инструкция 17 декабря 2027 По состоянию на 17 декабря 2027

Передача в МФО при оформлении займа работнику

Q: Можно ли вести видеонаблюдение в офисе при займовой программе?

Видеонаблюдение — самостоятельная обработка биометрических ПДн, не связанная с займовой программой. Передавать видеозаписи в МФО для верификации личности без отдельного согласия нельзя. Использование биометрии СКУД для подтверждения личности при подаче заявки создаёт риск по ч. 16 ст. 13.11 КоАП.

Q: Сколько хранить согласия после увольнения работника?

Согласие на передачу данных в МФО хранится не менее 3 лет после прекращения обработки и закрытия займа — по общему сроку исковой давности. Это не кадровый документ с 75-летним сроком хранения. РКН при проверках запрашивает документы за последние 3 года.

Q: Кто является оператором ПДн при использовании КЭДО?

При использовании КЭДО оператором ПДн остаётся работодатель. Провайдер КЭДО-системы выступает обработчиком по поручению в соответствии с п. 3 ст. 6 ФЗ-152. Работодатель обязан заключить с провайдером договор поручения обработки. Без такого договора нарушение по ч. 1 ст. 13.11 КоАП — штраф от 150 000 до 300 000 ₽.

Q: Что делать, если МФО запрашивает расширенный пакет документов работника?

Если МФО требует данные, не указанные в согласии, передавать их нельзя. Принцип минимизации по ст. 5 ФЗ-152 запрещает обрабатывать данных больше необходимого. Нужно запросить у МФО обоснование и получить от работника новое согласие с расширенным перечнем. Передача «на всякий случай» — нарушение по ч. 1 ст. 13.11 КоАП.

Когда работодатель передаёт персональные данные сотрудника в МФО, он выступает оператором ПДн и несёт полную ответственность за законность этой передачи по ст. 6 и ст. 9 ФЗ-152.

С 01.09.2025 согласие работника на передачу в МФО — отдельный документ по ФЗ-156 от 24.06.2025. Объединить его с трудовым договором или анкетой больше нельзя. Штраф за передачу без согласия — от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

Если вы HRD и займовая программа уже работает — проверьте, есть ли отдельные согласия для каждой МФО-передачи. Ниже — пошаговый порядок оформления.

Корпоративные займы и зарплатные кредиты через партнёрские МФО — распространённая HR-практика. Бухгалтерия пересылает данные работника в МФО, МФО одобряет заём и перечисляет средства. Юридически это передача ПДн третьему лицу. С 30.05.2025 такая передача без надлежащего согласия грозит штрафом по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за первое нарушение и до 1 500 000 ₽ при повторном. В инструкции — пять шагов, которые закрывают риск.

Шаг 1. Определите правовое основание для передачи

Передача ПДн работника в МФО — это предоставление данных третьему лицу, которое действует в собственных целях, а не по поручению работодателя. Поручение по п. 3 ст. 6 ФЗ-152 здесь не применяется: МФО самостоятельно принимает решение о выдаче займа, то есть является самостоятельным оператором. Следовательно, передача возможна только на основании согласия работника (п. 1 ч. 1 ст. 6 ФЗ-152) либо прямого указания федерального закона.

Ни трудовое законодательство, ни ФЗ о потребительском кредите не обязывают работодателя передавать данные в МФО. Значит, единственное рабочее основание — добровольное информированное согласие по ст. 9 ФЗ-152 в редакции ФЗ-156.

«Ст. 6 ч. 1 п. 1 ФЗ-152 — обработка ПДн допустима при наличии согласия субъекта. Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие оформляется отдельным документом, не включается в текст договора, политики или иного документа.»

Проверьте: если работник подписывал общее согласие в составе трудового договора или анкеты до 01.09.2025 — для новых передач в МФО после этой даты оно недействительно как основание. Старые согласия, полученные до 01.09.2025, имеют обратную силу только в части уже осуществлявшейся на их основании обработки — для новых целей и новых получателей нужно отдельное согласие.

