инструкция 7 апреля 2027 По состоянию на 7 апреля 2027

Отзыв согласия уволенным работником

Уволенный работник вправе отозвать согласие на обработку персональных данных в любой момент — это прямое право по ст. 9 ФЗ-152. Оператор обязан прекратить обработку в течение 30 дней, но сохранить данные, необходимые по закону.

С 01.09.2025 (ФЗ-156) согласие — отдельный документ. Если у вас оно вшито в трудовой договор или анкету — оно уязвимо при проверке РКН. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за каждое ненадлежащее согласие.

→ Если вы HRD и получили заявление об отзыве — у вас есть строгий алгоритм действий. Ниже — пошаговая инструкция.

После увольнения бывший работник нередко требует «удалить все мои данные». Для HR-директора это не просто жалоба — это юридически значимое заявление, которое запускает процедуру по ст. 9 ФЗ-152. Ошибка в сроках или объёме прекращения обработки влечёт штраф по ч. 5 ст. 13.11 КоАП — до 90 000 ₽. Повторное нарушение — до 500 000 ₽. Инструкция ниже охватывает весь путь: от получения заявления до закрытия личного дела и ответа на запрос РКН.

Шаг 1. Проверьте основание обработки и объём данных уволенного

Прежде чем прекращать обработку, нужно понять, что именно обрабатывается и на каком основании. Трудовые отношения создают несколько правовых оснований, которые существуют независимо от согласия.

Данные, которые оператор вправе хранить без согласия после увольнения:

Сведения для воинского учёта (ст. 8 ФЗ «О воинской обязанности»)
Документы в составе личного дела — приказы, трудовой договор, трудовая книжка — срок хранения 75 лет (ст. 22.2 ТК РФ, приказ Росархива)
Бухгалтерские документы с ФИО — 5 лет по 402-ФЗ
Сведения для расчёта налогов и взносов — срок хранения по НК РФ

Данные, которые обрабатываются только на основании согласия и подлежат прекращению обработки при отзыве:

Фото и видео в корпоративных материалах, на сайте, в соцсетях компании
Биометрические данные СКУД (изображение лица, отпечатки пальцев) по ст. 11 ФЗ-152
Данные в системах КЭДО сверх минимума, необходимого для трудовых функций
Персональные данные в программах лояльности, ДМС (если не работодатель страхователь), рекомендательных письмах

«Ст. 9 ФЗ-152: субъект вправе отозвать согласие на обработку персональных данных в любой момент. Оператор обязан прекратить обработку или обеспечить её прекращение в течение 30 дней с момента получения отзыва, если иное не предусмотрено договором, стороной которого является субъект, либо законом.»

Шаг 2. Получите и зарегистрируйте заявление об отзыве

Отзыв согласия — юридически значимое действие. Момент получения заявления запускает 30-дневный срок. Нет регистрации — нет подтверждения срока.

Как принять заявление:

Письменное заявление в офисе — зарегистрировать в журнале входящих обращений с датой и подписью принявшего
Заявление по почте — датой получения считается дата отметки о вручении на почтовом уведомлении
Заявление по email — зафиксировать дату получения, направить подтверждение о приёме
Заявление через КЭДО — система фиксирует метку времени автоматически

Обязательные реквизиты ответного подтверждения: дата получения, перечень данных, обработка которых будет прекращена, срок прекращения, перечень данных, которые будут сохранены по закону с указанием основания.

Получили заявление об отзыве от уволенного работника?

Для HRD важно не просто прекратить обработку, но и правильно задокументировать каждый шаг. Ошибка в 30-дневном сроке или неполный ответ на заявление — основание для протокола по ч. 5 ст. 13.11 КоАП (до 90 000 ₽). Юристы DATUM соберут пакет ОРД под ключ: регламент отзыва согласий, журнал обращений, шаблоны ответных писем.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Определите перечень систем и удалите данные

Практическая сложность отзыва — данные уволенного рассредоточены по нескольким системам. У большинства работодателей это 5–8 точек хранения.

