Перейти к содержанию
инструкция 11 марта 2027 По состоянию на 11 марта 2027

Кейс штрафа за хранение ПДн после увольнения

Хранение персональных данных уволенного работника без правового основания — нарушение ст. 5 и ст. 9 ФЗ-152, влекущее штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.
С 01.09.2025 согласие на обработку ПДн работника должно быть отдельным документом (ФЗ-156). Личные дела уволенных сотрудников, хранящиеся в системе без цели и без переподписанных согласий, становятся источником риска при первой же проверке РКН.
Если вы HR-директор и в вашей системе КЭДО или 1С ЗУП хранятся данные уволенных сотрудников за последние 3–5 лет — проверьте правовые основания прямо сейчас. → Ниже — пошаговый порядок действий.

HR-департамент accumulates персональные данные годами: анкеты соискателей, копии паспортов, СНИЛС, медицинские справки, данные биометрии СКУД. После увольнения большинство операторов продолжают хранить эти данные по инерции — без цели, без согласия, без правового основания. Роскомнадзор квалифицирует такую ситуацию как нарушение принципа достаточности по ст. 5 ФЗ-152 и, при наличии обработки без согласия, — по ч. 2 ст. 13.11 КоАП. В 2025 году практика пошла по пути назначения штрафов именно за этот состав. Ниже — инструкция для HRD: как выявить нарушение, устранить его и не допустить повторно.

Шаг 1. Определите, какие данные вы храните после увольнения и зачем

Первый шаг — инвентаризация. Составьте реестр всех систем, где хранятся данные уволенных: КЭДО, 1С ЗУП, бумажные личные дела, системы СКУД, корпоративная почта, CRM с историей контактов. Для каждой системы зафиксируйте: какие категории ПДн хранятся, с какой целью, на каком правовом основании.

По ст. 5 ФЗ-152 обработка ПДн допустима только в рамках конкретных, заранее определённых целей. После прекращения трудовых отношений большинство целей исчезает. Исключения — хранение, предусмотренное нормативными актами: трудовая документация в архиве (ст. 22.2 ТК РФ и Приказ Росархива устанавливают сроки хранения до 75 лет для документов о стаже), расчётные ведомости, сведения о доходах для налоговой.

«Ст. 5 ФЗ-152 — обработка ПДн ограничена конкретными, заранее определёнными и законными целями. Не допускается обработка, несовместимая с заявленными целями, а также хранение дольше, чем это необходимо для их достижения.»

Правило практики: если цель обработки достигнута (трудовой договор расторгнут) — данные подлежат уничтожению или обезличиванию. Срок уничтожения — не позднее 30 дней с момента, когда правовое основание для хранения прекратилось, если иной срок не установлен законодательством. Для биометрии в СКУД — отдельно: письменное согласие работника по ст. 11 ФЗ-152 прекращает действие с момента увольнения, если иное не оговорено.

В вашей системе КЭДО или 1С есть данные уволенных без цели хранения?

HR-директора, у которых до 01.09.2025 согласия были встроены в трудовой договор, сейчас находятся в зоне риска по ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽. Срок давности по нарушениям в сфере ПДн — 1 год с момента обнаружения. Аудит выявит объём проблемы и даст план устранения.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Проверьте согласия по требованиям ФЗ-156 от 24.06.2025

С 01.09.2025 согласие на обработку персональных данных работника должно быть оформлено отдельным документом. Ранее практика допускала включение согласия в текст трудового договора, анкеты или иного документа. После вступления в силу ФЗ-156 это недопустимо для всех новых согласий.

Согласия, полученные до 01.09.2025, обратной силы закон не имеет: их переоформление не является обязательным. Однако если работодатель продолжает обработку ПДн уволенного на основании такого согласия — а в нём отсутствуют обязательные реквизиты по ст. 9 ФЗ-152 — действие такого согласия оспоримо. Роскомнадзор при проверке вправе квалифицировать это как обработку без надлежащего согласия.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта персональных данных оформляется отдельным документом. Обязательные реквизиты: наименование оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия, порядок отзыва.»

Что проверить в имеющихся согласиях: наличие всех реквизитов ст. 9, соответствие целей фактической обработке, срок действия. Для уволенных сотрудников: если согласие не распространяется явно на период после увольнения — хранение данных после расторжения договора возможно только на законном основании (архивное хранение, налоговое законодательство), но не на согласии, полученном в период трудовых отношений.

