Хранить нельзя удалять: где поставить запятую в сроках хранения персональных данных?

Содержание
Сколько можно хранить персональные данные?
Короткий ответ: ровно столько, сколько нужно для цели сбора, и ни днём больше. GDPR не устанавливает конкретных сроков, но требует, чтобы данные удалялись, как только цель достигнута. Это как взять книгу в библиотеке: вы держите её, пока читаете, а потом возвращаете. Забыли вернуть? Штраф.
Принцип минимизации: не копите лишнего
Статья 5(1)(e) GDPR гласит: данные должны храниться в форме, позволяющей идентифицировать субъектов, не дольше, чем это необходимо. На практике это значит, что если вы собрали email для рассылки, а человек отписался — удаляйте адрес. Не храните «на всякий случай» — это прямой путь к штрафу.
Исключения: когда хранить можно дольше
Есть легальные причины для продления сроков: выполнение юридических обязательств (например, налоговый учёт — 5-10 лет), судебные разбирательства или архивирование в общественных интересах. Но даже в этих случаях срок должен быть чётко определён в политике обработки данных.
Как определить свой срок хранения?
Проведите аудит: для каждой категории данных запишите цель сбора, срок достижения цели и дату удаления. Например, данные клиента для исполнения договора — хранить до окончания договора плюс срок исковой давности (обычно 3 года). После — удалить. Просто? На бумаге — да. На практике — как чистка зубов: все знают, что надо, но многие ленятся.
Подробнее о сроках хранения читайте в статье 5 GDPR.
FAQ
Какой максимальный срок хранения данных по GDPR?
GDPR не устанавливает единого срока. Он зависит от цели обработки. Например, для бухгалтерии — до 10 лет, для маркетинга — до отзыва согласия.
Можно ли хранить данные после отзыва согласия?
Нет, если нет другого законного основания (например, юридическое обязательство). После отзыва согласия данные должны быть удалены.
Что будет, если не удалить данные вовремя?
Штраф до 20 млн евро или 4% годового оборота. Кроме того, вы рискуете репутацией и доверием клиентов.
⏳ Жизненный цикл персональных данных
Определите цель и срок хранения заранее.
Обрабатывайте данные только для заявленной цели.
Соблюдайте установленный срок, обеспечьте безопасность.
По истечении срока или при отзыве согласия — безвозвратно удалите.

Редакционный комитет NakedPact
Статья подготовлена редакцией NakedPact. Наша миссия — анализировать, упрощать и выявлять несправедливые условия и скрытые риски в повседневных договорах для защиты граждан и потребителей.
Источники и правовые ссылки

Вы владелец веб-сайта?
Хотите сообщить пользователям о прозрачности обработки данных? Динамически используйте наш значок и продемонстрируйте соответствие вашей платформы требованиям.
Рекомендуемое чтение

Claro sotto accusa: la condivisione illegale di dati con Serasa può costare cara

AI Act: scadenza slittata, ma i questionari dei fornitori sono già qui. Preparati o resterai indietro
Google Analytics 4 è finalmente GDPR compliant? La verità che nessuno ti dice
🛡️ Защитите свои права одним кликом
Не рискуйте подписывать кабальные условия. Установите бесплатное расширение NakedPact для Chrome или Firefox и мгновенно анализируйте любой контракт в сети.
Не доверяйте, проверяйте.
Теперь, когда вы знаете о рисках, не подписывайте вслепую. Загрузите контракт в NakedPact, и ИИ найдет скрытые условия. Это 100% бесплатно.
Проанализировать контракт сейчас