инструкция 21 августа 2028 По состоянию на 21 августа 2028

Запрос уволенного о выдаче своих ПДн

Уволенный работник вправе запросить копии своих персональных данных у бывшего работодателя — оператор обязан ответить в течение 10 рабочих дней по ст. 20 ФЗ-152.

Нарушение порядка ответа: штраф до 80 000 ₽ по ч. 4 ст. 13.11 КоАП. Ненадлежащее согласие после 01.09.2025 — до 700 000 ₽ по ч. 2 ст. 13.11.

Если HRD получил запрос от уволенного или проверяет готовность к нему — инструкция ниже даёт пошаговый порядок действий и пакет документов.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: санкции за нарушения в работе с персональными данными кратно выросли. Для HR-директора это означает, что любой запрос бывшего работника становится не формальностью, а проверочной точкой: правильно ли оформлены согласия, корректно ли хранится личное дело, есть ли регламент обработки в КЭДО. Эта инструкция описывает шесть шагов — от получения запроса до закрытия обращения — с привязкой к нормам 152-ФЗ, ст. 86–88 ТК РФ и требованиям ФЗ-156 от 24.06.2025.

Шаг 1. Проверьте основания: кто вправе запрашивать свои ПДн после увольнения?

Уволенный работник остаётся субъектом персональных данных в том смысле, что его данные продолжают храниться у бывшего работодателя. По ст. 14 ФЗ-152 субъект вправе получить от оператора подтверждение факта обработки, перечень обрабатываемых данных и информацию об источниках, целях, сроках и способах обработки. Трудовые отношения прекращены — но обязанность оператора по ответу на запрос субъекта сохраняется.

Проверьте три параметра входящего запроса:

Личность заявителя. Запрос подаётся лично или через представителя. При представительстве — нотариальная доверенность или документ, подтверждающий полномочия законного представителя.
Форма запроса. Закон не требует конкретной формы. Письменный запрос, письмо на корпоративный email HR, заявление через МФЦ или уведомление через систему КЭДО — все варианты приравнены.
Содержание запроса. Работник вправе запросить любую информацию об обработке его ПДн, копии данных, а также потребовать уточнения, блокирования или уничтожения — это разные требования с разными процедурами.

«Ст. 14 ФЗ-152 — субъект ПДн вправе получить от оператора сведения об обрабатываемых данных, целях, правовых основаниях, сроках обработки и третьих лицах, которым данные были переданы.»

Запрос с требованием уничтожить данные рассматривается по отдельной норме: ч. 3 ст. 21 ФЗ-152. Смешивать процедуры нельзя: срок ответа по запросу информации — 10 рабочих дней, по требованию уничтожить — 7 рабочих дней.

Шаг 2. Установите, какие данные продолжают обрабатываться и на каком основании

После увольнения оператор продолжает обрабатывать персональные данные бывшего работника на нескольких основаниях. Важно чётко разграничить, какие данные хранятся в силу закона, а какие — сверх обязательного минимума.

Обязательное хранение после увольнения:

Личное дело и кадровые документы. Типовой срок хранения — 75 лет (для документов, оформленных до 2003 года) или 50 лет (для документов с 2003 года и позже) по Приказу Росархива. Основание обработки — исполнение требований законодательства (п. 2 ч. 1 ст. 6 ФЗ-152).
Бухгалтерские и налоговые документы. Срок хранения — 5 лет с окончания отчётного периода. Основание — то же.
Данные для военно-учётного стола. По нормативам военкоматов до снятия с учёта.

Данные, хранение которых после увольнения требует отдельного основания:

Резюме и анкеты, не вошедшие в личное дело.
Биометрические данные из СКУД (изображения лица, данные отпечатков), если оборудование позволяет их сохранять.
Данные в системе КЭДО, выходящие за рамки трудовых документов.
Контактные данные, переданные в сторонние системы (CRM, системы рассылок).

