloud) для хранения ПДн граждан РФ нарушает требование, если нет серверов в РФ

Штрафы за нарушение локализации:

• Первичное нарушение: от 1 000 000 до 6 000 000 ₽ для юрлиц (ч. 8 ст. 13.11 КоАП)
• Повторное нарушение: от 6 000 000 до 18 000 000 ₽ (ч. 9 ст. 13.11 КоАП)

Это одни из самых крупных штрафов в сфере ПДн (после оборотных штрафов за утечки). Подробнее о штрафах — в таблице штрафов по 152-ФЗ.