Перейти к содержанию
инструкция 22 октября 2026 По состоянию на 22 октября 2026

Удаление email работника после увольнения

Корпоративный адрес электронной почты работника — персональные данные по ст. 3 ФЗ-152. После увольнения оператор обязан прекратить обработку при утрате правового основания.
Нарушение порядка удаления ПДн работника влечёт штраф по ч. 5 ст. 13.11 КоАП до 90 000 ₽; при повторном нарушении — до 500 000 ₽ (ч. 5.1). С 01.09.2025 согласия на обработку ПДн работников оформляются отдельным документом по ФЗ-156.
→ Если вы HRD и в компании нет регламента удаления данных уволенных — действуйте до первой проверки РКН.

Удаление email работника после увольнения — одна из наиболее часто упускаемых процедур в HR-комплаенсе. HR-директора ссылаются на ИТ-службу, ИТ-служба ждёт заявки из HR. Итог: корпоративный ящик уволенного активен месяцами, входящая почта доставляется, переадресация остаётся. Именно такой кейс РКН разбирал при плановых проверках в 2024–2025 годах. Статья описывает шесть шагов: от установления срока до документирования факта удаления.

Что считается персональными данными работника в электронной почте?

Корпоративный email вида ivan.petrov@company.ru прямо идентифицирует физическое лицо и подпадает под определение персональных данных по ст. 3 ФЗ-152. Помимо самого адреса, в почтовом ящике хранятся переписка, вложения, сведения о задачах — всё это также относится к ПДн работника или контрагентов.

Работодатель в трудовых отношениях является оператором ПДн по ст. 22 ФЗ-152. Обработка данных работника — включая почту — допустима в пределах ст. 6 и ст. 86–88 ТК РФ: для исполнения трудового договора и в иных прямо установленных законом случаях. После расторжения трудового договора правовое основание исчезает. Продолжение обработки становится нарушением принципа целеполагания по ст. 5 ФЗ-152.

«Ст. 5 ФЗ-152 — обработка ПДн допустима только для достижения конкретных, заранее определённых целей; обработка, несовместимая с этими целями, запрещена.»

Содержимое архивов почтового ящика нередко включает медицинские справки, сведения о семейном положении, паспортные данные. Это специальные категории ПДн по ст. 10 ФЗ-152. Их хранение после увольнения без правового основания — дополнительный риск по ч. 1 ст. 13.11 КоАП (штраф до 300 000 ₽).

Какой срок установлен для удаления данных уволенного?

ФЗ-152 не устанавливает единый срок для всех категорий данных работника. Ориентироваться следует на три источника: трудовое законодательство, налоговое и архивное законодательство, а также согласие работника (при его наличии).

Личное дело работника хранится 75 лет (типовые перечни Росархива). Данные для расчёта зарплаты — не менее 5 лет. Однако корпоративный email и его содержимое не подпадают под обязательные сроки хранения по налоговому или архивному законодательству. Значит, после увольнения оператор обязан удалить почтовый ящик в разумный срок — как правило, не позднее 30 дней с даты прекращения трудового договора.

«Ст. 21 ФЗ-152 — оператор обязан уничтожить ПДн в течение 30 дней с момента достижения цели обработки или при утрате необходимости в её достижении, если иное не предусмотрено федеральным законом.»

На практике 30 дней достаточно для передачи дел, переадресации деловой переписки и уведомления контрагентов. Внутренний регламент вправе установить более короткий срок — например, 14 дней. Главное: срок должен быть зафиксирован в локальном акте и соблюдаться на практике.

Согласия работников ещё вшиты в трудовой договор?

С 01.09.2025 по ФЗ-156 согласие на обработку ПДн работника — отдельный документ. Если HRD не обновил формы, каждый действующий договор создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Юристы DATUM проведут аудит ОРД HR-департамента и соберут пакет согласий под новые требования.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Установите правовое основание и срок в локальном акте

До увольнения первого сотрудника в компании должен существовать документ, регулирующий порядок удаления данных. Минимально достаточный набор: политика обработки ПДн (ст. 18.1 ФЗ-152) с разделом об удалении и внутренний регламент или приказ, устанавливающий ответственных и сроки.