«Ст. 5 ФЗ-152 — данные не могут храниться дольше, чем это необходимо для целей обработки. По достижении цели данные подлежат уничтожению или обезличиванию.»

Если данные хранятся без правового основания — это нарушение ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000–300 000 ₽. В ответе на запрос нельзя сообщать об обработке данных, которые по закону уже должны быть уничтожены.

Получили запрос от уволенного работника — что делать в первые 24 часа?

Срок ответа субъекту по ст. 20 ФЗ-152 — 10 рабочих дней. Он не восстанавливается, если пропущен без уведомления. Нарушение порядка ответа — штраф 40 000–80 000 ₽ по ч. 4 ст. 13.11 КоАП в редакции с 30.05.2025. Если в этот момент РКН проверит наличие актуальных согласий и политики — ненадлежащие согласия добавят штраф до 700 000 ₽ по ч. 2 ст. 13.11.

Юристы DATUM проверят комплектность ОРД, форму согласий и порядок ответа субъектам в рамках аудита HR-блока по 152-ФЗ.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Подготовьте ответ в установленный срок

Срок ответа субъекту на запрос по ст. 20 ФЗ-152 — 10 рабочих дней с даты получения запроса. Оператор вправе продлить срок ещё на 5 рабочих дней, если уведомит субъекта об этом до истечения первых 10 дней с обоснованием причин.

Что включить в ответ:

Подтверждение факта обработки персональных данных конкретного субъекта.
Правовые основания обработки (со ссылкой на нормы ТК РФ, ФЗ-152, архивное законодательство).
Цели обработки по каждой категории данных.
Перечень обрабатываемых данных с указанием источников получения.
Сроки обработки или критерии их определения.
Перечень третьих лиц, которым данные были переданы (при наличии).

Ответ направляется в той же форме, что поступил запрос, либо в иной согласованной форме. Если запрос пришёл на бумаге — ответ можно направить письмом с уведомлением. Если через корпоративный email бывшего работника — убедитесь, что адрес ещё активен или используйте иной канал.

«Ст. 20 ФЗ-152 — оператор обязан предоставить субъекту сведения об обрабатываемых данных в течение 10 рабочих дней с момента обращения. Продление возможно ещё на 5 рабочих дней с уведомлением субъекта.»

Отказ в предоставлении информации возможен только в случаях, прямо предусмотренных законом: например, если данные содержат охраняемую законом тайну третьих лиц. Немотивированный отказ — нарушение ч. 4 ст. 13.11 КоАП.

Шаг 4. Проверьте согласия работника с учётом требований ФЗ-156 от 01.09.2025

С 01.09.2025 ФЗ-156 от 24.06.2025 изменил порядок оформления согласий: согласие на обработку персональных данных теперь оформляется отдельным документом и не может быть включено в трудовой договор, должностную инструкцию, политику конфиденциальности или иной документ. Это требование распространяется на все новые согласия с 01.09.2025. Ранее полученные согласия переоформлять не требуется — обратной силы нет.

Для HR-директора это означает: если согласие работника было включено в трудовой договор до 01.09.2025 — оно остаётся действительным для того объёма обработки, который был заявлен. Если сотрудник принят после 01.09.2025 — согласие должно быть отдельным документом со всеми обязательными реквизитами по ст. 9 ФЗ-152.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

Фамилия, имя, отчество субъекта и его контактные данные.
Наименование и адрес оператора (работодателя).
Цель обработки персональных данных.
Перечень персональных данных, на обработку которых даётся согласие.
Перечень действий с персональными данными и описание способов обработки.
Срок действия согласия или условие его прекращения.
Порядок отзыва согласия.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие на обработку ПДн с 01.09.2025 оформляется отдельным документом. Включение согласия в трудовой договор или иной документ не допускается.»

