Перейти к содержанию
инструкция 19 января 2029 По состоянию на 19 января 2029

ПДн при увольнении с конкурентом: NDA

Увольнение сотрудника, уходящего к конкуренту, создаёт двойной риск: утечку персональных данных о коллегах и клиентах — и нарушение порядка обработки ПДн самого уходящего.
С 01.09.2025 согласие работника на обработку ПДн — отдельный документ (ФЗ-156 от 24.06.2025). Нарушение требований к согласию грозит штрафом до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.
→ Если вы HRD и увольняете сотрудника, имеющего доступ к базе ПДн, — эта инструкция даёт пошаговый порядок действий: от уведомления до уничтожения данных.

Переход сотрудника к конкуренту — стандартная деловая ситуация, которая в 2025–2026 годах приобрела новое правовое измерение. Роскомнадзор фиксирует десятки случаев, когда источником утечки оказывался бывший работник. Одновременно ч. 2 ст. 13.11 КоАП в редакции ФЗ-420 с 30.05.2025 установила за нарушение требований к согласию штраф 300 000–700 000 ₽ для юридических лиц. Ниже — шесть шагов, которые HR-директор должен выполнить до и после расторжения трудового договора.

Шаг 1. Определите, к каким ПДн имел доступ сотрудник

Перед началом процедуры увольнения зафиксируйте полный перечень информационных систем и баз данных, к которым у сотрудника был доступ. Это необходимо для двух целей: правильной квалификации рисков и последующего закрытия доступа.

Ст. 18.1 ФЗ-152 обязывает оператора принимать меры, обеспечивающие соблюдение требований закона. Отсутствие матрицы доступа само по себе является нарушением внутренних регламентов и создаёт основание для предписания РКН.

«Ст. 18.1 ФЗ-152 — оператор обязан принимать меры для предотвращения неправомерного доступа, в том числе определять лиц, имеющих доступ к ПДн, и устанавливать их ответственность.»

Составьте реестр доступа по должности: CRM, кадровая система, КЭДО-платформа, СКУД с биометрией, облачные хранилища. Зафиксируйте уровень привилегий.

Шаг 2. Отзовите доступ к ПДн до или в день увольнения

Аннулирование учётных данных должно совпадать с датой приказа об увольнении — или предшествовать ей. Практика РКН 2025–2026 годов показывает: большинство внутренних утечек происходит в период между подачей заявления и фактическим прекращением доступа.

Ст. 19 ФЗ-152 требует применения организационных и технических мер защиты. Одна из них — принцип наименьших привилегий, то есть исключение доступа, который перестал быть необходимым для выполнения трудовой функции.

«Ст. 19 ФЗ-152 — оператор применяет технические и организационные меры защиты, в том числе исключающие несанкционированный доступ к ПДн.»

Не ограничивайтесь деактивацией учётной записи в AD. Проверьте токены API, личные папки с выгрузками, совместные документы в облаке и почтовые пересылки за последние 30 дней.

Уходящий сотрудник имел доступ к кадровой базе?

Если HR-директор обнаружил, что увольняемый скачал выгрузку ПДн коллег или клиентов — у вас 24 часа на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152). Этот срок не восстанавливается. Промедление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут план устранения нарушений с приоритетами.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте основания хранения ПДн уволенного

Увольнение не означает немедленного уничтожения всех персональных данных работника. Обработка продолжается, пока существует правовое основание: исполнение требований законодательства о труде, архивного права и налогового учёта.

Ст. 5 ФЗ-152 устанавливает принцип: ПДн не хранятся дольше, чем необходимо для достижения целей обработки. Личное дело работника по типовым срокам хранится 75 лет (для дел, оконченных после 2003 года), расчётные ведомости — 75 лет. Согласие на обработку ПДн сверх этих оснований — например, для рассылок или участия в корпоративных программах — после увольнения утрачивает силу.

«Ст. 5 ФЗ-152 — персональные данные не могут храниться дольше, чем этого требуют цели их обработки. При достижении цели или утрате необходимости данные подлежат уничтожению или обезличиванию.»

