инструкция 13 декабря 2027 По состоянию на 13 декабря 2027

Бухгалтерские документы и 152-ФЗ: 5 лет минимум

Q: Сколько хранить согласия после увольнения?

Срок хранения согласия должен соответствовать сроку хранения тех ПДн, которые оно легитимирует. Для данных личного дела — 75 лет. Для данных, обрабатывавшихся только в период трудовых отношений, — не менее 3 лет после прекращения договора. Само согласие после уничтожения ПДн хранить не требуется, но на практике его уничтожают вместе с документами, которые оно сопровождало.

Бухгалтерские документы содержат персональные данные работников и контрагентов. Минимальный срок хранения первичной документации по ст. 29 402-ФЗ — 5 лет, при этом 152-ФЗ требует соответствующих согласий, режима хранения и уничтожения после окончания этого срока.

С 01.09.2025 согласие работника на обработку ПДн обязано быть отдельным документом (ФЗ-156). Если бухгалтерские согласия до сих пор встроены в трудовой договор или учётную политику — каждый такой документ формирует основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

Если вы HRD или главный бухгалтер и не проверяли бухгалтерскую ОРД на соответствие 152-ФЗ после сентября 2025 — инструкция ниже покажет, что менять.

Бухгалтерия ежедневно обрабатывает ПДн: расчётные листки, справки 2-НДФЛ, сведения о банковских реквизитах, больничные листы с диагнозами. Часть этих данных — специальные категории по ст. 10 152-ФЗ. Роскомнадзор при плановой проверке смотрит на бухгалтерию как на отдельный контур обработки. В 2025 году ведомство зафиксировало 118 случаев компрометации баз, значительная часть — через внутренние учётные системы. Инструкция состоит из пяти шагов и рассчитана на HR-директора или юриста, который отвечает за 152-ФЗ вместе с финансовым блоком.

Шаг 1. Проведите инвентаризацию бухгалтерских ПДн и правовых оснований

Начните с перечня документов, которые ведёт бухгалтерия, и укажите напротив каждого категорию ПДн и правовое основание обработки из ст. 6 152-ФЗ. Расчётные ведомости, трудовые договоры с условиями об оплате, сведения о банковских счетах — обрабатываются на основании п. 5 ст. 6 (исполнение договора) или п. 2 ст. 6 (исполнение обязанностей, возложенных законодательством). Основание «согласие» в бухгалтерии нужно значительно реже, чем принято думать.

«Ст. 6 ФЗ-152, п. 2 — обработка без согласия допускается для исполнения обязанностей, возложенных на оператора законодательством РФ. НК РФ, 402-ФЗ, ТК РФ образуют самостоятельные основания: согласие работника в этих случаях не требуется.»

Отдельно выделите данные, которые относятся к специальным категориям по ст. 10 152-ФЗ: сведения о состоянии здоровья в больничных листах, листах нетрудоспособности, справках об инвалидности. Их обработка допустима только при наличии прямого законодательного основания (п. 2.3 ст. 10 152-ФЗ) — в данном случае обязанности работодателя по ФСС и налоговому учёту. Согласие на обработку медицинских данных для начисления пособий, как правило, не требуется, однако оператор обязан зафиксировать это в политике обработки ПДн.

Результат шага — матрица: документ, категория ПДн (общие / специальные / биометрические), правовое основание, срок хранения по нормативному акту. Это фундамент для последующих шагов.

Шаг 2. Проверьте согласия работников после 01.09.2025 — требования ФЗ-156

С 01.09.2025 ч. 1 ст. 9 152-ФЗ в редакции ФЗ-156 от 24.06.2025 требует, чтобы согласие на обработку ПДн существовало как отдельный документ. Объединение согласия с трудовым договором, анкетой при трудоустройстве, учётной политикой или любым другим документом недопустимо.

«Ст. 9 ФЗ-152 (ред. ФЗ-156 от 24.06.2025) — согласие субъекта ПДн оформляется отдельным документом. Реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок действия, способ отзыва. Ранее полученные согласия обратной силы не имеют — переоформлять весь массив не обязательно, но новые — только по новой форме.»

Для бухгалтерии это означает следующее. Если компания запрашивает у работников данные, не охваченные прямым законодательным основанием — например, дополнительный номер телефона для уведомлений о выплатах, данные о банковской карте стороннего банка (не через зарплатный проект), сведения о родственниках для программы ДМС — на каждый такой случай требуется отдельное согласие по форме ст. 9 ФЗ-152. Проверьте, были ли такие согласия переоформлены после 01.09.2025 для новых работников.

