Перейти к содержанию
инструкция 14 марта 2028 По состоянию на 14 марта 2028

Удаление из СБИС/Контур.Кадры/HR-Link

Удаление персональных данных из СБИС, Контур.Кадры или HR-Link — это не технический тикет в поддержку, а юридически значимое действие под ст. 21 ФЗ-152.
С 30.05.2025 неисполнение требования субъекта об уничтожении ПДн в срок грозит штрафом до 90 000 ₽ по ч. 5 ст. 13.11 КоАП; при повторном нарушении — до 500 000 ₽ по ч. 5.1.
Если HRD получил письменное требование работника или уволенного — у вас есть ограниченное процессуальное окно. Проверьте, допустимо ли удаление прямо сейчас.

Три популярных КЭДО-платформы — СБИС, Контур.Кадры и HR-Link — хранят персональные данные работников: от ФИО и паспортных реквизитов до биометрических шаблонов СКУД. После увольнения или по прямому требованию субъекта HR-директор обязан либо уничтожить эти данные, либо письменно обосновать, почему закон запрещает это сделать сейчас. Инструкция ниже разобрана по шагам: от оценки правового основания до закрытия записи в реестре операторов.

Шаг 1. Установите, есть ли законное основание для удаления

Прежде чем нажимать «удалить» в интерфейсе платформы, HRD обязан убедиться, что правовое основание для хранения ПДн действительно исчезло. По ст. 21 ФЗ-152 оператор обязан уничтожить ПДн, когда цели обработки достигнуты или утрачены. Одновременно ст. 22.2 ТК РФ и нормы архивного законодательства устанавливают сроки хранения кадровых документов — в ряде случаев они перевешивают требование субъекта.

Типичные основания для отказа в немедленном удалении: ПДн входят в состав бухгалтерской отчётности; работник включён в незакрытый трудовой спор; срок хранения личного дела (75 лет для принятых до 2003 года, 50 лет — после) ещё не истёк по ст. 22.1 Федерального закона об архивном деле. Личное дело — не повод хранить данные на КЭДО-платформе бесконечно: если в системе дублируются документы, которые хранятся в бумажном архиве, электронные копии подлежат удалению.

«Ст. 21 ФЗ-152: оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней с момента, когда цель обработки достигнута, либо по требованию субъекта — если основание обработки отпало.»

Зафиксируйте вывод письменно: основание удалено, удаление допустимо — или основание сохраняется, удаление невозможно до даты X. Это станет доказательством добросовестности при проверке.

Шаг 2. Проверьте состав данных в каждой системе

СБИС, Контур.Кадры и HR-Link хранят разные категории ПДн. Перед удалением HRD должен знать, что именно находится в каждой подсистеме — ошибочно удалённые данные могут повлечь претензии со стороны налоговых и трудовых органов.

  • СБИС (Тензор): кадровый модуль хранит анкетные данные, сканы документов, подписанные электронные документы (КЭДО), историю начислений. Отдельно — интеграция с СКУД: биометрические шаблоны (изображение лица / отпечатки) могут храниться на локальном сервере клиента или в облаке Тензора.
  • Контур.Кадры: анкетные данные, трудовые книжки, согласия, журналы ознакомления. Биометрия, как правило, не хранится — зависит от подключённых модулей.
  • HR-Link: профиль сотрудника, документы КЭДО, история задач, данные о командировках. При интеграции с биометрическими точками доступа — шаблоны хранятся на стороне клиента.

Составьте реестр: что именно нужно удалить, в каком модуле находится, кто технически выполняет удаление — внутренняя ИТ-служба или служба поддержки вендора. Если платформа является обработчиком по ст. 6 ФЗ-152 (работает по поручению вашей компании), то инициатива удаления исходит от вас как оператора.

Получили требование об удалении и не знаете, как ответить?

Если HRD получил письменный запрос работника или уволенного об уничтожении ПДн — у вас ограниченное окно для ответа по ст. 21 ФЗ-152. Ошибка в формулировке ответа или просрочка превращается в протокол по ч. 5 ст. 13.11 КоАП. Юристы DATUM проведут аудит ПДн HR-департамента, определят, что удалять, а что хранить, и подготовят письменный ответ субъекту.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Оформите документальное основание

Удаление ПДн без документального основания — юридически невидимое действие. При проверке РКН инспектор запросит подтверждение того, когда и почему данные были уничтожены.

Сформируйте пакет из трёх документов:

  1. Акт об уничтожении ПДн. Дата, перечень категорий ПДн, система, метод уничтожения (удаление записи в БД / перезапись / физическое уничтожение носителя), ответственное лицо, подпись.
  2. Письмо-ответ субъекту (если удаление — по его требованию). Срок: 10 рабочих дней с даты обращения по ст. 20 ФЗ-152, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Форма — произвольная, но с исходящим номером и датой.
  3. Задание подрядчику (если удаление выполняет вендор). Письменное поручение в адрес СБИС/Контур/HR-Link: что именно удалить, срок, подтверждение исполнения.
«Ст. 18.1 ФЗ-152: оператор обязан принять меры, обеспечивающие исполнение требований закона, и документально подтвердить принятые меры.»

