Регламент при увольнении сотрудника
С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — требование ФЗ-156 от 24.06.2025, изменившего ч. 1 ст. 9 ФЗ-152. При увольнении сотрудника задача юриста — не только оформить кадровый документооборот, но и привести обработку ПДн в соответствие с нормами: прекратить передачу данных третьим лицам, уничтожить данные, которые более не нужны, и зафиксировать каждое действие документально. Ниже — пошаговый регламент для операторов.
Шаг 1. Определите, какие ПДн и на каком основании обрабатываются
Перед увольнением проверьте реестр обработки ПДн и уточните, какие категории данных задействованы по конкретному сотруднику. Перечень стандартен: ФИО, паспортные данные, ИНН, СНИЛС, банковские реквизиты, сведения о здоровье при наличии, данные о членах семьи для льгот, биометрия при использовании СКУД.
Каждая категория требует отдельного правового основания. Данные, обрабатывавшиеся исключительно на основании трудового договора (п. 5 ч. 1 ст. 6 ФЗ-152), утрачивают это основание в день расторжения договора. Данные, для которых было получено отдельное согласие по ст. 9 ФЗ-152, — сохраняют основание до отзыва согласия или истечения срока.
Составьте внутреннюю карту обработки по уволенному сотруднику: основание → категория данных → хранение → получатель. Это исходная точка для всех последующих шагов.
Шаг 2. Прекратите передачу ПДн третьим лицам
В день увольнения или не позднее следующего рабочего дня направьте уведомления всем получателям персональных данных сотрудника: зарплатному банку, страховым компаниям, провайдерам корпоративных льгот, кадровым агентствам, если они действуют по поручению оператора.
Основание — ч. 3 ст. 21 ФЗ-152: оператор обязан прекратить передачу ПДн при утрате основания для обработки. Отправка платёжного реестра в банк после даты увольнения при отсутствии иного основания — нарушение ч. 1 ст. 13.11 КоАП (обработка, несовместимая с целями), штраф для юрлица 150 000 — 300 000 ₽.
Сохраните подтверждения отправки уведомлений: скриншоты API-запросов, исходящие письма, акты о расторжении договоров с обработчиками. Фиксация — обязательное условие для защиты при проверке Роскомнадзора.
Нужна проверка текущего регламента увольнения на соответствие ФЗ-152?
Если в компании регламент при увольнении не закреплён в ОРД или согласия оформлены в составе трудового договора — каждый факт нарушения образует основание для протокола по ст. 13.11 КоАП. Действующий порядок можно проверить до проверки Роскомнадзора: аудит ОРД займёт 5–10 рабочих дней. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Уничтожьте или заблокируйте данные, утратившие основание
После прекращения трудовых отношений часть данных утрачивает правовое основание немедленно. Часть — подлежит хранению по иным нормам: ст. 17 ФЗ-125 «Об архивном деле» устанавливает сроки хранения кадровых документов; типовой срок хранения личного дела — 75 лет для документов по личному составу, принятых до 2003 года, и 50 лет — после.
Данные, которые не попадают под архивные сроки и не имеют иного основания: копии паспортов (если получены сверх необходимого), сведения о членах семьи при отсутствии льгот, биометрические шаблоны СКУД — подлежат уничтожению. Срок уничтожения по ч. 3 ст. 21 ФЗ-152 — 30 дней с момента обнаружения основания для уничтожения, если иное не предусмотрено договором или законом.
Уничтожение фиксируется актом о ликвидации ПДн с указанием категории данных, способа уничтожения, даты и ответственного лица. Акт хранится не менее трёх лет — это доказательство в случае жалобы субъекта или проверки РКН.
Шаг 4. Проверьте согласия и уведомите сотрудника
С 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом — не включено в трудовой договор, не приложено к оферте, не встроено в политику конфиденциальности. Требование закреплено в ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.
При увольнении сотрудника сверьте: существует ли отдельное согласие — и если да, какие цели в нём указаны. Если согласие охватывало только трудовые цели, оно утрачивает смысл и должно быть отозвано или прекращено. Если согласие охватывало дополнительные цели (например, передача в банк-партнёр для кредитного скоринга) — его действие не прекращается автоматически, но оператор должен уведомить субъекта о сохранении обработки.
