инструкция 3 февраля 2028 По состоянию на 3 февраля 2028

Уничтожение электронных документов: акт

Уничтожение электронных документов с персональными данными — это юридически значимое действие оператора, которое должно быть подтверждено актом установленной формы.

Без акта уничтожения ПДн оператор не может доказать исполнение требований ст. 21 ФЗ-152 и ст. 86–88 ТК РФ: штраф по ч. 5 ст. 13.11 КоАП — до 90 000 ₽ за каждый случай неисполнения требования субъекта; при повторности — до 500 000 ₽.

→ Если вы HRD и в компании нет утверждённой процедуры уничтожения электронных документов — вы создаёте основание для претензий как со стороны РКН, так и со стороны уволенных работников.

С 01.09.2025 согласие работника на обработку персональных данных — отдельный документ (ФЗ-156 от 24.06.2025). Это означает, что каждое согласие имеет срок действия и подлежит уничтожению при наступлении определённых условий. В HR-департаментах, где ПДн обрабатываются через КЭДО, СКУД с биометрией и автоматизированные кадровые системы, уничтожение документов без акта — типичная ошибка при проверках РКН. В этой инструкции — пошаговый порядок составления акта уничтожения электронных документов с персональными данными работников.

Что считается уничтожением электронных документов по ст. 21 ФЗ-152?

По ст. 3 ФЗ-152 уничтожение персональных данных — это действия, в результате которых восстановить содержание ПДн в информационной системе невозможно, а материальные носители приводятся в состояние, при котором дальнейшее использование невозможно. Для электронных документов это означает не просто удаление файла в корзину операционной системы, а гарантированное уничтожение данных на уровне носителя.

«Ст. 21 ФЗ-152: оператор обязан уничтожить ПДн или обеспечить их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки, отзыва согласия или требования субъекта, если иное не предусмотрено договором или законодательством.»

В HR-практике уничтожение электронных документов с ПДн работника требуется в трёх типичных ситуациях: при отзыве согласия, при увольнении сотрудника (если цель обработки достигнута), при истечении срока хранения, установленного приказом о порядке обработки ПДн. Отдельно — уничтожение биометрических ПДн, собранных через СКУД: это специальная категория по ст. 11 ФЗ-152, и нарушение порядка уничтожения влечёт штраф по ч. 16 ст. 13.11 КоАП.

Важно разграничивать уничтожение и обезличивание: обезличенные данные не считаются ПДн по ст. 3 ФЗ-152, и на них не распространяются требования об уничтожении. Если компания обезличивает данные уволенных работников для статистики — это не уничтожение, и акт составляется по другой форме.

Согласия работников ещё в трудовом договоре или в общей форме?

С 01.09.2025 каждое согласие на обработку ПДн работника — отдельный документ с обязательными реквизитами (ФЗ-156). Если в HR-пакете нет отдельных согласий, акты уничтожения составлять не на что: вся документация требует пересборки. Юристы DATUM проведут аудит HR-пакета ОРД и составят актуальные формы согласий, журналов и актов уничтожения.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Определите перечень документов, подлежащих уничтожению

До составления акта HR-специалист формирует перечень конкретных информационных систем и файлов, в которых хранятся ПДн, подлежащие уничтожению. Для работника это, как правило: анкета соискателя, сканы паспорта и документов об образовании, личная карточка (форма Т-2 в электронном виде или аналог в HRM-системе), согласие на обработку ПДн, файлы КЭДО, биометрические шаблоны СКУД.

По ст. 87 ТК РФ работодатель обязан установить порядок хранения и использования персональных данных в локальном нормативном акте. Это значит, что перечень систем обработки и категорий ПДн должен быть закреплён в Положении о персональных данных работников. Если такого документа нет — перечень придётся восстанавливать фактически, что затягивает процедуру.

Отдельно выделяются ПДн, хранение которых предусмотрено законодательством: расчётные ведомости — 75 лет (ст. 22.2 ТК РФ), личное дело государственного служащего — также 75 лет. Эти документы уничтожению не подлежат до истечения установленного срока, даже при наличии требования работника.

Шаг 2. Проверьте основание для уничтожения

Акт уничтожения составляется только при наличии задокументированного основания. По ст. 21 ФЗ-152 оснований три: достижение цели обработки (например, кандидат не принят на работу, согласие истекло), отзыв согласия субъектом, требование субъекта об уничтожении при незаконной обработке.

Основание фиксируется в самом акте. Если работник направил требование об уничтожении ПДн — к акту прикладывается входящий документ (письмо, обращение через КЭДО). Если основание — достижение цели, в акте указывается дата наступления соответствующего события (дата увольнения, дата истечения срока согласия).

Срок исполнения: по ст. 21 ФЗ-152 — не позднее 30 дней с даты наступления основания. При обработке ПДн без согласия (ст. 6 ФЗ-152, иные основания) — 7 рабочих дней с момента выявления незаконной обработки. Нарушение сроков — штраф по ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽ для юрлица).

