Перейти к содержанию
инструкция 14 января 2028 По состоянию на 14 января 2028

Уничтожение ПДн уволенного: сроки

Уничтожение персональных данных уволенного работника — обязанность оператора по ч. 4 ст. 21 ФЗ-152: после достижения цели обработки ПДн подлежат уничтожению в течение 30 дней, если иное не предусмотрено законом.
Нарушение срока или неполное уничтожение — основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. С 01.09.2025 согласие на обработку оформляется отдельным документом по ФЗ-156 от 24.06.2025.
→ Если в вашем HR-департаменте нет актуального регламента уничтожения ПДн — разберитесь с порядком до прихода инспектора РКН.

Увольнение сотрудника не означает автоматического прекращения хранения его данных. Часть сведений хранится десятилетиями по Перечню типовых управленческих архивных документов, часть — уничтожается сразу после прекращения трудовых отношений. Для HRD главный вопрос — где именно проходит эта граница, кто фиксирует факт уничтожения и что делать с биометрией СКУД, КЭДО и данными, полученными по старым согласиям.

Шаг 1. Разберитесь, какие данные уволенного подлежат хранению, а какие — уничтожению

Персональные данные работников делятся на две категории по режиму хранения после увольнения.

Первая категория — документы, для которых установлены обязательные сроки архивного хранения. Личное дело, трудовой договор и приказы о приёме/увольнении хранятся 75 лет (для документов, созданных до 2003 года) или 50 лет (созданных с 2003 года) согласно ст. 22.2 ТК РФ и Приказу Росархива № 236 от 20.12.2019. Документы о начислении заработной платы — 50 лет. Это не право оператора, а обязанность: уничтожать их до истечения срока запрещено.

Вторая категория — данные, собранные исключительно в рамках трудовых отношений и не имеющие самостоятельного архивного основания. К ним относятся: копии паспорта, СНИЛС, ИНН, медицинских справок, данные систем контроля доступа (СКУД), переписка и данные из анкет при приёме, не включённые в личное дело. Эти данные после увольнения теряют правовое основание для обработки.

«Ч. 4 ст. 21 ФЗ-152: при достижении целей обработки или утрате необходимости в ней оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней, если иное не предусмотрено договором или законодательством РФ.»

Практически это означает: после увольнения у HR-службы есть 30 дней на уничтожение всего, что не попадает под архивные обязанности. Промедление уже создаёт нарушение.

Шаг 2. Проверьте правовое основание обработки ПДн по каждому источнику данных

ФЗ-152 запрещает обрабатывать ПДн при отсутствии правового основания. После увольнения трудовой договор как основание прекращает действие. Для продолжения обработки нужно либо иное законодательное основание (архивный закон, налоговый кодекс), либо отдельное согласие субъекта.

По ст. 86–88 ТК РФ работодатель вправе обрабатывать только те ПДн, которые необходимы для исполнения трудовых обязанностей. После прекращения трудового договора эта необходимость исчезает в части большинства персональных данных. Исключение — ПДн, нужные для расчёта и уплаты налогов, ответа на запросы ПФР, ФСС, прокуратуры, суда.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие на обработку ПДн оформляется отдельным документом — не вшивается в трудовой договор, не объединяется с офертой или политикой конфиденциальности.»

Если до 01.09.2025 компания собирала согласия работников в составе трудового договора или анкеты — такое согласие технически не соответствует новым требованиям. Переоформлять действующие трудовые отношения закон не обязывает: ФЗ-156 не имеет обратной силы. Но при приёме новых сотрудников после 01.09.2025 — только отдельный документ.

Отдельного внимания требует КЭДО. Система кадрового электронного документооборота — самостоятельный контур обработки ПДн. Оператором является работодатель; если КЭДО-система внешняя (СберКЭДО, 1С:Кабинет и т. д.) — она выступает обработчиком по ст. 6 ФЗ-152. После увольнения КЭДО-данные не переходят автоматически в архив: нужен регламент выгрузки и последующего хранения/уничтожения.

Согласия работников — в трудовом договоре до сих пор?

Если HRD не привёл формы согласий в соответствие с ФЗ-156 до 01.09.2025, каждое новое оформление сотрудника создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Регламент уничтожения ПДн уволенных при проверке РКН проверяется отдельно. Юристы DATUM соберут пакет согласий по новым требованиям и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Определите порядок уничтожения биометрии СКУД

Биометрические ПДн — отпечатки пальцев, изображение лица — относятся к специальной категории по ст. 11 ФЗ-152. Их обработка требует письменного согласия работника. После увольнения согласие утрачивает силу, и правовое основание для хранения биометрии исчезает.

На практике это означает: шаблон (математический образ отпечатка пальца или лица) должен быть удалён из СКУД-системы в течение 30 дней после увольнения. Физический носитель — при наличии — уничтожается с составлением акта.

