инструкция 21 января 2028 По состоянию на 21 января 2028

DATUM-аудит процессов увольнения

Увольнение — точка, в которой нарушения ФЗ-152 в HR-процессах становятся видимыми: субъект вправе требовать уничтожения своих данных, а оператор обязан соблюсти сроки и основания хранения.

С 01.09.2025 согласие работника — отдельный документ (ФЗ-156 от 24.06.2025). Если при увольнении сотрудника окажется, что согласие встроено в трудовой договор, — это основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

→ Если вы HRD и проводите увольнения без актуального пакета документов — проверьте каждый шаг по этой инструкции.

Процесс увольнения затрагивает персональные данные работника на каждом этапе: от уведомления до передачи трудовой книжки и закрытия доступа в системах. Ст. 86–88 ТК РФ устанавливают правила обработки ПДн работников, ФЗ-152 — требования к согласию и срокам хранения, а КЭДО добавляет отдельный слой рисков. Эта инструкция описывает шесть шагов DATUM-аудита, которые позволяют закрыть уязвимости до проверки Роскомнадзора.

Шаг 1. Проверьте правовое основание обработки ПДн при увольнении

Обработка персональных данных работника в связи с расторжением трудового договора должна опираться на конкретное правовое основание. По ст. 6 ФЗ-152 обработка допустима без согласия, если она необходима для исполнения договора или выполнения обязанностей, возложенных законом. Ст. 86 ТК РФ прямо запрещает обработку ПДн работника в целях, не связанных с трудовой деятельностью.

При увольнении важно разграничить: данные, которые обрабатываются в силу закона (расчётные документы, трудовая книжка, СЗВ-ТД), и данные, на обработку которых требуется отдельное согласие. Второй случай — передача ПДн в кадровые агентства, публикация рекомендательных писем, передача в зарплатный проект после расторжения договора.

«Ст. 86 ТК РФ — обработка персональных данных работника допускается исключительно в целях обеспечения соблюдения законов и иных нормативных актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.»

Типичная ошибка: HR-специалист продолжает обрабатывать контактные данные уволенного для внутренних рассылок. Правовое основание при этом исчезает в момент расторжения договора. Проверьте все системы, в которых хранятся данные уволенного — CRM, корпоративный мессенджер, база кандидатов.

Шаг 2. Проверьте согласия работника по требованиям ФЗ-156

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом и не может быть встроено в трудовой договор, КЭДО-соглашение или политику конфиденциальности (ФЗ-156 от 24.06.2025, поправки к ст. 9 ФЗ-152). Если при увольнении работник заявит об отзыве согласия — а оно оформлено как пункт договора — оператор окажется без валидного документа.

Проверьте наличие отдельных согласий по каждой из следующих целей: обработка биометрии в СКУД, передача данных в зарплатный банк, обработка сведений о состоянии здоровья (если есть медосмотры), передача ПДн третьим лицам (страховщикам, НПФ, ДМС-провайдерам). Каждое согласие должно содержать реквизиты по ст. 9 ФЗ-152: наименование оператора, цель, перечень данных, перечень действий, срок, способ отзыва.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 — согласие субъекта персональных данных оформляется отдельным документом, не объединённым с иными документами. Нарушение требований к составу согласия влечёт ответственность по ч. 2 ст. 13.11 КоАП: штраф для юридических лиц от 300 000 до 700 000 ₽.»

Согласия, полученные до 01.09.2025, переоформлять не требуется — ФЗ-156 обратной силы не имеет. Однако при увольнении сотрудника, нанятого после этой даты, отдельный документ обязателен. Проверьте дату найма каждого увольняемого и статус его согласия.

Согласия работников ещё в трудовом договоре?

Если в HR-департаменте согласия не выделены в отдельный документ — каждое увольнение создаёт риск штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок на устранение после получения предписания РКН не восстанавливается. Юристы DATUM соберут пакет согласий по требованиям ФЗ-156 и проверят документы по каждому увольняемому.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Закройте доступ к системам и отзовите биометрию СКУД

Биометрические данные — отпечатки пальцев, изображение лица — в системах контроля и управления доступом (СКУД) относятся к биометрическим персональным данным по ст. 11 ФЗ-152. Их обработка без согласия в письменной форме незаконна. При увольнении оператор обязан прекратить обработку биометрии и уничтожить шаблоны в течение срока, установленного регламентом обработки.

Ст. 22.2 ТК РФ — электронный документооборот в кадровых вопросах — не освобождает от требований ФЗ-152 в части биометрии. Проверьте: зафиксировано ли в регламенте СКУД, что при увольнении биометрический шаблон уничтожается; ведётся ли журнал уничтожения с подтверждением; направлено ли уволенному уведомление об уничтожении данных (если это предусмотрено согласием).

«Ст. 11 ФЗ-152 — обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта. Нарушение порядка обработки биометрии влечёт ответственность по ч. 16 ст. 13.11 КоАП.»

Помимо СКУД, проверьте корпоративные системы: отозван ли доступ к КЭДО-платформе, удалён ли профиль в корпоративном мессенджере, закрыта ли учётная запись в кадровой информационной системе. Каждый активный доступ уволенного работника — потенциальный инцидент по ст. 21 ФЗ-152.