Шаг 3. Выберите метод уничтожения для каждого типа носителя

Метод уничтожения зависит от типа носителя. В акте необходимо указать конкретный применённый метод — это требование вытекает из принципа подотчётности (ст. 18.1 ФЗ-152). Неконкретный акт («данные удалены») не будет принят проверяющим как доказательство надлежащего уничтожения.

Для файлов в информационной системе: перезапись с использованием сертифицированного ПО (например, по ГОСТ Р 56828) или физическое уничтожение носителя (для локальных серверов). Для облачных систем (в том числе КЭДО-платформы): письменное подтверждение от провайдера об удалении данных — это часть договора поручения обработки по ст. 6 ФЗ-152, и если такой пункт не включён в договор с КЭДО-оператором, HR несёт риски самостоятельно.

Биометрические шаблоны СКУД — отдельный случай: по ст. 11 ФЗ-152 биометрические ПДн обрабатываются только с письменного согласия. Уничтожение биометрии фиксируется в отдельном акте с указанием алгоритма удаления шаблонов из базы данных контроллера СКУД. Если СКУД подключён к ЕБС (ФЗ-572), процедура уничтожения регулируется отдельными требованиями к оператору ЕБС.

Если СКУД в компании собирает биометрию без письменного согласия или без регламента уничтожения — это нарушение ч. 16 ст. 13.11 КоАП. Юристы DATUM составят пакет документов: согласия, регламент, форму акта уничтожения биометрических ПДн.

Собрать ОРД под ключ

Шаг 4. Составьте акт уничтожения: обязательные реквизиты

Унифицированной формы акта уничтожения электронных документов с ПДн в российском законодательстве нет. Форму устанавливает сам оператор в Положении о персональных данных. Однако реквизиты, без которых акт не будет принят при проверке, следуют из требований ст. 18.1 и ст. 21 ФЗ-152.

Обязательные элементы акта: наименование и реквизиты оператора; дата составления акта; основание уничтожения (ссылка на документ или событие); перечень уничтожаемых ПДн с указанием категорий и систем хранения; метод уничтожения; подтверждение необратимости (формулировка о невозможности восстановления); состав комиссии или лица, выполнившего уничтожение; подписи участников; при необходимости — реквизиты договора поручения (если уничтожение проводил обработчик по поручению).

При обработке ПДн через КЭДО-оператора необходимо получить от него подтверждающий документ об уничтожении — оно прикладывается к акту в качестве приложения. Без этого подтверждения оператор не исполнил обязанности по ст. 21 ФЗ-152 в полном объёме.

Шаг 5. Зафиксируйте уничтожение и обеспечьте хранение акта

Акт уничтожения подписывается комиссией (не менее двух человек, один из которых — лицо, ответственное за обработку ПДн по ст. 22.1 ФЗ-152). В малых компаниях допустима подпись одного уполномоченного лица — при условии, что это закреплено в локальном акте.

Акты уничтожения хранятся в журнале учёта актов уничтожения ПДн. Срок хранения актов — определяется оператором, но не менее 3 лет для целей возможного обжалования (ст. 4.5 КоАП предусматривает давность привлечения к ответственности по ст. 13.11 — 1 год с момента обнаружения, но лучше перекрыть с запасом). Сами уничтоженные ПДн не подлежат восстановлению — хранится только акт.

Если работник после уничтожения направит запрос о предоставлении его ПДн, оператор ответит в срок 10 рабочих дней (ст. 20 ФЗ-152) и предоставит копию акта уничтожения как доказательство надлежащего исполнения обязанности.

Что подготовить для внедрения процедуры уничтожения ПДн

Положение о персональных данных работников с разделом о порядке и сроках уничтожения (ст. 87 ТК РФ, ст. 18.1 ФЗ-152)
Утверждённая форма акта уничтожения электронных документов с обязательными реквизитами
Перечень информационных систем обработки ПДн с указанием методов гарантированного уничтожения для каждой
Договоры поручения с КЭДО-оператором и иными обработчиками с пунктом об уничтожении ПДн по требованию
Журнал учёта актов уничтожения ПДн

Типичные ситуации в HR: как применяется порядок уничтожения

Ситуация 1. Уволенный сотрудник требует удалить все его данные. Работник направил требование об уничтожении ПДн через месяц после увольнения. HR проверяет: часть ПДн (расчётные ведомости) хранится 75 лет по ст. 22.2 ТК РФ — уничтожению не подлежит. Остальные данные (анкета, скан паспорта, согласие) — уничтожаются в срок 30 дней. По каждой группе составляется отдельный акт. Работнику направляется ответ в срок 10 рабочих дней (ст. 20 ФЗ-152) с указанием, какие данные уничтожены, а какие сохраняются по закону.

Ситуация 2. Кандидат не принят на работу, данные анкеты остались в HRM. Если компания не установила срок хранения данных отказанных кандидатов — нарушена ст. 5 ФЗ-152 (принцип «не дольше необходимого»). При проверке РКН это типичное нарушение, фиксируемое по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Стратегия: внедрить регламент с предельным сроком хранения данных кандидатов (обычно 30–90 дней с даты отказа) и автоматическое уведомление ответственному об истечении срока.