Проверьте: не остался ли уволенный в активной CRM, рассылочных сегментах, системах мониторинга персонала. Если остался — это нарушение ст. 5 и основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

Как правильно оформить NDA с учётом требований 152-ФЗ?

Соглашение о неразглашении (NDA) в контексте ПДн выполняет двойную функцию: устанавливает обязательства работника не разглашать конфиденциальную информацию и одновременно является документальным подтверждением того, что сотрудник был ознакомлен с режимом защиты ПДн.

Ст. 88 ТК РФ запрещает передавать ПДн работника третьим лицам без его письменного согласия. NDA при увольнении фиксирует обратное обязательство: сотрудник обязуется не передавать ПДн коллег, клиентов и партнёров, к которым имел доступ в период работы.

«Ст. 88 ТК РФ — при передаче ПДн работника работодатель обязан предупредить получателей о том, что данные могут использоваться только в целях, для которых сообщены.»

NDA при увольнении должно включать: исчерпывающий перечень категорий ПДн, к которым сотрудник имел доступ; запрет на копирование, хранение и передачу этих данных; срок действия ограничений; ответственность за нарушение — со ссылкой на ст. 272.1 УК РФ (незаконное использование ПДн, действует с 11.12.2024, до 10 лет лишения свободы по ч. 5).

Важно: NDA не заменяет согласия на обработку ПДн и не является основанием для продолжения обработки данных уволенного сверх законных сроков. Это разные правовые инструменты с разными функциями.

Что подготовить при увольнении сотрудника с доступом к ПДн

  • Акт об отзыве доступа к информационным системам с указанием даты, систем и лица, исполнившего отзыв
  • NDA при увольнении с перечнем категорий ПДн, к которым сотрудник имел доступ, и ссылкой на ст. 272.1 УК РФ
  • Обновлённые согласия работников на обработку ПДн в формате отдельного документа (ФЗ-156, требование с 01.09.2025)
  • Журнал учёта выгрузок и экспортов из кадровых систем за 90 дней, предшествующих увольнению
  • Приказ об уничтожении (обезличивании) ПДн уволенного, которые не подпадают под обязательные сроки хранения

Какие согласия работников нужно переоформить после 01.09.2025?

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть включено в трудовой договор, оферту, политику конфиденциальности или иной документ. Обратной силы норма не имеет: ранее полученные согласия переоформлять не требуется — если они содержат все обязательные реквизиты.

Риск возникает при двух обстоятельствах. Первое: в трудовом договоре есть фраза «подписывая настоящий договор, работник даёт согласие на обработку персональных данных» — такое согласие с 01.09.2025 юридически ничтожно для новых работников. Второе: старое согласие не содержало обязательных реквизитов по ст. 9 ФЗ-152 (перечень ПДн, цели, действия, срок, способ отзыва) — оно уязвимо для оспаривания.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 — согласие субъекта на обработку его персональных данных должно быть оформлено в виде отдельного документа. Реквизиты: наименование оператора, цель обработки, перечень ПДн, перечень действий, срок и способ отзыва.»

При увольнении сотрудника проверьте его согласие в личном деле. Если оно составлено после 01.09.2025 и включено в другой документ — зафиксируйте нарушение в акте и при ближайшей возможности получите отдельное согласие от работающих сотрудников по корректной форме.

Если согласия работников вашей компании по-прежнему включены в трудовой договор — каждый новый приём с 01.09.2025 создаёт основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Юристы DATUM соберут пакет ОРД HR-департамента под ключ за фиксированную стоимость.

Собрать ОРД под ключ

Шаг 5. Уничтожьте или обезличьте данные уволенного, хранение которых утратило основание

После истечения законных сроков хранения персональные данные уволенного подлежат уничтожению или обезличиванию. Ст. 21 ФЗ-152 предписывает это сделать в течение 30 дней с момента достижения цели обработки или утраты необходимости в ней.