Шаг 4. Определите сроки хранения документов личного дела

Личное дело работника содержит данные, сроки хранения которых определяются не только ФЗ-152, но и специальным законодательством. Документы, связанные с трудовыми отношениями, хранятся 75 лет — типовой срок по правилам архивного дела для документации по личному составу. Этот срок — правовое основание продолжения хранения ПДн после увольнения.

Важно разграничить: документы, обязательные к хранению по закону (трудовой договор, приказы, расчётные листы), и данные, которые хранятся на основании согласия (копии паспорта, медицинские справки сверх обязательного минимума, сведения о родственниках). После увольнения правовое основание для хранения второй группы исчезает, если иное не предусмотрено законом или согласием с указанием срока.

«Ст. 5 ФЗ-152 — персональные данные не должны храниться дольше, чем этого требует цель обработки. По достижении целей или утрате необходимости оператор обязан уничтожить или обезличить данные.»

Составьте матрицу документов личного дела с указанием правового основания хранения, срока и ответственного за уничтожение. Это снизит риск при проверке РКН: инспектор вправе запросить обоснование каждого хранимого документа.

Шаг 5. Обработайте запрос уволенного работника на уничтожение ПДн

Уволенный работник остаётся субъектом персональных данных и вправе направить оператору требование об уничтожении данных, обработка которых не имеет законного основания. По ст. 21 ФЗ-152 оператор обязан рассмотреть такое требование. На ответ субъекту по ст. 20 ФЗ-152 — 10 рабочих дней с даты обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.

Типичный конфликт: работник требует удалить все данные, в том числе те, которые оператор обязан хранить по закону. В этом случае оператор вправе отказать в части данных с письменным обоснованием — ссылкой на конкретную норму (например, срок хранения документов по личному составу). Важно: молчание или пропуск срока ответа — нарушение ч. 4 ст. 13.11 КоАП (штраф 40 000–80 000 ₽ для юрлица).

«Ст. 20 ФЗ-152 — оператор обязан предоставить субъекту информацию об обработке его персональных данных в течение 10 рабочих дней с даты обращения. Невыполнение этой обязанности влечёт ответственность по ч. 4 ст. 13.11 КоАП: штраф для юрлиц от 40 000 до 80 000 ₽.»

Ведите журнал обращений субъектов: дата получения, содержание запроса, дата и форма ответа. При проверке РКН этот журнал — доказательство соблюдения сроков. Если КЭДО используется для приёма обращений, убедитесь, что уволенный сохранил доступ к платформе или предусмотрен альтернативный канал.

Если уволенный работник уже направил требование об уничтожении ПДн — у вас 10 рабочих дней на ответ по ст. 20 ФЗ-152. Пропуск срока — штраф по ч. 4 ст. 13.11. Юристы DATUM подготовят ответ и проверят, какие данные можно удалить, а какие оператор обязан хранить.

Заказать аудит 152-ФЗ

Шаг 6. Проверьте КЭДО на соответствие ФЗ-152 после увольнения

Электронный документооборот в кадровых процессах (КЭДО) по ст. 22.2 ТК РФ предполагает обработку персональных данных работника в информационной системе. Оператором этой системы является работодатель — независимо от того, использует ли он собственную платформу или сервис провайдера. При увольнении необходимо проверить: закрыт ли доступ работника к КЭДО-системе; уничтожены ли данные, не подлежащие обязательному хранению; оформлено ли поручение на обработку с провайдером по ст. 6 ФЗ-152, если КЭДО ведёт внешняя платформа.

«Ст. 6 ФЗ-152, п. 3 — оператор вправе поручить обработку персональных данных другому лицу на основании договора. Ответственность перед субъектом при этом несёт оператор. Провайдер КЭДО без договора поручения — нарушение, фиксируемое при проверке РКН.»

Проверьте договор с провайдером КЭДО: содержит ли он перечень разрешённых действий с ПДн, запрет на передачу данных третьим лицам, обязанность уничтожить данные после расторжения договора. Если договор не содержит этих условий — вы как оператор несёте ответственность за обработку провайдером вне установленных рамок.

Типичные сценарии при аудите увольнений

Сценарий 1. Согласие встроено в трудовой договор, работник нанят после 01.09.2025. При увольнении сотрудник отзывает согласие, ссылаясь на ст. 9 ФЗ-152. Оператор не может предъявить отдельный документ. РКН при проверке фиксирует нарушение ч. 2 ст. 13.11 КоАП. Стратегия: до момента увольнения запросить у работника переподписание согласия на отдельном бланке. Это снимает претензию к текущей обработке.

Сценарий 2. СКУД-биометрия не уничтожена в течение 30 дней после увольнения. HR-директор производственного предприятия (Уральский ФО, лето 2025) не закрыл шаблоны биометрии уволенных в системе СКУД. При плановой проверке РКН установил, что данные 47 уволенных сотрудников продолжали храниться. Возбуждено дело по ч. 16 ст. 13.11 КоАП. Стратегия: включить уничтожение биометрии в чек-лист оффбординга с журналом подтверждения и датой исполнения.

