Перейти к содержанию
инструкция 22 июня 2027 По состоянию на 22 июня 2027

Какие данные оператор обязан удалить, какие нет

Оператор обязан уничтожить персональные данные при отзыве согласия, по требованию субъекта или после истечения срока хранения — если нет законного основания продолжать обработку.
Личное дело сотрудника хранится 75 лет. Согласия работников, оформленные не отдельным документом до 01.09.2025, создают риск штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП при каждой проверке.
→ Если вы HRD и не уверены, какие данные можно оставить, а какие нужно удалить — ниже пошаговый разбор по нормам ФЗ-152 и ТК РФ.

С 01.09.2025 требования к согласиям изменились: ФЗ-156 от 24.06.2025 обязал оформлять согласие отдельным документом, не совмещая его с трудовым договором или офертой. Одновременно к HR-операторам применяется расширенная ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 — с 18 составами и оборотными штрафами с 30.05.2025. В этой инструкции — последовательность шагов для HR-директора: какие данные удалять, какие сохранять и как обосновать это регулятору.

Что подготовить перед проверкой

  • Реестр оснований обработки ПДн по каждой категории (согласие, ТК РФ, договор)
  • Журнал запросов субъектов на удаление с датами и ответами
  • Отдельные согласия работников по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156
  • Приказ об уничтожении ПДн с описанием метода и перечнем уничтоженных документов
  • Положение о хранении и уничтожении ПДн с указанием сроков по категориям

Шаг 1. Определите, на каком основании вы обрабатываете данные

Прежде чем решать, удалять данные или нет, установите правовое основание обработки. Ст. 6 ФЗ-152 предусматривает 11 оснований. В HR-практике используются три основных: согласие субъекта (п. 1), исполнение трудового договора (п. 5) и исполнение обязанностей по законодательству (п. 2).

Данные, которые обрабатываются только на основании согласия (например, публикация фотографии работника на сайте, сбор данных родственников для полиса ДМС), подлежат уничтожению при отзыве согласия — без альтернатив. Данные, которые обрабатываются по ТК РФ или федеральному закону, оператор не обязан удалять по требованию субъекта: закон имеет приоритет над волеизъявлением работника.

«Ст. 9 ч. 5 ФЗ-152 — отзыв согласия обязывает оператора прекратить обработку и уничтожить данные в течение 30 дней, если нет иного законного основания.»

Ошибка, типичная для HR: в одной форме смешаны данные, которые нужны для расчёта зарплаты (основание — ТК РФ), и данные для корпоративной рассылки (основание — согласие). При отзыве «единого» согласия оператор не знает, что удалять. Разделение оснований по категориям данных — первый шаг к безопасной позиции.

Согласия работников ещё в трудовом договоре?

Если HRD не переоформил согласия после 01.09.2025 — каждый старый документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). ФЗ-156 не имеет обратной силы для уже заключённых соглашений, однако при новых трудовых отношениях отдельный документ обязателен с 01.09.2025.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Установите срок хранения для каждой категории данных

Срок хранения определяет момент, когда данные должны быть уничтожены — если раньше не поступил отзыв согласия или требование субъекта. Для HR-оператора действуют три группы сроков.

Личное дело и кадровые документы. Ст. 22.1 ТК РФ устанавливает: трудовые договоры, приказы о приёме и увольнении, личные карточки — 75 лет для документов, созданных после 01.01.2003. Это прямая норма закона: удалить такие данные по требованию уволенного сотрудника нельзя. Отказ — правомерен, его нужно письменно обосновать субъекту со ссылкой на ст. 22.1 ТК РФ и ст. 21 ч. 2 ФЗ-152.

Согласие на обработку ПДн. Само согласие хранится в течение всего срока обработки плюс 3 года после уничтожения данных — для подтверждения правомерности обработки в случае спора. Это требование следует из ст. 24 ФЗ-152 и общего срока исковой давности.