Шаг 2. Составьте отдельное согласие на передачу в МФО

Согласие по ст. 9 ФЗ-152 должно содержать обязательные реквизиты. Отсутствие хотя бы одного лишает документ юридической силы — и передача становится незаконной.

Обязательные реквизиты согласия на передачу в МФО

Фамилия, имя, отчество и контактные данные работника-субъекта
Наименование и адрес работодателя-оператора (передающей стороны)
Наименование МФО — конкретного получателя ПДн (каждая МФО — отдельный документ)
Цель передачи: рассмотрение заявки на потребительский заём, проверка платёжеспособности
Перечень передаваемых данных: ФИО, дата рождения, паспортные данные, СНИЛС, ИНН, размер заработной платы, место работы, должность
Перечень действий МФО с данными: сбор, хранение, использование, передача в БКИ
Срок действия согласия и способ его отзыва
Подпись работника и дата

Если работодатель сотрудничает с несколькими МФО, на каждую составляется отдельный документ. Объединённое согласие «передаём в любые МФО-партнёры» не соответствует требованию конкретности цели по ст. 5 ФЗ-152 и оспаривается РКН.

Согласия в займовой программе уже подписаны — но до 01.09.2025?

Если HRD запустил займовую программу с МФО до сентября 2025 года и согласия оформлены как часть анкеты или трудового договора — каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП при передаче новых заявок. Для МФО с регулярными займами риск накапливается по каждому новому обращению. Юристы DATUM проведут аудит займовой документации: проверят основания передачи, перечень данных, соответствие реквизитов согласия требованиям ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте ограничения по ст. 86–88 ТК РФ

Трудовое законодательство устанавливает самостоятельные требования к обработке ПДн работника, которые действуют параллельно с ФЗ-152. Ст. 86 ТК РФ запрещает получать и передавать данные о работнике без его согласия, если это не связано с трудовыми отношениями. Ст. 88 ТК РФ прямо указывает: при передаче ПДн третьим лицам работодатель обязан предупредить получателя, что данные используются только в заявленных целях.

Для займовой программы это означает: в согласии и в договоре с МФО нужно зафиксировать, что МФО не вправе использовать полученные данные работника в иных целях — например, для собственных маркетинговых рассылок. Это требование ст. 88 ТК РФ, и его нарушение создаёт дополнительный риск претензий со стороны работника и государственной инспекции труда.

«Ст. 88 ТК РФ — при передаче ПДн работника третьей стороне работодатель предупреждает её об обязательстве использовать данные только в заявленных целях.»

Также проверьте: нет ли в передаваемом пакете специальных категорий ПДн по ст. 10 ФЗ-152 — сведений о состоянии здоровья или иных данных из закрытого перечня. Передача таких данных в МФО требует дополнительных оснований и, как правило, не нужна для оценки платёжеспособности.

Как правильно организовать хранение согласий при КЭДО?

Если компания ведёт кадровый электронный документооборот, согласие на передачу в МФО может быть оформлено в электронной форме при соблюдении ряда условий. Ст. 22.2 ТК РФ допускает КЭДО при наличии квалифицированной или усиленной неквалифицированной электронной подписи работника — в зависимости от типа документа.

Согласие по ст. 9 ФЗ-152 — не кадровый документ в строгом смысле, поэтому требование к виду подписи определяется договорённостью сторон и системой КЭДО. Важно: система КЭДО сама является ИСПДн и обрабатывает ПДн работников. Работодатель как оператор этой системы обязан включить её в уведомление РКН по ст. 22 ФЗ-152 и установить уровень защищённости по ПП РФ №1119.

«Ст. 22.2 ТК РФ — работодатель вправе вести кадровый электронный документооборот. Ст. 22 ФЗ-152 — оператор уведомляет РКН о намерении обрабатывать ПДн до начала обработки.»

Срок хранения согласия: не менее срока, в течение которого возможно предъявление претензий. По практике РКН — минимум 3 года после прекращения обработки. Личное дело хранится 75 лет, однако согласие для займовой программы — отдельный документ, который привязывается к сроку займового отношения плюс исковая давность.

