инструкция 14 октября 2026 По состоянию на 14 октября 2026

Налоговые регистры и ПДн: срок хранения

Налоговые регистры содержат персональные данные работников — и срок их хранения определяется одновременно Налоговым кодексом и ФЗ-152.

С 30.05.2025 штраф за нарушение условий обработки ПДн для юрлица — до 300 000 ₽ по ч. 1 ст. 13.11 КоАП; за обработку без надлежащего согласия — до 700 000 ₽ по ч. 2. Хранить данные дольше установленного срока без правового основания — отдельный состав нарушения.

→ Если вы HRD и не уверены, соответствует ли срок хранения кадровых регистров требованиям 152-ФЗ — ниже пошаговая инструкция по приведению документооборота в порядок.

Налоговые регистры по НДФЛ и страховым взносам — это не просто учётные документы. В них зафиксированы ФИО, ИНН, СНИЛС, сумма дохода, вычеты, адрес и иные сведения о каждом работнике. По ст. 3 ФЗ-152 такие сведения являются персональными данными, а работодатель — оператором. Конфликт двух логик хранения (налоговой и персональной) — главный практический вопрос для HR-департамента в 2026 году.

Что подготовить перед началом работы

Перечень налоговых регистров с указанием категорий ПДн в каждом (ФИО, ИНН, СНИЛС, адрес, банковские реквизиты).
Действующую политику обработки ПДн с разделом о сроках и основаниях хранения.
Согласия работников в редакции ФЗ-156 от 24.06.2025 (отдельный документ с 01.09.2025).
Приказ об уничтожении ПДн с указанием ответственного и периодичности.
Журнал учёта обращений субъектов за последние 12 месяцев.

Шаг 1. Определите, какие данные в регистрах являются персональными

Налоговый регистр по НДФЛ по форме 1-НДФЛ и расчёт по страховым взносам содержат несколько групп сведений. Первая группа — идентификационные данные: ФИО, дата рождения, ИНН, СНИЛС, паспортные данные, адрес регистрации. Вторая — финансовые: суммы начисленного дохода, вычеты, суммы налога. Третья — в ряде случаев — сведения, относящиеся к специальным категориям: код вычета на ребёнка-инвалида, сведения об инвалидности при льготах по страховым взносам.

«Ст. 10 ФЗ-152 устанавливает запрет на обработку специальных категорий ПДн — в том числе данных о состоянии здоровья — без явного правового основания. Наличие такой информации в налоговом регистре должно быть обосновано нормой НК РФ и отражено в политике обработки ПДн.»

Для HR-директора важно понимать: наличие любых сведений о работнике в налоговом регистре — это обработка ПДн по смыслу ст. 3 ФЗ-152. Это означает, что на каждый регистр должно быть правовое основание (ст. 6 ФЗ-152), а срок хранения — обоснован и задокументирован.

Шаг 2. Разберитесь с конкуренцией сроков хранения по НК и 152-ФЗ

Налоговый кодекс обязывает хранить первичные документы и регистры налогового учёта в течение пяти лет (ст. 23 НК РФ). Для ряда документов, подтверждающих убытки или амортизацию, срок увеличивается. Архивное законодательство устанавливает срок хранения документов по личному составу в 50 или 75 лет в зависимости от даты создания.

«Ст. 5 ФЗ-152 требует, чтобы ПДн не хранились дольше, чем этого требует цель обработки. После достижения цели — оператор обязан уничтожить или обезличить данные.»

Конкуренция разрешается по следующему принципу: пока действует обязанность хранения по НК или архивному законодательству — правовым основанием для хранения ПДн служит исполнение обязанности по п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности, возложенной законом). Как только срок хранения по налоговому законодательству истекает — данные подлежат уничтожению или обезличиванию, если нет иного действующего основания.

Практическая схема для HR: пять лет по НК — это минимальный срок хранения регистра. По истечении этого срока необходимо проверить, нет ли иных оснований хранения (спор с работником, судебный запрос, проверка ФНС), и при их отсутствии — уничтожить данные по акту.

Согласия работников оформлены до 01.09.2025 и вы не уверены, что они действительны?

