Перейти к содержанию
инструкция 21 октября 2028 По состоянию на 21 октября 2028

Удаление учётной записи работника в системах

Удаление учётной записи уволенного работника — обязанность оператора по ст. 21 ФЗ-152: ПДн уничтожаются или обезличиваются, когда цель обработки достигнута или отпала.
Если после увольнения учётная запись сотрудника остаётся активной в CRM, КЭДО, системе СКУД или корпоративной почте — каждый день хранения создаёт основание для штрафа по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) и риск утечки, которая квалифицируется по ч. 12–14 той же статьи (3–15 млн ₽).
→ Если вы HRD и не регламентировали порядок удаления учёток при увольнении — ниже пошаговый план для HR-департамента.

С 01.09.2025 в силу вступил ФЗ-156 от 24.06.2025: согласие работника на обработку ПДн теперь оформляется отдельным документом и не может быть частью трудового договора. Это изменило логику всего цикла жизни данных сотрудника — от найма до удаления учётных записей. Порядок удаления затрагивает не только IT-службу, но прежде всего HR: именно HRD инициирует процесс, согласовывает объём данных для хранения и несёт ответственность за соблюдение сроков по ст. 86–88 ТК РФ в связке с ст. 21 ФЗ-152.

Что считается учётной записью работника по закону?

Учётная запись работника в информационной системе — это набор персональных данных, позволяющих идентифицировать физическое лицо и предоставляющих ему доступ к ресурсам оператора. По ст. 3 ФЗ-152 любой набор сведений, относящихся к определённому физическому лицу, является персональными данными. Учётные записи, как правило, содержат ФИО, должность, табельный номер, корпоративный email, номер телефона, иногда биометрические идентификаторы для СКУД.

Работодатель является оператором ПДн работников по ст. 22 ФЗ-152 и обязан уведомить Роскомнадзор о намерении обрабатывать ПДн. Перечень систем, в которых хранятся данные работника, должен быть отражён в уведомлении и политике обработки ПДн по ст. 18.1 ФЗ-152. Обработка ПДн допустима только при наличии правового основания по ст. 6 ФЗ-152: для большинства кадровых данных это необходимость исполнения трудового договора (п. 5 ст. 6) или исполнение обязанности по закону (п. 2 ст. 6). При увольнении правовое основание утрачивается — продолжение обработки требует отдельного обоснования.

«Ст. 21 ФЗ-152: оператор обязан прекратить обработку и уничтожить ПДн, если цель обработки достигнута или субъект отозвал согласие, в течение 30 дней. Исключение — когда закон предписывает хранение на определённый срок.»

Биометрические данные СКУД (изображение лица, отпечаток пальца) относятся к специальной категории по ст. 11 ФЗ-152 и обрабатываются только при наличии письменного согласия. После увольнения шаблон биометрии уничтожается незамедлительно — срок хранения законодательством не предусмотрен.

Согласия работников всё ещё в трудовом договоре или анкете?

Если HRD не перестроил документооборот до 01.09.2025, каждое согласие в старом формате — основание для штрафа до 700 тыс. ₽ по ч. 2 ст. 13.11 КоАП. Срок на устранение не восстанавливается: РКН фиксирует нарушение на дату проверки, а не на дату его начала.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Составьте реестр систем с учётными записями работника

До увольнения (в идеале — за 3–5 рабочих дней) HR формирует перечень всех информационных систем, в которых есть учётная запись конкретного работника. Типовой перечень для среднего и крупного бизнеса:

  • корпоративная почта (Exchange, Google Workspace, Яндекс 360);
  • система КЭДО — по ст. 22.2 ТК РФ доступ прекращается при увольнении, но данные хранятся в соответствии с номенклатурой дел;
  • СКУД — учётная запись с биометрическим шаблоном (ст. 11 ФЗ-152) или PIN-картой;
  • CRM, ERP, HRM-системы (1С:ЗУП, SAP HCM, BambooHR и аналоги);
  • мессенджеры и корпоративные платформы (Битрикс24, Slack, Teams);
  • облачные хранилища (Яндекс.Диск корп., SharePoint);
  • VPN и системы удалённого доступа.