Акт об уничтожении храните не менее 3 лет — это стандартный срок исковой давности по административным делам.

Шаг 4. Выполните техническое удаление в платформе

Каждый вендор реализует удаление по-своему. Общий принцип: удаление записи в интерфейсе не всегда означает физическое уничтожение данных — они могут оставаться в резервных копиях или архивных таблицах базы данных.

  • СБИС: в разделе управления персоналом — «Уволенные» — архивирование карточки. Для физического уничтожения необходимо дополнительно направить заявку в поддержку Тензора с указанием ИНН организации и перечня субъектов. Биометрические шаблоны в СКУД-модуле удаляются отдельно — через консоль администратора или запрос к вендору.
  • Контур.Кадры: удаление сотрудника через меню «Уволить» переводит запись в архив; полное уничтожение — через запрос в СКБ Контур. Убедитесь, что удалены журналы ознакомления и скан-копии документов в файловом хранилище системы.
  • HR-Link: деактивация профиля переводит данные в закрытый архив. Для соответствия ст. 21 ФЗ-152 потребуйте от вендора письменное подтверждение физического удаления из всех резервных копий с указанием срока ротации.

Получите от вендора письменное подтверждение факта удаления из основной БД и резервных копий. Этот документ входит в акт об уничтожении ПДн.

Шаг 5. Проверьте смежные системы и обновите уведомление в РКН

КЭДО-платформа — не единственное место хранения. После удаления из основной системы проверьте смежные хранилища:

  • Корпоративная почта (сканы документов в переписке HR)
  • Облачный диск (Google Drive, Яндекс.Диск, SharePoint) — папки с кадровыми документами
  • CRM или ERP-система — если данные работника туда передавались
  • Система зарплатного проекта банка — при отсутствии иных правовых оснований для дальнейшей передачи
  • СКУД и системы видеонаблюдения — биометрические шаблоны и записи
«Ст. 87 ТК РФ: порядок хранения, использования и передачи персональных данных работников устанавливает работодатель с соблюдением требований ТК РФ и ФЗ-152.»

Если после удаления ваша организация полностью прекращает обработку ПДн конкретной категории (например, больше не использует биометрию СКУД), направьте в РКН уведомление об изменении сведений по форме Приказа РКН №180. Срок — в разумный срок после изменений, но до следующей плановой проверки.

Что подготовить до начала удаления

  • Письменный запрос субъекта или внутренний приказ об уничтожении ПДн с указанием основания
  • Реестр мест хранения ПДн конкретного работника по всем системам (СБИС/Контур/HR-Link + смежные)
  • Шаблон акта об уничтожении ПДн с обязательными реквизитами (категория, система, метод, дата, подпись)
  • Контакт ответственного лица в поддержке вендора для запроса подтверждения физического удаления
  • Актуальный текст уведомления в реестре РКН — для оценки, нужно ли его скорректировать

Если в вашей компании нет акта об уничтожении ПДн и письменных ответов на запросы субъектов — при проверке РКН каждый такой факт станет отдельным составом по ч. 5 ст. 13.11 КоАП (до 90 000 ₽). Юристы DATUM соберут ОРД-пакет для HR-департамента с нуля.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. HR-директор производственной компании (Уральский ФО, осень 2025) получил от уволенного работника требование об удалении всех ПДн из СКУД-системы, включая биометрические шаблоны лица. Компания удалила запись в интерфейсе, но не запросила у вендора подтверждение уничтожения из резервных копий. Через три месяца при внеплановой проверке РКН установил, что биометрия по-прежнему присутствует в архивных таблицах. Вынесено постановление по ч. 5 ст. 13.11 КоАП. После обжалования с представлением доказательств добросовестных намерений штраф был снижен до минимального диапазона. Вывод: подтверждение от вендора о физическом удалении из резервных копий — обязательный документ в акте об уничтожении.

Кейс 2. В компании-ритейлере (Центральный ФО, начало 2026) HR-служба использовала Контур.Кадры и передавала данные работников в зарплатный проект банка. После увольнения сотрудник потребовал удаления ПДн. HR-директор удалил данные из Контур.Кадры, но не направил соответствующего требования в банк. Субъект подал жалобу в РКН. Банк как самостоятельный оператор нёс ответственность за свою часть хранения, однако в ходе разбирательства выяснилось, что в договоре с банком отсутствовало условие об уничтожении ПДн по окончании зарплатного проекта. Итог: обе стороны получили предписания. HR-директор скорректировал типовой договор с банком, добавив обязанность уничтожить ПДн уволенных работников по письменному запросу.

Типичные ситуации при удалении ПДн из КЭДО-систем

Ситуация 1. Работник требует удаления сразу после увольнения. Срок хранения личного дела (до 75 лет) не истёк. Удаление анкетных ПДн из КЭДО-платформы допустимо, если документы параллельно хранятся в бумажном архиве. Электронные дубликаты удаляются. Письменный ответ работнику — в течение 10 рабочих дней с возможностью продления на 5 рабочих дней при уведомлении. Стратегия: чётко разграничить, что удаляется (электронные копии в КЭДО), а что остаётся (оригиналы в архиве с указанием правового основания).