Если уволенный работник оспаривает законность обработки его данных после увольнения — первое, что запросит РКН при проверке, это оригиналы согласий и даты их оформления. Отсутствие отдельного согласия (при необходимости его получения) — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

Шаг 5. Урегулируйте вопрос с биометрией СКУД и данными из КЭДО

Два источника данных требуют отдельного внимания при обработке запроса уволенного работника: системы контроля и управления доступом (СКУД) с биометрической идентификацией и системы КЭДО.

Биометрия СКУД. Изображение лица и отпечатки пальцев — биометрические персональные данные по ст. 11 ФЗ-152. Обработка допустима только при наличии письменного согласия работника. После увольнения работодатель обязан уничтожить биометрические данные, если у него нет иного правового основания для их хранения. Срок уничтожения — в пределах срока, установленного согласием, но не позднее достижения цели обработки (доступ на объект прекратился). Если данные уничтожены, в ответе на запрос об этом сообщается прямо. Если не уничтожены — это нарушение ст. 5 и ст. 11 ФЗ-152.

КЭДО и персональные данные. Электронный кадровый документооборот означает, что данные работника хранятся в информационной системе работодателя или оператора КЭДО. Оператором персональных данных остаётся работодатель — вне зависимости от того, используется ли сторонняя платформа КЭДО. Договор с платформой КЭДО должен содержать поручение на обработку персональных данных по ст. 6 ч. 3 ФЗ-152. Уволенный работник вправе запросить данные из системы КЭДО на тех же основаниях, что и бумажные документы.

«Ст. 11 ФЗ-152 — биометрические персональные данные обрабатываются только при наличии письменного согласия субъекта. Исключения — случаи, прямо установленные законом (судопроизводство, оборона, безопасность государства и ряд других).»

При запросе уволенного следует проверить: деактивирован ли его профиль в СКУД, уничтожены ли биометрические шаблоны, закрыт ли доступ к системе КЭДО. Всё это фиксируется в акте об уничтожении данных, который хранится в деле.

Если HR-директор не уверен, что согласия работников соответствуют требованиям ФЗ-156, а порядок уничтожения биометрии СКУД не задокументирован — при первой жалобе уволенного в РКН это станет основанием для внеплановой проверки. Юристы DATUM подготовят пакет ОРД для HR-блока под ключ.

Собрать ОРД под ключ

Шаг 6. Зафиксируйте результат и закройте обращение

Каждое обращение субъекта персональных данных регистрируется в журнале учёта обращений. Это требование ст. 18.1 ФЗ-152: оператор должен уметь подтвердить факт соблюдения прав субъектов при проверке РКН.

Минимальный состав записи в журнале:

Дата поступления запроса.
ФИО субъекта (уволенного работника).
Суть требования (запрос информации / требование уточнить / требование уничтожить).
Дата и содержание ответа.
Результат: информация предоставлена / отказано с основанием / данные уточнены / уничтожены.

Если запрос содержал требование уничтожить данные — составляется акт об уничтожении с указанием перечня уничтоженных данных, даты, способа и ответственного. Акт хранится в деле компании.

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры для организации обработки ПДн и вести внутреннюю документацию, позволяющую подтвердить соблюдение требований закона при проверке.»

Что подготовить для ответа на запрос уволенного

Журнал учёта обращений субъектов ПДн с записью о текущем запросе.
Перечень обрабатываемых данных бывшего работника с указанием правовых оснований по каждой категории.
Оригиналы согласий работника (или акт об их отсутствии с обоснованием обработки без согласия).
Акт о деактивации профиля в СКУД и уничтожении биометрических данных (если применимо).
Шаблон ответа субъекту, согласованный с юристом, с указанием срока и способа направления.