Результат шага — заполненный «Акт об учётных записях работника», подписанный HR, IT и непосредственным руководителем. Этот документ станет основой для контроля исполнения.

Шаг 2. Определите сроки хранения ПДн по категориям систем

Не все данные удаляются в день увольнения. Законодательство устанавливает разные сроки хранения в зависимости от категории документов и системы:

  • Личное дело, трудовой договор, кадровые приказы — 75 лет (ст. 22.1 Федерального закона об архивном деле, Перечень Росархива 2019 года);
  • Расчётные ведомости, табели учёта рабочего времени — 5 лет или 75 лет при отсутствии лицевых счетов;
  • Журнал инструктажей по охране труда — 45 лет;
  • Данные СКУД (биометрический шаблон) — уничтожить в день прекращения трудового договора;
  • Корпоративная почта (переписка, не связанная с архивными документами) — удалить в течение 30 дней после увольнения по ст. 21 ФЗ-152.

КЭДО отдельно: по ст. 22.2 ТК РФ работодатель — оператор КЭДО — несёт ответственность за хранение электронных документов в течение установленных архивных сроков. Доступ работника к КЭДО прекращается, но сам архив документов остаётся. Учётная запись как инструмент доступа закрывается; электронные документы переходят в архив системы.

«Ст. 22 ФЗ-152: оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Если перечень систем изменился после уведомления — подать уведомление об изменении сведений по форме Приказа РКН №180.»

Шаг 3. Выполните технические действия по удалению учётных записей

На основании «Акта об учётных записях» IT-служба в день увольнения (или на следующий рабочий день) выполняет:

  • блокировку корпоративного аккаунта (Active Directory, IdP-провайдер) — немедленно;
  • отзыв токенов и сессий во всех подключённых системах — в течение 2 часов;
  • удаление биометрического шаблона из СКУД — в день увольнения, с фиксацией факта уничтожения в журнале;
  • деактивацию учётной записи в CRM/ERP с заменой ответственного менеджера на преемника;
  • перенос переписки и файлов на нового ответственного или в архив — до удаления аккаунта почты;
  • удаление учётной записи почты через 30 дней либо немедленно при наличии регламента.

Все действия фиксируются в «Журнале уничтожения (удаления) ПДн» — обязательном документе ОРД по ст. 18.1 ФЗ-152. Запись включает: дату, ФИО работника, перечень систем, вид действия (блокировка / удаление / обезличивание), ФИО исполнителя.

Если HRD не регламентировал порядок удаления учётных записей — журнал уничтожения ПДн отсутствует, и это прямое нарушение ст. 18.1 ФЗ-152. РКН фиксирует такие пробелы при плановых и внеплановых проверках. Юристы DATUM соберут ОРД пакет под ключ за 2–3 недели.

Собрать ОРД под ключ

Шаг 4. Проверьте согласия работника: что изменилось с 01.09.2025

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн не может объединяться с трудовым договором, офертой или иными документами. Это напрямую влияет на порядок удаления учётных записей: если согласие работника на обработку данных в конкретной системе было получено в «старом» формате (как часть договора), оно юридически продолжает действовать, но при обновлении документооборота необходимо переоформить.

При увольнении работник вправе отозвать ранее данное согласие по ст. 9 ФЗ-152. Отзыв не влияет на обработку, предусмотренную законом (архивные сроки), но прекращает обработку в системах, которые работали только на основании согласия (например, корпоративная программа лояльности, добровольное медицинское страхование в части аналитики).

Согласие на биометрию СКУД — отдельный обязательный документ по ст. 11 ФЗ-152. После увольнения оно утрачивает силу: работник фактически не может его поддерживать в силе, находясь вне трудовых отношений. Биометрический шаблон уничтожается, факт уничтожения документируется.

