Перейти к содержанию
инструкция 17 февраля 2027 По состоянию на 17 февраля 2027

Удаление в КЭДО

Удаление персональных данных в КЭДО — обязанность оператора по ст. 21 ФЗ-152: после достижения целей обработки или по требованию работника данные уничтожаются в течение 30 дней.
С 30.05.2025 нарушение порядка уничтожения ПДн — штраф по ч. 5 ст. 13.11 КоАП от 50 000 до 90 000 ₽; повторное нарушение — 300 000–500 000 ₽ по ч. 5.1. Часть данных из КЭДО (личное дело, кадровые документы) хранится 75 лет — удалять их преждевременно нельзя.
Если вы HRD и в КЭДО не настроен регламент удаления — проверьте сроки хранения и основания до того, как придёт запрос работника или предписание РКН.

КЭДО обрабатывает персональные данные работников в электронном виде: трудовые договоры, согласия, приказы, заявления. Оператором по ст. 3 ФЗ-152 является работодатель — он несёт полную ответственность за цикл обработки от сбора до уничтожения. Порядок удаления в КЭДО зависит от трёх параметров: вид данных, основание для хранения и момент наступления обязанности уничтожить. Ниже — пошаговый алгоритм для HR-директора.

Шаг 1. Какие данные в КЭДО подлежат удалению, а какие — нет?

Персональные данные в КЭДО делятся на две группы по сроку хранения. Первая — кадровые документы с установленным архивным сроком: трудовые договоры, приказы о приёме и увольнении, личные карточки. Для документов, созданных после 2003 года, действует срок хранения 50 лет; для более ранних — 75 лет (Приказ Росархива № 236 от 20.12.2019). Удалять их до истечения архивного срока нельзя — это нарушение архивного законодательства.

Вторая группа — данные, которые собирались для конкретной цели и утратили её. Примеры: анкеты соискателей, которым отказали; копии документов, запрошенные сверх необходимого; данные, собранные по согласию, которое отозвано. По ст. 5 ФЗ-152 данные не могут храниться дольше, чем этого требует цель обработки.

«Ст. 5 ФЗ-152 — принцип соответствия сроков: хранение ПДн допустимо не дольше, чем требует цель обработки; при достижении цели или утрате необходимости — данные уничтожаются или обезличиваются.»

Практическое правило для HRD: составьте реестр категорий данных в КЭДО с указанием правового основания хранения для каждой категории — ст. 6 ФЗ-152, норма ТК РФ или согласие по ст. 9 ФЗ-152. Без такого реестра невозможно правильно настроить удаление.

Шаг 2. В каких случаях работодатель обязан удалить данные?

Ст. 21 ФЗ-152 устанавливает три самостоятельных основания для уничтожения ПДн. Первое — достижение цели обработки: после увольнения работника часть данных, собранных исключительно для выполнения трудового договора, теряет правовое основание. Второе — истечение срока, указанного в согласии или локальном акте. Третье — отзыв согласия работником.

«Ст. 21 ФЗ-152 ч. 3 — при отзыве согласия оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если нет иного правового основания для их хранения.»

После увольнения ситуация сложнее всего. Данные в КЭДО разделяются: документы, входящие в личное дело, продолжают храниться по архивным нормам. Данные, собранные только по согласию работника (например, фото для пропуска без интеграции в СКУД, данные о составе семьи для подбора подарков), подлежат удалению, если работник не дал согласие на дальнейшее хранение или не было иного основания.

Срок уничтожения по ст. 21 ФЗ-152 — 30 дней с момента, когда возникло основание. Если работник подал заявление об отзыве согласия или об уничтожении данных — отсчёт идёт с даты получения заявления.

Согласия работников всё ещё в трудовом договоре?

Если HRD не выделил согласия работников в отдельный документ до 01.09.2025, каждое такое согласие не соответствует требованиям ФЗ-156. Это основание для штрафа по ч. 2 ст. 13.11 КоАП — от 300 000 до 700 000 ₽. Юристы DATUM проведут аудит ОРД HR-департамента и соберут корректный пакет согласий по новым требованиям.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Как технически удалить данные в КЭДО?