Сложность в том, что СКУД-системы нередко хранят биометрические шаблоны в памяти контроллера, базе данных сервера и резервных копиях. Уничтожение только из основной базы без зачистки бэкапов — неполное уничтожение. Это нарушение требований ст. 19 ФЗ-152 и ПП РФ № 1119 в части организационных мер.

«Ч. 2 ст. 11 ФЗ-152: обработка биометрических ПДн допускается только при наличии письменного согласия субъекта, за исключением случаев, прямо предусмотренных законом (государственная безопасность, правосудие и иные). Трудовые отношения в исключения не входят.»

Штраф за нарушение порядка обработки биометрии с 30.05.2025 — по ч. 16 ст. 13.11 КоАП. Утечка биометрических данных — ч. 17 ст. 13.11, от 15 до 20 млн ₽. Это несопоставимо с затратами на правильно выстроенный процесс удаления данных из СКУД.

Шаг 4. Составьте акт об уничтожении ПДн

Факт уничтожения ПДн должен быть задокументирован. Это требование прямо вытекает из принципа подотчётности ст. 18.1 ФЗ-152: оператор обязан подтвердить выполнение требований закона.

Акт об уничтожении ПДн содержит:

  • перечень уничтоженных ПДн (категория, носитель, источник)
  • дату уничтожения и дату увольнения работника
  • способ уничтожения (перезапись, физическое уничтожение носителя, удаление из системы с указанием наименования ИС)
  • ФИО и должность лица, осуществившего уничтожение
  • подпись ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Акт хранится не менее 3 лет — по аналогии со сроками привлечения к административной ответственности. При проверке РКН он служит доказательством соблюдения ч. 4 ст. 21 ФЗ-152.

Отдельный акт составляется для каждого носителя: бумажные документы, электронные базы, СКУД, КЭДО. Если уничтожение проводится в отношении группы уволенных одновременно — допустим сводный акт с перечнем субъектов.

Что подготовить HR-службе до увольнения сотрудника

  • Карту данных по работнику: перечень всех ИС, в которых хранятся его ПДн (КЭДО, СКУД, 1С ЗУП, корпоративная почта, CRM)
  • Регламент уничтожения ПДн с указанием сроков (30 дней) и ответственных по каждой ИС
  • Шаблон акта об уничтожении ПДн, утверждённый руководителем
  • Перечень ПДн, подлежащих архивному хранению (75/50 лет), с основаниями из ст. 22.2 ТК РФ и Приказа Росархива № 236
  • Форму отдельного согласия на обработку ПДн по требованиям ФЗ-156 (для данных, обрабатываемых сверх трудовых обязанностей)

Шаг 5. Выстройте процесс уничтожения ПДн в ИС и КЭДО

Уничтожение ПДн уволенного в информационных системах — технически наиболее сложный этап. В СКУД данные дублируются на уровне контроллера и сервера; в КЭДО — в журналах операций и резервных копиях; в 1С — в регистрах и истории изменений.

Практический порядок для типичной HR-ИС:

  1. Деактивация учётной записи в день увольнения.
  2. Выгрузка и передача в архив данных, подлежащих хранению.
  3. Удаление или анонимизация записей из оперативной базы в течение 30 дней.
  4. Фиксация в журнале уничтожения ПДн (наименование ИС, дата, объём).
  5. Зачистка резервных копий — по регламенту резервного копирования, но не позднее первой плановой ротации бэкапов после 30-дневного срока.

Полного уничтожения из резервных копий немедленно закон не требует — требует принятия мер и документирования. Если бэкапы ротируются каждые 30 дней, данные уволенного в них перезапишутся в штатном порядке. Важно, чтобы регламент резервного копирования это предусматривал явно.

«Ст. 19 ФЗ-152 обязывает оператора принять меры по обеспечению безопасности ПДн. Перечень конкретных мер для ИСПДн определяется по уровню защищённости (УЗ-1...УЗ-4) согласно ПП РФ № 1119 от 01.11.2012 и Приказу ФСТЭК № 21.»

Если в КЭДО или СКУД нет регламента уничтожения ПДн уволенных — РКН при проверке квалифицирует это как нарушение ст. 21 ФЗ-152. Штраф по ч. 5 ст. 13.11 КоАП — до 90 000 ₽, при повторном нарушении — до 500 000 ₽. Юристы DATUM соберут ОРД под ключ: регламент уничтожения, акты, журналы, политику обработки ПДн.

