Уничтожение согласий: акт и журнал
Роскомнадзор проверяет не только наличие согласий, но и то, что происходит с ними после достижения цели обработки или увольнения работника. По ст. 9 ч. 4 ФЗ-152 оператор обязан прекратить обработку и уничтожить персональные данные, если субъект отозвал согласие или если цель обработки достигнута. Без акта и журнала уничтожения доказать выполнение этой обязанности перед инспектором невозможно. Ниже — пошаговый порядок для HR-департамента с учётом редакции ФЗ-156 от 24.06.2025.
Что такое уничтожение согласий и когда оно требуется?
Уничтожение персональных данных по ст. 3 ФЗ-152 — это действия, в результате которых восстановление содержания записей невозможно. Применительно к согласиям речь идёт как о самом документе согласия, так и о персональных данных, которые оператор накопил на его основании.
Уничтожение становится обязательным в трёх ситуациях:
- работник отозвал согласие в соответствии со ст. 9 ч. 2 ФЗ-152;
- цель обработки достигнута или утратила актуальность — например, анкета кандидата после отказа в найме;
- истёк срок, указанный в самом согласии, и продолжение обработки не имеет иного правового основания.
При увольнении работника ситуация неоднозначна: личное дело хранится 75 лет (для большинства категорий документов), поэтому уничтожать нельзя то, что хранится по ст. 22.2 ТК РФ и архивному законодательству. Уничтожению подлежат только те данные, которые собирались исключительно на основании согласия и не имеют иного правового основания для хранения.
Шаг 1. Определите, какие согласия подлежат уничтожению
Прежде чем составлять акт, HR-департамент фиксирует перечень документов, срок или основание уничтожения которых наступило. Для этого понадобится реестр согласий — или хотя бы журнал регистрации с датами и основаниями выдачи.
Типовые категории согласий в HR:
- согласие на обработку ПДн при трудоустройстве (анкета, резюме кандидата, не принятого на работу);
- согласие работника на распространение сведений о нём — публикация в корпоративных материалах (ст. 10.1 ФЗ-152);
- согласие на обработку биометрических ПДн для СКУД (ст. 11 ФЗ-152);
- согласие на передачу ПДн третьим лицам (банк — зарплатный проект, ДМС-страховщик);
- согласие на обработку в КЭДО, если оно оформлялось отдельно.
По каждой категории устанавливается срок хранения согласия и дата наступления основания для уничтожения. Важно: ст. 86 ТК РФ запрещает обрабатывать ПДн работника сверх необходимого, поэтому данные, собранные только под конкретную цель, не должны «зависать» в системах после её достижения.
Согласия работников ещё не разделены по ФЗ-156?
Если HRD не пересмотрел формы согласий после 01.09.2025, каждый старый документ — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 рублей. Срок для исправления не установлен — риск актуален каждый день до следующей проверки.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 2. Составьте акт уничтожения персональных данных
Акт уничтожения — первичный документ, подтверждающий факт и способ уничтожения. ФЗ-152 не утверждает унифицированную форму, поэтому оператор разрабатывает её самостоятельно и закрепляет в локальном акте.
Обязательные реквизиты акта:
- наименование оператора;
- дата и место составления;
- перечень уничтожаемых документов (или категорий ПДн в информационных системах) с указанием субъектов или их числа;
- основание уничтожения — отзыв согласия, истечение срока, достижение цели;
- способ уничтожения — шредирование, программное удаление с подтверждением невозможности восстановления, размагничивание носителей;
- состав комиссии (не менее двух человек, включая ответственного за обработку ПДн по ст. 22.1 ФЗ-152);
- подписи всех членов комиссии.
Для электронных согласий в КЭДО или СЭД способ уничтожения должен обеспечивать невозможность восстановления данных. Простое перемещение в корзину недостаточно — необходима процедура гарантированного удаления согласно требованиям ФСТЭК по уровню защищённости системы (Приказ ФСТЭК №21).
Шаг 3. Внесите запись в журнал уничтожения
Журнал уничтожения ПДн — это регистр, который ведётся параллельно с актами. Он позволяет при проверке РКН быстро подтвердить системность работы, а не разовый характер действий.
Структура журнала (минимальный состав граф):
- порядковый номер записи;
- дата уничтожения;
- категория ПДн или вид согласия;
- количество субъектов;
- основание (ссылка на норму или событие: «отзыв 12.08.2026», «достижение цели найма», «истечение срока согласия»);
- способ уничтожения;
- номер акта уничтожения;
- ФИО и подпись ответственного.
Журнал может вестись в бумажном или электронном виде. При электронном ведении важно обеспечить целостность записей — исключить возможность задним числом изменить дату или основание. Для этого подходит система КЭДО с аудит-трейлом или отдельная защищённая база.