Удаление в КЭДО — не просто нажатие кнопки «Удалить». По ст. 19 ФЗ-152 оператор обязан обеспечить невозможность восстановления удалённых данных. Если КЭДО развёрнут на стороннем провайдере, условия уничтожения данных должны быть прописаны в договоре поручения по ст. 6 ч. 3 ФЗ-152.

Алгоритм технического удаления состоит из четырёх действий. Первое — идентификация всех мест хранения: база КЭДО, резервные копии, архивные хранилища, интеграции с кадровыми системами (1С, SAP, отдельный СКУД). Второе — удаление данных в основной системе с фиксацией в журнале. Третье — удаление из резервных копий или изоляция с указанием даты плановой ротации. Четвёртое — получение подтверждения от провайдера КЭДО, если обработка ведётся по поручению.

«Ст. 6 ч. 3 ФЗ-152 — при передаче обработки ПДн третьему лицу (провайдеру КЭДО) оператор обязан включить в договор условие об уничтожении ПДн по окончании поручения и по требованию оператора.»

Фиксируйте каждое удаление в журнале уничтожения ПДн. Журнал — обязательный элемент ОРД по ст. 18.1 ФЗ-152. В нём указываются: дата, основание, перечень категорий данных, ответственное лицо, способ уничтожения. Этот журнал запрашивает РКН при плановой и внеплановой проверке.

Шаг 4. Что делать с биометрией СКУД после увольнения работника?

Биометрические персональные данные в СКУД (отпечатки пальцев, изображения лица) — это специальная категория по ст. 11 ФЗ-152. Они обрабатываются только на основании письменного согласия работника. После увольнения правовое основание — трудовые отношения — прекращается. Если нет отдельного согласия на хранение биометрии после увольнения, данные подлежат уничтожению.

Срок уничтожения биометрии СКУД при увольнении — 30 дней с даты прекращения трудового договора (ст. 21 ФЗ-152). Хранить дольше без отдельного правового основания нельзя. Нарушение — штраф по ч. 16 ст. 13.11 КоАП, диапазон для юрлиц подлежит верификации по актуальной редакции КоАП.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только с письменного согласия субъекта. При отсутствии согласия или истечении его срока — обработка прекращается, данные уничтожаются.»

Практическая сложность: в системах СКУД удаление биометрии технически может не предусматривать полной очистки — шаблоны могут оставаться в зашифрованном виде в оборудовании. Проверьте техническую документацию вашего СКУД и потребуйте от поставщика подтверждения факта необратимого удаления.

Если HRD получил запрос уволенного работника об уничтожении данных — у вас 30 дней на исполнение (ст. 21 ФЗ-152). Промедление грозит штрафом 50 000–90 000 ₽ по ч. 5 ст. 13.11 КоАП. Юристы DATUM подготовят регламент и шаблон ответа на запрос субъекта.

Собрать ОРД под ключ

Шаг 5. Как оформить регламент удаления данных в КЭДО?

Регламент удаления — часть общей системы ОРД по ст. 18.1 ФЗ-152. Он может быть отдельным документом или разделом в Политике обработки персональных данных. Обязательные элементы регламента: перечень категорий ПДн с правовым основанием хранения, сроки хранения по каждой категории, основания для досрочного удаления, порядок действий при запросе субъекта, ответственное лицо, форма журнала уничтожения.

Со стороны провайдера КЭДО потребуйте: условие об уничтожении в договоре поручения, описание технического порядка удаления из всех хранилищ включая резервные копии, срок подтверждения уничтожения — рекомендуется не более 10 рабочих дней.