Биометрия в СКУД. Данные систем контроля доступа — изображение лица, отпечаток пальца — обрабатываются только с письменного согласия работника по ст. 11 ФЗ-152. При увольнении или отзыве согласия данные уничтожаются в течение 30 дней. Хранить изображения уволенных работников «на всякий случай» — нарушение ч. 3 ст. 5 ФЗ-152: данные не должны храниться дольше, чем требуется для целей обработки.

«Ст. 5 ч. 4 ФЗ-152 — персональные данные не могут быть избыточными по отношению к целям обработки; ст. 5 ч. 7 — подлежат уничтожению или обезличиванию при достижении целей или утрате необходимости.»

Шаг 3. Обработайте требование субъекта об удалении

Субъект вправе потребовать прекращения обработки и уничтожения своих данных. Порядок реакции оператора — ст. 21 ФЗ-152. Срок ответа субъекту по ст. 20 ФЗ-152 — 10 рабочих дней с возможностью продления на 5 рабочих дней при уведомлении субъекта.

Алгоритм для HR:

  • Зафиксировать дату получения требования (входящий номер).
  • Проверить, есть ли иное законное основание обработки, кроме согласия.
  • Если оснований нет — уничтожить данные и направить субъекту уведомление об исполнении в срок.
  • Если основание есть — направить мотивированный отказ со ссылкой на норму закона.
  • Занести в журнал запросов субъектов: дату, суть, принятое решение, дату ответа.

Невыполнение требования субъекта в срок — состав ч. 5 ст. 13.11 КоАП: штраф для юридического лица 50 000–90 000 ₽. Повторное нарушение — ч. 5.1: 300 000–500 000 ₽.

Если HR-департамент получил требование об удалении данных уволенного — у вас 10 рабочих дней на ответ. Юристы DATUM разберут основания обработки и подготовят мотивированный ответ субъекту или выполнят уничтожение по регламенту.

Собрать ОРД под ключ

Какие данные нельзя запрашивать у кандидатов?

Ст. 86 ТК РФ прямо запрещает получать и обрабатывать данные о политических, религиозных и иных убеждениях, о членстве в профсоюзах, о личной жизни без письменного согласия работника. Ст. 10 ФЗ-152 относит расовую и национальную принадлежность, политические взгляды, состояние здоровья к специальным категориям — обработка по общему правилу запрещена.

На практике нарушение выглядит так: анкета кандидата содержит вопросы о семейном положении, наличии детей, болезнях. Оператор получает специальные категории без письменного согласия. Это состав ч. 2 ст. 13.11 КоАП — штраф 300 000–700 000 ₽ за каждый выявленный факт.

Данные, полученные сверх необходимого для трудоустройства, не приобретают законного основания автоматически. Их нужно уничтожить — даже если кандидат не требует этого. Принцип минимизации из ст. 5 ч. 3 ФЗ-152: объём данных соответствует целям обработки.

Как применяется это на практике: типовые ситуации

Ситуация 1. Уволенный сотрудник требует удалить все данные из 1С. HR-директор крупной торговой сети (Сибирский ФО, осень 2025) получил требование уволенного: уничтожить все персональные данные в учётных системах. Основания обработки — ТК РФ и налоговое законодательство. Юристы подготовили мотивированный отказ со ссылкой на ст. 22.1 ТК РФ (75 лет) и ст. 23 НК РФ (4 года). Данные сохранены правомерно. РКН при плановой проверке нарушений не нашёл: журнал запросов и обоснование были в порядке.

Ситуация 2. СКУД с биометрией после увольнения. IT-компания (Северо-Западный ФО, начало 2026) не удалила биометрические шаблоны уволенных сотрудников из системы контроля доступа. При проверке РКН зафиксировал хранение биометрии без действующего согласия. Применена ч. 2 ст. 13.11 КоАП — штраф в диапазоне сотен тысяч рублей. Суд подтвердил: отзыв согласия при увольнении влечёт обязанность уничтожить биометрию в течение 30 дней.

