инструкция 4 декабря 2027 По состоянию на 4 декабря 2027

ПДн родственников в зарплатных проектах

Q: Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает запрашивать данные о политических и религиозных убеждениях, членстве в профсоюзах, состоянии здоровья (кроме обязательных медосмотров). Данные родственников относятся к сведениям о частной жизни: запрашивать их можно лишь при наличии конкретной цели и с согласия как работника, так и самого родственника.

Q: Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение как мера охраны труда допустимо при уведомлении работников — отдельное согласие по ст. 9 ФЗ-152 в этом случае не требуется. Однако использование биометрических данных (изображение лица для СКУД с распознаванием) требует письменного согласия по ст. 11 ФЗ-152, а само наблюдение должно быть отражено в уведомлении РКН.

Q: Сколько хранить согласия после увольнения работника?

Согласия работника хранятся в течение срока действия плюс не менее 3 лет срока исковой давности. Согласия родственников хранятся аналогично: в течение всего срока обработки плюс не менее 3 лет. Личные дела работников хранятся 75 лет, но согласия родственников в личное дело не включаются — это отдельный реестр.

Q: Кто является оператором при использовании КЭДО с кадровыми данными?

При КЭДО оператором ПДн остаётся работодатель. Платформа КЭДО, как правило, выступает обработчиком по поручению (п. 3 ст. 6 ФЗ-152). Поручение обработки должно быть оформлено договором. Если платформа КЭДО находится за рубежом — передача данных квалифицируется как трансграничная по ст. 12 ФЗ-152 и требует предварительного уведомления РКН.

Персональные данные супругов, детей и иных родственников работника — отдельная категория субъектов, на обработку которых требуется самостоятельное правовое основание по ст. 6 ФЗ-152.

Банк-партнёр по зарплатному проекту получает ФИО, реквизиты и иные данные родственников работника (например, для банковских карт членов семьи или экстренного контакта). С 30.05.2025 неправомерная передача этих данных карается штрафом до 700 000 рублей по ч. 2 ст. 13.11 КоАП; при повторном нарушении — до 1 500 000 рублей.

Если вы HRD и зарплатный проект подключён без отдельных согласий от родственников — читайте пошаговый порядок устранения нарушения.

Зарплатные проекты в банках требуют от HR-департамента передачи не только данных самого работника, но нередко и данных членов его семьи: контактного лица, получателей дополнительных карт, выгодоприобретателей страховки. Ни трудовой договор, ни согласие работника на обработку его собственных данных не охватывают эту передачу. С 01.09.2025 ФЗ-156 закрепил требование об отдельном документе-согласии; контроль РКН в отношении HR-обработчиков усилился. В этой инструкции — пять шагов, которые переводят HR-процесс из зоны риска в зону соответствия.

Шаг 1. Определите, какие данные родственников фактически передаются

Прежде чем выстраивать документооборот, нужно понять реальный объём обработки. Запросите у ответственного за расчёт зарплаты перечень полей, которые HR-система или бухгалтерия передаёт банку-партнёру. Типичные категории данных родственников в зарплатных проектах:

ФИО супруга или иного члена семьи — для выпуска дополнительной банковской карты;
дата рождения и паспортные данные родственника — при оформлении страхового полиса в рамках корпоративной программы ДМС или НС;
контактный номер телефона ближайшего родственника — как экстренный контакт в анкете работника;
реквизиты счёта супруга — для целевых выплат по отдельным льготам.

Зафиксируйте перечень в служебной записке или протоколе рабочей группы. Это исходная точка для оценки правовых оснований по ст. 6 ФЗ-152 и объёма необходимых согласий по ст. 9 ФЗ-152.

«Ст. 5 ФЗ-152 устанавливает принцип соответствия объёма ПДн заявленным целям: собирать и передавать допустимо лишь те данные, без которых цель не может быть достигнута.»

Шаг 2. Проверьте правовые основания для передачи данных в банк

Работодатель-оператор передаёт данные родственников банку по поручению (п. 3 ст. 6 ФЗ-152) или как самостоятельный получатель. В обоих случаях требуется правовое основание в отношении каждого субъекта — то есть самого родственника, а не работника.

