Перейти к содержанию
инструкция 21 января 2028 По состоянию на 21 января 2028

Передача в НПФ

Передача персональных данных работников в негосударственный пенсионный фонд — это обработка ПДн по поручению в рамках договора о корпоративном пенсионном страховании, которая требует отдельного письменного согласия каждого работника по ст. 9 ФЗ-152.
С 01.09.2025 согласие оформляется отдельным документом, а не встраивается в трудовой договор или анкету: нарушение этого требования даёт основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. При повторном нарушении — 1–1,5 млн ₽.
Если HRD запускает или уже ведёт зарплатный проект с НПФ — проверьте согласия прямо сейчас: срок переоформления истёк 01.09.2025.

Корпоративные пенсионные программы с участием НПФ вошли в стандарт соцпакета среднего и крупного бизнеса. Типовой сценарий: HR-служба подписывает договор с НПФ, передаёт реестр сотрудников — и считает задачу закрытой. Между тем передача персональных данных в НПФ — самостоятельное основание обработки, которое не покрывается трудовым договором. После вступления в силу ФЗ-156 от 24.06.2025 прежние форматы согласий — в анкете, в трудовом договоре, в заявлении о приёме — недействительны. В этой инструкции разобраны все шаги: от определения состава передаваемых данных до порядка хранения документов при увольнении работника.

Шаг 1. Определите состав персональных данных, которые вы передаёте в НПФ

Прежде чем собирать согласия, зафиксируйте исчерпывающий перечень данных, которые реально передаёте. НПФ, как правило, запрашивают: ФИО, дату рождения, СНИЛС, паспортные реквизиты, размер заработной платы или тарифной ставки, дату трудоустройства. Некоторые программы включают данные о стаже и должности.

Принцип минимизации по ст. 5 ФЗ-152 обязывает передавать ровно тот объём, который необходим для цели — оформления и ведения пенсионного счёта. Если НПФ запрашивает адрес регистрации или семейное положение, проверьте договорное основание: без явной цели это избыточная передача.

«Ст. 5 ФЗ-152 устанавливает принцип соответствия объёма обрабатываемых данных заявленным целям. Данные, избыточные по отношению к цели, не могут быть предметом обработки.»

Зафиксируйте перечень в локальном акте (регламент передачи данных в НПФ) и укажите его в согласии работника. Если перечень изменится — согласие придётся переподписать.

Шаг 2. Оформите отдельное согласие по требованиям ФЗ-156 (с 01.09.2025)

До 01.09.2025 практика допускала встраивание согласия на передачу данных третьим лицам в трудовой договор или заявление. ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: согласие теперь должно быть самостоятельным документом, который не объединяется с иными соглашениями.

«Ч. 1 ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие на обработку персональных данных оформляется отдельным документом, не совмещается с договором, анкетой или иным документом, содержащим другие условия.»

Обязательные реквизиты согласия на передачу в НПФ:

  • ФИО и контактные данные субъекта (работника)
  • Наименование и адрес оператора (вашей компании)
  • Наименование НПФ — конкретный получатель, не «третьи лица»
  • Цель передачи: оформление и обслуживание корпоративного пенсионного счёта
  • Исчерпывающий перечень передаваемых данных
  • Перечень действий с данными: сбор, передача, хранение в НПФ
  • Срок действия согласия или указание на бессрочность
  • Порядок отзыва согласия

Согласия, оформленные до 01.09.2025 в формате, встроенном в другой документ, утратили силу требований закона. Переоформлять их обязанность возникла именно с этой даты.

Согласия работников всё ещё встроены в трудовые договоры?

Если HRD не переоформил согласия после 01.09.2025 — каждый документ, совмещённый с трудовым договором или анкетой, создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. При повторном нарушении — 1–1,5 млн ₽ по ч. 2.1. Юристы DATUM соберут комплект согласий по требованиям ФЗ-156 и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Включите передачу в НПФ в уведомление Роскомнадзора

Оператор персональных данных обязан уведомить РКН о намерении обрабатывать данные до начала обработки (ст. 22 ФЗ-152). Если компания уже стоит в реестре, но в уведомлении не указана передача данных в НПФ как отдельная категория получателей — это нарушение.

«Ст. 22 ФЗ-152 обязывает оператора уведомить Роскомнадзор о намерении обрабатывать ПДн. Неуведомление или подача сведений не в полном объёме — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.»

