Перейти к содержанию
инструкция 16 декабря 2027 По состоянию на 16 декабря 2027

Передача ПДн в ПФР, ФСС, ФНС

Передача персональных данных работников в ПФР, ФСС и ФНС — обязанность оператора по закону, но не освобождает от требований ст. 9 ФЗ-152 к согласию и ст. 86–88 ТК РФ к условиям передачи.
С 01.09.2025 согласие работника оформляется отдельным документом (ФЗ-156). Нарушение формы согласия при передаче в госорганы — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый факт обработки без надлежащего согласия.
Если в HR-департаменте согласия работников включены в трудовой договор — они не соответствуют требованиям ФЗ-156 и требуют переоформления. → Проверьте пакет документов прямо сейчас.

Для HRD, отвечающего за кадровый документооборот: передача ПДн в государственные фонды и налоговую службу регулируется одновременно ФЗ-152, Трудовым кодексом и ведомственными регламентами. Ошибки в основаниях передачи и форме согласий — типичный повод для штрафа по ст. 13.11 КоАП при проверке Роскомнадзора. Ниже — пошаговый порядок организации передачи, актуальный с учётом изменений 2025 года.

Шаг 1. Определите правовое основание для каждого получателя

Передача ПДн работника в ПФР, ФСС и ФНС осуществляется не на основании согласия, а по иным правовым основаниям ст. 6 ФЗ-152. Ключевые из них — исполнение обязанностей оператора, возложенных законодательством РФ (п. 2 ч. 1 ст. 6 ФЗ-152), и исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6). Это принципиально: требовать отдельного согласия на передачу сведений, которая вытекает из закона, — нарушение принципа минимальности обработки по ст. 5 ФЗ-152.

«Ст. 6 ч. 1 п. 2 ФЗ-152 — обработка ПДн допускается без согласия субъекта, если необходима для исполнения обязанностей оператора, предусмотренных федеральным законом.»

Конкретные законные основания по получателям:

  • ПФР (СФР с 2023 года): ст. 11 ФЗ-27 «Об индивидуальном (персонифицированном) учёте» — оператор обязан представлять сведения о застрахованных лицах. Согласие работника не требуется.
  • ФСС (в составе СФР): ст. 24 ФЗ-255 «Об обязательном социальном страховании на случай временной нетрудоспособности» — оператор передаёт сведения для назначения и выплаты пособий. Согласие не требуется.
  • ФНС: ст. 226, 230 НК РФ — оператор как налоговый агент передаёт сведения о доходах (6-НДФЛ, справки). Согласие не требуется.

Ошибка, которую совершают HR-департаменты: включение в согласие работника фразы «в том числе в государственные органы» в качестве самостоятельного основания. Это лишнее и юридически некорректное условие. При проверке РКН такое согласие расценивается как смешение оснований, что затрудняет защиту.

Согласия работников включают передачу в госорганы?

Если HRD не проверял структуру правовых оснований при каждой передаче ПДн — смешение оснований создаёт риск штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Юристы DATUM проводят аудит обработки ПДн по чек-листу из 38 пунктов, включая проверку оснований передачи в ПФР, ФСС, ФНС.

Заказать аудит 152-ФЗ

Ответим в рабочий день · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Проверьте, какие данные допустимо передавать по ст. 86–88 ТК РФ

Ст. 86 ТК РФ устанавливает цели обработки ПДн работника — только для обеспечения соблюдения законодательства, содействия в трудоустройстве, обучении и продвижении по службе. Ст. 88 ТК РФ прямо запрещает передавать ПДн работника третьим лицам без его письменного согласия, кроме случаев, когда это необходимо для предупреждения угрозы жизни и здоровью, а также в иных случаях, предусмотренных законом.

«Ст. 88 ТК РФ — при передаче ПДн работника работодатель обязан предупредить получателей о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.»