Шаг 3. Разграничьте данные: что уничтожить, что перевести в архив, что обезличить

После инвентаризации сформируйте три группы данных уволенных сотрудников.

Группа 1 — обязательное хранение по закону. Трудовые книжки (если ведутся на бумаге), приказы о приёме и увольнении, расчётные листы, сведения о страховом стаже. Сроки хранения определяются Приказом Росархива и нормами ТК РФ, в том числе ст. 22.2 ТК РФ. Эти данные хранятся в архиве, доступ к ним ограничен.

Группа 2 — данные без правового основания для хранения. Копии паспортов, СНИЛС, медицинские справки, анкеты с избыточными сведениями, данные биометрии СКУД — если работник отозвал согласие или оно прекратило действие. Подлежат уничтожению с составлением акта.

Группа 3 — данные для внутренней аналитики. Если HR использует данные уволенных в аналитических целях (текучесть кадров, профили должностей) — данные должны быть обезличены методами по Приказу РКН о методах обезличивания (5 методов: введение идентификаторов, изменение состава, декомпозиция, перемешивание, обобщение). Обезличенные данные выходят из-под действия ФЗ-152.

«Ст. 21 ФЗ-152 — при достижении цели обработки оператор обязан уничтожить ПДн или обезличить их. Если субъект отозвал согласие — уничтожение в течение 30 дней, если иное не предусмотрено законом или договором.»

Что подготовить для HR-комплаенса по ПДн уволенных

  • Реестр систем с ПДн уволенных (КЭДО, 1С ЗУП, СКУД, бумажные архивы) с указанием категорий данных и правовых оснований хранения
  • Приказ об уничтожении ПДн и акт об уничтожении — для каждой волны уволенных, не реже 1 раза в год
  • Отдельные согласия работников по форме ФЗ-156 для всех новых приёмов с 01.09.2025 — не в трудовом договоре
  • Отдельное согласие на биометрическую обработку в СКУД по ст. 11 ФЗ-152 с указанием срока действия и порядка отзыва
  • Журнал учёта обращений субъектов ПДн (запросы уволенных на уничтожение, уточнение, доступ) за последние 12 месяцев

Шаг 4. Выстройте процедуру при увольнении сотрудника

Ошибка большинства HR-департаментов — отсутствие формализованной процедуры работы с ПДн в день увольнения. Это приводит к накоплению «мёртвых» данных в системах годами.

Порядок действий при увольнении: (1) проверить перечень данных в системах по сотруднику; (2) определить, какие данные подлежат передаче в архив с ограниченным доступом, какие — уничтожению; (3) составить акт об уничтожении (для биометрии СКУД — в первую очередь); (4) уведомить сотрудника о прекращении обработки его ПДн, если он ранее направлял запрос или это предусмотрено внутренними документами; (5) внести запись в журнал учёта обращений и в реестр обработки ПДн.

По ст. 86 ТК РФ работодатель обрабатывает ПДн работника только в целях, связанных с трудовыми отношениями. После их прекращения цель обработки меняется — и это должно отражаться в документах. Процедура увольнения в части ПДн должна быть закреплена в Положении об обработке ПДн работников.

Если у вас нет Положения об обработке ПДн работников или в нём не прописана процедура уничтожения данных при увольнении — это типовое основание для штрафа по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽). Юристы DATUM соберут комплект ОРД под HR-департамент, включая процедуры для КЭДО и СКУД.

Собрать ОРД под ключ

Как это выглядит на практике: типовые ситуации HRD

Ситуация 1. Данные соискателей в ATS-системе. Компания розничной торговли (Сибирский ФО, осень 2025) хранила резюме и анкеты 4 000 соискателей, которым было отказано в трудоустройстве, — без согласия на хранение после отказа. РКН при плановой проверке зафиксировал нарушение ст. 5 и ст. 9 ФЗ-152: цель — рассмотрение кандидатуры — достигнута, а хранение продолжается. Компания получила предписание об уничтожении данных и штраф в диапазоне до 300 000 ₽ по ч. 1 ст. 13.11 КоАП. HR-директор был вынужден в течение 7 рабочих дней задокументировать уничтожение. ⚠️ Конкретный номер дела и точная сумма штрафа — менеджер уточняет при публикации.

