Срок обработки ПДн в HR: как определять по цели, а не по привычке

📌 HR-данные нельзя хранить «пока не понадобятся» — срок обработки определяется целью, и это требование 152-ФЗ

По ст. 5 152-ФЗ обработка персональных данных должна быть ограничена достижением конкретной, заранее определённой цели. Как только цель достигнута — обработку нужно прекратить, а данные уничтожить. Срок на это — не более 30 дней (ч. 4 ст. 21 152-ФЗ).

На практике это значит: у каждого HR-процесса должна быть своя цель обработки, и именно она задаёт срок.

Проверьте себя по четырём вопросам:

1. Есть ли у каждого HR-процесса конкретная цель? Например: «подбор кандидата на вакантную должность». Если цель размытая — срок определить корректно не выйдет.

2. С какого момента начинается обработка? В подборе — с получения резюме: через сайт, hh.ru, почту или агентство.

3. Зафиксировано ли событие, после которого цель считается достигнутой? Для подбора — это решение о приёме или отказе в трудоустройстве.

4. Что происходит с данными после достижения цели? Здесь ошибаются чаще всего: данные продолжают лежать без правового основания.

💡 Если после отказа кандидату его резюме продолжает храниться «на всякий случай» — это уже нарушение. Либо переводите данные в другой процесс на самостоятельном основании, либо уничтожайте в течение 30 дней.

Отдельный случай — отзыв согласия: по ч. 5 ст. 21 152-ФЗ тот же срок — 30 дней с даты поступления отзыва.

#152ФЗ #HR #персональныеданные #compliance