Ситуация 3. КЭДО без отдельного согласия. Производственная компания (Уральский ФО, лето 2025) внедрила КЭДО, согласие на обработку данных включила в пользовательское соглашение системы. РКН при внеплановой проверке квалифицировал это как нарушение ст. 9 ФЗ-152 в редакции ФЗ-156 — согласие должно быть отдельным документом с 01.09.2025. Штраф по ч. 2 ст. 13.11 КоАП. Компания исправила документацию и прошла повторную проверку без замечаний.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Уже полученные согласия переоформлять не требуется — ФЗ-156 от 24.06.2025 обратной силы не имеет. Однако согласия, получаемые после 01.09.2025, должны оформляться отдельным документом по ст. 9 ФЗ-152. Если согласие включено в трудовой договор или другой документ после этой даты — оно не соответствует требованиям закона и не считается действительным основанием обработки.

2. Какие данные нельзя спрашивать в анкете кандидата?

Ст. 86 ТК РФ запрещает запрашивать данные о политических и религиозных убеждениях, членстве в профсоюзах, личной жизни без согласия. Ст. 10 ФЗ-152 относит к специальным категориям данные о здоровье, расовой принадлежности, судимости — их сбор без письменного согласия образует состав ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 ₽). Вопросы о семейном положении и наличии детей допустимы только при наличии отдельного согласия и обоснованной цели.

3. Можно ли вести видеонаблюдение в офисе?

Да, при соблюдении условий: работники уведомлены об обработке данных в рамках трудовых отношений (ст. 87 ТК РФ), цель наблюдения — безопасность и охрана труда, а не контроль личной жизни. Если изображение обрабатывается как биометрия для идентификации — требуется письменное согласие по ст. 11 ФЗ-152. Видеозапись в общих помещениях без идентификации — достаточно уведомления в локальном акте и информационной таблички.

4. Сколько хранить согласия после увольнения?

Само согласие хранится в течение срока обработки данных плюс 3 года после уничтожения данных. Это связано с общим сроком исковой давности по ст. 196 ГК РФ: оператор обязан иметь доказательство правомерности обработки в случае спора. Уничтожать согласие одновременно с уничтожением данных нельзя — это лишает оператора доказательной базы при проверке.

5. Кто оператор при использовании КЭДО?

Работодатель остаётся оператором персональных данных в КЭДО в соответствии со ст. 3 ФЗ-152: он определяет цели и способы обработки. Провайдер системы КЭДО действует как лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). С провайдером необходимо заключить договор поручения с перечнем разрешённых действий и требованием конфиденциальности. Согласие работника на обработку в КЭДО — отдельный документ с 01.09.2025.

6. Что делать, если сотрудник отозвал согласие, но данные нужны для расчёта зарплаты?

Отзыв согласия не влечёт обязанности удалить данные, если для них есть иное законное основание. Данные для расчёта и выплаты заработной платы обрабатываются на основании ТК РФ (ст. 22 ТК РФ) и налогового законодательства — независимо от согласия. Оператор направляет работнику письменный мотивированный ответ со ссылкой на применяемые нормы. Отказ в удалении по этому основанию правомерен и не образует состава нарушения.

Итог

Обязанность удалить данные возникает при отзыве согласия (если нет иного основания), истечении срока хранения и по требованию субъекта — в случае незаконной обработки. Данные по ТК РФ и налоговому законодательству удалять нельзя даже при требовании работника: закон имеет приоритет. Биометрия СКУД уничтожается в течение 30 дней после увольнения или отзыва согласия. Журнал запросов субъектов и приказы об уничтожении — обязательные элементы доказательной базы при проверке РКН.

Практика DATUM по ФЗ-152 включает разработку регламентов хранения и уничтожения ПДн, подготовку отдельных согласий по требованиям ФЗ-156 и сопровождение HR-операторов при проверках Роскомнадзора.

Смотрите также

Есть запрос от работника или проверка РКН?

Юристы DATUM с практикой по 152-ФЗ с 2014 года разберут ситуацию и подготовят позицию. Оценим законность оснований обработки, составим ответ субъекту и приведём ОРД HR-департамента в соответствие. 300+ операторов сопровождено по ФЗ-152.

Оценить риски по 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, обработка через КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.

22 июня 2027 года