Откройте любые 10 политик конфиденциальности с типовых лендингов — в 7 из них вы увидите фразу «срок хранения персональных данных не ограничен» или «обрабатывается до отзыва согласия». Это прямое нарушение 152-ФЗ ст.5 ч.7: срок должен быть конкретным и не дольше, чем необходимо для достижения целей обработки.

Что говорит закон

Статья 5 часть 7: «Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных».

Иными словами: для каждой цели обработки — свой срок, обоснованный либо законом, либо договором с клиентом. Не «бессрочно».

Что писать вместо «неограниченно»

Для исполнения договора

  • Срок действия договора + 3 года (общий срок исковой давности по ГК ст.196)
  • Для бухгалтерских документов — 5 лет (Налоговый кодекс ст.23)
  • Для документов воинского учёта — 50 лет

Для рассылки

  • До отзыва согласия субъектом + 90 дней на удаление
  • Это допустимо: цель обработки заведомо не имеет фиксированного срока

Для регистрации на сайте (личный кабинет)

  • Срок активности учётной записи + 12 месяцев после последнего входа

Для cookies

  • Сессионные — до закрытия браузера
  • Постоянные — указать конкретные сроки (90 дней, 365 дней) для каждой категории

Для бухгалтерии и налоговых документов

  • 5 лет с момента окончания налогового периода (НК ст.23 ч.8)
  • 4 года для документов по НДС (НК ст.169)

Шаблон раздела «Срок хранения» в политике

5. Срок обработки и хранения персональных данных

5.1. Сроки обработки и хранения зависят от целей обработки:
- ПД, обрабатываемые для исполнения договора оказания услуг,
  хранятся в течение срока действия договора и 3 лет с момента
  его прекращения (срок исковой давности по ст.196 ГК РФ).
- ПД, обрабатываемые для направления маркетинговых рассылок,
  хранятся до отзыва согласия субъектом и в течение 90 дней
  после отзыва для исполнения требований об удалении.
- ПД сотрудников, обрабатываемые в рамках трудовых отношений,
  хранятся 50 лет с момента увольнения (Постановление Правительства РФ).
- Cookies — согласно политике cookies (отдельный документ).

5.2. По истечении срока хранения ПД уничтожаются способом,
исключающим возможность их восстановления, в течение 30 дней.

Что делать прямо сейчас

  1. Открыть свою политику конфиденциальности
  2. Найти раздел «Срок хранения» (обычно п.5 или п.6)
  3. Если есть «неограничен», «бессрочно», «до отзыва» — переписать по шаблону выше
  4. Указать дату обновления политики (РКН смотрит, что документ актуальный)