Возможные основания по ст. 6 ФЗ-152 применительно к зарплатным проектам:

Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152) — основное и наиболее универсальное. Родственник сам подписывает документ на обработку его данных работодателем и банком.
Исполнение договора с участием третьего лица — применяется только тогда, когда родственник является стороной или выгодоприобретателем договора (например, договора страхования). Без договора с родственником это основание не работает.
Законный интерес оператора — на практике не применим к зарплатным проектам: передача банку коммерческих данных третьих лиц выходит за пределы «разумного ожидания» субъекта.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (с 01.09.2025): согласие на обработку ПДн оформляется отдельным документом и не объединяется с трудовым договором, анкетой или политикой конфиденциальности.»

Вывод: для большинства сценариев единственное надёжное основание — письменное согласие родственника, оформленное отдельным документом.

Уже подключён зарплатный проект, а согласий родственников нет?

Если HR-департамент передаёт банку данные членов семьи работников без отдельных согласий — каждый случай создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 рублей за юрлицо). Срок для самостоятельного устранения нарушения не восстанавливается после начала проверки РКН. Юристы DATUM проведут аудит пакета HR-документов по чек-листу из 38 пунктов и подготовят формы согласий, соответствующие ФЗ-156.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Составьте форму согласия родственника с обязательными реквизитами

Согласие родственника — самостоятельный документ. По ст. 9 ФЗ-152 в действующей редакции оно должно содержать:

ФИО и контактные данные субъекта (родственника);
наименование и адрес оператора (работодатель) и, если применимо, третьего лица, которому передаются данные (банк);
цель обработки: конкретно — «выпуск дополнительной банковской карты в рамках зарплатного проекта с [наименование банка]» или «включение в программу ДМС работодателя»;
перечень персональных данных: исключительно те категории, которые нужны для указанной цели (п. 1 шага выше);
перечень действий: сбор, запись, хранение, передача третьему лицу (банку);
срок действия согласия или условие его прекращения (например, «до прекращения трудового договора работника»);
способ отзыва: письменное заявление в адрес HR-отдела.

Отдельно: если родственник является несовершеннолетним (например, ребёнок как выгодоприобретатель по ДМС), согласие подписывает законный представитель с указанием этого статуса. Согласие на распространение данных родственника по ст. 10.1 ФЗ-152 требует ещё большей конкретизации — в рамках зарплатного проекта оно, как правило, не нужно.

«Ст. 9 ФЗ-152: согласие должно быть конкретным, информированным и сознательным. Обобщённые формулировки («данные могут быть переданы партнёрам») не соответствуют требованиям закона.»

Шаг 4. Организуйте сбор и хранение согласий родственников

Форма согласия разработана — теперь нужен процесс получения и хранения. Ключевые требования:

Момент сбора: до начала передачи данных банку. Если зарплатный проект уже работает — нужно ретроспективно собрать согласия с тех родственников, чьи данные уже переданы, и зафиксировать дату.
Форма: письменная подпись родственника на бумажном носителе или квалифицированная электронная подпись (УКЭП) в КЭДО. Простая электронная подпись через корпоративный портал не подходит без специального регулирования в соглашении о КЭДО.
Хранение: согласия хранятся отдельно от личного дела работника — они относятся к третьему лицу. Рекомендуемый срок — в течение всего периода обработки плюс 3 года после его окончания (по аналогии с общими сроками хранения документов о согласиях).
Реестр: ведите журнал согласий родственников: ФИО родственника, ФИО работника, дата подписания, цель, статус (действует / отозвано).

При использовании КЭДО проверьте, охватывает ли соглашение об электронном документообороте (ст. 22.2 ТК РФ) обмен документами с третьими лицами — как правило, нет. Для согласий родственников потребуется отдельный канал.

Что подготовить HR-департаменту

Перечень категорий ПДн родственников, фактически передаваемых банку (служебная записка).
Форма согласия родственника с реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156.
Журнал учёта согласий родственников с датами подписания и статусом.
Актуализированное уведомление в реестре операторов РКН (pd.rkn.gov.ru) с указанием третьих лиц — получателей данных.
Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152) с включением в его функции контроля над данными третьих лиц.

Шаг 5. Актуализируйте уведомление в РКН и внутренние регламенты

Обработка ПДн родственников в рамках зарплатного проекта, скорее всего, не отражена в действующем уведомлении компании в реестре операторов РКН. Это самостоятельное нарушение по ч. 10 ст. 13.11 КоАП — штраф до 300 000 рублей за неуведомление или несвоевременное уведомление о намерении обрабатывать ПДн.