Что подготовить для корректного удаления данных в КЭДО

  • Реестр категорий ПДн в КЭДО с указанием правового основания и срока хранения для каждой категории (ст. 5 ФЗ-152, архивные нормы, ТК РФ)
  • Договор поручения с провайдером КЭДО с условием об уничтожении ПДн по требованию оператора и по окончании договора (ст. 6 ч. 3 ФЗ-152)
  • Регламент удаления ПДн с порядком действий при увольнении, отзыве согласия и запросе субъекта
  • Журнал уничтожения ПДн с обязательными реквизитами: дата, основание, категории данных, способ, ответственное лицо
  • Письменное согласие на биометрию СКУД с чётко указанным сроком — не дольше периода трудовых отношений, если нет отдельного основания

Типовые ситуации при удалении данных в КЭДО

Ситуация 1. Уволенный работник требует уничтожения всех данных. Работник подаёт заявление об уничтожении ПДн после увольнения. Оператор обязан в течение 30 дней уничтожить данные, для которых нет иного правового основания хранения. Данные личного дела (кадровые документы) продолжают храниться по архивным нормам — 50 или 75 лет. В ответе работнику нужно прямо указать: какие данные уничтожены, какие сохраняются и на каком основании (норма закона, срок). Если этот ответ не дан в 30-дневный срок — штраф по ч. 5 ст. 13.11 КоАП от 50 000 до 90 000 ₽. Стратегия: разработать шаблон ответа и алгоритм проверки оснований хранения заранее, не ждать первого запроса.

Ситуация 2. Провайдер КЭДО сменился, старые данные остались у прежнего провайдера. При смене провайдера КЭДО оператор (работодатель) несёт ответственность за данные, переданные по поручению. Если договор с прежним провайдером не содержал условия об уничтожении данных после расторжения — это пробел в ОРД, который при проверке РКН квалифицируется как нарушение ст. 6 ч. 3 ФЗ-152. Прежний провайдер может сохранять данные работников неограниченно долго. Вероятный исход: предписание РКН и протокол по ч. 1 ст. 13.11 КоАП. Стратегия: при смене провайдера получить от него подтверждение уничтожения данных в письменном виде, добавить условие в новый договор поручения.

Ситуация 3. Биометрия СКУД не удалена спустя полгода после увольнения работников. Компания проводила плановую инвентаризацию СКУД и обнаружила биометрические шаблоны 40 уволенных сотрудников. Срок хранения биометрии после увольнения — 30 дней (ст. 21 ФЗ-152). Нарушение очевидно. РКН при проверке может квалифицировать это по ч. 16 ст. 13.11 КоАП. Стратегия: установить автоматическое удаление биометрии из СКУД при закрытии учётной записи уволенного сотрудника; сроки синхронизировать с датой расторжения трудового договора в кадровой системе.

Как это применяется на практике

Кейс 1. HR-директор производственного предприятия (Уральский ФО, весна 2026) при подготовке к плановой проверке РКН обнаружил: в КЭДО хранятся данные 200 соискателей, которым отказали в трудоустройстве ещё три года назад. Правовое основание — согласие — не содержало срока; de facto срок истёк с момента принятия решения об отказе. Согласования с провайдером КЭДО на уничтожение данных в договоре не было. DATUM провёл экспресс-аудит, подготовил дополнительное соглашение с провайдером и регламент удаления. На проверке РКН нарушение по данной категории было устранено до составления акта — протокол не составлялся.

Кейс 2. В торговой компании (Центральный ФО, осень 2025) уволенный работник подал заявление об уничтожении биометрических данных СКУД. HR-департамент не имел регламента ответа на такие запросы; обращение пролежало без ответа 45 дней. Работник обратился в РКН с жалобой. РКН возбудил дело по ч. 5 ст. 13.11 КоАП. Штраф в десятки тысяч рублей был назначен, несмотря на то что биометрия к тому моменту уже была удалена. Наличие задокументированного регламента и своевременный ответ исключили бы возбуждение дела.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка ОРД HR-департамента, реестра ПДн, договоров с провайдерами КЭДО
  • Комплект ОРД под ключ — регламент удаления, журнал уничтожения, шаблоны ответов на запросы субъектов
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы на запросы работников

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Ранее выданные согласия, которые соответствовали требованиям ст. 9 ФЗ-152 на момент подписания, утратой силы не являются — ФЗ-156 от 24.06.2025 обратной силы не имеет. Однако если согласие было включено в текст трудового договора, оферты или иного документа и не выделено в отдельный документ, оно не соответствует новым требованиям. Такие согласия необходимо переоформить: работник подписывает отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152 в редакции с 01.09.2025. Риск при сохранении несоответствующего согласия — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽.

