Перейти к содержанию
инструкция 14 января 2028 По состоянию на 14 января 2028

Кейс штрафа за передачу ПДн в неуполномоченный банк

Передача ПДн работников в банк без письменного согласия и без включения банка в реестр уполномоченных получателей — нарушение ст. 6 и ст. 9 ФЗ-152, влекущее штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽.
С 01.09.2025 согласие работника на передачу ПДн в банк оформляется отдельным документом по ФЗ-156. Старые согласия в трудовом договоре или анкете кандидата — недействительны по новым требованиям.
Если вы HRD и в вашей компании зарплатный проект оформлен без актуальных согласий — прочитайте инструкцию, проверьте пять контрольных точек и устраните нарушение до проверки РКН.

Зарплатный проект — стандартная практика, которая создаёт нестандартные правовые риски. HR-департамент передаёт банку ФИО, паспортные данные, ИНН, СНИЛС, сведения о размере заработной платы. Если банк не указан в уведомлении оператора в реестре РКН, а согласие работника не оформлено отдельным документом, каждая такая передача — самостоятельный состав правонарушения. Ниже — пошаговый разбор типичного кейса, карта рисков и конкретные шаги для HRD.

Что произошло: анатомия типичного нарушения

В кейсе, который воспроизводит типичную проверочную историю, производственная компания (Сибирский ФО, осень 2025) перешла на зарплатный проект нового банка. HR передал реестр сотрудников — порядка 400 человек — по защищённому каналу. Согласия были вшиты в трудовой договор образца 2019 года: единый документ, в котором одновременно упоминались цели обработки, право на передачу третьим лицам и подпись под условиями найма.

РКН провёл внеплановую проверку по жалобе одного из сотрудников, который не хотел обслуживаться в указанном банке. Инспектор зафиксировал два нарушения: отсутствие отдельного согласия по ст. 9 ФЗ-152 в редакции ФЗ-156 и отсутствие банка в уведомлении о намерении обрабатывать ПДн (ст. 22 ФЗ-152). Компания получила штраф по ч. 2 ст. 13.11 в диапазоне сотен тысяч рублей и предписание переоформить документацию.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): согласие субъекта персональных данных оформляется отдельным документом, не объединённым с договором, офертой или политикой обработки. Согласие, полученное до 01.09.2025, переоформлять не требуется — обратной силы у нормы нет. Но согласие, полученное после 01.09.2025 в составе трудового договора, ничтожно по этому основанию.»

Ключевая ошибка HR-департамента — не технический сбой, а организационный: шаблоны документов не были обновлены после вступления в силу ФЗ-156, а юридическая служба не получила задачу проверить, соответствует ли зарплатный проект актуальным требованиям.

Как проверить, есть ли нарушение в вашей компании: пять контрольных точек

Следующие пять шагов позволяют HRD самостоятельно оценить риск до прихода инспектора. Каждая точка — самостоятельный состав возможного нарушения.

Шаг 1. Проверьте уведомление в реестре РКН

Откройте реестр операторов на pd.rkn.gov.ru и найдите запись вашей организации. Проверьте: указан ли в уведомлении банк-партнёр зарплатного проекта как получатель ПДн, а также цели передачи — «выплата заработной платы» или аналогичная. Если банк сменился, а уведомление не обновлялось — это нарушение ст. 22 ФЗ-152. Штраф по ч. 10 ст. 13.11 КоАП — от 100 000 до 300 000 ₽.

Шаг 2. Проверьте форму согласия работников

Согласие на передачу ПДн в банк должно быть отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152: ФИО работника, наименование работодателя-оператора, наименование банка-получателя, конкретный перечень передаваемых данных, цель передачи, срок действия согласия, способ отзыва. Если согласие включено в текст трудового договора или анкеты — после 01.09.2025 оно уязвимо при проверке. По ч. 2 ст. 13.11 КоАП штраф для юрлица — от 300 000 до 700 000 ₽.

Согласия работников ещё в трудовом договоре?

Если HRD не проверил форму согласий после 01.09.2025 — каждый трудовой договор с вшитым согласием создаёт основание для штрафа. По ч. 2 ст. 13.11 КоАП с 30.05.2025 штраф для юрлица составляет от 300 000 до 700 000 ₽. Юристы DATUM проведут экспресс-аудит кадровой документации и подготовят отдельные согласия по требованиям ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте соглашение с банком о поручении обработки

По ст. 6 ФЗ-152 передача ПДн третьему лицу допустима либо на основании согласия субъекта, либо в рамках договора, исполнение которого требует участия третьего лица. Для зарплатного проекта работает первое основание. Но если банк самостоятельно обрабатывает ПДн работников сверх минимально необходимого — работодатель обязан заключить договор-поручение с условиями по п. 3 ст. 6 ФЗ-152. Проверьте, есть ли в договоре с банком раздел об обработке ПДн, перечень разрешённых действий и обязательство по конфиденциальности.

