Хранение персональных данных требует строгого соблюдения закона. Ошибки в оформлении документов или условиях хранения могут привести к штрафам. Рассказываем, как организовать хранение по закону, какие документы оформить и что требует Роскомнадзор в 2025 году.
Что нужно запомнить
- Персональные данные хранят не дольше срока обработки. После завершения цели документы подлежат уничтожению по правилам.
- Для законной работы утверждают регламент хранения персональных данных, назначают ответственного сотрудника, а при трудоустройстве новых работников оформляют согласие.
- Бумажные документы хранят в защищённом помещении или передают в архив, электронные — на серверах в России.
- Хранение сканов требует основания и ограниченного доступа. Используйте шифрование, учёт и письменные согласия.
- Истёкшие документы уничтожают по акту. Операция подтверждается комиссией и фиксируется в журнале минимум на 3 года.
- Организация обязана вести журналы учёта, назначать ответственных и проводить инструктажи для сотрудников.
- За нарушения предусмотрены штрафы до 20 млн руб. Чтобы их избежать, проводите регулярный аудит и ведите документацию.
Персональные данные — это не просто анкеты, копии паспортов и трудовые договоры. Это информация, за утечку или неправильное хранение которой организации могут получить штраф до 20 млн руб. В 2025 г. требования ужесточили: теперь хранить данные нужно на российских серверах, а не в зарубежных облаках.
Компании, которые не выстроили систему хранения персональных данных, рискуют не только деньгами, но и репутацией. Роскомнадзор всё чаще проверяет бизнес — и интересуется не только согласиями на обработку, но и тем, где и как физически или электронно хранятся документы, кто имеет к ним доступ и что происходит после окончания срока хранения.
Закон о персональных данных: основы хранения
Данные нужно хранить не дольше, чем это необходимо для целей обработки. После выполнения задачи ПД уничтожают — п. 2 ст. 5 Федерального закона № 152‑ФЗ от 27.07.2006.
Чтобы законно обрабатывать информацию, оформляйте комплект документов:
- Согласие на обработку — оформляется письменно. Содержит цель, перечень обрабатываемых данных и срок хранения. Согласие должно быть добровольным и понятным.
- Приказ о назначении ответственного — назначьте сотрудника, который будет следить за соблюдением правил хранения. Обычно это специалист по кадрам или юрист.
- Внутренний регламент — описывает, как организация собирает, хранит, передаёт и уничтожает персональные данные.
Эти документы не формальность. Без них обработку ПД считают незаконной.
С 01.07.2025 все действия с персональными данными граждан РФ — сбор, хранение, систематизация, извлечение — должны происходить на серверах, расположенных в России.
Использовать зарубежные облачные сервисы для хранения кадровых сведений нельзя. Если уже используете сервисы, перенесите данные на российские серверы или получите разрешение от Роскомнадзора.
Какие документы включать
При оформлении личного дела включайте только необходимые документы:
- Личный листок по учёту кадров или резюме — содержит информацию о квалификации, образовании и опыте.
- Трудовой договор с приложениями — фиксирует начало трудовых отношений.
- Приказы: о приёме, переводе, увольнении, назначении материальной ответственности — подтверждают кадровые решения.
- Документы об обучении, аттестации, поощрениях, взысканиях — показывают профессиональный путь сотрудника.
Эти бумаги относятся к трудовой деятельности. Их включают в состав личного дела и хранят по правилам делопроизводства.
Исключите документы с коротким сроком хранения и не относящиеся к трудовой деятельности:
- Справки и заявления с кратким сроком хранения — отпускные заявки, справки о составе семьи, медсправки. Такие документы хранят до 5 лет, затем они подлежат уничтожению.
- Копии личных документов (паспорта, ИНН, СНИЛС, военного билета, свидетельства о браке или рождении детей) — изучите сведения и верните сотруднику. Исключение — документы, требующие особого контроля (например, медицинские книжки или дипломы), хранят только при наличии письменного согласия. Согласие прикладывают к личному делу.
Оригиналы и копии документов по трудовой деятельности хранят 75 лет в архиве после увольнения.
Условия физического хранения
Личные дела содержат конфиденциальные и юридически значимые данные. Поэтому храните их в условиях, которые защищают от кражи, утери и повреждения.