Обязанность уведомить субъекта об обработке ПДн и её прекращении регулируется ст. 18.1 ФЗ-152: оператор обязан принять меры для обеспечения прозрачности обработки. Уведомление об увольнении и изменении состава обрабатываемых данных — элемент этой обязанности.
Что подготовить к моменту увольнения
- Карта обработки ПДн уволенного: категории данных, основания, получатели, сроки хранения
- Уведомления третьим лицам о прекращении передачи ПДн с подтверждениями отправки
- Акт об уничтожении ПДн, утративших основание (категории, способ, дата, ответственный)
- Проверка согласий на соответствие требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025
- Запись в журнале обработки ПДн о факте прекращения обработки по уволенному сотруднику
Шаг 5. Обновите ОРД и уведомление в реестре РКН
Если увольнение меняет состав обрабатываемых категорий ПДн или перечень целей — оператор обязан обновить уведомление в реестре Роскомнадзора. Порядок внесения изменений закреплён в Приказе РКН №180 от 28.10.2022: изменения подаются через личный кабинет pd.rkn.gov.ru с использованием УКЭП или через ЕСИА.
Также проверьте соответствие политики обработки ПДн (ст. 18.1 ФЗ-152) — она должна отражать актуальный состав обрабатываемых данных. Несоответствие между фактической обработкой и сведениями в реестре РКН — типовое нарушение, выявляемое при плановой проверке. Штраф по ч. 3 ст. 13.11 КоАП за непубликацию или несоответствие политики — 30 000 — 60 000 ₽.
Обновление ОРД — это также внесение изменений в регламент обработки ПДн, журналы учёта, инструкции ответственного по ст. 22.1 ФЗ-152. Проверьте, что ответственное лицо актуально: при смене ответственного — приказ и уведомление РКН.
Как применяется регламент на практике: типовые ситуации
Ситуация 1. Согласие в трудовом договоре, сотрудник уволен после 01.09.2025. Юрист компании обнаружил, что согласие на обработку ПДн встроено в трудовой договор и не оформлено отдельным документом. После 01.09.2025 такой документ не соответствует ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. При жалобе уволенного сотрудника или проверке РКН это квалифицируется по ч. 2 ст. 13.11 КоАП — обработка без надлежащего согласия, штраф для юрлица 300 000 — 700 000 ₽. Стратегия: переоформить согласия для всех действующих сотрудников, установить регламент для новых, зафиксировать дату переоформления.
Ситуация 2. Данные уволенного сотрудника остались в CRM и рассылочной системе. HR-департамент не уведомил IT-службу о необходимости удалить данные из CRM. Через три месяца уволенный получил маркетинговую рассылку и подал жалобу в РКН. РКН возбудил дело по ч. 1 ст. 13.11 (обработка, несовместимая с целью). Доказательств уничтожения данных нет. Штраф — в диапазоне 150 000 — 300 000 ₽. Стратегия: регламент увольнения должен включать чек-лист для IT-службы с конкретным перечнем систем, из которых удаляются данные.
Ситуация 3. Уволенный запросил копию своих ПДн по ст. 20 ФЗ-152. Юрист не знал, есть ли у компании обязанность ответить, поскольку трудовой договор расторгнут. Обязанность оператора отвечать на запросы субъекта по ст. 20 ФЗ-152 сохраняется до момента уничтожения всех его данных. Срок ответа — 10 рабочих дней. Молчание — нарушение ч. 4 ст. 13.11 КоАП, штраф 40 000 — 80 000 ₽. Стратегия: установить единый порядок обработки запросов субъектов, включая уволенных сотрудников, с регистрацией входящих обращений.
Если уволенный сотрудник направил запрос или жалобу в РКН — у оператора 10 рабочих дней на ответ (ст. 20 ФЗ-152). Юристы DATUM помогут сформировать ответ и проверить ОРД на соответствие требованиям ст. 18.1 ФЗ-152.
Собрать ОРД под ключЧастые вопросы
1. Какие документы должны быть у оператора ПДн при увольнении сотрудника?