Практические ограничения по составу данных для госорганов:

  • ПФР/СФР: СНИЛС, ФИО, дата рождения, периоды стажа, суммы взносов. Передача дополнительных сведений (семейное положение, сведения о состоянии здоровья) — только при наличии специального основания (например, для назначения льготной пенсии).
  • ФСС: ФИО, СНИЛС, реквизиты листка нетрудоспособности, сведения о заработке за расчётный период. Диагноз и иные медицинские данные — специальная категория по ст. 10 ФЗ-152, оператор не передаёт их напрямую — это делает медицинская организация.
  • ФНС: ФИО, ИНН, дата рождения, паспортные данные, сведения о доходах и удержанном налоге. Расширение состава сведений — только при наличии отдельного запроса ФНС с указанием правового основания.

Передача сведений сверх установленного состава без правового основания нарушает принцип минимальности по ст. 5 ФЗ-152 и создаёт основание для штрафа по ч. 1 ст. 13.11 КоАП. Роскомнадзор при внеплановых проверках проверяет именно соответствие объёма передаваемых данных заявленным целям.

Шаг 3. Оформите согласия для случаев, когда закон их требует

С 01.09.2025 ФЗ-156 установил: согласие на обработку ПДн работника не может быть включено в текст трудового договора, политики конфиденциальности или иного документа — оно оформляется отдельным документом. Это не затрагивает передачу в ПФР, ФСС, ФНС, которая осуществляется по закону. Но передача ПДн работников в смежных ситуациях — страховым организациям по ДМС, банкам в рамках зарплатных проектов, кадровым агентствам — требует отдельного согласия по новым правилам.

«Ст. 9 ч. 1 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта на обработку ПДн оформляется как отдельный документ с обязательными реквизитами: ФИО и контакт субъекта, наименование оператора, цель обработки, перечень ПДн и действий с ними, срок действия, способ отзыва.»

Обязательные реквизиты согласия работника по ст. 9 ФЗ-152 (в редакции с 01.09.2025):

  • ФИО работника и его контактные данные
  • наименование и адрес работодателя-оператора
  • цель обработки — конкретная, не «кадровые вопросы» в целом
  • перечень ПДн — конкретный список, не «все данные работника»
  • наименование третьих лиц, которым передаются данные, или указание на категорию получателей
  • перечень действий: сбор, хранение, передача и т. д.
  • срок действия согласия или условие его прекращения
  • способ отзыва согласия

Согласия, полученные до 01.09.2025 в составе трудового договора, технически сохраняют силу — ФЗ-156 не имеет обратной силы. Однако на практике при проверке РКН инспектор запрашивает актуальные документы. Если согласие находится в договоре и не переоформлено, риск предписания остаётся высоким. Рекомендуемая практика: переоформить согласия при плановом обновлении кадровой документации.

Что подготовить HR-департаменту

  • Реестр оснований передачи ПДн по каждому получателю (ПФР, ФСС, ФНС, банки, страховщики)
  • Отдельные согласия работников по форме ст. 9 ФЗ-152 в редакции ФЗ-156 — для передач, не основанных на законе
  • Политику обработки ПДн с разделом о передаче третьим лицам по ч. 2 ст. 18.1 ФЗ-152
  • Журнал учёта запросов субъектов ПДн за последние 12 месяцев
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Шаг 4. Урегулируйте передачу в КЭДО и через подрядчиков

Кадровый электронный документооборот (КЭДО) — отдельная зона риска. Если оператором КЭДО является сторонняя компания (платформа), работодатель выступает оператором ПДн, а платформа — лицом, осуществляющим обработку по поручению (ст. 6 ч. 3 ФЗ-152). Поручение обработки оформляется договором с обязательным перечнем условий: цели, перечень ПДн, перечень действий, обязательство конфиденциальности, право проверки.

«Ст. 6 ч. 3 ФЗ-152 — оператор вправе поручить обработку ПДн другому лицу на основании договора. Ответственность перед субъектом за действия подрядчика несёт оператор.»