Закон не требует использовать сейфы напрямую, но на практике рекомендуют хранить документы в несгораемых металлических шкафах или сейфах. Это снижает риски при пожаре или несанкционированном доступе.
Шкафы размещают в отдельном помещении с контролируемым микроклиматом. Температура и влажность должны быть стабильными, а вентиляция — не менее 2-3 смен воздуха в час.
Ограничьте доступ к хранилищу. Ключи храните у сотрудников кадровой службы. Для контроля можно:
- установить замки с регистрацией доступа;
- вести журнал выдачи ключей;
- ограничить вход в помещение — одна дверь, металлическое полотно, двойной замок, отсутствие окон.
Такие меры позволяют быстро установить, кто и когда получал доступ к архиву.
Если нет подходящего помещения, оборудования или режима охраны, передайте хранение документов специализированной архивной компании.
В договоре с архивной организацией зафиксируйте:
- режим конфиденциальности и доступа;
- меры пожарной и охранной безопасности;
- порядок передачи и учёта документов — например, по штрихкодам или RFID-меткам;
- возможность оперативно получать сканы и оригиналы по запросу.
Сторонняя организация должна соблюдать требования Федерального закона № 125-ФЗ от 22.10.2004. В том числе — температурно-влажностный режим, системы пожаротушения, видеонаблюдение и охрану объекта.
Цифровые копии и электронное хранение
С 2020 г. появились электронные трудовые книжки. А с 2023 г. сведения о трудовой деятельности передают в Социальный фонд России (СФР) в электронном виде. Это освобождает работодателей от создания и хранения бумажных архивов.
Сотрудник сам решает, использовать ли электронную версию или сохранить бумажную книжку. Если он выбрал электронный формат, новые записи вносятся в цифровом виде. Работодателю в этом случае не нужно вести бумажную книжку и хранить её в архиве — Федеральный закон № 439‑ФЗ от 16.12.2019.
Сканированные копии паспорта, дипломов или трудовой книжки используйте для оформления или отчётности. Хранить такие копии «на всякий случай» рискованно. Они содержат персональные данные и подпадают под действие Закона № 152‑ФЗ. Это означает, что их хранение требует юридического основания, ограниченного доступа и своевременного удаления.
Если всё же храните сканы паспортов или других документов:
- Обеспечьте целостность — используйте электронную подпись или неизменяемый архивный формат.
- Ограничьте доступ — только авторизованные сотрудники, с логином и паролем.
- Ведите учёт доступа — журнал с отметками, кто, когда и зачем открывал файл.
Закрепите меры во внутренних регламентах. Храните копии только по письменному согласию сотрудника.
Правила уничтожения документов
Когда срок хранения документа истекает, создайте комиссию. Включите в неё кадровика, бухгалтера, юриста или руководителя. Проведите экспертизу ценности и решите, какие документы можно уничтожить.
Составьте акт о выделении документов к уничтожению. Укажите в нём название документа, дату, основание (срок хранения по перечню). Бланк подписывают все участники комиссии — он подтверждает законность действий и защищает при проверках.
После утверждения акта документы уничтожают безопасным способом:
- промышленное шредирование;
- сжигание с соблюдением противопожарных требований;
- химическое разложение — для чувствительных документов.
После завершения оформите акт об уничтожении. В документе укажите дату, способ, количество и вес уничтоженных бумаг. Бланк также подписывают все члены комиссии. Акт храните не менее трёх лет — приказ Росархива № 236 от 20.12.2019.
Электронные документы также подлежат уничтожению. Это распространяется на устаревшие файлы, резервные копии и физические носители. После уничтожения оформляют акт, в котором фиксируют перечень файлов, носитель и результат операции.
Желательно вести реестр удалённых файлов: название, дата, ответственный сотрудник.
Если передавали документы во внеофисный архив, их тоже нужно уничтожить по окончании срока хранения. Включите этот факт в общий акт или оформите отдельный документ — например, утилизационный акт от архива.
Внутренний учёт и регламенты
Организация хранения личных документов — это не просто шкафы и файлы. Нужна чёткая политика, распределение ответственности и постоянный контроль.
Обязательные локальные документы:
- Приказ о назначении ответственного — руководитель официально делегирует кадровику или другому сотруднику обязанность отвечать за хранение персональных данных.
- Регламент хранения — отдельный документ, где укажут: список документов, формат хранения, место, сроки и правила доступа.