Если в компании КЭДО и согласия работников на передачу в МФО оформляются в электронной форме — проверьте, что система КЭДО включена в реестр РКН и уровень защищённости ИСПДн определён. РКН при проверке запрашивает уведомление и документы о мерах защиты одновременно с согласиями. До 30 дней — срок включения в реестр после уведомления по ч. 4 ст. 22 ФЗ-152.

Собрать ОРД под ключ

Шаг 4. Включите передачу в МФО в политику обработки ПДн и ОРД

Ч. 2 ст. 18.1 ФЗ-152 обязывает оператора публиковать политику обработки ПДн, которая отражает реальный состав обработки. Если работодатель передаёт данные в МФО, эта передача должна быть отражена в политике: цель, категории субъектов, категории ПДн, получатели (наименования МФО-партнёров или указание на категорию получателей), срок хранения.

Помимо политики, в пакет ОРД входят: приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152, регламент передачи ПДн третьим лицам, форма согласия на передачу в МФО, журнал учёта выданных согласий. Отсутствие политики — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽. Отсутствие согласия — штраф по ч. 2 от 300 000 до 700 000 ₽.

При использовании биометрии СКУД для идентификации работника при выдаче займа — требования ужесточаются: ст. 11 ФЗ-152 требует письменного согласия на обработку биометрических данных отдельно от иных согласий.

Шаг 5. Обеспечьте возможность отзыва согласия

Ст. 9 ч. 2 ФЗ-152 предоставляет субъекту право отозвать согласие в любой момент. При получении отзыва работодатель обязан прекратить передачу данных в МФО и уведомить МФО о необходимости прекратить обработку, если МФО ещё не приняла решение по заявке. Срок на уничтожение или блокирование данных — 7 рабочих дней с момента получения отзыва, если иное не предусмотрено договором займа или законом.

«Ст. 9 ч. 2 ФЗ-152 — субъект вправе отозвать согласие. Оператор обязан прекратить обработку ПДн в случае отзыва, если нет иного законного основания для продолжения обработки.»

Важный нюанс: если МФО уже одобрила заём и заключила договор с работником — МФО вправе продолжать обработку ПДн на основании договорного правоотношения (п. 5 ч. 1 ст. 6 ФЗ-152). Отзыв согласия работника у работодателя не прекращает обработку у МФО, возникшую из договора займа. Зафиксируйте это разграничение в регламенте передачи данных, чтобы корректно отвечать на запросы субъектов по ст. 20 ФЗ-152 в течение 10 рабочих дней.

Практика: как это работает в реальных ситуациях

Кейс 1. HR-директор розничной сети (Сибирский ФО, весна 2026) запустила займовую программу через двух МФО-партнёров. Согласия были оформлены единым документом на оба МФО. После жалобы одного из работников РКН провёл внеплановую проверку. Инспектор зафиксировал нарушение: в согласии не было конкретизировано, в какую именно МФО передаются данные. Возбуждено дело по ч. 2 ст. 13.11 КоАП. До вынесения постановления HR-директор переоформила документацию — на каждую МФО отдельное согласие. Суд учёл оперативное устранение нарушений и применил минимальный штраф в диапазоне, предусмотренном ч. 2 ст. 13.11.

Кейс 2. Производственное предприятие (Центральный ФО, осень 2025) использовало электронную форму согласия через систему КЭДО. При аудите выяснилось, что КЭДО-система не указана в уведомлении РКН: предприятие уведомляло только об обработке в 1С. РКН выписал предписание устранить нарушение по ч. 1 ст. 13.11 КоАП. Юристы DATUM помогли подать уточнённое уведомление в РКН, внести КЭДО-систему в перечень ИСПДн и установить уровень защищённости УЗ-3. Предписание снято без штрафа.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка займовой документации и согласий по новым требованиям ФЗ-156
Комплект ОРД под ключ — политика, согласия, регламент передачи данным МФО, журналы
DPO-аутсорсинг — ответы на запросы субъектов, сопровождение займовой программы на абонентской основе

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025 и включавшие передачу данных в МФО как часть трудового договора или анкеты, не действуют как самостоятельное основание для новых передач после указанной даты. ФЗ-156 от 24.06.2025 не имеет обратной силы в отношении уже завершённых обработок, но каждая новая заявка в МФО после 01.09.2025 требует отдельного согласия по новой форме. Переподписывать согласия для работников, чьи займы уже одобрены и договор заключён, не требуется — обработка у МФО продолжается на договорном основании.