Типичные ошибки при КЭДО:

  • Договор с платформой КЭДО не содержит условий поручения по ст. 6 ч. 3 ФЗ-152 — нет перечня ПДн и действий, нет обязательства по уничтожению данных после расторжения.
  • Платформа хранит ПДн на серверах за рубежом — нарушение ч. 5 ст. 18 ФЗ-152 о локализации (штраф по ч. 8 ст. 13.11 КоАП 1 000 000–6 000 000 ₽).
  • Работник не уведомлён о том, что его данные обрабатываются платформой КЭДО, — нарушение ст. 18 ФЗ-152.

При использовании биометрии в СКУД (системах контроля и управления доступом) — отдельное письменное согласие работника по ст. 11 ФЗ-152 обязательно. Биометрические ПДн (изображение лица для идентификации, отпечатки пальцев) относятся к специальной категории: обработка без письменного согласия — штраф по ч. 2 ст. 13.11 КоАП 300 000–700 000 ₽ за каждый случай. Согласие на биометрию в СКУД с 01.09.2025 также оформляется отдельным документом.

Если HRD использует КЭДО или СКУД с биометрией и не проверял договоры с платформами на соответствие ст. 6 ч. 3 ФЗ-152 — риск штрафа до 6 000 000 ₽ за нарушение локализации. Срок проверки платформы КЭДО: до первой внеплановой проверки РКН.

Собрать ОРД под ключ

Шаг 5. Настройте уничтожение данных после увольнения

После прекращения трудовых отношений основание для обработки ПДн работника по п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора) прекращается. Дальнейшее хранение допустимо только при наличии иного основания — прежде всего срока, установленного законодательством об архивном деле. Личное дело работника хранится 75 лет (приказы по личному составу), трудовые договоры — 75 лет, расчётные ведомости — 6 лет. По истечении срока хранения ПДн подлежат уничтожению по ч. 4 ст. 21 ФЗ-152.

«Ст. 21 ч. 4 ФЗ-152 — при достижении целей обработки или истечении срока хранения оператор обязан уничтожить ПДн или обеспечить их уничтожение в срок не позднее 30 дней.»

Практический чек-пункт: в политике обработки ПДн должен быть прописан конкретный срок хранения для каждой категории кадровых документов и порядок уничтожения. Отсутствие политики или отсутствие в ней сроков — нарушение ч. 2 ст. 18.1 ФЗ-152, штраф по ч. 3 ст. 13.11 КоАП 30 000–60 000 ₽.

Типичные ситуации из практики HR-департаментов

Ситуация 1. HR-директор производственного предприятия (Уральский ФО, осень 2025) обнаружил при внутреннем аудите, что согласия работников на передачу ПДн банку в рамках зарплатного проекта вшиты в текст трудового договора. После вступления в силу ФЗ-156 от 01.09.2025 это несоответствие стало основанием для замечания РКН в ходе плановой проверки. Работодатель в течение 10 рабочих дней переоформил 340 согласий на отдельные документы и представил их инспектору до составления протокола. Административное дело прекращено по ст. 2.9 КоАП (малозначительность при устранении до фиксации нарушения).

Ситуация 2 (из реестра кейсов). По публичным данным, утечка сведений работников через подрядчика (оператор КЭДО) фиксируется Роскомнадзором как нарушение именно работодателя-оператора, а не платформы. Арбитражные суды региона в аналогичных делах указывали: ответственность за действия лица, обрабатывающего ПДн по поручению, несёт оператор. Отсутствие в договоре с КЭДО-платформой условий по ст. 6 ч. 3 ФЗ-152 лишает оператора возможности ссылаться на действия подрядчика как смягчающее обстоятельство.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, не утрачивают силу автоматически — ФЗ-156 не имеет обратной силы. Однако если согласие включено в текст трудового договора или иного составного документа, оно не соответствует новым требованиям ст. 9 ФЗ-152. При проверке РКН инспектор оценивает актуальные документы, и включение согласия в договор создаёт риск предписания. Рекомендуется переоформить при ближайшем плановом обновлении кадровой документации, не дожидаясь проверки.

