инструкция 23 июня 2028 По состоянию на 23 июня 2028

Хранение электронных кадровых документов: сроки

Хранение кадровых документов в электронном виде регулируется ФЗ-152, ТК РФ и Приказом Росархива — срок зависит от типа документа и момента его создания.

С 01.09.2025 согласие работника на обработку персональных данных оформляется отдельным документом (ФЗ-156). Хранить его нужно в течение срока обработки плюс три года после её прекращения. Нарушение — штраф до 700 000 руб. по ч. 2 ст. 13.11 КоАП.

→ Если вы HRD и в вашем КЭДО согласия работников ещё встроены в трудовой договор — проверьте сроки хранения и форму прямо сейчас.

Переход на электронный документооборот в HR не освобождает от обязательных сроков хранения: личные дела, согласия на обработку персональных данных, документы КЭДО и данные биометрических СКУД подпадают под требования трёх разных нормативных систем одновременно. В 2025–2026 годах произошли три ключевых изменения: новое требование к форме согласия (ФЗ-156 с 01.09.2025), расширение ст. 13.11 КоАП до 18 частей (ФЗ-420 с 30.05.2025) и ужесточение требований к локализации баз данных работников. Эта инструкция — пошаговый порядок для HRD: как установить правильный срок хранения каждого кадрового документа, где его хранить и как избежать штрафа при проверке.

Шаг 1. Определите тип кадрового документа и применимые нормы

Электронные кадровые документы делятся на три группы с разными режимами хранения: документы, подпадающие только под архивное законодательство; документы, где архивный срок дополняется требованиями ФЗ-152; биометрические данные, для которых действует отдельный режим по ст. 11 ФЗ-152.

К первой группе относятся приказы о приёме, переводе и увольнении, трудовые договоры, личные карточки. Срок хранения установлен Приказом Росархива № 236 от 20.12.2019. Ко второй — согласия работников на обработку персональных данных, анкеты, заявления, сведения о здоровье. К третьей — фотографии, данные отпечатков пальцев, геометрия лица, используемые в СКУД.

«Ст. 86–88 ТК РФ устанавливают закрытый перечень целей обработки персональных данных работника и обязывают работодателя хранить их не дольше, чем требуется для достижения этих целей (ст. 5 ФЗ-152).»

Практическое значение для HRD: если КЭДО хранит документы без разграничения категорий, оператор рискует одновременно нарушить архивные нормы (хранение меньше установленного) и ФЗ-152 (хранение дольше необходимого). Обе ситуации являются самостоятельными основаниями для проверки.

Шаг 2. Установите сроки хранения по каждому типу документа

Ключевые сроки для электронного кадрового архива — в зависимости от даты создания документа:

Трудовой договор и дополнительные соглашения — 75 лет (для документов, созданных до 01.01.2003) или 50 лет (созданных начиная с 01.01.2003). Основание: ст. 22.1 Федерального закона об архивном деле, Приказ Росархива № 236.
Личное дело работника (в том числе в КЭДО) — 75 лет или 50 лет по той же логике деления по дате создания.
Приказы по личному составу (приём, перевод, увольнение, отпуска по уходу) — 75 лет или 50 лет; приказы об ежегодных отпусках, командировках, взысканиях — 5 лет.
Согласие работника на обработку персональных данных — в течение всего срока обработки плюс три года после прекращения обработки (ст. 9 ФЗ-152). При увольнении: до истечения трёхлетнего периода после прекращения трудовых отношений, если обработка данных продолжается (например, для расчётов с ФНС).
Биометрические данные (СКУД) — только на период действия трудового договора; немедленное уничтожение после увольнения или отзыва согласия (ст. 11 ФЗ-152, письменное согласие обязательно для каждого работника).
Документы КЭДО, не относящиеся к кадровым решениям (уведомления, листы ознакомления, заявления на отпуск) — 5 лет или в соответствии с Приказом Росархива № 236 по конкретному виду.
Медицинские документы (справки, результаты медосмотров) — специальная категория по ст. 10 ФЗ-152; срок хранения — согласно отраслевым нормативам (как правило, 50 лет для документов по производственному контролю), уничтожение — только по истечении срока хранения с составлением акта.

«Ст. 22.2 ТК РФ (введена как ст. 22.1 при изменениях о КЭДО) определяет виды кадровых документов, которые работодатель вправе вести в электронном виде, и устанавливает условия их действительности.»

Согласия работников оформлены в трудовом договоре?

Если в вашем КЭДО или архиве согласия на обработку персональных данных не выделены в отдельный документ — с 01.09.2025 это нарушение ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф по ч. 2 ст. 13.11 КоАП составляет от 300 000 до 700 000 руб. Срок на исправление не установлен — РКН вправе возбудить дело при любой плановой или внеплановой проверке. Юристы DATUM проверят состав согласий, форму и сроки хранения по пакету ОРД вашего HR-департамента.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте требования к форме согласия после 01.09.2025

С 01.09.2025 согласие работника на обработку персональных данных обязано быть оформлено отдельным документом — оно не может быть частью трудового договора, оферты, политики конфиденциальности или любого другого документа (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152).

