Псевдонимизация уволенного: правовое значение
Псевдонимизация уволенного — одна из немногих технических мер, которая одновременно снижает риск утечки и удовлетворяет принципу минимизации по ст. 5 ФЗ-152. Однако большинство HR-департаментов либо путают псевдонимизацию с обезличиванием, либо не применяют её вообще, оставляя полные имена и СНИЛС в архивных базах на десятки лет. После 01.09.2025 (ФЗ-156) и ужесточения ст. 13.11 КоАП с 30.05.2025 цена этой ошибки выросла кратно. Инструкция описывает шесть шагов: от оценки правового статуса данных уволенного до настройки доступа и документирования в системе КЭДО.
Шаг 1. Определите правовой статус данных уволенного
После увольнения работника трудовые отношения прекращаются, но обязанности оператора персональных данных — нет. Оператор вправе продолжать обработку, только если есть самостоятельное правовое основание по ст. 6 ФЗ-152: исполнение требований налогового или архивного законодательства, судебное разбирательство или отдельное согласие субъекта.
Ключевое разграничение — между данными, которые обязательно хранить, и данными, срок хранения которых истёк или не предусмотрен. Первые (расчётные ведомости, трудовая книжка, личная карточка Т-2) подпадают под архивные нормы. Вторые (анкеты при приёме, копии паспорта вне обязательного перечня, биометрические снимки СКУД) подлежат уничтожению по ст. 21 ФЗ-152 после достижения цели обработки.
Псевдонимизация применима к данным первой группы: вы обязаны их хранить, но не обязаны хранить их в открытом виде. Данные второй группы подлежат уничтожению — псевдонимизация здесь не легализует продолжение хранения.
Шаг 2. Разграничьте псевдонимизацию и обезличивание
Путаница между этими понятиями — самая частая ошибка при работе с архивными кадровыми базами. Правовые последствия принципиально различны.
Псевдонимизация (ст. 3 ФЗ-152) — замена идентификаторов на псевдоним при наличии отдельного ключа, позволяющего восстановить связь. Данные остаются персональными. Оператор сохраняет все обязательства: основание по ст. 6, срок по ст. 5, меры защиты по ст. 19, ответ на запрос субъекта по ст. 20 в течение 10 рабочих дней.
Обезличивание — процедура, в результате которой определить принадлежность данных конкретному субъекту становится невозможным без несоразмерных усилий. С 01.09.2025 методы обезличивания закреплены отдельным приказом РКН (5 методов: введение идентификаторов, изменение состава или семантики, декомпозиция, перемешивание, обобщение). После корректного обезличивания данные выходят за периметр ФЗ-152.
Практический вывод: если HR-система хранит данные уволенных с заменой ФИО на числовой код, но в системе есть словарь соответствий — это псевдонимизация, а не обезличивание. Режим ФЗ-152 действует в полном объёме.
Ваши кадровые базы хранят данные уволенных — как давно их проверяли?
Если в HR-системе есть архивы уволенных без чёткого правового основания — это риск штрафа по ч. 1 ст. 13.11 КоАП от 150 000 ₽ и выше. С 30.05.2025 структура штрафов изменилась: повторное нарушение по ч. 1.1 обойдётся до 500 000 ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Составьте реестр данных уволенного и определите сроки
До применения псевдонимизации необходимо описать, что именно хранится, на каком основании и до какой даты. Без этого шага технические меры не дают правовой защиты.
Что включить в реестр данных уволенного
- Категория данных: общие (ФИО, должность, дата рождения), специальные (медицинские справки, группа инвалидности), биометрические (снимки СКУД, голосовые записи).
- Правовое основание хранения после увольнения: архивное (срок определяется нормативными перечнями), налоговое (как правило, 5 лет по НК РФ), судебное (до вступления решения в силу + срок обжалования), отсутствует — уничтожить.
- Местонахождение данных: система КЭДО, 1С:ЗУП, бумажный архив, система СКУД, корпоративная почта.
- Срок хранения: личное дело — 75 лет (по типовому перечню), расчётные ведомости — 75 лет, биометрия СКУД — уничтожить при увольнении (нет архивного основания).
- Ответственный: кто имеет доступ к ключу восстановления при псевдонимизации.
Отдельное внимание — биометрии СКУД. Изображение лица и геометрия руки для пропускной системы относятся к биометрическим ПДн по ст. 11 ФЗ-152. Основание для их обработки — письменное согласие работника. После увольнения согласие автоматически не прекращается, но цель обработки (обеспечение пропускного режима) исчезает. Данные подлежат уничтожению, а не псевдонимизации.
Шаг 4. Примените псевдонимизацию к данным с длительным сроком хранения
Псевдонимизация оправдана для данных, которые обязательно хранить, но которые не требуются в открытом виде для регулярной работы. Типичный пример — архивные расчётные ведомости или кадровые приказы, к которым обращаются раз в несколько лет по запросу ПФР или суда.