Порядок актуализации через pd.rkn.gov.ru (Приказ РКН № 180 от 28.10.2022):

Войдите в личный кабинет оператора через ЕСИА или УКЭП.
Подайте форму «Изменение сведений» — укажите новую категорию субъектов («родственники (члены семьи) работников») и цель обработки.
Укажите третье лицо-получателя — банк по зарплатному проекту — в разделе «передача данных».
Зафиксируйте дату подачи уведомления: с этого момента формально устраняется риск по ч. 10 ст. 13.11.

Параллельно скорректируйте политику обработки ПДн (ч. 2 ст. 18.1 ФЗ-152) — добавьте раздел о третьих лицах в зарплатных проектах — и обновите типовые формы документов для работников, включив ссылку на раздельное согласие для их родственников.

«Ст. 22 ФЗ-152: оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Срок включения в реестр — 30 дней с момента подачи уведомления.»

Если HR-директор подключил зарплатный проект, а уведомление в РКН не обновлено — это два нарушения одновременно: по ч. 2 (согласия) и по ч. 10 (уведомление) ст. 13.11 КоАП. Совокупный штраф на юрлицо может достигать 1 000 000 рублей. Юристы DATUM собирают ОРД под ключ, включая формы согласий третьих лиц и актуализацию реестра РКН.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. HR-директор производственного предприятия (Уральский ФО, весна 2026) обратился в DATUM после получения предписания РКН по итогам плановой проверки. Инспекция выявила, что банк-партнёр получал ФИО и телефоны экстренных контактов (супруги работников) без каких-либо правовых оснований — в анкете работника при найме стояло лишь его собственное согласие. HR-департамент разработал форму отдельного согласия для родственников, собрал подписи от 340 работников и их экстренных контактов, актуализировал уведомление в РКН. Предписание исполнено в установленный срок; протокол по ч. 2 ст. 13.11 составлен не был.

Кейс 2. Торговая сеть (Центральный ФО, осень 2025) включала данные детей работников (ФИО, дату рождения) в корпоративную программу ДМС без согласий родителей как законных представителей. После аудита выяснилось, что страховщик считал работодателя оператором этих данных, а работодатель — что достаточно корпоративного договора со страховщиком. Юристы DATUM подготовили двустороннюю форму: согласие работника-родителя как законного представителя ребёнка с перечнем данных, передаваемых страховщику, и поручение обработки по п. 3 ст. 6 ФЗ-152 между работодателем и страховой компанией.

Типовые ситуации: где чаще всего возникает нарушение

Ситуация 1 — экстренный контакт в анкете. Работник при трудоустройстве заполняет анкету с полем «контактное лицо (ФИО, телефон)». Эти данные поступают в HR-систему и потенциально — в банк при подключении зарплатного проекта. Доказательства нарушения: в уведомлении РКН отсутствует категория «родственники/контактные лица», согласия от самих контактных лиц нет. Вероятный исход при проверке — протокол по ч. 1 ст. 13.11 КоАП (штраф до 300 000 рублей). Стратегия: исключить экстренный контакт из данных, передаваемых банку, либо получить согласие контактного лица как отдельного субъекта.

Ситуация 2 — ДМС с включением членов семьи. Работодатель оплачивает полисы ДМС для детей и супругов работников. Страховщик запрашивает список застрахованных с ФИО, датами рождения, паспортными данными. HR передаёт список без согласий родственников, полагая, что основание — исполнение договора страхования. Но договор заключён между работодателем и страховщиком; родственники его сторонами не являются. Вероятный исход: нарушение ч. 2 ст. 13.11 (до 700 000 рублей). Стратегия: оформить согласия родственников до передачи данных страховщику или договориться со страховщиком о сборе согласий непосредственно при выдаче полиса.