- Положение о месте хранения — описание физического и электронного пространства: сейф, шкаф, сервер, флешки — всё, где лежат документы.
Журналы доступа и учёт носителей:
- Журнал учёта носителей — фиксируйте, какие флешки, диски или файлы используются, кто ими владеет и где они хранятся.
- Журнал доступа — запись, кто открыл шкаф или систему с документами, когда и с какой целью.
- Инструктаж сотрудников — персоналу, работающему с персональными данными, проводят обучение и оформляют подпись в журнале.
Инструкции для безопасности и порядка:
- Резервное копирование — ведите инструкцию по резервированию: какая частота, кто отвечает, где хранятся копии. Это поможет восстановиться после сбоя.
- Шифрование и допустимые форматы — опишите, какие типы файлов допустимы (PDF, TIFF), и требуйте шифрования носителей и баз.
- Контроль носителей — инструкция по работе с флешками и дисками: учёт, маркировка, запрет использования личных устройств.
Проверки и ответственность
Роскомнадзор контролирует, как вы работаете с персональными данными:
- Есть ли подписанные согласия сотрудников на обработку данных.
- Сформирован ли приказ о хранении, регламенты и указано место хранения.
- Организовано ли уничтожение документов и журналы контроля.
За нарушения штрафуют по ст. 13.11 КоАП РФ:
| Нарушение | Для организации | Для ИП | Для должностного лица |
|---|---|---|---|
| Нарушение правил обработки персональных данных | |||
| В непредусмотренных законом случаях/ в целях, несовместимых с целями сбора | 300 000 | 100 000 | 100 000 |
| Повторное нарушение | 500 000 | 200 000 | 200 000 |
| Обработка ПД без согласия или с неполным согласием | 700 000 | 300 000 | 300 000 |
| Повторное нарушение | 1 500 000 | 1 000 000 | 500 000 |
| Без использования российских баз данных | 6 000 000 | 6 000 000 | 200 000 |
| Повторное нарушение | 18 000 000 | 18 000 000 | 800 000 |
| Неисполнение обязанностей оператора при взаимодействии с гражданами | |||
| Непредставление гражданину запрошенной информации | 80 000 | 30 000 | 12 000 |
| Невыполнение требований об уточнении, блокировании или уничтожении ПД, если они неполные, неточные, устаревшие, были незаконно получены или не являются необходимыми для целей обработки | 90 000 | 40 000 | 20 000 |
| Повторное нарушение | 500 000 | 100 000 | 50 000 | Невыполнение требований по защите персональных данных |
| Отсутствие политики в отношении обработки ПД, необеспечение ограниченного доступа к ПД | 60 000 | 20 000 | 12 000 |
| Необеспечение сохранности ПД при неавтоматизированной обработке, если это повлекло случайный доступ к ним | 100 000 | 40 000 | 20 000 |
| Утечка (неправомерная передача, доступ, распространение ПД) | 15 000 000 | 600 000 | 600 000 |
| Повторное нарушение | 3% выручки, но не менее 20 млн. руб. и не более 500 млн. руб. | 3% выручки, но не менее 20 млн. руб. и не более 500 млн. руб. | 1 200 000 |
| Утечка специальных категорий данных | 15 000 000 | 1 300 000 | 1 300 000 |
| Повторное нарушение | 3% выручки, но не менее 25 млн. руб. и не более 500 млн. руб. | 3% выручки, но не менее 25 млн. руб. и не более 500 млн. руб. | 2 000 000 |
| Утечка биометрических данных | 20 000 000 | 20 000 000 | 1 500 000 |
| Повторное нарушение | 3% выручки, но не менее 25 млн. руб. и не более 500 млн. руб. | 3% выручки, но не менее 25 млн. руб. и не более 500 млн. руб. | 2 000 000 |
Чтобы не нарушить требования Закона № 152‑ФЗ и не получить штраф, проводите регулярные проверки системы хранения персональных данных.
Раз в полгода проверяйте, есть ли все необходимые документы: регламенты, журналы, согласия сотрудников на обработку данных.
Периодически проверяйте выборочно: личные дела, журналы доступа, электронные логи. Это помогает вовремя заметить нарушения.
Обучайте сотрудников, которые работают с персональными данными. Ведите журнал инструктажей и контролируйте его заполнение.