В регламенте фиксируют: срок с даты увольнения (рекомендуется 14–30 дней), ответственного исполнителя (ИТ-служба или системный администратор), порядок документирования факта удаления, перечень систем, в которых хранятся данные работника (почтовый сервер, CRM, КЭДО, СКУД).

Отсутствие такого документа — самостоятельное нарушение ч. 3 ст. 13.11 КоАП (отсутствие политики): штраф до 60 000 ₽.

Шаг 2. Определите состав данных, подлежащих удалению

Корпоративная почта — не единственный носитель ПДн уволенного. При увольнении проверяют как минимум шесть точек хранения:

  • почтовый ящик на корпоративном сервере (Exchange, Postfix, G-Suite и аналоги);
  • архивные резервные копии почты;
  • адресная книга и списки рассылки;
  • учётная запись в КЭДО (если применяется);
  • карточка в СКУД — биометрический шаблон или PIN-код;
  • учётные записи в корпоративных системах (CRM, ERP, 1С-ЗУП).

По каждой точке фиксируется: что хранится, есть ли правовое основание для дальнейшего хранения (архивное, налоговое законодательство), в какой срок удаляется.

Биометрические данные в СКУД — особый случай. Отпечаток пальца или геометрия лица — биометрические ПДн по ст. 11 ФЗ-152. Согласие на их обработку должно было быть оформлено письменно при приёме на работу. После увольнения — биометрический шаблон уничтожается немедленно, до истечения 30-дневного срока.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн осуществляется только при наличии письменного согласия субъекта; при прекращении основания — данные уничтожаются.»

Шаг 3. Направьте заявку в ИТ-службу и зафиксируйте поручение

В день подписания приказа об увольнении HR направляет ИТ-службе поручение на удаление данных с указанием перечня систем и срока. Поручение оформляется в письменной форме — внутренним тикетом в Service Desk или служебной запиской с отметкой об исполнении.

Если ИТ-служба является отдельным юридическим лицом или обрабатывает данные по договору аутсорсинга — она является лицом, осуществляющим обработку по поручению оператора (ст. 6 ч. 3 ФЗ-152). Договор с ней должен содержать обязанность уничтожить ПДн по требованию оператора. Отсутствие такого условия — нарушение, которое РКН фиксирует при проверках.

Для работников, получивших корпоративную SIM-карту с зарегистрированным на компанию номером, также потребуется решение: переоформить или заблокировать. Номер телефона в связке с ФИО — ПДн по ст. 3 ФЗ-152.

Если HR-директор получил запрос уволенного работника об уничтожении данных — у компании 10 рабочих дней на ответ по ст. 20 ФЗ-152. Срок с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Просроченный ответ — протокол по ч. 4 ст. 13.11 (штраф до 80 000 ₽). Юристы DATUM возьмут функцию DPO на абонентское обслуживание, включая ответы на запросы субъектов.

Подключить DPO-аутсорс

Шаг 4. Уведомьте контрагентов о смене контакта

Перед удалением ящика настройте автоответ на входящие письма с указанием нового контакта. Срок автоответа — не менее 30 дней. По истечении — ящик блокируется и удаляется. Переадресация на личный email уволенного недопустима: это передача ПДн третьему лицу без правового основания.

Если ящик работника был указан в публичных источниках — на сайте, в реестрах, коммерческих предложениях — обновите данные там. Иначе контрагенты продолжат отправлять письма, которые никто не читает или которые попадают к посторонним.

Шаг 5. Задокументируйте факт удаления

Факт уничтожения ПДн работника оформляется актом об уничтожении. Форма произвольная, обязательные реквизиты: дата, перечень удалённых данных и систем, ФИО и подпись ответственного, способ уничтожения (удаление учётной записи, затирание резервных копий). Акт хранится не менее 3 лет.