Сценарий 3. Провайдер КЭДО продолжает обрабатывать ПДн уволенных без договора поручения. После расторжения договора с работниками данные оставались на платформе провайдера без формального основания. Компания не могла подтвердить наличие договора поручения с реквизитами, предусмотренными ст. 6 ФЗ-152. Стратегия: при заключении договора с КЭДО-провайдером включить условие об обязательном уничтожении данных в течение 30 дней после расторжения договора об оказании услуг.

Что подготовить для аудита процессов увольнения

Чек-лист документов

Отдельные согласия работников на обработку ПДн (для сотрудников, нанятых после 01.09.2025) — по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156.
Регламент обработки биометрии в СКУД с указанием срока уничтожения шаблонов при увольнении и журналом подтверждения.
Договор поручения с провайдером КЭДО по ст. 6 ФЗ-152 — с перечнем разрешённых действий и условием об уничтожении данных.
Матрица сроков хранения документов личного дела с правовым основанием по каждой категории данных.
Журнал обращений субъектов ПДн за последние 12 месяцев с датами получения запросов и ответов.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка 38 пунктов комплаенса HR-процессов, включая увольнение.
Комплект ОРД под ключ — пакет документов: согласия, регламенты, журналы, приказы.
DPO-аутсорсинг — абонентское сопровождение функции ответственного по ст. 22.1 ФЗ-152.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, действительны — ФЗ-156 обратной силы не имеет. Переподписывать их не требуется. Новые согласия, оформляемые после 01.09.2025 (в том числе при найме новых сотрудников), должны быть отдельным документом по ст. 9 ФЗ-152 в актуальной редакции. При увольнении проверяйте дату найма: если сотрудник нанят после 01.09.2025 — его согласие должно соответствовать новым требованиям.

2. Какие данные нельзя спрашивать в анкете при увольнении?

Ст. 86 ТК РФ запрещает получать от работника данные, не связанные с трудовой деятельностью. При оффбординге не допускается запрашивать политические, религиозные взгляды, сведения о состоянии здоровья сверх обязательного минимума, информацию о родственниках (за исключением случаев, прямо предусмотренных законом). Сбор таких данных — нарушение ст. 10 ФЗ-152 (специальные категории), что влечёт ответственность по ч. 2 ст. 13.11 КоАП.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение в рабочих помещениях допустимо без согласия, если оно направлено на обеспечение безопасности или контроль качества труда (ст. 86 ТК РФ, п. 9). Обязательное условие — работник заранее уведомлён о видеонаблюдении под роспись. Хранение видеозаписей подпадает под ФЗ-152: необходимо определить цель, срок хранения и порядок уничтожения. При увольнении записи с изображением уволенного, хранящиеся дольше установленного срока, — нарушение ст. 5 ФЗ-152.

4. Сколько хранить согласия после увольнения?

Документы по личному составу, включая согласия на обработку ПДн, хранятся в составе личного дела. Стандартный срок — 75 лет (для документов, созданных после 2003 года, — 50 лет по Приказу Росархива). Согласие на передачу данных в банк для зарплатного проекта или в НПФ — хранить весь период действия соответствующих отношений плюс срок исковой давности. При истечении срока документы подлежат уничтожению по акту.

5. Кто является оператором при использовании КЭДО?

Оператором персональных данных при использовании КЭДО является работодатель — он определяет цели и способы обработки данных работников. Провайдер КЭДО-платформы действует как лицо, осуществляющее обработку по поручению оператора (ст. 6 ФЗ-152). Без договора поручения с перечнем разрешённых действий провайдер обрабатывает данные без правового основания, а ответственность перед субъектом и РКН несёт работодатель-оператор.

6. Что делать, если уволенный работник требует полного уничтожения всех данных?

Оператор обязан рассмотреть требование в течение 10 рабочих дней (ст. 20 ФЗ-152). По данным, которые хранятся на основании закона (трудовой договор, приказы, расчётные документы), оператор вправе отказать с письменным обоснованием — ссылкой на конкретную норму. По данным, хранящимся только на основании согласия, — оператор обязан уничтожить их после отзыва согласия. Ответ субъекту должен быть направлен в письменной форме с разбивкой по каждой категории данных.

Итог

Аудит процессов увольнения по ФЗ-152 включает шесть блоков: правовое основание обработки, актуальность согласий по ФЗ-156, закрытие доступа и уничтожение биометрии СКУД, матрицу сроков хранения личного дела, обработку запросов субъектов в установленные сроки и проверку КЭДО на наличие договора поручения. Каждый из этих блоков при несоблюдении создаёт самостоятельное основание для штрафа по ст. 13.11 КоАП — от 40 000 до 700 000 ₽ за одно нарушение.

DATUM сопровождает HR-департаменты в части ФЗ-152 с 2014 года — от аудита документов до защиты интересов в РКН при плановой и внеплановой проверке.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ, КЭДО, биометрия в СКУД, передача данных в зарплатных проектах, проверки РКН в HR-департаментах.

21 января 2028 года