С 01.09.2025 согласие на обработку ПДн работника — отдельный документ с обязательными реквизитами по ФЗ-156. Если у вас согласия встроены в трудовой договор или анкету кандидата — каждый такой документ создаёт риск штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM проведут аудит пакета ОРД HR-департамента и подготовят согласия в актуальном формате.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте правовые основания для каждой группы данных в регистрах

Не все сведения в налоговом регистре обрабатываются на одном основании. ФИО, ИНН, СНИЛС и суммы дохода — обрабатываются на основании исполнения требований НК РФ (п. 2 ч. 1 ст. 6 ФЗ-152). Паспортные данные и адрес регистрации — как правило, на основании трудового договора (п. 5 ч. 1 ст. 6 ФЗ-152). Сведения об инвалидности — только при наличии явного основания по ст. 10 ФЗ-152.

По ст. 86 ТК РФ работодатель вправе обрабатывать только те ПДн работника, которые необходимы для исполнения трудового договора или для целей, прямо установленных законом. Это правило применяется и к налоговым регистрам: если в регистре есть поля, которые не требуются ни НК, ни ТК — их наличие необходимо обосновать или исключить.

«Ст. 87 ТК РФ обязывает работодателя определить порядок хранения и использования ПДн работников во внутреннем локальном акте с учётом требований ФЗ-152.»

Для HR-директора практическая задача — пройти по каждому полю шаблона налогового регистра и проставить напротив правовое основание. Поля без основания — либо удаляются из шаблона, либо основание формулируется и закрепляется в политике обработки ПДн.

Шаг 4. Настройте процедуру уничтожения данных по истечении срока хранения

Уничтожение ПДн — это не просто удаление файлов из папки. По смыслу ст. 21 ФЗ-152 и внутренних требований к ОРД уничтожение должно быть задокументировано: составлен акт, указаны уничтоженные носители или файлы, дата, ответственное лицо и применённый метод.

Для налоговых регистров в электронном виде (в том числе в КЭДО) уничтожение означает безвозвратное удаление с резервных копий. Если регистр хранится на бумажном носителе — уничтожение подтверждается актом шредирования. Практика РКН показывает: отсутствие актов уничтожения при проверке рассматривается как продолжение незаконной обработки данных после истечения срока.

Отдельный вопрос — уволенные работники. Личное дело хранится 75 лет (для документов, созданных до 2003 года) или 50 лет (после 2003 года) по архивному законодательству. Налоговые регистры по этим работникам хранятся пять лет по НК. После пяти лет регистры уничтожаются, а личное дело продолжает храниться — без ПДн из налоговых регистров.

Если HR-директор не выстроил процедуру уничтожения ПДн по истечении срока — это нарушение ч. 5 ст. 21 ФЗ-152 и основание для штрафа по ч. 1 ст. 13.11 КоАП до 300 000 ₽. Юристы DATUM соберут регламент уничтожения и формы актов под ключ.

Собрать ОРД под ключ

Шаг 5. Приведите согласия работников в соответствие с требованиями ФЗ-156

С 01.09.2025 согласие работника на обработку ПДн, которые не охватываются трудовым договором или требованиями НК, должно быть оформлено отдельным документом. Согласие не может быть включено в текст трудового договора, анкеты кандидата, оферты или политики конфиденциальности. Это требование введено ФЗ-156 от 24.06.2025.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 устанавливает: согласие субъекта ПДн оформляется отдельным документом и не объединяется с иными документами. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Для налоговых регистров согласие как самостоятельное основание практически не применяется — обработка в них ведётся по закону. Но согласие потребуется, если работодатель собирает дополнительные сведения, не предусмотренные НК или ТК: например, реквизиты банковской карты стороннего банка, сведения о составе семьи сверх необходимого для вычетов, контакты родственников.

По ст. 22.2 ТК РФ работодатель, перешедший на КЭДО, обязан уведомить работников об этом переходе. При использовании КЭДО налоговые регистры формируются в электронном виде — и это порождает дополнительные требования к защите данных: технические меры по ПП РФ №1119, уровни защищённости, журналирование доступа.

Как применяется на практике

Кейс 1. Производственная компания (Уральский ФО, начало 2026) прошла плановую проверку РКН. Инспектор запросил локальный акт о порядке хранения ПДн работников и акты уничтожения данных за последние три года. Компания представила только политику конфиденциальности — без регламента уничтожения и без актов. По ч. 1 ст. 13.11 КоАП возбуждено дело; назначен штраф в диапазоне до 300 000 ₽. После проверки HR-директор в течение 30 дней разработал регламент уничтожения, составил ретроспективные акты по доступным данным и уведомил РКН об устранении нарушения.