Минимальный пакет: приказ о назначении ответственного по ст. 22.1 ФЗ-152, политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, отдельные согласия работников по ст. 9 ФЗ-152 в редакции с 01.09.2025, регламент уничтожения данных, акт об уничтожении ПДн по каждому уволенному сотруднику, журнал учёта обращений субъектов. Отсутствие любого из этих документов — самостоятельное основание для штрафа по ч. 3 ст. 13.11 КоАП.
2. Как составить политику обработки ПДн, соответствующую ст. 18.1 ФЗ-152?
Политика обработки ПДн должна содержать: наименование оператора, цели и правовые основания обработки, перечень обрабатываемых категорий ПДн, порядок передачи данных третьим лицам, сроки обработки и хранения, описание мер защиты по ст. 19 ФЗ-152, порядок реагирования на запросы субъектов. Политика размещается в открытом доступе — на сайте или иными способами, обеспечивающими ознакомление. Несоответствие фактической обработки и политики — нарушение, выявляемое при проверке РКН.
3. Кого назначить ответственным по ст. 22.1 ФЗ-152 и каковы требования к нему?
Ответственным за организацию обработки ПДн по ст. 22.1 ФЗ-152 может быть назначен любой работник оператора-юрлица — штатный юрист, HR-директор, сотрудник ИБ. Закон не устанавливает обязательного уровня образования, но ч. 4 ст. 22.1 требует, чтобы лицо соответствовало квалификационным требованиям, заявленным оператором. Назначение оформляется приказом; сведения об ответственном включаются в уведомление РКН через Приказ РКН №180.
4. Можно ли использовать шаблон политики конфиденциальности из интернета?
Шаблон из интернета содержит типовые формулировки, которые не учитывают специфику конкретного оператора: реальный перечень систем, фактических получателей, используемых правовых оснований и категорий ПДн. При проверке РКН несоответствие между политикой и фактической обработкой квалифицируется как нарушение ч. 3 ст. 13.11 КоАП. Политику необходимо разрабатывать на основании внутреннего аудита обработки — иначе документ создаёт ложное ощущение комплаенса.
5. Какие согласия нужно переоформить после 01.09.2025 в связи с ФЗ-156?
Согласия, полученные до 01.09.2025 и включённые в трудовой договор, оферту или иной документ, не являются соответствующими требованиям ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — для новых отношений. Для уже действующих трудовых отношений переоформление не требуется по закону (обратной силы норма не имеет). Однако при расторжении договора или получении нового согласия — применяются только новые требования. Юридически безопаснее поэтапно переоформить согласия всех действующих сотрудников.
6. Как оператор должен ответить на запрос уволенного сотрудника о предоставлении его ПДн?
Уволенный сотрудник сохраняет статус субъекта ПДн до момента уничтожения всех его данных. Запрос о предоставлении информации об обработке по ст. 20 ФЗ-152 оператор обязан рассмотреть в течение 10 рабочих дней с момента обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Ответ должен содержать перечень обрабатываемых данных, цели, основания и получателей. Молчание или отказ без основания — нарушение ч. 4 ст. 13.11 КоАП, штраф 40 000 — 80 000 ₽.
Итог
Регламент при увольнении сотрудника — это не кадровый документ, а часть системы управления обработкой ПДн оператора. Он связывает момент расторжения договора с конкретными действиями: уведомлением третьих лиц, уничтожением данных, обновлением ОРД и реестра РКН. Отсутствие регламента означает, что каждое увольнение создаёт неконтролируемые риски по ст. 13.11 КоАП — при сравнительно низкой стоимости их устранения.
DATUM сопровождает разработку ОРД и регламентов обработки ПДн для HR-департаментов, проводит аудит документации на соответствие ФЗ-152 и готовит компании к проверкам Роскомнадзора.
Услуги DATUM по теме
- Комплект ОРД под ключ — полный пакет из 38 документов, включая регламент при увольнении
- Аудит соответствия 152-ФЗ — проверка ОРД и фактической обработки по чек-листу
- DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании
3 октября 2026 года