Порядок действий при добавлении НПФ в уведомление:

  • Войдите в личный кабинет на pd.rkn.gov.ru через ЕСИА или УКЭП
  • Подайте заявку на изменение сведений по форме Приказа РКН №180 от 28.10.2022
  • Укажите НПФ в разделе «Передача данных третьим лицам» с описанием цели
  • Дождитесь актуализации реестра — до 30 рабочих дней

Если компания ещё не подавала уведомление — сделайте это до первой фактической передачи данных в НПФ. Срок включения в реестр после уведомления — 30 дней.

Шаг 4. Заключите договор-поручение с НПФ по ст. 6 ФЗ-152

НПФ, обрабатывающий данные ваших работников по вашему заданию, является лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). Договор с НПФ должен содержать обязательные условия: перечень действий с данными, цель обработки, обязанность НПФ соблюдать требования ФЗ-152, запрет на передачу данных субподрядчикам без вашего согласия, меры защиты.

«П. 3 ст. 6 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу на основании договора. Ответственность перед субъектом за действия обработчика несёт оператор.»

Проверьте действующий договор с НПФ: если он не содержит перечисленных условий или был заключён до 2023 года — его нужно актуализировать. Ответственность оператора перед работником за утечку данных в НПФ не снимается даже при наличии вины самого НПФ.

Что подготовить HR-директору для передачи данных в НПФ

  • Отдельное согласие работника по требованиям ч. 1 ст. 9 ФЗ-152 в ред. ФЗ-156 — с перечнем данных, наименованием НПФ, целью и порядком отзыва
  • Локальный акт с перечнем передаваемых данных и основанием передачи (приказ или регламент взаимодействия с НПФ)
  • Актуализированное уведомление РКН с указанием НПФ как получателя данных
  • Договор-поручение с НПФ, содержащий все требования п. 3 ст. 6 ФЗ-152
  • Журнал учёта согласий с датой подписания, датой возможного отзыва и отметкой о хранении

Шаг 5. Настройте порядок отзыва согласия и прекращения передачи

Работник вправе отозвать согласие в любой момент (ч. 2 ст. 9 ФЗ-152). После получения отзыва оператор обязан прекратить обработку и уведомить НПФ о необходимости прекратить использование данных. Срок — в соответствии с вашим локальным актом, но не позднее предусмотренного договором с НПФ.

Отзыв согласия не влечёт автоматическое уничтожение данных, если для их хранения есть иное основание. Например, данные о начисленных взносах могут храниться в рамках исполнения налоговых обязательств. Важно разграничить: прекращение передачи и уничтожение данных — разные процедуры.

«Ч. 2 ст. 9 ФЗ-152: субъект вправе отозвать согласие на обработку персональных данных. Оператор обязан прекратить обработку, если нет иного законного основания для её продолжения.»

При увольнении работника — отдельный вопрос: данные о нём как участнике корпоративной пенсионной программы могут понадобиться для итогового расчёта. Типовой срок хранения кадровых документов — 75 лет для личных дел. Данные, переданные в НПФ, хранятся там по правилам самого НПФ — проверьте договор.

Получили запрос от работника об отзыве согласия на передачу в НПФ — или НПФ уведомил об инциденте? У вас 10 рабочих дней на ответ субъекту по ст. 20 ФЗ-152 и 24 часа на первичное уведомление РКН об утечке (ч. 3.1 ст. 21). Юристы DATUM возьмут сопровождение с первого обращения.

Заказать аудит 152-ФЗ

Как выглядит практика: типовые сценарии для HRD

Сценарий 1. Компания передаёт данные в НПФ без отдельного согласия с 2021 года. HR-служба ссылается на пункт в трудовом договоре. При плановой проверке РКН инспектор запрашивает отдельные согласия — компания не может их представить. Итог: протокол по ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽. После 01.09.2025 форма в трудовом договоре прямо нарушает ФЗ-156 — риск удваивается. Стратегия: до первой проверки переоформить согласия на отдельных бланках с актуальными реквизитами.

Сценарий 2. Компания сменила НПФ, но не обновила согласия работников. В согласиях указан прежний фонд. Новый НПФ принимает данные без договорного поручения с надлежащими условиями. Итог: двойное нарушение — ненадлежащее согласие (ч. 2 ст. 13.11) и отсутствие договора-поручения по п. 3 ст. 6 ФЗ-152. Стратегия: при смене НПФ — полный пересбор согласий и заключение нового договора-поручения до первой передачи данных.

Сценарий 3. Утечка данных через НПФ — кто отвечает. НПФ сообщает об инциденте с базой клиентов, в которой присутствуют данные ваших работников. Оператор — ваша компания. У вас 24 часа на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152) и 72 часа на отчёт о расследовании по Приказу РКН №187. Отсутствие уведомления — штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Стратегия: договор с НПФ должен обязывать фонд немедленно сообщать вам об инцидентах — включите это условие превентивно.