Согласия, полученные до 01.09.2025, юридически не аннулируются, но если работник их отзовёт или поставит под сомнение формат — у оператора не будет защитной позиции. Рекомендуется планово переоформить при ближайшем кадровом взаимодействии с работником.

Согласия работников ещё в трудовом договоре?

Если HRD не переоформил бухгалтерские согласия после 01.09.2025 — каждый старый документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок не восстанавливается: 01.09.2025 уже прошло. Юристы DATUM проведут аудит бухгалтерской ОРД и HR-документации по чек-листу из 38 пунктов, укажут, что переоформить в первую очередь.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Установите режим хранения бухгалтерских ПДн — что такое «5 лет минимум»

Ст. 29 Федерального закона 402-ФЗ «О бухгалтерском учёте» устанавливает минимальный срок хранения первичных учётных документов — 5 лет после отчётного года. Ст. 23 НК РФ по ряду документов увеличивает этот срок до 5 лет с момента окончания налогового периода; для документов, подтверждающих убытки, — до 10 лет. Для личного дела работника типовой срок хранения — 75 лет.

«Ст. 5 ФЗ-152 — принцип ограничения хранения: ПДн хранятся не дольше, чем требуют цели обработки. По достижении цели или истечении срока хранения ПДн подлежат уничтожению или обезличиванию. Срок по 402-ФЗ (5 лет) образует минимум; уничтожение ПДн из документа ранее этого срока нарушает 402-ФЗ. Уничтожение после истечения — обязанность по 152-ФЗ.»

Практическое следствие: у оператора не может быть единого срока хранения «для всей бухгалтерии». Нужна матрица сроков по типам документов: расчётные ведомости — 75 лет, кассовые ордера — 5 лет, табели учёта рабочего времени — 75 лет (при вредных условиях), справки 2-НДФЛ — 5 лет. После истечения срока — обязательная процедура уничтожения с составлением акта. Отсутствие акта уничтожения при проверке РКН трактуется как продолжение обработки сверх цели (нарушение ст. 5 152-ФЗ).

Если бухгалтерия использует КЭДО, оператором обработки ПДн в системе является работодатель по ст. 3 152-ФЗ. Передача данных оператору КЭДО-платформы — обработка по поручению (п. 3 ст. 6 152-ФЗ): необходим договор-поручение с перечнем действий, запретом передачи третьим лицам и обязательством уничтожения по окончании договора.

Шаг 4. Обеспечьте технические и организационные меры защиты бухгалтерских ИСПДн

Бухгалтерские системы (1С, SAP, внутренние ERP) — информационные системы персональных данных (ИСПДн). Уровень защищённости определяется по ПП РФ №1119 в зависимости от категорий ПДн и числа субъектов. Для большинства компаний среднего бизнеса бухгалтерская ИСПДн с данными работников (общие ПДн, более 1 000 субъектов, угрозы 3-го типа) требует УЗ-3. Если в системе хранятся данные о состоянии здоровья (больничные, инвалидность) — возможно УЗ-2.

«Приказ ФСТЭК №21 от 18.02.2013 — для УЗ-3 обязателен базовый набор мер: идентификация и аутентификация (ИАФ.1–4), управление доступом (УПД.1–5), регистрация событий (РСБ.1–3), антивирусная защита (АВЗ.1–2), обеспечение целостности (ОЦЛ.1). Отсутствие хотя бы одной базовой меры — нарушение ст. 19 ФЗ-152.»

Организационные меры для бухгалтерии: назначить приказом лиц, допущенных к бухгалтерским ПДн, с перечнем конкретных документов; ввести порядок предоставления данных третьим лицам (аудиторы, банки, ФНС) — для каждого случая определить правовое основание; ввести журнал обращений субъектов. Ст. 86 и 87 ТК РФ устанавливают прямые ограничения: работодатель не вправе получать и обрабатывать ПДн о частной жизни работника без его письменного согласия. Требования ст. 22.2 ТК РФ о КЭДО пересекаются с обязанностями оператора по 152-ФЗ в части формата хранения электронных документов.

Биометрия СКУД — отдельный контур. Если на входе в офис стоит система распознавания лиц или дактилоскопия, это биометрические ПДн по ст. 11 152-ФЗ. Обработка допустима только с отдельного письменного согласия работника. Отказ работника от биометрии не является основанием для отказа в приёме на работу. Штраф за нарушение требований ст. 11 152-ФЗ — по ч. 16 ст. 13.11 КоАП (диапазон для юрлиц — верифицировать непосредственно перед публикацией), за утечку биометрии — по ч. 17, 15–20 млн ₽.