Шаг 4. Проверьте, какие данные вы реально передаёте

Состав передаваемых данных должен совпадать с составом, указанным в согласии. Стандартный минимум для зарплатного проекта: ФИО, дата рождения, паспортные данные, ИНН, СНИЛС, размер заработной платы. Если HR дополнительно передаёт должность, адрес регистрации или телефон — они должны быть явно упомянуты в согласии. Избыточная передача нарушает принцип минимизации данных по ст. 5 ФЗ-152.

Шаг 5. Проверьте права работника на отказ

Работник вправе в любой момент отозвать согласие на передачу ПДн в банк. Он вправе получать заработную плату наличными или через другой банк по ст. 136 ТК РФ. Порядок отзыва должен быть указан в согласии. Если HR-служба не предусмотрела алгоритм обработки отзыва — это дополнительный риск по ч. 5 ст. 13.11 КоАП (невыполнение требования субъекта об уточнении или блокировании): штраф от 50 000 до 90 000 ₽.

Что подготовить для проверки

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru с указанием банка-получателя
  • Актуальные отдельные согласия работников по ст. 9 ФЗ-152 (ред. ФЗ-156, с 01.09.2025) с полным набором реквизитов
  • Договор с банком, содержащий раздел об обработке ПДн или договор-поручение по п. 3 ст. 6 ФЗ-152
  • Политика обработки ПДн с разделом о передаче данных третьим лицам (ч. 2 ст. 18.1 ФЗ-152)
  • Журнал учёта обращений субъектов с входящими запросами на отзыв согласий за 12 месяцев

Какие ещё HR-ситуации создают риск передачи ПДн без основания?

Зарплатный проект — наиболее частый, но не единственный источник нарушений в HR. Три типичные ситуации из практики проверок РКН 2025–2026 годов.

Ситуация 1. КЭДО через внешний оператор. Компания подключает систему кадрового электронного документооборота у стороннего провайдера. ПДн работников — ФИО, должность, реквизиты документов — поступают к оператору КЭДО. Если договор с провайдером не содержит условий о поручении обработки по ст. 6 ФЗ-152, провайдер формально становится самостоятельным оператором, а работодатель — источником незаконной передачи. Доказательство: договор с КЭДО-провайдером с разделом об обработке ПДн. Вероятный исход без договора: штраф по ч. 1 ст. 13.11 (150 000–300 000 ₽) и предписание привести договор в соответствие. Стратегия: проверить все SaaS-интеграции HR-стека и включить условие поручения в каждый договор.

Ситуация 2. Биометрия в СКУД без письменного согласия. Компания устанавливает систему контроля доступа с распознаванием лица или отпечатка пальца. По ст. 11 ФЗ-152 биометрические ПДн обрабатываются только с письменного согласия. Если работник подписал общее согласие в трудовом договоре без явного указания на биометрию — согласие ничтожно. Вероятный исход: штраф по ч. 16 ст. 13.11 (точный диапазон для юрлиц верифицировать по КонсультантПлюс). Стратегия: получить отдельное письменное согласие с указанием типа биометрического идентификатора, системы-получателя и цели — разграничение зон доступа.

Если HRD внедряет СКУД с биометрией или переходит на новую КЭДО-платформу — без актуального пакета ОРД каждое из этих решений создаёт отдельный состав нарушения. Юристы DATUM соберут 38-документный комплект ОРД под конкретный HR-процесс.

Собрать ОРД под ключ

Ситуация 3. Личные дела при увольнении. После прекращения трудовых отношений работодатель обязан хранить личное дело 75 лет (типовой срок для документов по личному составу). Но работник вправе потребовать уничтожения или блокирования данных, обработка которых вышла за рамки целей трудового договора. Если HR передал сведения из личного дела бывшего работника в коллекторское агентство, страховую компанию или новому работодателю без согласия — это нарушение ст. 88 ТК РФ в связке со ст. 7 ФЗ-152. Вероятный исход: штраф по ч. 1 или ч. 2 ст. 13.11 в зависимости от того, требовалось ли письменное согласие. Стратегия: закрепить в регламенте HR-процессов список допустимых получателей ПДн уволенного работника и сроки блокирования данных.

Как применяется практика судов и РКН в 2025–2026 годах

Кейс 1. Торговая компания (Уральский ФО, лето 2025) передала ПДн 320 сотрудников в банк-партнёр при смене зарплатного проекта. Согласия были получены в 2022 году в составе трудовых договоров. После жалобы двух работников РКН возбудил дело по ч. 2 ст. 13.11 КоАП. На стадии рассмотрения дела HR-директор представил доказательства того, что новые согласия уже подписаны, и приказ об обновлении шаблонов. Мировой суд назначил штраф в нижней части диапазона, приняв меры по устранению как смягчающее обстоятельство по ст. 4.2 КоАП.

