Удаление почты в Exchange/Yandex 360
Когда сотрудник увольняется, его корпоративная почта остаётся источником персональных данных: переписка содержит имена, контакты, сведения о здоровье, семейное положение — всё, что попадает под ст. 3 ФЗ-152. HRD несёт ответственность за то, чтобы обработка ПДн прекратилась в срок, а архив не превратился в юридический риск. Инструкция ниже охватывает Exchange (Microsoft 365 / on-premise) и Yandex 360 и применима как к КЭДО-документообороту, так и к обычной корпоративной почте.
Что считается персональными данными в корпоративной почте?
Корпоративный почтовый ящик содержит несколько категорий ПДн одновременно. Имя и должность сотрудника в адресе — общие ПДн по ст. 3 ФЗ-152. Переписка с отделом кадров о больничном, беременности, инвалидности — специальная категория по ст. 10 ФЗ-152. Фотографии и видеозаписи из СКУД или видеонаблюдения, пересланные по почте, — биометрические ПДн по ст. 11 ФЗ-152.
Важно разграничить ПДн работника и ПДн третьих лиц в его переписке: клиентов, партнёров, соискателей. Удаляя ящик, оператор обязан учитывать, что в нём могут находиться данные, обработка которых регулируется другими документами — договорами с контрагентами, согласиями клиентов.
Сроки хранения архива определяются не только ФЗ-152, но и Приказом Росархива № 236 от 20.12.2019: часть деловой переписки относится к документам с 5-летним сроком хранения, часть — к постоянному. Это создаёт коллизию: ФЗ-152 требует уничтожить, архивное законодательство — сохранить. Разрешение — в обезличивании.
Не уверены, какие данные из почтового архива можно удалить прямо сейчас?
Если HRD не разграничил, что относится к ПДн работника, а что — к деловой переписке с юридическим сроком хранения, каждый удалённый архив создаёт риск либо нарушения ФЗ-152 (хранение без основания), либо нарушения архивного законодательства (досрочное уничтожение). Юристы DATUM проведут аудит состава данных в почтовой системе и выдадут матрицу сроков и оснований.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Каков правовой порядок удаления ящика по ФЗ-152 и ТК РФ?
Основание для обработки ПДн работника в трудовых отношениях — ст. 6 ч. 1 п. 5 ФЗ-152 (исполнение договора) и ст. 86–88 ТК РФ. При прекращении трудового договора это основание прекращает действие. Дальнейшая обработка — включая хранение почтового архива — требует либо нового согласия, либо иного основания из ст. 6 ФЗ-152.
Согласно ст. 21 ФЗ-152, при достижении целей обработки или прекращении правового основания оператор обязан уничтожить ПДн в течение 30 дней, если иное не установлено договором, законом или локальным актом. Для кадровых документов ст. 22.2 ТК РФ в редакции КЭДО устанавливает обязанность хранить электронные документы в течение сроков, определённых архивным законодательством.
С 01.09.2025 согласие на обработку ПДн, в том числе в части продления хранения почтового архива после увольнения, оформляется только отдельным документом (ФЗ-156 от 24.06.2025). Нельзя включить это согласие в соглашение об увольнении или в приказ.
Шаг 1. Классифицируйте содержимое ящика до отключения
За 3–5 рабочих дней до даты увольнения IT-служба или HRD формирует реестр папок ящика. Задача — разделить содержимое на три группы:
- Деловая переписка, подлежащая архивному хранению — договоры, акты, переписка с госорганами. Срок хранения по Приказу Росархива № 236 — от 5 лет до постоянного.
- ПДн третьих лиц — данные клиентов, партнёров, соискателей. Обрабатываются на основаниях, относящихся к этим лицам, а не к уволенному работнику.
- Личные данные работника без иного правового основания — кадровая переписка, сведения о здоровье, личные письма. Подлежат уничтожению в течение 30 дней после увольнения.
Результат классификации фиксируется в акте. Акт подписывают IT-специалист, HRD и непосредственный руководитель уволенного сотрудника.
Шаг 2. Отключите ящик и установите автоответ
В день увольнения (или на следующий рабочий день) ящик переводится в режим «только чтение» без возможности отправки. Это фиксирует состояние архива и исключает несанкционированный доступ.
Exchange (Microsoft 365). В Exchange Admin Center ящик конвертируется в shared mailbox без лицензии. Это сохраняет доступ руководителю или HRD для деловой переписки и автоматически отключает авторизацию бывшего работника. В PowerShell: Set-Mailbox -Identity user@company.ru -Type Shared.
Yandex 360. В разделе «Пользователи» учётная запись деактивируется. Письма, поступающие на адрес, автоматически перенаправляются на указанный ящик (обычно — руководителя или секретариата). Деактивация не уничтожает данные — это важно для следующего шага.