Практически это означает: контактные данные для корпоративной рассылки, фото для бейджа, биометрия в СКУД — удаляются в день увольнения или в течение нескольких рабочих дней. Кадровые документы (приказы, расчётные ведомости, личное дело) хранятся согласно требованиям архивного и трудового законодательства и к этой процедуре не относятся.

«Ст. 21 ФЗ-152 — при достижении целей обработки или при утрате необходимости в ней оператор обязан прекратить обработку и уничтожить (обезличить) ПДн в срок не более 30 дней.»

Уничтожение фиксируйте актом с подписью ответственного лица. Это документ, который РКН запрашивает при проверке.

Шаг 6. Проверьте КЭДО и биометрию СКУД

Два технических контура часто остаются вне поля зрения HR при увольнении. Первый — КЭДО-платформа. Если оператором КЭДО выступает работодатель, он обязан после увольнения закрыть сотруднику доступ к электронным документам, содержащим ПДн коллег, и удалить его из системы или перевести в статус «архивный» без права экспорта данных.

Второй — биометрия СКУД. Ст. 11 ФЗ-152 требует письменного согласия на обработку биометрических ПДн. Отпечаток пальца, изображение лица в базе СКУД — биометрические данные. При увольнении шаблон биометрии подлежит немедленному удалению из системы с составлением акта. Хранить его после увольнения без отдельного согласия и правового основания нельзя.

«Ст. 11 ФЗ-152 — биометрические персональные данные (в том числе изображение лица, отпечатки пальцев) обрабатываются только с письменного согласия субъекта. По истечении срока или отзыве согласия оператор обязан прекратить обработку и уничтожить данные.»

Проверьте: зафиксировано ли в вашем регламенте обязательное удаление биометрии СКУД при увольнении? Если нет — это пробел в ОРД, который выявляется при первой же проверке РКН.

Типовые ситуации: как применяется инструкция на практике

Ситуация 1. Сотрудник скачал выгрузку клиентской базы за день до увольнения. IT-служба фиксирует выгрузку при анализе логов через 3 дня после увольнения. Доказательства: журналы доступа, метки времени. Оператор обязан в течение 24 часов с момента обнаружения уведомить РКН по ч. 3.1 ст. 21 ФЗ-152 и через 72 часа направить отчёт о расследовании (Приказ РКН №187). Стратегия: немедленно зафиксировать инцидент, направить уведомление, параллельно подготовить NDA-претензию бывшему сотруднику со ссылкой на ст. 272.1 УК РФ.

Ситуация 2. Биометрия СКУД уволенного не удалена — обнаружена при аудите через 6 месяцев. Доказательства: база СКУД содержит шаблон, акт об уничтожении отсутствует. Вероятный исход: штраф по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) за хранение ПДн после утраты основания. Стратегия: немедленно удалить шаблон, составить акт задним числом нельзя — составить акт с фактической датой, в рамках аудита разработать регламент автоматического удаления биометрии при увольнении.

Ситуация 3. Согласия работников — в трудовом договоре, часть сотрудников уволена и перешла к конкуренту после 01.09.2025. Ситуация: новые работники приняты с согласием в договоре — форма нарушает ФЗ-156. Доказательства: формы документов, даты трудовых договоров. Стратегия: для работающих сотрудников — срочно получить отдельные согласия по корректной форме. Для уволенных — оценить риск претензий субъектов и возможного штрафа; при отсутствии жалоб — профилактические меры.

Как это применяется на практике

Кейс 1. Производственная компания (Уральский ФО, осень 2025): при плановой проверке РКН выявил, что биометрические шаблоны 14 уволенных сотрудников СКУД хранятся в системе без правового основания. Компания не имела регламента удаления данных при увольнении. Назначен штраф в диапазоне нижней части санкции ч. 1 ст. 13.11 КоАП. После аудита DATUM разработан регламент автоматического удаления биометрии при закрытии карточки сотрудника в HR-системе.