Технически схема выглядит так: в архивной базе ФИО, СНИЛС и ИНН заменяются на числовой или буквенный псевдоним. Ключ соответствия (реальные данные — псевдоним) хранится отдельно с ограниченным доступом. Доступ к ключу фиксируется в журнале. При поступлении запроса уполномоченный сотрудник раскрывает ключ, формирует ответ и закрывает доступ.
С точки зрения ст. 9 ФЗ-152 и ФЗ-156 (действует с 01.09.2025) согласие на псевдонимизацию как отдельное действие не требуется, если обработка ведётся на ином законном основании (архивное, налоговое законодательство). Псевдонимизация — это мера защиты, а не самостоятельное основание обработки. Однако если псевдонимизированные данные передаются третьим лицам (аутсорсинговой бухгалтерии, архивному подрядчику) — необходимо поручение обработки по п. 3 ст. 6 ФЗ-152 с перечнем разрешённых действий.
Как псевдонимизация влияет на КЭДО и согласия работников?
КЭДО (корпоративный электронный документооборот) по ст. 22.2 ТК РФ предполагает хранение электронных трудовых документов в информационной системе работодателя. После увольнения работника доступ к его документам в системе КЭДО должен быть ограничен. Псевдонимизация учётной записи и документов — разумная мера, снижающая риск несанкционированного доступа.
Согласия работников после 01.09.2025 (ФЗ-156) оформляются как отдельный документ — не в теле трудового договора, не в приложении к нему. Для уволенных работников, чьи согласия были получены до 01.09.2025 и оформлены в составе договора, обратной силы закон не имеет: переподписывать их не требуется. Но если вы планируете новые действия с данными уволенного (например, передачу в кадровое агентство для рекомендаций) — потребуется отдельное согласие с реквизитами по ст. 9 ФЗ-152: ФИО субъекта, контакты, наименование оператора, цель, перечень данных, срок, способ отзыва.
При использовании КЭДО важно учитывать, кто является оператором: если система внешняя (SaaS-провайдер), работодатель выступает оператором, а провайдер — лицом, осуществляющим обработку по поручению. Поручение должно быть оформлено письменным договором с перечнем разрешённых действий по п. 3 ст. 6 ФЗ-152. После увольнения работника данные в системе провайдера также должны быть псевдонимизированы или уничтожены в зависимости от правового основания.
Если HRD обнаружил, что согласия работников хранятся в трудовом договоре или КЭДО не имеет поручения обработки — это основание для штрафа по ч. 2 ст. 13.11 до 700 000 ₽. Срок на устранение после предписания РКН — 7 рабочих дней. Юристы DATUM соберут комплект ОРД под ключ: политика, согласия, приказы, регламент реагирования.
Собрать ОРД под ключШаг 5. Ограничьте доступ и задокументируйте порядок раскрытия ключа
Псевдонимизация теряет смысл, если доступ к ключу не ограничен. На практике ключ должен быть доступен только лицу, ответственному за обработку ПДн по ст. 22.1 ФЗ-152, и уполномоченным сотрудникам по конкретным запросам. Каждый факт раскрытия фиксируется в журнале с указанием даты, инициатора, цели и перечня раскрытых псевдонимов.
Внутренний регламент должен описывать: кто принимает решение о раскрытии ключа, в каких случаях (запрос государственного органа, судебный запрос, обращение субъекта по ст. 20 ФЗ-152), в какой срок (по ст. 20 — 10 рабочих дней с даты обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта), как фиксируется раскрытие и как после выдачи ответа доступ снова ограничивается.
Если данные уволенного хранятся в нескольких системах (1С, КЭДО, архив СКУД, корпоративная почта) — псевдонимизация и журнал раскрытия должны охватывать все системы. Фрагментарное применение создаёт ложное ощущение защиты: данные в одной системе псевдонимизированы, в другой — открыты.
Шаг 6. Обновите локальные акты и уведомление в реестре РКН
Внедрение псевдонимизации — это изменение в порядке обработки ПДн, которое должно быть отражено в локальных актах. Политика обработки ПДн (ст. 18.1 ФЗ-152) должна содержать описание применяемых мер защиты, включая псевдонимизацию. Инструкция для сотрудников, имеющих доступ к персональным данным, обновляется с учётом нового порядка обращения с ключом.
Если в уведомлении в реестре операторов РКН (ст. 22 ФЗ-152) указаны меры защиты, применяемые оператором, — псевдонимизацию следует отразить при очередном обновлении сведений. Форма уведомления об изменении сведений подаётся через pd.rkn.gov.ru.
Отдельный вопрос — данные уволенных в системах, используемых совместно с другими операторами (групповые HR-платформы холдинга, кадровый аутсорсинг). Здесь важно определить, кто контролирует ключ псевдонимизации и как разграничена ответственность операторов по ст. 6 ФЗ-152.
Типовые ситуации: как это работает на практике
Ситуация 1. Массовое сокращение — архив уволенных в 1С:ЗУП открытым массивом. Производственная компания (Уральский ФО, осень 2025) провела сокращение 300 человек. Данные уволенных остались в 1С с полными ФИО, СНИЛС и расчётными данными. При внеплановой проверке РКН инспектор запросил основание хранения. Компания представила архивный перечень — основание подтверждено, но меры защиты были признаны недостаточными. Назначен штраф в десятки тысяч рублей по ч. 3 ст. 13.11. Аудит после проверки показал: псевдонимизация данных уволенных снизила бы оценку риска и могла повлиять на итоговое решение. Стратегия: до проверки внедрить псевдонимизацию и задокументировать меры в политике.