Если бухгалтерская ИСПДн работает без определённого уровня защищённости и без договора-поручения с вендором — это два самостоятельных нарушения ст. 19 и ст. 6 152-ФЗ. Аутсорсинг DPO в DATUM покрывает сопровождение технических мер, ответы на запросы субъектов и взаимодействие с РКН от 30 000 ₽ в месяц.

Подключить DPO-аутсорс

Шаг 5. Пропишите процедуру уничтожения и реагирования на запросы субъектов

По ст. 21 152-ФЗ при достижении цели обработки оператор обязан уничтожить ПДн в течение 30 дней. Для бухгалтерских документов это означает: после истечения срока хранения по 402-ФЗ или НК РФ — составить акт о выделении к уничтожению, провести фактическое уничтожение (шредер для бумаги, гарантированное стирание для цифровых носителей) и зафиксировать дату и состав уничтоженных документов в акте. Акт хранится отдельно.

«Ст. 21 ФЗ-152 ч. 3.1 — при выявлении утечки бухгалтерских ПДн (например, кража базы 1С) оператор обязан уведомить РКН в течение 24 часов с момента обнаружения инцидента. Через 72 часа — отчёт о результатах внутреннего расследования (Приказ РКН №187 от 14.11.2022). Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.»

Работник вправе запросить у работодателя информацию об обработке его ПДн (ст. 14 152-ФЗ) или потребовать уничтожения после увольнения. По ст. 20 152-ФЗ срок ответа — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. На запрос об уничтожении — 7 рабочих дней. Если документ обязателен по 402-ФЗ или НК РФ, уничтожение невозможно до истечения нормативного срока хранения: работнику объясняют основание. Это не нарушение 152-ФЗ — приоритет специального закона.

Порядок уничтожения и порядок ответов на запросы субъектов фиксируются в локальном нормативном акте — регламенте обработки ПДн или отдельном приказе. Отсутствие этих документов при проверке РКН — нарушение ст. 18.1 152-ФЗ.

Типовые ситуации: когда нарушение уже есть

Ситуация 1. Согласие в трудовом договоре (новые работники после 01.09.2025). Работодатель трудоустроил 12 человек после 01.09.2025, согласие на обработку ПДн включено в текст трудового договора. По ФЗ-156 это нарушение ст. 9 ч. 1 152-ФЗ. При проверке РКН каждый такой договор может стать отдельным эпизодом по ч. 2 ст. 13.11 КоАП — штраф 300 000–700 000 ₽ за состав. Стратегия: немедленно подписать отдельные согласия с каждым из 12 работников по форме ст. 9 152-ФЗ; внести изменения в типовой трудовой договор.

Ситуация 2. КЭДО без договора-поручения. Компания подключила КЭДО-платформу стороннего вендора для обмена расчётными листками и справками. Договор с вендором не содержит условий о поручении обработки ПДн по п. 3 ст. 6 152-ФЗ. Вендор фактически обрабатывает ПДн работников без надлежащего основания. Нарушение ч. 1 ст. 13.11 КоАП — 150 000–300 000 ₽. Стратегия: заключить дополнительное соглашение с вендором с обязательными условиями из п. 3 ст. 6 (перечень действий, запрет передачи, уничтожение по окончании).

Ситуация 3. Истёк срок хранения, уничтожения нет. Архив бухгалтерии хранит первичные документы 2015 года — 10 лет. Нормативный срок по 402-ФЗ истёк. Акта о выделении к уничтожению нет. Обработка продолжается сверх цели — нарушение ст. 5 152-ФЗ (принцип ограничения хранения). При инциденте с этими данными ответственность по ч. 12–14 ст. 13.11 КоАП — от 3 млн ₽. Стратегия: провести плановую экспертизу ценности документов, составить акт о выделении к уничтожению, уничтожить и задокументировать.