Что проверить при отзыве согласия уволенного работника

Кадровая система (1С:ЗУП, SAP HR) — заблокировать профиль, удалить избыточные поля
СКУД с биометрией — удалить шаблон лица или отпечатка в течение 30 дней (ст. 11 ФЗ-152)
Корпоративный сайт и соцсети — удалить фото, видео, упоминания
Система КЭДО — заблокировать доступ, сохранить подписанные документы в архиве
Email-базы и CRM — исключить из рассылок, пометить запись как «обработка прекращена»

Биометрические данные СКУД — особый случай. По ст. 11 ФЗ-152 биометрия обрабатывается исключительно с письменного согласия. Отзыв этого согласия обязывает оператора уничтожить шаблоны в срок, установленный в согласии (но не позднее 30 дней). Сохранение биометрии после отзыва — нарушение ч. 16 ст. 13.11 КоАП.

Шаг 4. Составьте акт уничтожения или блокирования персональных данных

Прекращение обработки должно быть задокументировано. Устное решение или внутренняя переписка — недостаточное доказательство при проверке РКН.

Акт уничтожения или блокирования должен содержать:

Дата составления акта
ФИО уволенного работника (как субъекта ПДн)
Перечень систем, в которых прекращена обработка
Перечень категорий данных, уничтоженных или заблокированных
Перечень данных, сохранённых на законном основании, с указанием нормы
Подписи ответственного за обработку и исполнителей

Акт хранится отдельно от личного дела. Срок хранения — не менее 3 лет (для обеспечения доказательной базы при возможных проверках).

Шаг 5. Направьте ответ субъекту в установленный срок

По ст. 20 ФЗ-152 оператор обязан в течение 10 рабочих дней с даты обращения сообщить субъекту о результатах. Срок может быть продлён ещё на 5 рабочих дней при условии письменного уведомления субъекта.

Что включить в ответ уволенному работнику:

Подтверждение получения отзыва с датой
Перечень данных, обработка которых прекращена
Перечень данных, сохранённых на законном основании, с указанием конкретной нормы (ст. 22.2 ТК РФ, ст. 17 402-ФЗ и т. д.)
Информацию о третьих лицах, которым данные передавались (если передавались) — оператор обязан уведомить их об отзыве по ч. 5 ст. 21 ФЗ-152

«Ст. 21 ч. 5 ФЗ-152: если персональные данные были переданы третьим лицам до получения отзыва согласия, оператор обязан уведомить их о необходимости прекратить обработку.»

Молчание или неполный ответ — нарушение ч. 4 ст. 13.11 КоАП (штраф до 80 000 ₽). При повторном нарушении — до 500 000 ₽ по ч. 5.1.

Если вы HRD и в HR-системах нет регламента обработки заявлений субъектов — каждое обращение уволенного работника создаёт риск штрафа. 10 рабочих дней на ответ не восстанавливаются. Юристы DATUM возьмут функцию ответственного за обработку на аутсорсинг, включая ответы на запросы субъектов.

Подключить DPO-аутсорс

Как применяется на практике: два сценария для HR-директора

Сценарий 1. Биометрия СКУД — отзыв согласия после увольнения. Уволенный сотрудник крупного ретейлера (Центральный ФО, осень 2025) направил заявление об отзыве согласия на обработку биометрических данных системы контроля доступа. HR-директор передал заявление в ИТ-отдел, но шаблон лица был удалён из системы только через 45 дней — то есть за пределами 30-дневного срока. РКН при плановой проверке выявил нарушение. Протокол составлен по ч. 16 ст. 13.11 КоАП. Штраф — в нижней части диапазона, с учётом первичности нарушения. Стратегия для HR: биометрические согласия должны содержать отдельную процедуру уничтожения с конкретным ответственным и сроком, а в СКУД — настроен автоматический триггер удаления при статусе «уволен».