Кейс 2 (из реестра практики). Принцип, неоднократно применённый мировыми судами: оператор несёт полную ответственность за утечку или незаконную передачу ПДн через подрядчика или смежный сервис, даже если фактическое нарушение допустил контрагент. Для HR это означает: передача данных в банк, аутстаффинговую компанию или КЭДО-платформу без надлежащего договора-поручения — ответственность работодателя, а не подрядчика. Доказательством добросовестности служит только письменный договор с перечнем разрешённых действий.

Важен контекст 2025 года. По данным InfoWatch (февраль 2026), в 2025 году РКН назначил шесть административных штрафов по новым нормам ст. 13.11 на общую сумму около 570 тысяч рублей. Правоприменительная практика по ФЗ-420 накапливается: суды уточняют применение смягчающих обстоятельств, в том числе по ст. 4.1.1 КоАП для субъектов малого предпринимательства. Для среднего и крупного бизнеса замена штрафа на предупреждение по этому основанию недоступна.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка кадровой документации по 38 пунктам, отчёт с планом устранений
  • Комплект ОРД под ключ — согласия работников, политика, приказы, регламенты по актуальным требованиям ФЗ-156
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, ответы на запросы субъектов

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, переоформлять не требуется — ФЗ-156 не имеет обратной силы. Но если после 01.09.2025 вы принимаете новых работников или заключаете дополнительные соглашения — все новые согласия должны быть оформлены отдельным документом по ст. 9 ФЗ-152 в актуальной редакции. Проблема возникает, когда компания по-прежнему использует шаблон трудового договора с вшитым согласием: такие согласия уязвимы при проверке РКН.

2. Какие данные нельзя спрашивать в анкете кандидата?

По ст. 86 ТК РФ и ст. 10 ФЗ-152 работодатель не вправе запрашивать у кандидата сведения, не связанные с трудовой деятельностью: политические и религиозные взгляды, членство в профсоюзах, национальность, состояние здоровья (кроме случаев, когда это требует закон). Сведения о судимости запрашиваются только в случаях, прямо предусмотренных федеральным законодательством. Нарушение — специальные категории ПДн по ст. 10 ФЗ-152, обработка которых без основания квалифицируется по ч. 1 ст. 13.11 КоАП.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение допустимо, если работодатель уведомил работников об этом до начала наблюдения по ст. 22.2 ТК РФ, включил цели обработки видеозаписей в политику обработки ПДн и зафиксировал сроки хранения видеоархива. Если система распознаёт лица — это биометрическая обработка по ст. 11 ФЗ-152, требующая письменного согласия каждого работника. Без уведомления о видеонаблюдении — нарушение ст. 5 ФЗ-152 (принцип прозрачности) и ст. 88 ТК РФ.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн — документ по личному составу. Типовой срок хранения — 75 лет. До истечения этого срока согласие нельзя уничтожать. Однако само хранение ПДн работника после увольнения допустимо только в объёме и на срок, необходимый для целей, указанных в согласии или в законе (налоговая отчётность, воинский учёт, архив). Избыточная обработка после увольнения нарушает ст. 5 ФЗ-152 (принцип не дольше необходимого).

5. Кто оператор при использовании КЭДО?

Работодатель остаётся оператором ПДн работников при любой схеме КЭДО. Провайдер КЭДО-платформы действует как лицо, осуществляющее обработку по поручению оператора, по п. 3 ст. 6 ФЗ-152. Это требует заключения договора-поручения с перечнем разрешённых действий с ПДн, требованиями конфиденциальности и запретом на передачу данных третьим лицам. Если такого договора нет — работодатель несёт риск штрафа по ч. 1 ст. 13.11 КоАП за незаконную передачу данных.

Итог

Передача ПДн работников в банк, КЭДО-провайдер или в любую другую организацию — не технический процесс, а юридически значимое действие, требующее трёх условий одновременно: правового основания по ст. 6 ФЗ-152, отдельного согласия по ст. 9 ФЗ-152 (с 01.09.2025) и корректного уведомления в реестре РКН по ст. 22 ФЗ-152. Отсутствие любого из трёх — самостоятельный состав нарушения. Пять шагов из этой инструкции позволяют HRD выявить проблемные точки до прихода инспектора.

Практика DATUM по сопровождению HR-подразделений в рамках 152-ФЗ охватывает проверку кадровой документации, подготовку отдельных согласий по требованиям ФЗ-156, выстраивание процесса работы с КЭДО-провайдерами и сопровождение проверок РКН в HR-департаментах.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

14 января 2028 года