Ситуация 3. СКУД перешёл на новый контроллер, старые биометрические шаблоны остались в базе. Биометрические ПДн в неактивной базе СКУД — это незаконная обработка по ст. 11 ФЗ-152, так как цель достигнута. Последствие: ч. 16 ст. 13.11 КоАП. Доказательством уничтожения будет акт с подтверждением от технического специалиста о полном удалении шаблонов из базы данных контроллера.

Как применяется на практике

Кейс 1. Ритейлер из Сибирского федерального округа (начало 2026 года) прошёл плановую проверку РКН. Инспектор запросил акты уничтожения ПДн уволенных работников за предшествующий год. HR-директор предоставил таблицу Excel с пометками «удалено». Инспектор не принял её как доказательство: составлен протокол по ч. 5 ст. 13.11 КоАП (штраф в диапазоне 50 000–90 000 ₽). После проверки компания внедрила утверждённую форму акта и журнал учёта — повторных нарушений при контрольном визите не было.

Кейс 2. Производственное предприятие (Уральский федеральный округ, осень 2025 года) использовало СКУД с биометрическими шаблонами. После замены системы биометрические данные 120 уволенных работников остались в архивной базе старого контроллера. Бывший сотрудник направил требование об уничтожении ПДн. HR-директор оперативно составила акт уничтожения биометрических ПДн с техническим подтверждением, направила ответ субъекту в срок 10 рабочих дней. РКН принял факт уничтожения и претензий не предъявил.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка HR-документации по чек-листу из 38 пунктов
Комплект ОРД под ключ — формы актов уничтожения, согласий, журналов для HR
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонементе

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы ФЗ-156 не имеют и переоформлять их не требуется, если они содержали все реквизиты, установленные ст. 9 ФЗ-152 на момент подписания. Однако если согласие было включено в текст трудового договора или иного документа — оно не соответствует требованию об отдельном документе, действующему с 01.09.2025 для новых согласий. При следующем найме или изменении целей обработки выдайте отдельный документ.

2. Какие данные нельзя запрашивать в анкете соискателя?

По ст. 86 ТК РФ работодатель вправе обрабатывать только те ПДн, которые необходимы для исполнения трудового договора или соблюдения требований законодательства. Нельзя запрашивать: религиозные и политические взгляды, сведения о членстве в общественных организациях, информацию о состоянии здоровья (кроме случаев, когда это обусловлено характером работы), сведения об интимной жизни. Это спецкатегории по ст. 10 ФЗ-152, обработка которых по общему правилу запрещена.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо, если работники уведомлены об этом в письменном виде (ст. 22.1 ТК РФ в части обеспечения безопасности) и ПДн обрабатываются на основании законного интереса либо согласия (ст. 6 ФЗ-152). Видеозапись с идентификацией лиц — биометрические ПДн по ст. 11 ФЗ-152, если используется для установления личности. В таком случае требуется письменное согласие каждого работника. Запись без идентификации личности — не биометрия, достаточно уведомления.

4. Сколько хранить согласия после увольнения?

Минимальный срок хранения согласия работника на обработку ПДн после увольнения — срок исковой давности по трудовым спорам плюс срок давности привлечения к административной ответственности по ст. 13.11 КоАП (1 год с момента обнаружения). На практике рекомендуется хранить согласия не менее 3 лет с даты увольнения или с даты уничтожения соответствующих ПДн — в зависимости от того, что наступило позже. Само согласие как документ — не ПДн, это доказательство законности обработки.

5. Кто является оператором при использовании КЭДО?

При использовании КЭДО-платформы сторонней компании работодатель остаётся оператором ПДн работников (ст. 3 ФЗ-152), а КЭДО-провайдер — лицом, осуществляющим обработку по поручению (ст. 6 ФЗ-152, п. 3). Это означает, что работодатель несёт ответственность за действия КЭДО-провайдера перед субъектами ПДн и РКН. Договор с КЭДО-провайдером должен содержать обязанности по уничтожению ПДн по требованию оператора. Если такого пункта нет — акт уничтожения составить в соответствии с требованиями ст. 21 ФЗ-152 не получится.

6. Что будет, если акт уничтожения составлен с нарушениями или его нет вовсе?

Отсутствие акта или ненадлежащий акт при проверке РКН квалифицируется как неисполнение обязанности по уничтожению ПДн — основание для штрафа по ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽ для юрлица). При повторном нарушении — ч. 5.1 той же статьи, штраф 300 000–500 000 ₽. Если нарушение связано с неуничтожением биометрических ПДн — применяется ч. 16 ст. 13.11 КоАП с более высокими санкциями.

Итог

Уничтожение электронных документов с персональными данными работников — обязательная процедура, оформляемая актом с реквизитами, закреплёнными в локальном акте оператора. Без акта уничтожения HR-директор не сможет подтвердить исполнение требований ст. 21 ФЗ-152 ни при проверке РКН, ни при обращении уволенного работника.

Юристы DATUM специализируются на HR-пакете ОРД: разрабатывают формы актов уничтожения, согласий по ФЗ-156, регламентов обработки ПДн в КЭДО и СКУД, сопровождают проверки РКН в HR-департаментах средних и крупных компаний.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

3 февраля 2028 года