Кейс 2. КЭДО и согласие как часть договора до 01.09.2025. В компании среднего бизнеса (Сибирский ФО, начало 2026) уволенный работник подал жалобу в РКН: согласие на обработку ПДн было включено в текст трудового договора, подписанного до 01.09.2025. После вступления в силу ФЗ-156 HR-служба не переоформила согласия. РКН квалифицировал ситуацию как нарушение ч. 2 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. Вывод: согласия, выданные до 01.09.2025 и встроенные в трудовой договор, не теряют силу автоматически, но при первой же жалобе субъекта становятся уязвимым местом. ОРД нужно обновить превентивно.

Нужно ли переподписывать согласия работников после 01.09.2025?

Нет, ФЗ-156 не имеет обратной силы: согласия, выданные до 01.09.2025, остаются действительными. Однако если такое согласие встроено в трудовой договор или иной документ и работник подаст жалобу — РКН оценит его форму по новым требованиям ст. 9 ФЗ-152. Безопасный путь: при очередном взаимодействии с работником (продление договора, новая функция, новая система) переоформить согласие отдельным документом с обязательными реквизитами: цель, перечень данных, действия, срок, способ отзыва.

Какие данные нельзя спрашивать в анкете при приёме на работу?

По ст. 86 ТК РФ работодатель вправе обрабатывать только те ПДн, которые необходимы для исполнения трудового договора. Запрашивать сведения о политических взглядах, религии, состоянии здоровья (если работа не предполагает медосмотра), национальности, семейном положении без обоснованной связи с трудовой функцией — нарушение. Такие поля в анкете создают основание для штрафа по ч. 1 ст. 13.11 КоАП (до 300 000 ₽).

Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение на рабочем месте допустимо при одновременном соблюдении трёх условий: работники уведомлены о факте наблюдения (ст. 87 ТК РФ), оператор принял организационные меры — локальный акт о режиме видеонаблюдения, цель обработки — обеспечение безопасности или охрана труда. Согласие работника на видеонаблюдение в зонах общего пользования, как правило, не требуется — достаточно уведомления и локального акта. В личных зонах (раздевалки, санузлы) видеонаблюдение запрещено.

Сколько хранить согласия после увольнения?

Согласие работника — документ, подтверждающий законность обработки. Его отсутствие при проверке РКН создаёт риск штрафа по ч. 2 ст. 13.11 КоАП. Срок хранения согласий — не менее срока обработки плюс срок исковой давности (3 года). Личное дело в целом хранится 75 лет по ст. 22.2 ТК РФ. Согласие на биометрию СКУД после уничтожения шаблона рекомендуется хранить не менее 3 лет как доказательство законности первоначальной обработки.

Кто оператор при использовании КЭДО?

При использовании КЭДО оператором персональных данных остаётся работодатель — независимо от того, чью платформу он использует. Провайдер КЭДО выступает лицом, осуществляющим обработку по поручению (ст. 6 ч. 3 ФЗ-152). Это означает: работодатель несёт ответственность за законность обработки, объём передаваемых платформе данных и наличие договора поручения с обязательными условиями по ст. 6. При проверке РКН отсутствие такого договора — самостоятельное нарушение.

Итог

Отзыв согласия уволенным работником — стандартная, но строго регламентированная процедура. Ключевые точки риска: просрочка 30-дневного срока, неполный охват систем (особенно СКУД и КЭДО), отсутствие акта уничтожения и неответ субъекту в 10 рабочих дней. Каждая из этих ошибок — самостоятельный состав по ст. 13.11 КоАП.

DATUM сопровождает HR-департаменты в выстраивании процедур обработки ПДн работников: от аудита существующих согласий до разработки регламента реагирования на обращения субъектов и подготовки к проверкам РКН.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, ОРД и систем хранения ПДн
Комплект ОРД под ключ — политика, согласия, регламент отзыва, журналы
DPO-аутсорсинг — ведение функции ответственного за обработку, ответы субъектам

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

7 апреля 2027 года