2. Какие данные нельзя запрашивать в анкете соискателя?

По ст. 86 ТК РФ и ст. 10 ФЗ-152 работодатель не вправе собирать данные о политических, религиозных и иных убеждениях работника, членстве в общественных объединениях и профсоюзах, состоянии здоровья — кроме случаев, предусмотренных законом. В анкете соискателя недопустимы вопросы о семейном положении, вероисповедании, национальности, наличии судимости — если она не имеет отношения к характеру работы. Запрос сведений, не связанных с трудовой деятельностью, нарушает ст. 6 ФЗ-152 (отсутствие правового основания обработки).

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеозапись лица относится к биометрическим ПДн по ст. 11 ФЗ-152. По общему правилу для их обработки требуется письменное согласие. Вместе с тем ст. 86 ТК РФ допускает обработку ПДн работника в целях охраны труда без согласия — при условии, что работники уведомлены о ведении наблюдения, цель ограничена охраной труда и безопасностью, а доступ к записям строго ограничен. Использование видеозаписей в иных целях (дисциплинарные разбирательства, маркетинг) — отдельное основание, требующее согласия. Рекомендуется закрепить порядок в локальном акте и ознакомить работников под подпись.

4. Сколько хранить согласия работников после увольнения?

Согласие работника на обработку ПДн — кадровый документ. По Перечню Росархива № 236 от 20.12.2019 документы по личному составу, созданные после 2003 года, хранятся 50 лет. Это означает, что само согласие как документ хранится 50 лет после увольнения, даже если обработка данных по нему прекращена. Хранить нужно для подтверждения правомерности обработки в ретроспективе — в случае проверки РКН или судебного спора. Уничтожение согласия как документа до истечения архивного срока является нарушением архивного законодательства.

5. Кто является оператором ПДн при использовании КЭДО?

Оператором по ст. 3 ФЗ-152 является работодатель — юридическое лицо или индивидуальный предприниматель, который определяет цели и порядок обработки ПДн работников. Провайдер платформы КЭДО действует как лицо, осуществляющее обработку по поручению (ст. 6 ч. 3 ФЗ-152), — если это закреплено в договоре. Ответственность перед РКН, работниками и по ст. 13.11 КоАП несёт работодатель, а не провайдер КЭДО. Провайдер отвечает перед работодателем в рамках гражданско-правового договора. Поэтому все требования к удалению, хранению и защите данных должны быть прямо прописаны в договоре с провайдером.

6. Что делать, если провайдер КЭДО отказывается удалять данные по запросу работодателя?

Если договор с провайдером содержит условие об уничтожении данных по требованию оператора (ст. 6 ч. 3 ФЗ-152), отказ провайдера — нарушение договора. Направьте письменное требование со ссылкой на конкретный пункт договора и статью ФЗ-152, установите срок — не более 10 рабочих дней. При отказе — основание для расторжения договора и гражданского иска. Если договор не содержал такого условия — это пробел ОРД работодателя. В этом случае нужно внести изменения в договор при следующем переподписании и одновременно добиться фактического удаления переговорным путём с фиксацией переписки.

Итог

Удаление данных в КЭДО — не технический вопрос, а правовой: без реестра оснований хранения, регламента удаления и корректного договора с провайдером каждый запрос уволенного работника становится риском протокола по ст. 13.11 КоАП. Кадровые документы хранятся десятилетиями, но данные, собранные по согласию, уничтожаются в течение 30 дней при отзыве — независимо от того, настроено ли автоудаление в системе.

DATUM сопровождает HR-департаменты в части ПДн: от аудита документов до регламентов удаления и договоров с провайдерами КЭДО. Практика — с 2014 года, в том числе сопровождение проверок РКН в сфере HR.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

17 февраля 2027 года