Шаг 5. Закройте доступ к КЭДО и зафиксируйте передачу данных

По ст. 22.2 ТК РФ при использовании КЭДО работодатель несёт ответственность за сохранность и доступность электронных документов. При увольнении работник получает право запросить копии своих кадровых документов (расчётный листок, трудовой договор, приказы об отпуске и пр.) — срок предоставления по ст. 20 ФЗ-152 составляет 10 рабочих дней. В день увольнения HR направляет бывшему работнику подтверждение: перечень документов, которые он может запросить в течение 30 дней, и порядок обращения.

После этого учётная запись в КЭДО переводится в статус «архивная» или удаляется в зависимости от настроек системы. Доступ к функциям системы прекращается; архив документов остаётся на стороне работодателя на установленные сроки хранения.

Что подготовить для регламента удаления учётных записей

  • Реестр информационных систем, содержащих ПДн работников, с указанием категорий данных и правовых оснований обработки.
  • Регламент (инструкция) по прекращению обработки ПДн при увольнении — с распределением ответственности между HR, IT и руководителем подразделения.
  • Журнал уничтожения (удаления) ПДн — обязательный документ ОРД по ст. 18.1 ФЗ-152.
  • Актуальные формы согласия на обработку ПДн в редакции после ФЗ-156 (с 01.09.2025) — отдельные документы для каждой цели обработки.
  • Акт об учётных записях работника — документ, инициирующий процесс удаления учёток при увольнении.

Типовые ситуации при удалении учётных записей

Ситуация 1. Учётная запись в CRM осталась активной через месяц после увольнения. HR-директор логистической компании (Центральный ФО, осень 2026) обнаружил при внутреннем аудите, что 14 уволенных сотрудников сохраняют активные учётные записи в CRM. Данные включали историю переговоров с клиентами и контактные сведения контрагентов. РКН при плановой проверке квалифицировал ситуацию как обработку ПДн без правового основания по ч. 1 ст. 13.11 КоАП. Штраф составил сотни тысяч рублей. Компания дополнительно получила предписание разработать регламент удаления учётных записей в течение 30 дней. Вывод: отсутствие IT-регламента, привязанного к HR-процессу увольнения, — системный риск, который фиксируется при любой проверке.

Ситуация 2. Биометрический шаблон СКУД не был удалён после увольнения. Производственное предприятие (Приволжский ФО, начало 2027) хранило биометрические шаблоны уволенных сотрудников в базе СКУД более 6 месяцев. Один из бывших работников направил жалобу в РКН с требованием уничтожить его биометрию. РКН возбудил дело по ч. 2 ст. 13.11 КоАП (обработка биометрии без действующего письменного согласия). Санкция для юрлица по этой части — 300–700 тыс. ₽. Компания устранила нарушение до рассмотрения дела, что учтено как смягчающее обстоятельство, однако штраф был назначен. Вывод: биометрия СКУД требует отдельной процедуры уничтожения с документальным подтверждением в день увольнения, а не «при следующем обновлении базы».

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка HR-процессов, реестра систем и ОРД по чек-листу из 38 пунктов.
  • Комплект ОРД под ключ — регламент удаления учётных записей, журнал уничтожения ПДн, согласия в редакции ФЗ-156.
  • DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы на запросы субъектов.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, юридически продолжают действовать: ФЗ-156 обратной силы не имеет. Однако если в компании идёт обновление ОРД или внедряется новая система обработки — новые согласия оформляются исключительно отдельным документом по требованиям ч. 1 ст. 9 ФЗ-152 в актуальной редакции. При увольнении работника его согласие на обработку, полученное даже в «старом» формате, может быть отозвано — обязанность оператора обработать отзыв не зависит от формата исходного документа.

2. Какие данные нельзя запрашивать в анкете при трудоустройстве?

