Как правильно хранить персональные данные: главные правила

В 2026 году требования к хранению персональных данных (ПДн) ужесточаются, а штрафы за нарушения достигают сотни миллионов рублей. Однако неправильное обращение с ПДн может привести не только к финансовым потерям, но и к репутационным рискам. В этом материале — актуальные правила хранения данных, которые помогут вам избежать проблем с Роскомнадзором и сохранить доверие клиентов.

Общие требования

ФЗ от 27.07.2006 №152-ФЗ устанавливает ключевые требования к обработке, хранению и передаче персональных данных, которые обязан соблюдать каждый оператор:

1. Обработка персональных данных:
   • допускается только в законных целях,их оператор фиксирует в Политике работы с ПДн и уведомляет Роскомнадзор о начале работы с ПДн;
   • цели обработки определяются видом деятельности организации и тем, для чего нужны ПДн: например, подбор сотрудников, исполнение договоров с клиентами;
   • запрещено объединять базы данных, если ПДн обрабатываются в несовместимых целях: например, сведения о работниках и клиентах должны храниться раздельно.
2. Хранение и использование персональных данных:
   • срок хранения ПДн ограничен достижением целей обработки, если иное не предусмотрено законом или договором с субъектом данных;
   • при работе с архивными документами необходимо учитывать требования Приказа Росархива №236 от 20.12.2019;
   • для биометрических данных действуют усиленные требования безопасности (ч. 10 ст. 19 Закона №152-ФЗ, ФЗ от 29.12.2022 №572-ФЗ), включая защиту от несанкционированного доступа, копирования или уничтожения.
3. Обработка, хранение и передача ПДн:
   • в зависимости от способа обработки (автоматизированный, неавтоматизированный или смешанный) применяются разные требования к защите информации;
   • оператор обязан обеспечить безопасность ПДн на всех этапах работы — будь то бумажные носители, электронные устройства или облачные хранилища.

Пример правильного хранения ПДн:

Компания «Н» занимается онлайн-продажей товаров. При оформлении заказа клиенты оставляют свои персональные данные: ФИО, контактный телефон, электронную почту, адрес доставки и реквизиты платежных карт. Вся эта информация попадает под действие ФЗ №152-ФЗ, и компания обязана обеспечить ее безопасное хранение и обработку.

Для защиты ПДн компания шифрует информацию. Особенно это касается платежных реквизитов – они не хранятся в системе магазина, а обрабатываются через защищенные платежные шлюзы Tinkoff, Сбербанка или ЮKassa. Это исключает риск утечки.

Хранение клиентских данных также организовано в зашифрованной базе с ограниченным доступом. Только определенные сотрудники могут работать с этой информацией. При этом все случаи обращения с ПДн фиксируются в специальном журнале учета, что позволяет отслеживать любые подозрительные действия.

Хранение в информационных системах

Хранение и передача персональных данных в электронном виде регулируется положениями ст. 19 ФЗ №152-ФЗ и Постановлением Правительства РФ от 01.11.2012 №1119. Дополнительные требования к защите информации содержатся в Приказе ФСТЭК России от 18.02.2013 №21.

Информационные системы классифицируются по двум основным критериям:

1. По категориям обрабатываемых данных:
   • общедоступные (ФИО, контактные данные, образование);
   • специальные (раса, религия, состояние здоровья, политические взгляды);
   • биометрические;
   • иные персональные данные.
2. По уровню защищенности выделяют четыре категории систем, где требования к хранению и передаче данных ужесточаются от 4-го к 1-му уровню. Для систем 3-4 уровней допускается использование облачных хранилищ при соблюдении требований законодательства.

Оператор обязан:

• проводить оценку угроз безопасности при хранении и передаче данных;
• разрабатывать защищенную ИТ-инфраструктуру;
• получать согласие субъектов на обработку (за исключением случаев, предусмотренных законом);
• реализовывать комплекс организационных и технических мер защиты.

Особое внимание нужно уделить защите специальных и биометрических данных, к которым применяются максимальные требования безопасности.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Мессенджер:

Telegram WA Max Viber SMS

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Хранение при неавтоматизированной обработке

Согласно п. 1 Постановления Правительства РФ от 15.08.2008 №687, обработка персональных данных признается неавтоматизированной, когда все операции с информацией выполняются самим человеком.

При этом не имеет значения, были ли данные первоначально получены из информационной системы или хранились вне ее. Ключевой критерий — именно человеческий фактор. Все действия с персональными данными должны совершаться вручную, без автоматизированных процессов.

Чаще всего под неавтоматизированной обработкой подразумевается работа с ПДн на бумаге. Что важно знать:

1. Основные цели хранения персональных данных на бумажных носителях включают:
   • ведение кадрового делопроизводства (личные дела, трудовые книжки);
   • оформление трудовых отношений (договоры, соглашения);
   • финансовые операции (ведомости на выплату зарплаты, командировочные).
2. Правила хранения персональных данных на бумажных носителях:
   • ограничение доступа к ПДн;
   • использование сейфов или металлических несгораемых шкафов;
   • оборудование специальных помещений (например, кассовых комнат со стальными дверями).
3. Организации системного подхода:
   • раздельное хранение документов с разными целями обработки;
   • изоляция ПДн с разными сроками хранения;
   • исключение из личных дел избыточных копий документов (паспорта, СНИЛС, ИНН, свидетельств о браке/рождении).

Важно отметить, что вы можете хранить копии документов только с согласия работника, где четко указан объем хранимых данных, способы их обработки и конкретные цели использования.

Ответственность за нарушение правил хранения

При обработке ПДн оператор обязан обеспечить защиту от несанкционированного доступа. Нарушение этих требований, повлекшее утечку, уничтожение, изменение или незаконное распространение данных влечет административную ответственность по ч.6 ст. 13.11 КоАП РФ:

• для граждан — штраф от 1 500 до 4 000 рублей;
• для должностных лиц — от 8 000 до 20 000 рублей;
• для ИП — от 20 000 до 40 000 рублей;
• для организаций — от 50 000 до 100 000 рублей.

Например, если бухгалтер оставил на столе платежные ведомости с персональными данными сотрудников, а посторонний человек сделал копии, организация может быть оштрафована на сумму до 100 000 рублей, а конкретный сотрудник — на 15 000 рублей.

Если данные хранились неправильно и в результате произошла утечка из информационных систем, штрафы могут достигать 20 млн рублей, за биометрию — до 500 млн рублей.

Заключение

Хранение и обработка персональных данных требуют строгого соблюдения законодательства — от правильного оформления согласий до технической защиты информации. Чтобы минимизировать риски, регулярно проводите правовой аудит документов и проверяйте ИТ-инфраструктуру на соответствие требованиям ФЗ №152-ФЗ. Только системный подход к защите данных убережет ваш бизнес от штрафов и утечек.