Сроки хранения персональных данных: таблица по категориям и законам

Главное за 30 секунд

ФЗ-152 не устанавливает единый срок хранения — он определяется целью обработки
Сроки из других законов (НК, ТК, бухучёт) имеют приоритет над общим правилом
После выполнения цели ПД уничтожаются, если нет иного законного основания хранить
Бессрочное хранение «на всякий случай» — нарушение ФЗ-152

Принцип ограничения хранения по ФЗ-152

ФЗ-152 не устанавливает единый срок хранения персональных данных для всех случаев.

Главное правило: персональные данные хранятся не дольше, чем этого требуют цели обработки.

Как только цель достигнута:

договор исполнен;
сотрудник уволен;
рекламная кампания завершена;
вакансия закрыта;

оператор обязан уничтожить данные или обезличить их, если иное не предусмотрено законом.

Бессрочное хранение — нарушение

Формулировка «храним данные бессрочно на всякий случай» нарушает принцип ограничения хранения по ФЗ-152, даже если данные фактически не используются.

Какие законы определяют сроки хранения

На практике сроки хранения часто определяются не самим ФЗ-152, а другими законами:

Закон	Что регулирует
ТК РФ	Кадровые документы и данные сотрудников
НК РФ	Документы для налогового учёта
Закон о бухгалтерском учёте	Первичные документы и договоры
Закон об архивном деле	Долговременное хранение кадровых документов
Закон о связи	Отдельные категории телеком-данных

Таблица сроков хранения персональных данных

Категория данных	Типовой срок хранения	Основание
Данные клиентов по договору	Срок договора + 5 лет	НК РФ, бухучёт
Бухгалтерские документы	5 лет	Закон о бухучёте
Резюме кандидатов	До 3 лет	Практика РКН
Личные дела работников	50 лет	Закон об архивном деле
Табели, приказы, кадровые документы	3–75 лет	ТК РФ, архивные правила
Email-лиды и заявки с сайта	Пока актуальна цель обработки	ФЗ-152
Cookie и веб-аналитика	Обычно 6–24 месяца	Цель обработки
Данные уволенных сотрудников	По срокам кадрового хранения	Архивное законодательство
Медицинские документы	По профильным правилам отрасли	Медицинское законодательство

Что делать после истечения срока хранения

После завершения срока хранения компания должна:

удалить данные из CRM и внутренних систем;
уничтожить бумажные документы;
очистить резервные копии по регламенту;
составить акт уничтожения при необходимости;
прекратить доступ сотрудников к архивным данным.

Что уничтожать и когда

Данные	Когда удалять
Лид не стал клиентом	После потери актуальности цели или окончания маркетингового цикла
Email для рассылки	После отзыва согласия или длительной неактивности
Резюме кандидата	После закрытия вакансии или окончания срока согласия
Старые заявки с сайта	После обработки обращения и завершения коммуникации
Данные уволенного сотрудника	После окончания архивного срока хранения

Спорные ситуации на практике

Клиент не отвечает, но и не отписывается

Если пользователь перестал взаимодействовать с компанией, но формально не отзывал согласие, хранение данных всё равно должно быть ограничено разумным сроком.

Например:

для email-маркетинга — до окончания маркетинговой цели;
для CRM — пока есть вероятность продолжения отношений;
после длительной неактивности данные рекомендуется удалить или запросить обновление согласия.

Можно ли хранить старую базу клиентов «на будущее»

Нет, если отсутствует действующая цель обработки.

Старая база без актуального основания, договора или маркетинговой активности создаёт риск претензий со стороны Роскомнадзора.

Риск

Даже если утечки не было, хранение персональных данных без актуальной цели само по себе может считаться нарушением ФЗ-152.

Ответственность за чрезмерное хранение

Компании рискуют получить:

предписание об уничтожении данных;
административный штраф;
претензии субъектов персональных данных;
повышенный риск утечки старых баз;
дополнительные вопросы при проверке Роскомнадзора.

Особенно часто нарушения выявляются:

в старых CRM;
в email-базах без актуальных согласий;
в архивных папках HR;
в резервных копиях и забытых облачных хранилищах.

Чек-лист по срокам хранения ПД

Для каждой категории данных определён срок храненияобязательно
Срок хранения связан с целью обработкиобязательно
У компании есть регламент уничтожения данныхобязательно
Удаление выполняется не только в CRM, но и в архивах и резервных копиях
Старые базы клиентов и лидов регулярно пересматриваются
Ответственные сотрудники знают сроки хранения по своим процессам

Частые вопросы о сроках хранения персональных данных

Как долго можно хранить данные лида, который так и не стал клиентом?

ФЗ-152 не запрещает хранить данные потенциальных клиентов, пока есть цель (продажа). На практике разумный срок — 1–3 года, после чего данные уничтожаются или субъект получает запрос на подтверждение согласия.

Сколько хранить резюме кандидатов на работу?

ФЗ-152 не устанавливает срок. Роскомнадзор рекомендует 3 года как разумный срок. По истечении согласие на хранение следует обновить или данные уничтожить.

Можно ли хранить данные уволенного сотрудника бессрочно?

Нет. Личные дела хранятся 50 лет (ст. 22.1 Закона об архивном деле). Иные кадровые документы — от 3 до 75 лет в зависимости от вида. После истечения срока документы уничтожаются по акту.

Нужно ли удалять данные после отзыва согласия?

Да, если отсутствуют иные законные основания для хранения. Например, бухгалтерские документы всё равно сохраняются в сроки, установленные законом.

Можно ли хранить резервные копии с персональными данными?

Да, но только в рамках установленного срока хранения и при наличии регламента удаления данных из backup-систем.

Понимаете ли вы реальные сроки хранения ПД в компании?

Проверим сайт и документы — за 2 рабочих дня

Проверить сроки хранения

Александр Петров

Юрист · Эксперт по ФЗ-152

Консультирует средний и крупный бизнес по вопросам соответствия требованиям закона о персональных данных. Более 8 лет практики.