Ст. 86 ТК РФ запрещает собирать ПДн о политических, религиозных убеждениях, членстве в общественных объединениях и профсоюзах без прямого разрешения закона. Ст. 87 ТК РФ ограничивает перечень обрабатываемых данных необходимым для исполнения трудового договора минимумом. Анкеты с вопросами о вероисповедании, семейном положении или состоянии здоровья (кроме обязательных медосмотров) создают нарушение ст. 10 ФЗ-152 — обработка спецкатегорий без законного основания.

3. Можно ли вести видеонаблюдение в офисе?

Да, при соблюдении ряда условий. Видеонаблюдение в служебных помещениях допустимо для обеспечения безопасности и контроля рабочего времени — это законная цель по ст. 86 ТК РФ. Работники должны быть ознакомлены с фактом ведения видеонаблюдения под подпись. Видеозаписи содержат биометрические данные (изображение лица) по ст. 11 ФЗ-152 только если используются для идентификации: если записи хранятся без анализа и не применяются для опознания конкретного лица, суды и РКН в ряде случаев не относят их к биометрии. При использовании систем распознавания лиц — необходимо письменное согласие каждого работника.

4. Сколько хранить согласия после увольнения?

Согласие работника на обработку ПДн — документ, который подтверждает правомерность обработки в период трудовых отношений. После увольнения согласие хранится не менее 3 лет (срок исковой давности по ГК РФ) для подтверждения законности обработки в прошлом. Если согласие касалось данных, включённых в личное дело (например, медицинские справки), срок хранения совпадает со сроком хранения личного дела — 75 лет. Уничтожение согласия до истечения срока хранения самих ПДн нецелесообразно: при проверке РКН оператор обязан подтвердить, что обработка велась законно.

5. Кто является оператором при использовании КЭДО?

При использовании КЭДО по ст. 22.2 ТК РФ оператором ПДн работников остаётся работодатель. Провайдер платформы КЭДО (1С, СБИС, HRlink и аналоги) выступает лицом, осуществляющим обработку по поручению оператора в соответствии с п. 3 ст. 6 ФЗ-152. Это требует заключения договора поручения с провайдером, в котором прописаны: перечень действий, цели, обязанность соблюдения конфиденциальности и уничтожения данных по истечении договора. Ответственность перед субъектом ПДн несёт оператор — то есть работодатель.

6. Что делать, если работник требует полного удаления своих данных сразу после увольнения?

Требование работника об уничтожении ПДн регулируется ст. 21 ФЗ-152: оператор обязан рассмотреть обращение и дать ответ в течение 10 рабочих дней. Однако закон допускает отказ в уничтожении, если обработка предусмотрена законом (архивные сроки 75 лет по личному делу, налоговые сроки). В таком случае HR письменно информирует работника: какие данные и по какому основанию продолжают обрабатываться, а какие — уничтожены. Игнорирование обращения работника в установленный срок влечёт штраф по ч. 4 или ч. 5 ст. 13.11 КоАП.

Итог

Удаление учётной записи работника в системах — не технический процесс IT-службы, а юридически значимая операция, инициируемая HR и подтверждённая документально. Правовое основание — ст. 21 ФЗ-152; детали по биометрии — ст. 11 ФЗ-152; кадровые архивные сроки — ТК РФ и Перечень Росархива. Разрыв между этими требованиями — источник штрафов от 150 тыс. до 15 млн ₽ в зависимости от характера нарушения и числа субъектов.

Практика DATUM охватывает полный цикл HR-комплаенса по 152-ФЗ: от аудита реестра систем и составления ОРД до сопровождения проверок РКН в HR-департаментах. Специализация — согласия работников по ст. 9 ФЗ-152 в редакции ФЗ-156, КЭДО, биометрия СКУД, передача данных в зарплатных проектах.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите ПДн в HR. Согласия работников по ст. 9 ФЗ-152 (ред. ФЗ-156), КЭДО, биометрия СКУД, передача данных в зарплатных проектах. Проверки РКН в HR-департаментах.

21 октября 2028 года