Что подготовить для соответствия 152-ФЗ в бухгалтерии

Матрица документов с категориями ПДн, правовыми основаниями и нормативными сроками хранения по 402-ФЗ и НК РФ
Отдельные согласия работников по форме ст. 9 ФЗ-152 (ред. ФЗ-156) для данных, не покрытых законодательным основанием
Договор-поручение с вендором КЭДО и провайдером 1С/ERP с условиями по п. 3 ст. 6 152-ФЗ
Акты об уничтожении документов с истёкшими сроками хранения (не реже одного раза в год)
Регламент ответов на запросы субъектов ПДн и уведомления об инцидентах за 24/72 часа

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка бухгалтерской ОРД, матрица ПДн, отчёт с приоритетами
Комплект ОРД под ключ — согласия, приказы, регламенты, договоры-поручения
DPO-аутсорсинг — ответственный по ст. 22.1 на абонементе, ответы на запросы субъектов

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, не теряют юридическую силу автоматически — обратной силы у ФЗ-156 нет. Однако новые согласия (для работников, принятых после 01.09.2025, или при изменении целей обработки) должны быть оформлены как отдельный документ по ст. 9 ФЗ-152 в новой редакции. Рекомендуется планово переоформить старые согласия при ближайшем взаимодействии с работником — для исключения риска при проверке РКН по ч. 2 ст. 13.11 КоАП.

2. Какие данные нельзя спрашивать в анкете при трудоустройстве?

Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать ПДн о политических, религиозных и иных убеждениях, членстве в общественных объединениях, включая профсоюзы. Данные о состоянии здоровья допускаются только для определения пригодности к работе и в объёме, установленном законодательством о труде и здравоохранении (ст. 86 ч. 4 ТК РФ). Включение в анкету вопросов о семейном положении, вероисповедании или наличии хронических заболеваний без законодательного основания — нарушение ст. 10 и ст. 86 ТК РФ.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих зонах допустимо при соблюдении ряда условий: работники уведомлены об обработке ПДн (в т. ч. биометрических, если лица идентифицируются) в письменной форме; наблюдение введено локальным нормативным актом; цели (охрана труда, безопасность, контроль рабочего времени) прямо указаны. Если система распознаёт лица и идентифицирует конкретных лиц — это биометрические ПДн по ст. 11 152-ФЗ, требующие письменного согласия каждого работника. Запись без уведомления — нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

4. Сколько хранить согласия после увольнения?

Срок хранения согласия как документа должен соответствовать сроку хранения тех ПДн, которые оно легитимирует. Для данных личного дела — 75 лет. Для данных, обрабатывавшихся только в период трудовых отношений, — не менее 3 лет после прекращения договора (для возможного судебного спора), но оператор вправе установить более длительный срок, если он обоснован целью. Само согласие после уничтожения ПДн хранить не требуется, но на практике его уничтожают вместе с документами, которые оно сопровождало.

5. Кто оператор при использовании КЭДО?

Оператором ПДн при использовании КЭДО является работодатель — он определяет цели и состав обрабатываемых данных (ст. 3 152-ФЗ). Провайдер КЭДО-платформы — лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 152-ФЗ). Это означает: ответственность перед РКН и субъектами несёт работодатель. Провайдер платформы обязан обрабатывать ПДн только в соответствии с условиями договора-поручения, не передавать данные третьим лицам и уничтожить их по окончании договора.

6. Что делать, если аудитор запрашивает бухгалтерские ПДн работников?

Передача ПДн работников внешнему аудитору возможна на основании п. 2 ст. 6 152-ФЗ (исполнение обязанности, возложенной законом) или п. 3 ст. 6 (поручение обработки). Если аудит добровольный — потребуется поручение с перечнем передаваемых данных. Если аудит обязателен по закону (например, по 307-ФЗ) — согласие субъектов не нужно, но объём передаваемых данных должен быть минимально необходимым для цели (принцип соответствия объёма целям, ст. 5 152-ФЗ). Зафиксируйте передачу в журнале.

Итог

Бухгалтерские ПДн — один из наиболее уязвимых контуров с точки зрения 152-ФЗ: здесь пересекаются общие данные работников, специальные категории из больничных листов и потенциально биометрия СКУД. Пять шагов инструкции — инвентаризация оснований, проверка согласий после ФЗ-156, режим хранения, технические меры и процедура уничтожения — закрывают большинство типовых нарушений, которые РКН фиксирует при проверках.

Практика DATUM по защите персональных данных в HR и бухгалтерии накоплена с 2014 года в рамках сети «Ветров и партнёры». Юристы сопроводили аудиты в нескольких десятках компаний среднего и крупного бизнеса, включая организации с КЭДО и распределёнными бухгалтерскими ИСПДн.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 152-ФЗ (ред. ФЗ-156), КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.

13 декабря 2027 года