Обратной силы поправка не имеет: согласия, полученные до 01.09.2025 в составе трудового договора, переоформлять принудительно не требуется. Однако любое новое согласие — при приёме на работу, при расширении целей обработки, при подключении нового КЭДО — должно быть отдельным документом с обязательными реквизитами: наименование оператора, ФИО и контактные данные субъекта, цель обработки, перечень персональных данных, перечень действий, срок действия, способ отзыва.

Для КЭДО это означает: электронное согласие должно формироваться как самостоятельный файл с квалифицированной или усиленной неквалифицированной электронной подписью работника (в зависимости от вида документа по ст. 22.1 ТК РФ). Хранить его нужно отдельно от трудового договора в электронном архиве с возможностью извлечения по запросу РКН или субъекта.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие — отдельный документ. Обязательные реквизиты: ФИО и контактные данные субъекта, наименование оператора, цель, перечень данных, перечень действий, срок, способ отзыва.»

Шаг 4. Настройте хранение данных КЭДО с учётом требований локализации

Персональные данные работников — граждан Российской Федерации — должны записываться, систематизироваться, накапливаться, храниться, уточняться и извлекаться только в базах данных, физически расположенных на территории России (ч. 5 ст. 18 ФЗ-152). Это требование действует с 01.09.2015 и с 01.07.2025 применяется в ужесточённой редакции.

Практические последствия для КЭДО: если ваша система электронного документооборота работает на облачной платформе с серверами за рубежом или у провайдера без российской инфраструктуры — вы нарушаете ч. 5 ст. 18 ФЗ-152. Штраф по ч. 8 ст. 13.11 КоАП составляет от 1 000 000 до 6 000 000 руб., при повторном нарушении — от 6 000 000 до 18 000 000 руб. (ч. 9 ст. 13.11 КоАП).

Роскомнадзор при проверке запрашивает договор с оператором КЭДО, техническую документацию о размещении серверов и выписку из реестра операторов персональных данных. Если в уведомлении РКН указана обработка через иностранный сервис без уведомления о трансграничной передаче — это самостоятельное основание для штрафа по ч. 10 ст. 13.11 КоАП (100 000–300 000 руб.).

Что подготовить перед проверкой РКН в HR

Реестровая выписка с pd.rkn.gov.ru с актуальными целями обработки и перечнем систем (КЭДО, СКУД, 1С:ЗУП).
Отдельные согласия работников в соответствии с требованиями ст. 9 ФЗ-152 в редакции с 01.09.2025 — для всех принятых после этой даты.
Договор с оператором КЭДО и техническая документация, подтверждающая размещение серверов в РФ.
Приказ о назначении ответственного за обработку персональных данных по ст. 22.1 ФЗ-152 с актуальными Ф.И.О.
Акты об уничтожении биометрических данных уволенных работников (СКУД) с датами и подписями.

Шаг 5. Организуйте уничтожение данных по истечении сроков хранения

Уничтожение персональных данных — обязанность оператора, а не право (ст. 21 ФЗ-152). После истечения срока хранения или после достижения цели обработки (увольнение, завершение расчётов) данные должны быть уничтожены или обезличены в течение 30 дней, если иное не предусмотрено законом.

Исключение: документы с архивным сроком хранения (трудовой договор — 50 или 75 лет) не уничтожаются до истечения этого срока, даже если работник уволен. Здесь действует принцип приоритета специальной нормы: архивное законодательство устанавливает минимальный срок хранения, который не может быть сокращён ссылкой на ФЗ-152.

Для биометрии СКУД правило иное: уничтожение — немедленно при увольнении или при отзыве согласия. Хранить данные «про запас» или «для статистики» нельзя — это прямое нарушение ст. 11 ФЗ-152. Факт уничтожения фиксируется актом с указанием даты, метода и ответственного лица.

«Ст. 21 ФЗ-152: оператор обязан уничтожить или обезличить персональные данные при достижении цели обработки или при отзыве согласия субъекта — в срок не более 30 дней, если иное не установлено законодательством.»

Если HRD получил запрос от уволенного работника об уничтожении его персональных данных — у вас 10 рабочих дней на ответ по ст. 20 ФЗ-152. При наличии оснований (архивный срок хранения) — уведомить об отказе письменно. При отсутствии оснований — уничтожить и направить подтверждение. Юристы DATUM подготовят шаблоны ответов и регламент работы с запросами субъектов.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Производственная компания в Уральском федеральном округе (осень 2025) использовала СКУД с распознаванием лиц. При внеплановой проверке РКН инспектор запросил письменные согласия 340 работников на обработку биометрических данных. Согласия у 80 работников были встроены в трудовой договор — форма не соответствовала ст. 11 ФЗ-152 (требуется отдельный документ). Дополнительно данные уволенных сотрудников за два года хранились в системе без акта об уничтожении. По результатам проверки составлены протоколы по ч. 2 и ч. 6 ст. 13.11 КоАП; компания уплатила штраф в несколько сотен тысяч рублей и устранила нарушения в течение 60 дней.