Собрать ОРД под ключ

Типичные ситуации при уничтожении ПДн уволенных

Ситуация 1. Уволенный сотрудник требует уничтожить все свои данные. HR-директор производственной компании в Уральском ФО (весна 2026) получил письменное требование уволенного об уничтожении ПДн на основании ч. 2 ст. 21 ФЗ-152. На требование ответили, что часть данных хранится 75 лет по ст. 22.2 ТК РФ — приказ, трудовой договор, расчётные листы. Остальные данные (копия паспорта, сведения из СКУД, сканы справок) уничтожены в течение 10 рабочих дней с составлением акта. Проверка РКН по жалобе сотрудника не выявила нарушений.

Ситуация 2. Биометрия в СКУД не удалена после увольнения. Медицинская организация в Центральном ФО (осень 2025) при проверке РКН выяснила, что биометрические шаблоны уволенных сотрудников за три года хранятся в базе данных СКУД-сервера. Плановый регламент удаления биометрии отсутствовал. Штраф — по ч. 2 ст. 13.11 КоАП в диапазоне сотен тысяч рублей. Дополнительно компанию обязали разработать регламент и уничтожить накопленные биометрические данные в течение 30 дней. ⚠️ Точные реквизиты дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Действующие согласия, собранные до 01.09.2025, переоформлять не требуется — ФЗ-156 не имеет обратной силы. При приёме новых сотрудников с 01.09.2025 согласие оформляется отдельным документом по ст. 9 ФЗ-152 в новой редакции: оно не может быть частью трудового договора, анкеты или оферты. Реквизиты согласия: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.

2. Какие данные нельзя спрашивать в анкете соискателя?

По ст. 86 ТК РФ работодатель вправе обрабатывать только ПДн, необходимые для трудовой деятельности. Запрещено требовать сведения о политических взглядах, религии, национальности, состоянии здоровья (за исключением обязательных медосмотров), семейном положении (если не связано с льготами). Данные о судимости — только для должностей с ограничениями по закону. Сбор лишних данных — нарушение принципа соответствия объёма целям по ст. 5 ФЗ-152.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо при соблюдении ряда условий. Работники должны быть уведомлены о нём под подпись — это отдельная обязанность работодателя по ст. 86 ТК РФ. Видеозаписи с изображением конкретного работника — персональные данные. Хранение видеозаписей после увольнения работника без самостоятельного основания (например, в рамках служебного расследования) нарушает ч. 4 ст. 21 ФЗ-152. Стандартный срок ротации записей — 30 дней, если иное не обосновано.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн — документ о трудовых отношениях. По ст. 22.2 ТК РФ и Приказу Росархива № 236 документы по личному составу хранятся 50 лет (созданные с 2003 года) или 75 лет. Само согласие как документ кадрового учёта включается в личное дело и хранится вместе с ним. Это не противоречие с уничтожением ПДн: вы прекращаете обработку данных, но документ о согласии остаётся в архиве как подтверждение законности обработки в период трудовых отношений.

5. Кто оператор при использовании КЭДО?

Оператором персональных данных при использовании КЭДО является работодатель. Он самостоятельно определяет цели и способы обработки ПДн. Провайдер КЭДО-системы (СберКЭДО, 1С, HRlink и т. д.) выступает обработчиком по поручению в соответствии с п. 3 ст. 6 ФЗ-152. Договор с провайдером должен содержать условия о поручении обработки: перечень действий, обязанность обеспечить конфиденциальность, сроки уничтожения ПДн при расторжении договора. Ответственность перед субъектом несёт оператор-работодатель.

6. Что делать, если уволенный обратился с требованием уничтожить ПДн через год?

По ч. 2 ст. 21 ФЗ-152 субъект вправе потребовать уничтожения ПДн, если оператор обрабатывает их незаконно или без достаточного основания. Оператор обязан проверить наличие основания и при его отсутствии уничтожить ПДн в течение 10 рабочих дней с даты обращения (ст. 20 ФЗ-152). Если ПДн хранятся по архивному обязательству — об этом уведомляют субъекта с указанием нормы. Неответ в срок — нарушение ч. 4 ст. 13.11 КоАП, штраф до 80 000 ₽.

Итог

Уничтожение ПДн уволенного — это пятиэтапный процесс: классификация данных по режиму хранения, проверка правовых оснований, уничтожение биометрии СКУД в течение 30 дней, документирование актом и техническая зачистка в информационных системах включая КЭДО. Часть данных хранится десятилетиями по ст. 22.2 ТК РФ — это не противоречие с ФЗ-152, а его прямое применение.

Практика DATUM показывает: в 80% случаев при проверке РКН в HR-сегменте нарушения связаны именно с отсутствием регламента уничтожения, неполным удалением биометрии и несоответствием согласий требованиям ФЗ-156. Команда DATUM сопровождает HR-департаменты в приведении обработки ПДн в соответствие с 152-ФЗ с 2014 года.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ (ФЗ-156), КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

14 января 2028 года