Типовые ситуации при запросе уволенного о выдаче ПДн

Ситуация 1. Уволенный запрашивает данные из СКУД, компания хранит биометрию.
Работник направил письменный запрос через два месяца после увольнения, потребовав сведений об обработке его биометрических данных в СКУД. HR-директор при проверке обнаружил, что профиль в СКУД не деактивирован, биометрические шаблоны хранятся. Согласие на обработку биометрии было оформлено в 2021 году и не содержало срока хранения после прекращения трудовых отношений. Вероятный исход: нарушение ст. 11 ФЗ-152 (обработка биометрии без надлежащего правового основания после увольнения) и ст. 5 ФЗ-152 (хранение сверх необходимого срока). При жалобе в РКН — штраф по ч. 1 ст. 13.11 КоАП 150 000–300 000 ₽ и предписание об уничтожении. Стратегия: немедленно уничтожить биометрические данные, составить акт, ответить работнику в течение 10 рабочих дней с подтверждением факта уничтожения и обновить регламент работы со СКУД.

Ситуация 2. Согласие включено в трудовой договор, работник принят после 01.09.2025.
Компания использовала типовую форму трудового договора с включённым согласием на обработку ПДн. После 01.09.2025 в силу вступили требования ФЗ-156: согласие — отдельный документ. Работник уволился и направил запрос, указав, что согласие на передачу его данных третьим лицам (зарплатный проект, ДМС) недействительно. Вероятный исход: обработка данных на основании недействительного согласия — нарушение ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽ для юрлица. Стратегия: проверить все трудовые договоры, заключённые после 01.09.2025, переоформить согласия в виде отдельных документов по требованиям ст. 9 ФЗ-152.

Ситуация 3. Уволенный требует уничтожения всех данных, компания обязана хранить личное дело.
Бывший работник направил требование полностью уничтожить его персональные данные, ссылаясь на ст. 21 ФЗ-152. HR-директор обязан хранить личное дело 50 лет по законодательству об архивном деле. Вероятный исход: конфликт оснований — требование субъекта против обязанности хранения по закону. Оператор вправе отказать в уничтожении данных, обработка которых предусмотрена иным законом (ч. 2 ст. 21 ФЗ-152). Стратегия: ответить работнику в течение 7 рабочих дней, указав конкретные нормы-основания хранения и перечень данных, которые уничтожению не подлежат. Данные, обработка которых не предусмотрена законом (например, резюме в базе рекрутинга), уничтожаются по требованию.

Как это применяется на практике

Кейс 1. Торговая компания Центрального ФО (осень 2025). HR-директор получила запрос от уволенного менеджера по продажам, который потребовал предоставить сведения об обработке его данных и уничтожить данные в CRM-системе. Компания не имела журнала учёта обращений субъектов и просрочила ответ на 8 рабочих дней. РКН провёл внеплановую проверку по жалобе, зафиксировал нарушение ч. 4 ст. 13.11 КоАП (непредоставление информации субъекту) и нарушение ст. 18.1 (отсутствие документации). Штраф для юрлица составил сумму в нижней части диапазона по ч. 4. После введения журнала учёта и утверждения регламента ответов на обращения субъектов компания прошла повторную проверку без замечаний.

Кейс 2. Производственное предприятие Уральского ФО (начало 2026). Уволенный инженер обратился в РКН с жалобой на то, что его биометрические данные в СКУД не уничтожены спустя четыре месяца после увольнения. Согласие на обработку биометрии содержало срок «в период действия трудовых отношений», но регламент уничтожения данных при увольнении отсутствовал. Арбитражный суд региона рассмотрел дело по ч. 1 ст. 13.11 КоАП и с учётом отсутствия вреда субъекту применил минимальный штраф из диапазона. Компания внедрила чек-лист увольнения с обязательным пунктом об уничтожении биометрии в течение 3 рабочих дней. ⚠️ Конкретный номер дела и точная сумма штрафа — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, ОРД и порядка ответов субъектам в HR-блоке
Комплект ОРД под ключ — полный пакет документов для HR, включая согласия по ФЗ-156
DPO-аутсорсинг — ведение функции ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Переподписывать согласия, полученные до 01.09.2025, не требуется: ФЗ-156 от 24.06.2025 не имеет обратной силы. Согласия, оформленные до этой даты, сохраняют юридическую силу в том объёме, который в них указан. Требование об отдельном документе применяется к согласиям, которые оформляются с 01.09.2025. Если после этой даты компания заключала трудовые договоры и включала согласие в их текст — такие согласия следует переоформить в виде отдельного документа.