При проверке РКН запросит именно этот документ. Его отсутствие означает, что доказать факт удаления компания не сможет. Бремя доказывания соответствия требованиям ФЗ-152 лежит на операторе (ст. 18.1 ч. 1 ФЗ-152).

«Ст. 18.1 ФЗ-152 — оператор обязан принимать меры, обеспечивающие соответствие обработки требованиям закона, и по запросу РКН представлять документы, подтверждающие такое соответствие.»

Шаг 6. Проверьте согласия и КЭДО — точки, которые аудиторы смотрят первыми

С 01.09.2025 по ФЗ-156 согласие на обработку ПДн работника оформляется отдельным документом. Оно не может быть частью трудового договора, коллективного договора или политики конфиденциальности. Обязательные реквизиты: ФИО работника, наименование работодателя-оператора, цель обработки, перечень данных, перечень действий, срок согласия, способ отзыва.

Если компания использует КЭДО — согласие на обработку ПДн в системе КЭДО также оформляется отдельно. При увольнении: учётная запись работника в КЭДО блокируется, доступ к документам прекращается. Сами кадровые документы хранятся по срокам архивного законодательства — это не ПДн, подлежащие немедленному удалению, а документы, обработка которых предусмотрена ТК РФ и Федеральным архивным агентством.

Контрольный вопрос для HRD: есть ли в компании журнал обращений субъектов ПДн? Уволенный работник вправе направить запрос об уничтожении или уточнении своих данных. На ответ — 10 рабочих дней (ст. 20 ФЗ-152). Если журнала нет — зафиксировать факт обращения и срок ответа окажется нечем.

Что подготовить до увольнения первого сотрудника

  • Регламент удаления ПДн уволенных работников: сроки, ответственные, перечень систем.
  • Форма акта об уничтожении ПДн с обязательными реквизитами.
  • Отдельные согласия работников на обработку ПДн по ФЗ-156 (с 01.09.2025).
  • Договор с ИТ-аутсорсером с условием об уничтожении ПДн по требованию оператора.
  • Журнал учёта обращений субъектов ПДн с входящими запросами за 12 месяцев.

Типовые ситуации: что происходит, если регламента нет

Ситуация 1. Бывший работник жалуется в РКН. Уволенный сотрудник обнаружил, что его корпоративный ящик активен через 3 месяца после увольнения. Он направил в РКН жалобу с требованием уничтожить данные. РКН инициировал внеплановую проверку. Компания не смогла представить акт об уничтожении и регламент. Результат — протокол по ч. 5 ст. 13.11 КоАП, штраф до 90 000 ₽, предписание об устранении нарушений в течение 30 дней. При повторном нарушении — до 500 000 ₽ (ч. 5.1).

Ситуация 2. Утечка через почту уволенного. В компании среднего размера (Уральский ФО, начало 2026 года) администратор не деактивировал ящик уволенного менеджера по продажам. Через 2 месяца злоумышленник получил доступ к ящику через скомпрометированный пароль. В ящике находилась клиентская база с ФИО, телефонами и email — более 5 000 субъектов. Утечка потребовала уведомления РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152). Компания не уложилась в срок — дополнительный штраф по ч. 11 ст. 13.11 от 1 до 3 млн ₽ за несвоевременное уведомление. Источник инцидента — отсутствие регламента деактивации.

Ситуация 3. Аудит КЭДО при проверке РКН. Оператор использовал систему КЭДО стороннего вендора. При проверке РКН запросил договор поручения с вендором. В договоре отсутствовало условие об уничтожении ПДн уволенных работников по истечении сроков. Регулятор квалифицировал это как обработку ПДн без надлежащего правового основания по ч. 1 ст. 13.11 КоАП — штраф от 150 000 до 300 000 ₽.