Ситуация 2. Биометрия в СКУД не была оформлена согласием. По ст. 11 ФЗ-152 обработка биометрических ПДн допустима только при наличии письменного согласия. Если согласие отсутствовало или составлено с нарушением требований ст. 9 ФЗ-152 (в редакции с 01.09.2025 — отдельный документ по ФЗ-156), вся обработка незаконна с момента начала. Удаление обязательно. Риск: ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽ за обработку биометрии без надлежащего согласия. Стратегия: до удаления зафиксируйте факт незаконной обработки во внутреннем акте; оцените, нужно ли самостоятельно уведомить РКН об инциденте.

Ситуация 3. Вендор отказывает в физическом удалении из резервных копий. Если СБИС, Контур или HR-Link ссылаются на технические ограничения или договорные условия, обратитесь к условиям договора обработки по поручению. По ст. 6 ФЗ-152 обработчик обязан соблюдать требования оператора, включая уничтожение ПДн. Если договор не содержит такого условия — это нарушение требований ФЗ-152 к поручению обработки. Стратегия: направить вендору письменное требование, при отказе — сменить платформу; параллельно уведомить РКН об инциденте, если данные остаются у третьей стороны без основания.

Связанные услуги DATUM

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, сохраняют силу — ФЗ-156 от 24.06.2025 не имеет обратной силы. Однако если согласие было включено в текст трудового договора или иного документа (что до 01.09.2025 было распространённой практикой), оно не соответствует новым требованиям ст. 9 ФЗ-152 для согласий, получаемых после этой даты. При повторном получении согласия от того же работника (например, при расширении целей обработки или добавлении новой системы КЭДО) оформляйте его как отдельный документ с обязательными реквизитами по актуальной редакции ст. 9.

2. Какие данные нельзя запрашивать в анкете кандидата?

Статья 86 ТК РФ запрещает запрашивать данные о политических, религиозных и иных убеждениях работника, членстве в общественных объединениях, а также данные о частной жизни, если это не связано с трудовыми отношениями. Запрос данных о состоянии здоровья допустим только для оценки пригодности к конкретной работе. На практике в анкеты кандидатов часто включают вопросы о судимости или хронических заболеваниях без правового основания — это нарушение ст. 10 ФЗ-152 (специальные категории ПДн), штраф по ч. 1 ст. 13.11 КоАП до 300 000 ₽.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих помещениях допустимо, если работники уведомлены о нём в письменной форме и соответствующее условие отражено в локальном нормативном акте или трудовом договоре. Записи видеонаблюдения являются биометрическими ПДн (изображение лица), если они используются для идентификации личности — в этом случае требуется отдельное письменное согласие по ст. 11 ФЗ-152. Если система используется исключительно для охраны имущества без идентификации конкретных лиц — согласие не требуется, но уведомление обязательно.

4. Сколько хранить согласия после увольнения?

Согласие работника является первичным документом, подтверждающим законность обработки ПДн. Хранить его следует не менее 3 лет после прекращения обработки — это общий срок исковой давности по административным делам. Если обработка велась в течение всего срока трудовых отношений, согласие хранится параллельно с личным делом. Для работников, принятых после 2003 года, срок хранения личного дела — 50 лет, что автоматически определяет минимальный срок хранения согласий для таких категорий.

5. Кто является оператором при использовании КЭДО?

При использовании СБИС, Контур.Кадры или HR-Link оператором ПДн остаётся работодатель — именно он определяет цели и состав обрабатываемых данных. Вендор КЭДО-платформы действует как лицо, осуществляющее обработку по поручению, в рамках ст. 6 ФЗ-152. Это означает, что работодатель несёт полную ответственность перед РКН и субъектами ПДн, включая ответственность за действия вендора. В договоре с вендором обязательно должны быть закреплены перечень обрабатываемых данных, цели, обязанность по уничтожению и конфиденциальность — иначе передача данных вендору сама по себе является нарушением.

6. Что делать, если работник угрожает жалобой в РКН из-за данных в КЭДО?

Не игнорировать и не затягивать. По ст. 20 ФЗ-152 ответить субъекту необходимо в течение 10 рабочих дней с возможностью продления на 5 рабочих дней. Если требование об удалении обоснованно — выполнить и направить письменное подтверждение с приложением акта об уничтожении. Если основание для хранения сохраняется — письменно объяснить, какая норма закона запрещает немедленное удаление. Жалоба в РКН без ответа оператора — практически гарантированный внеплановый визит инспектора. Документированный и своевременный ответ существенно снижает риск штрафа.

Итог

Удаление ПДн из СБИС, Контур.Кадры и HR-Link — многошаговая процедура, где технические действия неотделимы от юридических. Ключевые риски: обработка биометрии без согласия, отсутствие акта об уничтожении и игнорирование смежных систем хранения.

DATUM сопровождает HR-департаменты крупного и среднего бизнеса в построении процесса работы с ПДн: от аудита согласий до реагирования на запросы субъектов и взаимодействия с вендорами КЭДО.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025, обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

14 марта 2028 года