2. Какие данные нельзя спрашивать у кандидата или работника при приёме?

Ст. 86 ТК РФ запрещает работодателю запрашивать и обрабатывать данные, не связанные с трудовой деятельностью работника. Специальные категории ПДн по ст. 10 ФЗ-152 — расовая и национальная принадлежность, политические и религиозные взгляды, состояние здоровья (за исключением случаев, установленных ТК), интимная жизнь — запрещены к сбору без явного письменного согласия и при наличии законного основания. На практике это означает: вопросы в анкете о вероисповедании, политических взглядах, семейном положении вне трудовой необходимости или составе семьи без связи с льготами — нарушение.

3. Можно ли вести видеонаблюдение в офисе и как это связано с ПДн?

Видеонаблюдение в офисе допустимо при соблюдении нескольких условий: работники уведомлены о факте видеосъёмки (ст. 22.2 ТК РФ и ст. 9 ФЗ-152), оформлено отдельное согласие или видеонаблюдение введено локальным актом с указанием цели (охрана имущества, безопасность), политика конфиденциальности содержит информацию об обработке видеозаписей. Записи являются персональными данными, если позволяют идентифицировать конкретного человека. Срок хранения записей указывается в локальном акте и не должен превышать необходимого для достижения цели.

4. Сколько хранить согласия работника после его увольнения?

Согласия работников относятся к документам по личному составу. Срок хранения — не менее 3 лет с даты прекращения трудовых отношений (для документов, созданных с 2003 года и позже — по правилам архивного хранения с учётом характера документа). На практике согласия хранятся вместе с личным делом в течение всего срока хранения дела — 50 или 75 лет в зависимости от даты оформления. Это позволяет подтвердить правомерность обработки данных работника в любой момент проверки РКН или судебного разбирательства.

5. Кто является оператором ПДн при использовании платформы КЭДО?

Оператором персональных данных остаётся работодатель — вне зависимости от того, чья платформа КЭДО используется. Платформа выступает лицом, осуществляющим обработку по поручению оператора (ст. 6 ч. 3 ФЗ-152). Это означает, что ответственность перед работником и РКН несёт работодатель. Договор с поставщиком КЭДО должен содержать условия об обработке ПДн по поручению: перечень действий, обязанность конфиденциальности, порядок уничтожения данных по окончании договора.

6. Что делать, если уволенный работник подал жалобу в РКН, не дожидаясь ответа компании?

Жалоба в РКН до истечения 10-рабочих-дневного срока — право субъекта, которое закон не ограничивает. РКН уведомит компанию о жалобе и предложит объясниться. Если на момент получения уведомления от РКН ответ субъекту уже направлен и срок не нарушен — это смягчающее обстоятельство при рассмотрении дела об административном правонарушении. Если срок истёк без ответа — нарушение зафиксировано и будет квалифицировано по ч. 4 ст. 13.11 КоАП (штраф 40 000–80 000 ₽ для юрлица).

Итог

Запрос уволенного работника о выдаче его персональных данных — стандартная ситуация, которая при отсутствии отлаженного процесса превращается в административное дело. Ключевые точки риска: соблюдение 10-рабочих-дневного срока ответа, наличие актуальных согласий в формате, соответствующем требованиям ФЗ-156 с 01.09.2025, своевременное уничтожение биометрических данных из СКУД после увольнения и наличие журнала учёта обращений субъектов.

DATUM сопровождает HR-департаменты в части соответствия 152-ФЗ: проводит аудит согласий, формирует ОРД под ключ, берёт функцию ответственного за обработку ПДн на аутсорсинг по ст. 22.1 ФЗ-152.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.