Ситуация 2. Запрос бывшего работника о его данных. HR-директор торговой сети (Сибирский ФО, начало 2026) получил запрос от уволенного работника по ст. 14 ФЗ-152 — тот просил перечислить, какие данные о нём хранятся и на каком основании. Данные были псевдонимизированы, ключ — у ответственного за обработку. Ответ был подготовлен за 8 рабочих дней: перечень данных, сроки хранения, основания. Работник требований об уничтожении не предъявил. Инцидента не возникло. Стратегия: псевдонимизация не исключает обязанность ответа субъекту, но упрощает контроль над объёмом раскрываемых данных.
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Нет, для уже полученных согласий обратная сила ФЗ-156 не действует. Согласия, оформленные до 01.09.2025 в составе трудового договора или иного документа, продолжают действовать в том объёме, в котором они были получены. Переподписание необходимо только если вы планируете новые цели обработки, которые не охватывались прежним согласием, или если прежнее согласие было оформлено с нарушениями (отсутствие обязательных реквизитов по ст. 9 ФЗ-152).
2. Какие данные нельзя запрашивать у кандидата при трудоустройстве?
По ст. 86 ТК РФ работодатель вправе обрабатывать только те персональные данные, которые необходимы для исполнения трудового договора. Не допускается запрашивать сведения о религиозных и политических убеждениях, членстве в общественных объединениях и профсоюзах, состоянии здоровья (кроме случаев, связанных с профессиональными требованиями), а также данные о частной жизни без согласия работника. Анкеты с такими полями создают риск по ч. 1 ст. 13.11 КоАП (до 300 000 ₽).
3. Можно ли вести видеонаблюдение в офисе и как это связано с ПДн?
Видеонаблюдение в офисе обрабатывает биометрические персональные данные (изображение лица) по ст. 11 ФЗ-152, если используется для идентификации конкретных лиц. Основание — письменное согласие работника или законный интерес оператора при соблюдении баланса интересов. Работники должны быть уведомлены о наблюдении по ст. 87 ТК РФ. Записи хранятся не дольше, чем необходимо для достижения цели. После увольнения работника его изображения из архива видеозаписей подлежат уничтожению.
4. Сколько хранить согласия после увольнения работника?
Согласие на обработку персональных данных является документом кадрового учёта. По типовым перечням архивных документов личное дело работника хранится 75 лет. Согласия, входящие в личное дело, хранятся вместе с ним. Если согласие было получено на отдельное действие (например, на передачу данных в банк для зарплатного проекта) и цель достигнута — согласие хранится как доказательство законности обработки в течение срока исковой давности плюс срок хранения кадровой документации.
5. Кто является оператором при использовании КЭДО через внешний сервис?
Работодатель является оператором персональных данных в системе КЭДО вне зависимости от того, используется собственная платформа или внешний SaaS-провайдер. Провайдер выступает лицом, осуществляющим обработку по поручению оператора, по п. 3 ст. 6 ФЗ-152. Поручение оформляется письменным договором с указанием перечня данных, действий, целей и обязанностей по конфиденциальности. Если провайдер расположен за рубежом — необходимо также уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152.
6. Что делать, если уволенный требует уничтожения всех своих данных?
Требование об уничтожении ПДн по ст. 21 ФЗ-152 правомерно, если основание для обработки отпало или данные обрабатываются незаконно. Оператор обязан рассмотреть требование и в течение 10 рабочих дней либо уничтожить данные, либо уведомить работника о наличии законного основания для продолжения хранения (архивное, налоговое законодательство). Данные, хранение которых обязательно по закону, уничтожению не подлежат — их следует псевдонимизировать и ограничить доступ.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка кадровых оснований обработки, мер защиты и ОРД по 38 пунктам.
- Комплект ОРД под ключ — политика, согласия по ФЗ-156, приказы, регламент реагирования на запросы субъектов.
- DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании.
Итог
Псевдонимизация данных уволенного — это не замена уничтожению, а дополнительная мера защиты для данных с длительным сроком архивного хранения. Она снижает риск утечки, демонстрирует регулятору соблюдение принципа минимизации по ст. 5 ФЗ-152, но не освобождает от обязанностей оператора: основания обработки, ответы субъектам, уведомление РКН остаются в силе. Биометрия СКУД и данные без архивного основания после увольнения подлежат уничтожению — псевдонимизация здесь не применима.
Практика DATUM по сопровождению HR-комплаенса включает аудит кадровых баз, разработку схем псевдонимизации в системах КЭДО и 1С, а также формирование пакета ОРД с учётом требований ФЗ-156 и актуальной редакции ст. 13.11 КоАП.
Есть вопрос по данным уволенных или кадровому комплаенсу?
Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru
14 января 2028 года