Кейс 2. Торговая сеть (Центральный ФО, осень 2025) при переходе на КЭДО включила в электронный трудовой договор пункт о согласии работника на обработку ПДн. После вступления в силу ФЗ-156 от 01.09.2025 все такие согласия утратили надлежащую форму. РКН при рассмотрении жалобы бывшего работника квалифицировал это как нарушение ч. 2 ст. 13.11 КоАП. HR-директор организовал переподписание согласий как отдельных документов в течение 45 дней, что было учтено при назначении наказания.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка ОРД HR-департамента по чек-листу из 38 пунктов.
Комплект ОРД под ключ — политика, согласия, регламент уничтожения, журналы.
DPO-аутсорсинг — ответы на запросы субъектов и взаимодействие с РКН на абонентском обслуживании.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не имеют — ФЗ-156 не требует их обязательного переоформления. Однако если согласие было включено в текст трудового договора или иного документа и при этом служит правовым основанием для обработки данных, не охваченных законом, — такое согласие не соответствует новой редакции ст. 9 ФЗ-152. При следующей актуализации пакета ОРД или по требованию работника его следует переоформить отдельным документом с полным набором реквизитов.

2. Какие данные нельзя спрашивать в анкете кандидата?

По ст. 86 ТК РФ работодатель не вправе запрашивать сведения, не связанные с трудовой функцией. Под запретом при приёме на работу: партийная и религиозная принадлежность, сведения о состоянии здоровья (за исключением медосмотра для отдельных должностей), данные о судимости (за исключением должностей, для которых судимость является ограничением). Включение таких полей в анкету — обработка специальных категорий ПДн без основания по ст. 10 ФЗ-152 и риск штрафа по ч. 1 ст. 13.11 КоАП.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих помещениях — обработка биометрических ПДн по смыслу ст. 11 ФЗ-152, если запись позволяет идентифицировать конкретного человека. Для правомерной обработки необходимо: уведомить работников о ведении съёмки под подпись, отразить цели и порядок видеонаблюдения в локальном акте, указать срок хранения записей. Использование биометрии в СКУД (система контроля и управления доступом) — отдельная категория: требует письменного согласия работника по ст. 11 ФЗ-152, если лицо идентифицируется по биометрическому шаблону.

4. Сколько хранить согласия после увольнения?

Согласие работника на обработку ПДн — документ, относящийся к личному делу. Для документов по личному составу, созданных после 2003 года, срок хранения составляет 50 лет по архивному законодательству. Одновременно по ст. 5 ФЗ-152 оператор обязан хранить согласие не менее срока, в течение которого оно использовалось как правовое основание для обработки данных. На практике согласие хранится не менее пяти лет после увольнения, а при наличии судебных рисков — до истечения срока исковой давности.

5. Кто оператор при использовании КЭДО?

Оператором ПДн при использовании КЭДО остаётся работодатель — вне зависимости от того, какая платформа используется. Платформа КЭДО действует как лицо, осуществляющее обработку ПДн по поручению оператора (ст. 6 ч. 3 ФЗ-152). Это означает: поручение обработки должно быть оформлено договором с указанием перечня действий, целей и мер защиты. Ответственность перед РКН и субъектами ПДн несёт работодатель, а не платформа.

6. Что будет, если налоговый регистр хранить бессрочно?

Хранение ПДн дольше, чем требует цель обработки, — нарушение принципа минимизации по ст. 5 ФЗ-152. Если при проверке РКН будет установлено, что данные хранятся без действующего правового основания, это квалифицируется как нарушение ч. 1 ст. 13.11 КоАП — штраф для юрлица от 150 000 до 300 000 ₽. При повторном нарушении — до 500 000 ₽ по ч. 1.1 той же статьи.

Итог

Налоговые регистры — это документы двойного правового режима: налогового учёта и обработки персональных данных одновременно. Срок хранения определяется старшим из действующих оснований: пять лет по НК РФ, 50–75 лет для личных дел по архивному законодательству. После истечения применимого срока — уничтожение по акту обязательно.

DATUM сопровождает HR-департаменты в части 152-ФЗ: аудит пакета ОРД, актуализация согласий по ФЗ-156, регламенты уничтожения, КЭДО и биометрия СКУД. Практика «Ветров и партнёры» по защите персональных данных в трудовых отношениях — с 2014 года.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

14 октября 2026 года