Кейс 2. Торговая сеть (Сибирский ФО, начало 2026): при увольнении регионального менеджера служба безопасности зафиксировала выгрузку базы поставщиков (ФИО, телефоны, email — ПДн). HR-директор направил первичное уведомление в РКН в течение 20 часов с момента обнаружения, через 71 час — отчёт о расследовании. Оперативность была учтена как смягчающее обстоятельство. Параллельно юристы подготовили NDA-претензию бывшему сотруднику со ссылкой на ст. 272.1 УК РФ. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Ранее полученные согласия переоформлять не требуется — ФЗ-156 обратной силы не имеет. Однако если согласие было включено в трудовой договор или иной документ и при этом подписано до 01.09.2025, его юридическая сила сохраняется для отношений, возникших до этой даты. Для новых работников, принятых после 01.09.2025, согласие обязательно оформляется отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156. Нарушение — штраф 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает получать и обрабатывать ПДн о политических, религиозных и иных убеждениях работника, его членстве в общественных объединениях, в том числе в профсоюзах. Сбор сведений о состоянии здоровья допускается только в объёме, необходимом для определения пригодности к работе (медицинские справки для отдельных категорий должностей). Включение в анкету вопросов о семейном положении, национальности, вероисповедании, судимостях (без законного основания) — нарушение ст. 10 ФЗ-152 и ст. 86 ТК РФ.

3. Можно ли вести видеонаблюдение в офисе и использовать записи как доказательство выноса данных?

Видеозапись работников на рабочем месте допустима при соблюдении трёх условий: работник уведомлён об этом в трудовом договоре или локальном акте, согласие получено в установленном порядке, цель обработки — обеспечение безопасности и охраны труда. Изображение лица, записанное камерой в режиме идентификации личности, квалифицируется как биометрические ПДн по ст. 11 ФЗ-152 и требует письменного согласия. Использование записей в качестве доказательной базы допустимо, если соблюдены требования к законности сбора.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн — это кадровый документ, подтверждающий правомерность обработки. Его следует хранить не менее срока исковой давности по возможным претензиям работника (3 года по общей норме ГК РФ), но с учётом архивных требований — не менее срока хранения личного дела. Для дел, оконченных после 2003 года, типовой срок — 75 лет (Приказ Росархива). Уничтожение согласия раньше срока создаёт риск: в случае претензии субъекта оператор не сможет доказать правомерность обработки.

5. Кто является оператором ПДн при использовании КЭДО?

При использовании КЭДО-платформы оператором ПДн является работодатель — он определяет цели и состав обрабатываемых данных. Провайдер платформы действует как лицо, осуществляющее обработку по поручению оператора (ст. 6 ч. 3 ФЗ-152). Поручение оформляется договором, в котором фиксируются: перечень обрабатываемых ПДн, цели, разрешённые действия, обязанность конфиденциальности и меры защиты. Отсутствие такого договора — самостоятельное нарушение, выявляемое при проверке РКН.

6. Что включить в NDA при увольнении, чтобы оно имело силу по 152-ФЗ?

NDA при увольнении не заменяет согласие на обработку ПДн, но дополняет его запретом на незаконное использование данных. Эффективное NDA содержит: исчерпывающий перечень категорий ПДн, к которым сотрудник имел доступ (ФИО коллег, контакты клиентов, медицинские данные, если применимо); прямой запрет на хранение, копирование и передачу этих данных после увольнения; ссылку на ст. 272.1 УК РФ как на применимую меру ответственности; срок действия — не менее 3 лет с даты увольнения. Подписание NDA фиксируется в личном деле.

Итог

Увольнение сотрудника с доступом к ПДн требует шести последовательных действий: инвентаризация доступа, его закрытие, проверка оснований хранения данных уволенного, оформление NDA, уничтожение данных без правового основания и закрытие контуров КЭДО и СКУД. Нарушение любого из этих шагов создаёт риск штрафа от 150 000 до 700 000 ₽ по ст. 13.11 КоАП или уголовной ответственности по ст. 272.1 УК РФ.

DATUM сопровождает HR-департаменты при переходе на требования ФЗ-156, разрабатывает пакеты согласий и регламенты реагирования на инциденты, связанные с персоналом.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах, сопровождение проверок РКН в HR-департаментах.

19 января 2029 года