На ящик устанавливается автоответ с указанием нового контактного лица. Срок автоответа — не менее 30 календарных дней. Это снижает риски для контрагентов и исключает претензии о недоступности деловой коммуникации.
Если HRD не закрепил порядок работы с почтой уволенных в локальном акте — при проверке РКН это нарушение ст. 87 ТК РФ и ст. 18.1 ФЗ-152. Штраф по ч. 3 ст. 13.11 КоАП — до 60 000 ₽ за отсутствие политики. Юристы DATUM соберут комплект ОРД для HR-департамента под ключ.
Собрать ОРД под ключШаг 3. Экспортируйте деловой архив и обезличьте ПДн
Деловая переписка из первой группы классификации экспортируется в корпоративное хранилище документов. Формат — PST (Exchange) или EML/MBOX (Yandex 360). Экспорт фиксируется в журнале обработки ПДн с указанием даты, ответственного лица и объёма.
ПДн уволенного работника в деловой переписке подлежат обезличиванию по методам, установленным Приказом РКН о методах обезличивания (действует с 01.09.2025). Допустимые методы для почтовых архивов — замена идентификатора (имя → внутренний код) или обобщение (удаление прямых идентификаторов при сохранении контента письма).
Переписка, содержащая специальные категории ПДн по ст. 10 ФЗ-152 (сведения о здоровье, религиозных взглядах и т. п.), из архива исключается и уничтожается даже при наличии архивных сроков хранения для деловой переписки — если только её содержание не относится к предмету трудового спора или исполнительного производства.
Шаг 4. Уничтожьте ПДн работника в установленный срок
Не позднее 30 дней после даты увольнения данные из третьей группы (личные данные работника без основания для дальнейшего хранения) уничтожаются. Уничтожение включает:
- удаление ящика в Exchange (PowerShell:
Remove-Mailbox -Identity user@company.ru -Permanent $true) или полное удаление учётной записи в Yandex 360 с очисткой данных; - удаление резервных копий ящика из систем backup — важно проверить, что ящик не остался в политике резервного копирования Exchange или в Yandex 360 Backup;
- уничтожение локальных копий почтового клиента на рабочей станции уволенного (Outlook profile, кэш Yandex Mail).
Факт уничтожения оформляется актом по форме, утверждённой политикой обработки ПДн. Акт хранится 3 года — как доказательство соблюдения требований ФЗ-152 при возможной проверке РКН.
Шаг 5. Обновите уведомление в реестре РКН и внутренние регламенты
Если состав обрабатываемых ПДн или цели обработки изменились после массового увольнения или реструктуризации, оператор обязан направить уведомление об изменении сведений в Роскомнадзор через pd.rkn.gov.ru (форма по Приказу РКН № 180 от 28.10.2022). Срок — в течение 10 рабочих дней с момента изменений.
Политика обработки ПДн на сайте обновляется в части сроков хранения и категорий обрабатываемых данных. Изменения доводятся до работников под подпись — или через КЭДО, если электронный документооборот подключён.
Ответственный за обработку ПДн (ст. 22.1 ФЗ-152) проверяет, что в журнале учёта обращений субъектов нет открытых запросов от уволенного сотрудника. Если запрос поступил до увольнения — ответ направляется в течение 10 рабочих дней с момента обращения (ст. 20 ФЗ-152).
Что подготовить к удалению почты уволенного
- Акт классификации содержимого почтового ящика (три группы: архив, ПДн третьих лиц, личные данные работника)
- Локальный регламент об обработке ПДн работников — с порядком работы с корпоративной почтой (ст. 87 ТК РФ, ст. 18.1 ФЗ-152)
- Актуальные согласия работников на обработку ПДн в виде отдельного документа (требование ФЗ-156 с 01.09.2025)
- Акт уничтожения ПДн с подписями ответственных лиц
- Выписка из реестра операторов ПДн (pd.rkn.gov.ru) с актуальными сведениями об обработке
Типовые ситуации: что может пойти не так
Ситуация 1. Архив ящика остался в backup через год после увольнения. Компания (Уральский ФО, осень 2025) при плановой проверке РКН не смогла подтвердить уничтожение резервных копий почты уволенных сотрудников. Регулятор квалифицировал это как хранение ПДн сверх цели по ч. 5 ст. 5 ФЗ-152. Штраф по ч. 1 ст. 13.11 КоАП составил сотни тысяч рублей. Стратегия: включить почтовые backup в политику retention и назначить ответственного за удаление резервных копий в срок.