Ситуация 2. Биометрия СКУД уволенных сотрудников. Производственное предприятие (Приволжский ФО, начало 2026) использовало систему контроля доступа с распознаванием лица. После увольнения работников шаблоны биометрии сохранялись в базе СКУД автоматически — процедуры удаления не было. Внеплановая проверка РКН, инициированная жалобой бывшего сотрудника, зафиксировала обработку биометрических ПДн без согласия (ст. 11 ФЗ-152) и без правового основания. Нарушение квалифицировано по ч. 2 и ч. 16 ст. 13.11 КоАП. Совокупный штраф составил несколько сотен тысяч рублей. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, переоформлять не обязательно — ФЗ-156 обратной силы не имеет. Однако если работодатель продолжает обработку ПДн на основании таких согласий и они не содержат обязательных реквизитов ст. 9 ФЗ-152, РКН вправе признать обработку ненадлежащей. Для всех работников, принятых после 01.09.2025, согласие должно быть отдельным документом — не частью трудового договора или анкеты.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать данные о политических, религиозных и иных убеждениях, членстве в профсоюзах, состоянии здоровья — за исключением случаев, прямо предусмотренных законом (например, медицинский осмотр по ст. 213 ТК РФ для ряда должностей). Вопросы о национальности, семейном положении, вероисповедании в анкете — нарушение ст. 10 ФЗ-152 о специальных категориях ПДн. Принцип достаточности по ст. 5 ФЗ-152: запрашивать только те данные, которые необходимы для конкретной цели.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо при соблюдении нескольких условий: работники уведомлены о факте наблюдения (ст. 22.2 ТК РФ и общие нормы ФЗ-152), цель наблюдения — обеспечение безопасности или контроль рабочего времени — зафиксирована в локальных актах, ведётся обработка только в рамках заявленных целей. Видеозаписи с изображением лица — биометрические ПДн по ст. 11 ФЗ-152, если используются для идентификации. В этом случае требуется отдельное письменное согласие. Размещение камер в туалетах и раздевалках запрещено.

4. Сколько хранить согласия после увольнения?

Само согласие как документ хранится в течение срока хранения, установленного для кадровой документации, — как минимум до истечения срока исковой давности по возможным спорам (3 года по общему правилу ГК РФ). Если данные уволенного хранились в архиве на законном основании — согласие хранится до момента уничтожения этих данных. Акт об уничтожении ПДн рекомендуется хранить не менее 5 лет как доказательство выполнения требований ст. 21 ФЗ-152.

5. Кто оператор при использовании КЭДО?

При использовании КЭДО оператором персональных данных является работодатель — он определяет цели и средства обработки. Провайдер КЭДО-платформы выступает лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). С провайдером должен быть заключён договор поручения обработки ПДн с перечнем действий и требованием конфиденциальности. Ответственность перед РКН и субъектами ПДн несёт оператор — то есть работодатель. Это важно при инцидентах: уведомлять РКН обязан работодатель, даже если утечка произошла на стороне провайдера.

6. Что делать, если бывший работник потребовал уничтожить его данные?

По ст. 21 ФЗ-152 оператор обязан рассмотреть обращение субъекта и при отсутствии правового основания для хранения — уничтожить ПДн в течение 30 дней. Ответить субъекту необходимо в течение 10 рабочих дней с момента обращения (ст. 20 ФЗ-152, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Если часть данных хранится на законном основании (архивное хранение трудовой документации), об этом нужно уведомить работника с указанием нормы. Игнорирование обращения — нарушение ч. 5 ст. 13.11 КоАП, штраф 50–90 тыс. ₽.

Итог

Хранение ПДн уволенных сотрудников без правового основания — системная проблема большинства HR-департаментов. После введения оборотных штрафов по ст. 13.11 КоАП и ужесточения требований к согласиям с 01.09.2025 эта проблема трансформировалась в измеримый финансовый риск: от 50 000 до 700 000 ₽ за состав, а при повторности — до 1 500 000 ₽. Порядок действий линейный: инвентаризация систем, классификация данных, уничтожение или обезличивание, процедура при увольнении, актуализация ОРД.

Практика DATUM по ПДн в HR включает аудит кадровых систем, разработку Положения об обработке ПДн работников и согласий по ФЗ-156, настройку процедур при увольнении и сопровождение проверок РКН в HR-департаментах.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.