Ситуация 3 — дополнительные карты по зарплатному проекту. Банк предлагает сотрудникам оформить дополнительные карты для членов семьи. Анкеты на карты заполняются через HR-кабинет работодателя. Работодатель по факту собирает и передаёт в банк данные родственника, не являясь стороной отношений между банком и родственником. Вероятный исход: работодатель — соответчик при претензии субъекта; РКН вправе возбудить дело по ч. 1 ст. 13.11. Стратегия: перевести оформление дополнительных карт напрямую в банковский канал, исключив HR из цепочки передачи данных родственников.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка HR-документации по 38 пунктам, включая согласия третьих лиц.
Комплект ОРД под ключ — формы согласий для родственников, журналы, политика с учётом зарплатных проектов.
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, ответы на запросы субъектов.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Ранее полученные согласия самих работников, оформленные в виде самостоятельного документа (а не включённые в трудовой договор), обратной силы ФЗ-156 не имеют и остаются действительными. Переподписание требуется в двух случаях: если согласие было частью договора или иного документа, а не отдельным — его нужно оформить заново как самостоятельный акт; и если содержание согласия не соответствует нынешним реквизитам ст. 9 ФЗ-152. Согласия родственников, как правило, вовсе не собирались — их нужно оформить впервые.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает работодателю запрашивать данные о политических, религиозных и иных убеждениях работника, его членстве в профсоюзах, состоянии здоровья (кроме случаев обязательных медосмотров), а также данные о частной жизни без письменного согласия. Данные родственников работника относятся к сведениям о его частной жизни — их запрашивать в анкете можно лишь при наличии конкретной цели и только с согласия как самого работника, так и родственника. Сбор «на всякий случай» прямо нарушает принцип минимизации по ст. 5 ФЗ-152.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Ст. 74 и 86 ТК РФ допускают видеонаблюдение как меру охраны труда и производственного контроля при условии, что работник уведомлён об этом. Согласие как отдельный документ по ст. 9 ФЗ-152 в этом случае не требуется: основание обработки — исполнение работодателем обязанностей по ТК РФ (п. 2 ч. 1 ст. 6 ФЗ-152). Однако в уведомлении РКН видеонаблюдение должно быть отражено как отдельная цель обработки; биометрические данные (изображение лица для СКУД с распознаванием) требуют письменного согласия по ст. 11 ФЗ-152.

4. Сколько хранить согласия после увольнения работника?

Согласия самого работника хранятся в течение срока действия плюс срок исковой давности (3 года по ГК РФ, но не менее срока хранения документов по Приказу Росархива № 236 от 20.12.2019 — как правило, 3–5 лет). Согласия родственников, будучи документами на отдельных субъектов, хранятся аналогично: в течение всего срока обработки плюс не менее 3 лет. Личные дела работников хранятся 75 лет; согласия родственников в личное дело не включаются — это отдельный реестр.

5. Кто является оператором при использовании КЭДО с кадровыми данными?

При КЭДО оператором ПДн остаётся работодатель — он определяет цели и состав обрабатываемых данных. Платформа КЭДО, как правило, выступает обработчиком по поручению (п. 3 ст. 6 ФЗ-152). Это означает: поручение обработки должно быть оформлено договором с перечнем действий, которые платформа вправе совершать, и требованиями к защите данных. Если платформа КЭДО находится за рубежом, передача данных ей квалифицируется как трансграничная по ст. 12 ФЗ-152 и требует предварительного уведомления РКН.

6. Что делать, если работник отозвал согласие на передачу данных в банк?

При отзыве согласия по ст. 9 ФЗ-152 оператор обязан прекратить обработку, а при невозможности — уничтожить данные. Применительно к зарплатному проекту: работодатель уведомляет банк об отзыве согласия; банк обязан прекратить обработку в части, основанной на этом согласии (например, закрыть дополнительную карту). Зарплатные выплаты могут быть продолжены на иное основание (исполнение трудового договора), если банковский счёт открыт самим работником. Срок реакции — 7 рабочих дней (ст. 21 ФЗ-152 по требованию об уничтожении данных, не достигающих цели обработки).

Итог

Данные родственников работников в зарплатных проектах — типичная «слепая зона» HR-комплаенса: ни трудовой договор, ни общее согласие работника не дают права на их обработку. Пять шагов, описанных в этой инструкции, закрывают риски по ч. 1, 2 и ч. 10 ст. 13.11 КоАП (совокупно до 1 000 000 рублей штрафа на юрлицо при первичных нарушениях).

Практика DATUM по HR-направлению охватывает согласия работников и третьих лиц, ОРД для HR-департаментов, актуализацию уведомлений в РКН и сопровождение проверок в части кадровой обработки ПДн.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия в СКУД, зарплатные проекты, проверки РКН в HR-департаментах.

4 декабря 2027 года