Ситуация 2. Уволенный сотрудник потребовал уничтожить свои ПДн, но деловая переписка сохраняется по архивным срокам. HRD крупной торговой сети (Центральный ФО, начало 2026) получил запрос об уничтожении данных по ст. 14 ФЗ-152. Ответить нужно было в течение 10 рабочих дней. Юрист подготовил ответ: личные данные уничтожены, деловая переписка обезличена, специальные категории ПДн удалены. Субъект претензий не предъявил. Стратегия: разграничить три группы заранее, чтобы ответ на запрос занял часы, а не дни.
Ситуация 3. Согласие на обработку ПДн было включено в трудовой договор, подписанный до 01.09.2025. Согласно ФЗ-156 от 24.06.2025, с 01.09.2025 согласие оформляется только отдельным документом. Ранее полученные согласия переоформлять не требуется — обратной силы закон не имеет. Но при увольнении и последующем запросе о продлении хранения архива потребуется новое согласие — уже в виде отдельного документа. Стратегия: утвердить новую форму согласия и применять её ко всем новым и продлеваемым основаниям с 01.09.2025.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка порядка обработки ПДн работников, сроков хранения, состава ОРД
- Комплект ОРД под ключ — политика, согласия по ФЗ-156, регламент работы с почтой и КЭДО
- DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонентском обслуживании
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Ранее полученные согласия, оформленные как часть трудового договора или иного документа, до 01.09.2025 переоформлять не нужно — ФЗ-156 не имеет обратной силы. Но любое новое согласие — в том числе на продление хранения почтового архива после увольнения — с 01.09.2025 оформляется только отдельным документом с обязательными реквизитами ст. 9 ФЗ-152: ФИО субъекта, наименование оператора, цель, перечень данных, срок действия, способ отзыва.
2. Какие данные нельзя запрашивать у кандидата при найме?
Ст. 86 ТК РФ запрещает получать ПДн работника о его политических, религиозных убеждениях, частной жизни, членстве в профсоюзах — если это не связано с трудовой функцией. Данные о состоянии здоровья допустимы только в объёме, необходимом для оценки трудоспособности по конкретной должности. Анкеты с вопросами о семейном положении, детях, вероисповедании создают риск штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).
3. Можно ли вести видеонаблюдение в офисе и хранить записи?
Видеозапись работников — биометрические ПДн по ст. 11 ФЗ-152, если она используется для идентификации личности (например, в СКУД). Обработка требует письменного согласия. Если видеонаблюдение ведётся для охраны имущества и идентификация не является целью — это общие ПДн. В любом случае работники должны быть уведомлены о факте видеосъёмки под подпись. Хранить записи дольше достижения цели (как правило, 30 дней для охраны) нельзя без отдельного правового основания.
4. Сколько хранить согласия после увольнения работника?
Согласие — документ-основание обработки ПДн. После увольнения оно хранится в составе личного дела. Приказ Росархива № 236 устанавливает срок хранения документов по личному составу — 50 лет (для документов, созданных после 2003 года) или 75 лет (до 2003 года). Акт уничтожения ПДн, оформленный при удалении почты, хранится не менее 3 лет как доказательство соблюдения ФЗ-152.
5. Кто является оператором при использовании КЭДО?
При использовании КЭДО оператором ПДн работников остаётся работодатель — он определяет цели и состав обрабатываемых данных. Провайдер КЭДО выступает лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Поручение оформляется договором, в котором фиксируются цели, состав данных, меры защиты и обязанность уничтожить данные по окончании договора. Ст. 22.2 ТК РФ обязывает сохранять электронные кадровые документы в течение архивных сроков — это не противоречит ФЗ-152 при правильном обезличивании или наличии основания.
6. Что делать, если 30 дней на уничтожение ПДн уже истекли?
Нарушение срока уничтожения — основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). При самостоятельном выявлении нарушения рекомендуется незамедлительно уничтожить данные, составить акт с датой фактического уничтожения и обновить внутренние регламенты. При проверке РКН своевременное добровольное устранение нарушения учитывается как смягчающее обстоятельство по ст. 4.2 КоАП. Обратиться к юристу стоит до того, как поступит запрос от субъекта или предписание регулятора.
Итог
Удаление почтового ящика уволенного работника — не IT-задача, а юридическая процедура с обязательным документальным сопровождением. Пять шагов закрывают требования ФЗ-152, ТК РФ и архивного законодательства. Ключевые точки контроля: классификация содержимого до отключения, обезличивание деловой переписки, уничтожение личных данных в 30-дневный срок и актирование каждого этапа.
DATUM сопровождает HR-департаменты в построении регламентов обработки ПДн работников — от аудита текущего состояния до разработки комплекта ОРД и DPO-аутсорсинга по ст. 22.1 ФЗ-152.
18 марта 2029 года