Связанные услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка ОРД HR-департамента по 38 пунктам, включая порядок удаления данных уволенных.
  • Комплект ОРД под ключ — регламент удаления ПДн, форма акта, журнал обращений субъектов, согласия по ФЗ-156.
  • DPO-аутсорсинг — ответы на запросы уволенных работников в срок по ст. 20 ФЗ-152, сопровождение при проверках РКН.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, утрачивают силу, если они вшиты в трудовой договор или иной комплексный документ. По ФЗ-156 согласие на обработку ПДн с 01.09.2025 оформляется исключительно отдельным документом. Ранее полученные согласия, оформленные как самостоятельный документ, переоформлять не требуется — закон не имеет обратной силы. Рекомендуется провести инвентаризацию форм и заменить те, которые совмещены с договором или политикой.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Статьи 86 и 88 ТК РФ в связке со ст. 10 ФЗ-152 запрещают запрашивать данные о политических, религиозных и иных убеждениях, членстве в партиях и профсоюзах (кроме предусмотренных законом случаев), состоянии здоровья (сверх необходимого для исполнения трудовых обязанностей), семейном положении и имущественном статусе без прямой связи с трудовой функцией. Анкету следует ограничить данными, необходимыми для заключения трудового договора: ФИО, дата рождения, образование, трудовой стаж, ИНН, СНИЛС, паспортные данные.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих помещениях допустимо при соблюдении трёх условий: работники уведомлены о факте съёмки (ст. 22.2 ТК РФ и ст. 86 ТК РФ), цель — контроль за исполнением трудовых обязанностей, а не слежка за частной жизнью, обработка видеозаписей отражена в политике и регламентах оператора. Видеозаписи, позволяющие идентифицировать лицо, — биометрические ПДн, если они используются для идентификации. Запись в помещениях отдыха или санузлах недопустима в любом случае.

4. Сколько хранить согласия после увольнения?

Согласие работника на обработку ПДн — кадровый документ. По типовым перечням документов Росархива его следует хранить не менее 3 лет с даты утраты силы. На практике DATUM рекомендует хранить не менее 5 лет: в течение этого срока возможны трудовые споры и обращения в РКН. Акт об уничтожении ПДн, связанный с тем же согласием, хранится аналогичный срок.

5. Кто оператор при использовании КЭДО?

Работодатель остаётся оператором ПДн работников вне зависимости от того, использует ли он систему КЭДО собственной разработки или стороннего вендора. Вендор КЭДО — лицо, осуществляющее обработку по поручению оператора по ст. 6 ч. 3 ФЗ-152. Договор с вендором обязан содержать: цели обработки, перечень действий, обязанность уничтожить ПДн по требованию оператора. Ответственность перед субъектом и РКН несёт работодатель-оператор, а не вендор.

6. Что делать, если уволенный требует удалить все данные о себе?

Запрос уволенного работника об уничтожении ПДн подлежит рассмотрению в течение 10 рабочих дней (ст. 20 ФЗ-152), с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Однако работодатель вправе отказать в удалении данных, хранение которых предусмотрено законом: личного дела (75 лет), расчётных ведомостей, трудовой книжки (до передачи работнику). Ответ направляется в письменной форме с указанием перечня удалённых данных и перечня данных, оставленных на хранение с указанием правового основания.

Итог

Удаление email работника после увольнения — не разовое действие ИТ-службы, а элемент системы управления данными, которая должна быть закреплена в локальных актах до первого увольнения. Ключевые точки риска: отсутствие регламента удаления, биометрия в СКУД без своевременного уничтожения, согласия работников в устаревшем формате (до ФЗ-156), отсутствие акта об уничтожении.

Практика DATUM по ПДн в HR-сфере охватывает аудит кадрового делопроизводства на соответствие ФЗ-152, разработку пакета ОРД для HR-департамента и DPO-сопровождение при взаимодействии с РКН по обращениям работников.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Специализация — согласия работников по ст. 9 ФЗ-152 в ред. ФЗ-156, обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

22 октября 2026 года