Кейс 2. Торговая сеть в Центральном федеральном округе (начало 2026) перешла на КЭДО через платформу с серверами в ЕС. HR-директор получил уведомление от РКН о плановой проверке. Аудит выявил: уведомление об обработке не содержало сведений о трансграничной передаче, что нарушает ст. 12 ФЗ-152; серверы размещены за рубежом — нарушение ч. 5 ст. 18 ФЗ-152. Компания перевела обработку на российскую инфраструктуру до завершения проверки и подала уточнённое уведомление в РКН — это учтено как смягчающее обстоятельство.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всего цикла обработки кадровых ПДн, включая КЭДО и СКУД.
Комплект ОРД под ключ — согласия, политика, регламент уничтожения, журналы работника и субъекта.
DPO-аутсорсинг — исполнение функции ответственного по ст. 22.1 ФЗ-152 на абонентской основе.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Переподписывать ранее полученные согласия не требуется — ФЗ-156 обратной силы не имеет. Все новые согласия, начиная с 01.09.2025, должны быть отдельными документами в соответствии с обновлённой ст. 9 ФЗ-152. Если работник принят до этой даты, но расширяется цель обработки — новое согласие оформляется по новым правилам. Старые согласия, встроенные в трудовые договоры, продолжают действовать в рамках зафиксированных в них условий.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает запрашивать персональные данные, не необходимые для исполнения трудового договора. Нельзя собирать: сведения о религиозных и политических взглядах, членстве в общественных организациях, национальности (кроме случаев, когда это прямо требуется законом), состоянии здоровья (сверх обязательных медосмотров), семейном положении (кроме стандартных данных для расчёта НДФЛ). Включение таких вопросов в анкету — нарушение ст. 10 ФЗ-152 о специальных категориях ПДн, основание для штрафа по ч. 1 ст. 13.11 КоАП (от 150 000 до 300 000 руб.).

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих зонах допустимо при соблюдении трёх условий: работники письменно уведомлены о факте ведения съёмки, цель обозначена в локальном нормативном акте, обработка видеозаписей ограничена заявленными целями (безопасность, контроль трудовой дисциплины). Видеозапись с идентифицируемым лицом является персональными данными по ст. 3 ФЗ-152, а при использовании для распознавания личности — биометрическими данными, требующими отдельного письменного согласия по ст. 11 ФЗ-152. Срок хранения записей должен быть зафиксирован в политике обработки ПДн.

4. Сколько хранить согласия после увольнения?

Согласие на обработку персональных данных хранится в течение срока обработки плюс три года после её прекращения (ст. 9 ФЗ-152). Срок обработки прекращается не в момент увольнения, а в момент фактического уничтожения всех данных работника. Если данные уволенного хранятся для целей бухгалтерской отчётности или взаимодействия с ФНС, срок хранения согласия продлевается вместе со сроком хранения этих данных. Минимальный срок хранения согласия — не менее четырёх лет с момента подписания.

5. Кто является оператором при использовании КЭДО?

Работодатель является оператором персональных данных работников в полном объёме — независимо от того, кем предоставляется платформа КЭДО. Поставщик КЭДО действует как лицо, осуществляющее обработку по поручению оператора (ст. 6 ФЗ-152, п. 3). Это означает: работодатель обязан заключить с поставщиком договор поручения с перечнем разрешённых действий с данными, заявить поставщика в уведомлении РКН и нести ответственность за утечку данных через платформу КЭДО. Поставщик отвечает перед работодателем по договору, но не освобождает его от ответственности перед РКН и работниками.

6. Что делать, если работник требует удалить все свои данные после увольнения?

Работодатель обязан ответить на запрос в течение 10 рабочих дней (ст. 20 ФЗ-152). Если для документов установлен архивный срок хранения (трудовой договор — 50 или 75 лет, приказ об увольнении — 50 или 75 лет), уничтожение невозможно — необходимо письменно уведомить работника об основании для продолжения хранения. Данные, на которые архивный срок не распространяется (например, биометрия СКУД, видеозаписи, маркетинговые данные), — уничтожить с составлением акта и направить работнику подтверждение.

Итог

Хранение электронных кадровых документов — это одновременно архивное, трудовое и персональные-данные-законодательство. Конкретный срок для каждого документа определяется пересечением трёх нормативных систем: Приказа Росархива № 236, ст. 5 и 9 ФЗ-152, ст. 86–88 ТК РФ. С 01.09.2025 требования к форме согласия ужесточились: работодатель, не перестроивший форматы документов в КЭДО, получает самостоятельное основание для штрафа при каждой новой проверке.

Практика DATUM по сопровождению HR-отделов в части соответствия 152-ФЗ охватывает аудит документооборота, пересборку пакета ОРД и сопровождение проверок Роскомнадзора в кадровых департаментах торговых сетей, промышленных предприятий и IT-компаний.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025, КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.