Срок хранения журнала — не менее 3 лет с момента последней записи, либо более длительный срок, если он установлен приказом об утверждении номенклатуры дел оператора.
Шаг 4. Отработайте отзыв согласия работника в 30-дневный срок
Получив отзыв согласия, HR-департамент обязан прекратить обработку и уничтожить данные в течение 30 дней. Отсчёт идёт с даты поступления заявления об отзыве. Если продолжение обработки необходимо по иному основанию — например, по договору или трудовому законодательству, — оператор уведомляет работника об этом в письменном виде с указанием нормы.
Типовая ошибка: согласие отозвано, но данные остались в CRM, почтовом архиве или резервных копиях. Наличие данных в бэкапах после истечения срока уничтожения — самостоятельное нарушение, которое РКН фиксирует при техническом аудите.
Для отзыва биометрических данных из СКУД — отдельный порядок: данные удаляются из базы СКУД и из всех систем хранения шаблонов биометрии. Если использовалась ЕБС, порядок определяется ФЗ-572 и договором с АО «Центр Биометрических Технологий».
Шаг 5. Обновите политику и ОРД под новые требования ФЗ-156
С 01.09.2025 согласие на обработку ПДн оформляется исключительно отдельным документом — его нельзя включать в текст трудового договора, оферты или политики конфиденциальности (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Это означает, что порядок уничтожения согласий тоже меняется: теперь уничтожается самостоятельный документ, а не раздел договора.
Что нужно пересмотреть в ОРД:
- положение об обработке ПДн работников — в части порядка уничтожения;
- регламент реагирования на отзыв согласия — сроки и ответственные;
- форму акта уничтожения — привести в соответствие с новой структурой документов;
- номенклатуру дел HR — сроки хранения согласий как самостоятельных документов.
Ранее полученные согласия, оформленные в соответствии с требованиями, действовавшими до 01.09.2025, переоформлять не требуется: ФЗ-156 не имеет обратной силы. Однако при уничтожении таких согласий после 01.09.2025 применяется уже обновлённый порядок документирования.
Что подготовить HR-департаменту
- Реестр согласий с датами, основаниями и сроками уничтожения по каждой категории.
- Утверждённую форму акта уничтожения ПДн с перечнем обязательных реквизитов и составом комиссии.
- Журнал уничтожения ПДн с минимальным составом граф и порядком ведения (бумажный или электронный).
- Регламент реагирования на отзыв согласия — срок 30 дней, ответственные, способы уничтожения для каждой системы.
- Инструкцию по гарантированному удалению данных из КЭДО, СКУД и резервных копий.
Как это применяется на практике
Кейс 1. HR-директор производственного предприятия (Уральский ФО, весна 2026) получил предписание РКН по итогам плановой проверки: данные отказников-кандидатов хранились в CRM более двух лет без основания. Компания не могла предъявить ни акты уничтожения, ни журнал. РКН составил протокол по ч. 1 ст. 13.11 КоАП (штраф до 300 000 рублей). После введения в 2026 году практики фиксации уничтожения аналогичная проверка у смежного предприятия закончилась без штрафа: документация была в порядке.
Кейс 2. В компании с КЭДО (Центральный ФО, осень 2025) работник отозвал согласие на обработку биометрии в СКУД. ИТ-служба удалила шаблон из базы СКУД, однако резервная копия с данными сохранилась на архивном сервере. При внутреннем аудите нарушение было выявлено и устранено до проверки РКН. Акт уничтожения резервной копии с подтверждением от администратора системы позволил закрыть риск. Если бы нарушение обнаружил РКН — штраф по ч. 2 ст. 13.11 составил бы от 300 000 до 700 000 рублей за отсутствие надлежащего уничтожения биометрических ПДн.
Если HRD обнаружил, что в компании нет ни актов, ни журнала уничтожения — до следующей проверки РКН риск активен прямо сейчас. Юристы DATUM подготовят полный пакет ОРД, включая формы актов и журналов, под ключ.
Собрать ОРД под ключМатрица типовых ситуаций для HR-директора
Ситуация 1. Согласие кандидата, которого не взяли на работу. Кандидат направил резюме, прошёл собеседование — отказ. Цель обработки достигнута. Если согласие не содержит явного срока хранения для «банка резюме» — данные подлежат уничтожению. Стратегия: в согласии кандидата прописать срок хранения резюме (например, 1 год для банка кандидатов) или уничтожать сразу после отказа. Журнал ведётся по каждой партии отказников.