2. Какие данные нельзя запрашивать у работника при трудоустройстве?

Ст. 86 ТК РФ и ст. 10 ФЗ-152 запрещают обрабатывать данные о политических, религиозных, философских взглядах, членстве в профсоюзах, состоянии здоровья (кроме случаев, связанных с обязательными медосмотрами), интимной жизни, расовой и национальной принадлежности. Запрещено также запрашивать сведения, не связанные с профессиональными качествами работника. Анкета при трудоустройстве должна содержать только данные, необходимые для исполнения трудового договора и законодательных обязательств работодателя.

3. Можно ли вести видеонаблюдение в офисе?

Видеозапись сотрудников на рабочем месте — обработка биометрических ПДн (изображение лица), которая по ст. 11 ФЗ-152 допустима только с письменного согласия либо в случаях, прямо предусмотренных законом. Работодатель вправе осуществлять контроль за рабочим процессом на основании ст. 22 ТК РФ, однако обязан уведомить работника в письменной форме, указать цели видеонаблюдения, порядок хранения и уничтожения записей. Использование изображений для идентификации личности в СКУД — требует отдельного согласия на биометрию.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн — кадровый документ. Если оно было необходимо для конкретной цели (например, передача в банк по зарплатному проекту), срок хранения определяется сроком исковой давности по соответствующим правоотношениям — как правило, не менее 3 лет с даты прекращения трудового договора. Согласия, связанные с начислением заработной платы, хранятся вместе с расчётными документами — 6 лет. Уничтожение согласий ранее установленного срока лишает оператора доказательной базы при жалобе бывшего работника.

5. Кто является оператором при использовании КЭДО?

Оператором ПДн работников при КЭДО всегда остаётся работодатель — независимо от того, чья платформа используется. Платформа КЭДО действует как лицо, осуществляющее обработку по поручению оператора в соответствии со ст. 6 ч. 3 ФЗ-152. Ответственность перед работниками и РКН за нарушения при обработке их данных (включая утечку, несанкционированный доступ) несёт работодатель. Платформа несёт ответственность перед работодателем по условиям договора поручения.

6. Что делать, если работник отозвал согласие на обработку ПДн?

Работник вправе отозвать согласие в любой момент (ст. 9 ч. 2 ФЗ-152). После получения отзыва оператор обязан прекратить обработку и уничтожить ПДн в срок не позднее 30 дней, если нет иного правового основания для продолжения обработки. Если ПДн обрабатываются на основании закона (например, передача в ПФР, ФНС), отзыв согласия не прекращает такую обработку — достаточно письменно уведомить работника о наличии иного основания. Журнал учёта отзывов необходим для подтверждения своевременного реагирования.

Итог

Передача ПДн работников в ПФР, ФСС и ФНС осуществляется по закону без согласия субъекта. Ошибки возникают не в этой передаче, а в смежных: зарплатные проекты, КЭДО, биометрия СКУД, ДМС — где требуется отдельное согласие по ст. 9 ФЗ-152 в редакции ФЗ-156. После 01.09.2025 каждое такое согласие должно быть самостоятельным документом с полным перечнем реквизитов.

Практика DATUM по сопровождению HR-департаментов охватывает аудит оснований передачи ПДн, формирование пакета согласий под требования ФЗ-156 и проверку договоров с КЭДО-платформами на соответствие ст. 6 ч. 3 ФЗ-152.

Смотрите также

Есть вопросы по кадровым ПДн или получили запрос РКН?

Юристы DATUM оценят риски HR-департамента и подготовят пакет документов по требованиям ФЗ-156. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Более 300 операторов сопровождено.

Оценить риски по 152-ФЗ

+7 (383) 310-38-76  ·  +7 (983) 510-38-76  ·  Telegram  ·  info@vitveteam.ru

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия в СКУД, зарплатные проекты. Сопровождение проверок РКН в HR-департаментах.

16 декабря 2027 года