2. Какие данные нельзя запрашивать в анкете для займа?

По ст. 86 ТК РФ работодатель не вправе получать и хранить данные, не связанные с трудовой деятельностью. Для займовой программы нельзя запрашивать: сведения о состоянии здоровья (ст. 10 ФЗ-152 — спецкатегория), политические и религиозные взгляды, расовую принадлежность. Допустимые данные для передачи в МФО: ФИО, паспортные данные, СНИЛС, ИНН, размер дохода, место работы, должность, стаж. Биометрические данные (изображение лица, отпечатки) — только с отдельного письменного согласия по ст. 11 ФЗ-152.

3. Можно ли вести видеонаблюдение в офисе при займовой программе?

Видеонаблюдение в офисе — самостоятельная обработка биометрических ПДн (изображение лица), не связанная с займовой программой. Работодатель обязан уведомить работников об установке камер и получить согласие либо обеспечить иное правовое основание по ст. 6 ФЗ-152. Передавать видеозаписи в МФО для верификации личности работника при займовой заявке без отдельного согласия нельзя. Использование биометрии СКУД для удалённого подтверждения личности при подаче заявки в МФО создаёт самостоятельный риск по ч. 16 ст. 13.11 КоАП.

4. Сколько хранить согласия после увольнения работника?

Согласие на передачу данных в МФО — не кадровый документ из обязательного перечня с 75-летним сроком хранения. Срок хранения определяется целью: пока возможно предъявление претензий со стороны субъекта или регулятора. Общий срок исковой давности — 3 года (ст. 196 ГК РФ). РКН при проверках фактически запрашивает документы за последние 3 года. Практически — хранить согласие не менее 3 лет после прекращения обработки и закрытия займа.

5. Кто является оператором ПДн при использовании КЭДО?

При использовании КЭДО оператором ПДн остаётся работодатель — он определяет цели и состав обработки. Провайдер КЭДО-системы выступает обработчиком по поручению в соответствии с п. 3 ст. 6 ФЗ-152. Работодатель обязан заключить с провайдером договор поручения обработки с перечнем действий, которые провайдер вправе совершать с данными. Без такого договора провайдер фактически действует как самостоятельный оператор без правового основания — нарушение ч. 1 ст. 13.11 КоАП, штраф от 150 000 до 300 000 ₽.

6. Что делать, если МФО запрашивает расширенный пакет документов работника?

Если МФО требует данные, которые не указаны в подписанном работником согласии, — передавать их нельзя. Принцип минимизации по ст. 5 ФЗ-152 запрещает обрабатывать данных больше, чем необходимо для заявленной цели. HR-директор должен запросить у МФО обоснование дополнительных данных и при необходимости получить от работника новое или расширенное согласие с указанием дополнительных категорий ПДн. Передача данных «на всякий случай» создаёт риск по ч. 1 ст. 13.11 КоАП.

Итог

Передача данных работника в МФО при займовой программе — это предоставление ПДн третьему лицу, которое требует отдельного согласия по ст. 9 ФЗ-152 в редакции ФЗ-156. Каждая МФО-партнёр требует собственного документа с конкретным перечнем данных и целью. Параллельно необходимо соблюсти ст. 86–88 ТК РФ, отразить передачи в политике обработки ПДн и обеспечить возможность отзыва согласия.

DATUM сопровождает HR-департаменты в выстраивании займовых программ с МФО: разрабатывает формы согласий под требования ФЗ-156, аудирует действующие документы, готовит ОРД и при необходимости представляет интересы при проверках РКН.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 ФЗ-152 в редакции ФЗ-156, КЭДО, биометрия в СКУД, передача в зарплатных проектах и займовых программах МФО.

17 декабря 2027 года