Ситуация 2. Уволенный работник требует уничтожить все свои ПДн. Личное дело хранится 75 лет по ст. 22.2 ТК РФ — это законное основание продолжать обработку без согласия. Однако данные, собранные только на основании согласия (например, дополнительные контактные данные родственников для ДМС), уничтожаются в 30 дней. Стратегия: чётко разграничить в ОРД, какие данные обрабатываются на основании трудового законодательства, а какие — исключительно по согласию.
Ситуация 3. КЭДО с биометрией СКУД: работник уволен, биометрия осталась в системе. Ситуация: шаблон отпечатка пальца или изображение лица в СКУД не удалены после увольнения. Нарушение ст. 11 ФЗ-152 и ч. 16 ст. 13.11 КоАП. Стратегия: включить удаление биометрии в чек-лист офбординга; составлять акт уничтожения биометрических ПДн в день увольнения; хранить акты отдельным регистром с увеличенным сроком как доказательство.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка HR-документации по 38 пунктам
- Комплект ОРД под ключ — акты, журналы, регламенты уничтожения ПДн
- DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Нет — ФЗ-156 не имеет обратной силы. Согласия, оформленные до 01.09.2025 с соблюдением действовавших на тот момент требований, остаются действительными. Переоформление требуется только тогда, когда согласие истекает или отзывается, а оператор хочет продолжить обработку — в этом случае новое согласие оформляется уже по требованиям ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156: отдельный документ с обязательными реквизитами.
2. Какие данные нельзя спрашивать в анкете при трудоустройстве?
Ст. 86 ТК РФ запрещает собирать ПДн о политических, религиозных и иных убеждениях, членстве в профсоюзах, состоянии здоровья (кроме профессиональных противопоказаний по ст. 10 ФЗ-152), частной жизни без письменного согласия работника. Вопросы анкеты должны быть прямо связаны с трудовой функцией. Избыточные данные — нарушение принципа минимизации по ст. 5 ФЗ-152 и основание для штрафа по ч. 1 ст. 13.11 КоАП.
3. Можно ли вести видеонаблюдение в офисе?
Да, при соблюдении нескольких условий: работники уведомлены об этом под подпись (ст. 87 ТК РФ), информация об обработке отражена в политике конфиденциальности и уведомлении РКН. Если видеозапись используется как биометрия — то есть для идентификации личности, — необходимо письменное согласие по ст. 11 ФЗ-152. Мониторинг без биометрической идентификации согласия не требует, но требует уведомления.
4. Сколько хранить согласия после увольнения?
Согласия, которые относятся к трудовым отношениям и входят в состав личного дела, хранятся 75 лет по ст. 22.2 ТК РФ. Согласия на обработку данных, не входящих в личное дело (биометрия СКУД, дополнительные данные для ДМС), — уничтожаются в течение 30 дней с момента достижения цели или увольнения, если нет иного правового основания. Акт уничтожения таких согласий рекомендуется хранить не менее 3 лет как доказательство выполнения обязанности.
5. Кто оператор при использовании КЭДО?
Оператором ПДн при использовании КЭДО остаётся работодатель — он определяет цели и средства обработки. Поставщик КЭДО-платформы выступает лицом, осуществляющим обработку по поручению оператора (ст. 6 ч. 3 ФЗ-152). Поручение на обработку должно быть оформлено письменным договором с перечнем операций, мер защиты и запретом субпоручения без согласия оператора. Отсутствие поручения — нарушение ч. 3 ст. 6 ФЗ-152.
6. Что делать, если в архиве обнаружены согласия с истёкшим сроком?
Необходимо незамедлительно составить акт уничтожения и внести запись в журнал. Факт нарушения срока не исчезает, однако оперативное устранение снижает риск штрафа: при проверке РКН наличие акта с датой позже установленного срока будет квалифицировано как нарушение, завершённое до проверки, что влияет на размер санкции. При повторном нарушении применяется ч. 1.1 ст. 13.11 КоАП — штраф до 500 000 рублей.
Итог
Уничтожение согласий — не разовое действие, а регулярный процесс, который требует двух документов: акта уничтожения и журнала учёта. Без них HR-департамент не может доказать РКН выполнение обязанности по ст. 9 ФЗ-152 ни в момент проверки, ни при разборе инцидента.
С учётом требований ФЗ-156 от 24.06.2025 и новых составов ст. 13.11 КоАП с 30.05.2025 цена неоформленного уничтожения выросла: штраф по ч. 2 ст. 13.11 — до 700 000 рублей, за повторное нарушение по ч. 2.1 — до 1 500 000 рублей. Юристы DATUM помогают HR-директорам выстроить полный цикл документирования ПДн — от сбора согласий до их уничтожения — в соответствии с действующей редакцией ФЗ-152.
14 января 2028 года