Кейсы из практики

Кейс 1. Производственная компания (Уральский ФО, весна 2025) провела корпоративную пенсионную программу для 600 сотрудников. Согласия были встроены в заявления о вступлении в программу. При подготовке к проверке РКН выяснилось, что заявления не соответствовали требованиям к отдельному документу и не содержали всех обязательных реквизитов. Компания переоформила 600 согласий за 3 недели, актуализировала уведомление в реестре РКН и договор с НПФ. Проверка прошла без протокола.

Кейс 2. IT-компания (Центральный ФО, осень 2025) сменила НПФ в рамках реструктуризации соцпакета. Юридическая служба не обновила согласия работников и договор-поручение. Новый НПФ начал обрабатывать данные на основании письма HR-директора. РКН при рассмотрении жалобы уволенного работника обнаружил отсутствие надлежащего согласия на передачу данных новому НПФ. Компания получила предписание и штраф в сотни тысяч рублей по ч. 2 ст. 13.11 КоАП. После этого был внедрён регламент обязательного пересбора согласий при любой смене обработчика.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Да, если прежние согласия были встроены в трудовой договор, анкету, заявление или иной документ. С 01.09.2025 ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 требует оформления согласия отдельным документом. Согласия, полученные до этой даты в самостоятельном формате с полным набором реквизитов, переоформлять не требуется — закон не имеет обратной силы. Для уточнения достаточности реквизитов рекомендуется проверить каждый шаблон.

2. Какие данные нельзя запрашивать у работника для передачи в НПФ?

Нельзя запрашивать данные, не связанные с целью ведения пенсионного счёта: состояние здоровья, семейное положение, вероисповедание, национальность, политические взгляды — это специальные категории ПДн по ст. 10 ФЗ-152, обработка которых по общему правилу запрещена. Адрес регистрации или личный email допустимы только при явном договорном основании. Ст. 86 ТК РФ ограничивает перечень данных, которые работодатель вправе запрашивать у работника: они должны быть связаны исключительно с трудовой деятельностью.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение в рабочих помещениях в целях охраны труда и контроля рабочего времени допускается без согласия, если работники уведомлены об этом под подпись (ст. 22.2 ТК РФ и ст. 86 ТК РФ). Основание — ст. 6 ч. 5 ФЗ-152 (исполнение обязанностей оператора, предусмотренных законом). Если видеозапись используется для иных целей — оценки персонала, дисциплинарных расследований — необходимо отдельное согласие или иное законное основание.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн — часть личного дела работника. Типовой срок хранения личных дел по номенклатуре — 75 лет. Согласие на передачу данных в НПФ хранится не менее срока действия корпоративной пенсионной программы плюс срок исковой давности (3 года). Если работник отозвал согласие — документ об отзыве и журнал учёта также подлежат хранению в течение того же срока.

5. Кто оператор при использовании КЭДО в HR?

При использовании системы КЭДО (кадрового электронного документооборота) оператором персональных данных остаётся работодатель — он определяет цели и способы обработки. Поставщик платформы КЭДО выступает лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). Договор с вендором должен содержать условия о составе действий, цели, мерах защиты и запрете передачи данных третьим лицам без согласия работодателя. Передача данных через КЭДО в НПФ требует того же отдельного согласия работника, что и при бумажном документообороте.

6. Что делать, если работник отказывается подписывать согласие на передачу в НПФ?

Отказ от согласия — законное право работника (ст. 9 ФЗ-152). Участие в корпоративной пенсионной программе не может быть условием трудоустройства или оставаться на работе. В этом случае работодатель просто не включает работника в реестр НПФ. Если программа предусматривает работодательские взносы, их начисление на лицо, не давшее согласия, невозможно. Принуждение к подписанию согласия — нарушение ст. 9 ФЗ-152 и может стать предметом жалобы в РКН.

Итог

Передача персональных данных в НПФ — это самостоятельная операция обработки, которая требует отдельного согласия по ФЗ-156, корректного договора-поручения с фондом и актуального уведомления в реестре РКН. С 01.09.2025 прежние форматы встроенных согласий недействительны, а штраф за нарушение достигает 700 000 ₽ при первичном выявлении и 1–1,5 млн ₽ при повторном.

DATUM сопровождает HR-департаменты при переоформлении согласий, аудите ОРД и подготовке к проверкам РКН в рамках корпоративных пенсионных программ.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025, обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.