Перейти к содержанию
инструкция 23 января 2028 По состоянию на 23 января 2028

Согласие на передачу ПДн в банк-партнёр (зарплатный проект)

Передача персональных данных работника в банк по зарплатному проекту — это обработка ПДн с участием третьего лица. По ст. 9 ФЗ-152 она требует отдельного письменного согласия работника с 01.09.2025.
Без корректного согласия работодатель нарушает ч. 2 ст. 13.11 КоАП: штраф для юрлица — 300 000–700 000 ₽, при повторности — 1 000 000–1 500 000 ₽. Старые формы согласия, встроенные в трудовой договор, с 01.09.2025 не работают по требованиям ФЗ-156 от 24.06.2025.
→ Если вы HRD и до сих пор передаёте данные в банк на основании пункта в трудовом договоре — ниже пошаговый порядок, как исправить ситуацию до проверки РКН.

С 30.05.2025 Роскомнадзор применяет ст. 13.11 КоАП в редакции ФЗ-420 — с 18 частями и оборотным штрафом до 500 млн ₽ при повторной утечке. Зарплатные проекты — один из первых индикаторов риска при плановых проверках HR-департаментов: инспектор запрашивает реестр передаваемых данных и документы-основания. Если согласие не выделено в отдельный документ или не содержит обязательных реквизитов по ст. 9 ФЗ-152, протокол составляется на месте. Эта инструкция описывает порядок действий в шести шагах — от аудита текущих документов до хранения согласий после увольнения.

Шаг 1. Проверьте основание передачи данных в банк

Зарплатный проект предполагает, что работодатель передаёт в банк-партнёр ФИО, паспортные данные, контактный телефон, ИНН и СНИЛС работника для открытия расчётного счёта. Это обработка персональных данных с передачей третьему лицу. По ст. 6 ФЗ-152 такая передача допустима только при наличии самостоятельного основания.

Три возможных основания в ситуации с зарплатным проектом:

  • Согласие работника — наиболее распространённое и универсальное основание (п. 1 ч. 1 ст. 6 ФЗ-152).
  • Исполнение договора, стороной которого является субъект, — применимо, если работник самостоятельно заключает договор банковского обслуживания.
  • Прямое указание закона — по ст. 22.2 ТК РФ работодатель вправе выплачивать зарплату через банк, однако это не отменяет требование согласия на передачу ПДн конкретному банку.

На практике передача данных в рамках зарплатного проекта работодателя (не по выбору работника) требует согласия: работодатель выбирает банк, заключает корпоративный договор и передаёт данные — работник в этой сделке третья сторона. Первый шаг — убедиться, что в вашей компании существует самостоятельный документ-согласие, а не просто ссылка в трудовом договоре.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025): согласие на обработку персональных данных оформляется отдельным документом — не может быть частью трудового договора, оферты, политики конфиденциальности или иного документа.»

Есть сомнения, достаточно ли текущих документов для передачи данных в банк?

Если согласие встроено в трудовой договор или подписывалось до 01.09.2025 — оно создаёт риск штрафа по ч. 2 ст. 13.11 КоАП. Юристы DATUM проведут аудит пакета HR-документов по чек-листу из 38 пунктов и укажут, что нужно переделать до прихода инспектора.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Составьте согласие с обязательными реквизитами по ст. 9 ФЗ-152

С 01.09.2025 согласие должно существовать как отдельный документ. Обязательные реквизиты по ст. 9 ФЗ-152:

  • ФИО работника — субъекта персональных данных.
  • Контактные данные субъекта (телефон или email для связи по вопросам обработки).
  • Наименование и адрес оператора — работодателя, передающего данные.
  • Наименование банка-партнёра — третьего лица, которому передаются данные, с указанием его реквизитов.
  • Цель обработки: открытие и обслуживание расчётного счёта для получения заработной платы.
  • Перечень персональных данных: ФИО, дата рождения, паспортные данные, ИНН, СНИЛС, контактный телефон — только те, что фактически передаются.
  • Перечень действий с ПДн: передача, хранение, использование банком для целей договора банковского обслуживания.
  • Срок согласия: период действия трудового договора плюс срок хранения документов после увольнения.
  • Способ отзыва согласия: конкретный порядок — письменное заявление в HR-отдел.

Важный нюанс: если банков-партнёров несколько или работодатель предоставляет выбор — на каждый банк нужно отдельное согласие либо единое с явным перечислением всех банков-получателей. Объединение в одном абзаце без явной идентификации каждого банка — нарушение принципа конкретности (ст. 5 ФЗ-152).

Шаг 3. Разграничьте обязательные и добровольные данные

По ст. 86 ТК РФ работодатель вправе обрабатывать только те персональные данные работника, которые необходимы для исполнения трудового договора. По ст. 87 ТК РФ порядок хранения и использования ПДн в организации определяет работодатель, но в пределах, установленных законом.

Для зарплатного проекта минимально необходимый набор данных:

  • ФИО, дата рождения — для идентификации личности.
  • Паспортные данные — серия, номер, кем и когда выдан — для открытия счёта.
  • ИНН и СНИЛС — для налогового и пенсионного учёта.
  • Актуальный мобильный телефон — для SMS-подтверждений банка.

Данные, которые нельзя включать в согласие для зарплатного проекта без отдельного основания: семейное положение, сведения о родственниках, состояние здоровья, национальность, религиозные убеждения. Это специальные категории по ст. 10 ФЗ-152: их передача в банк не обусловлена целью зарплатного проекта и создаёт самостоятельный риск по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

Что подготовить перед передачей данных в банк-партнёр

  • Отдельный документ-согласие на передачу ПДн в конкретный банк с обязательными реквизитами по ст. 9 ФЗ-152.
  • Договор с банком, включающий положение о поручении обработки ПДн (ст. 6 ч. 3 ФЗ-152) или соглашение об обработке данных по поручению оператора.
  • Актуальная политика обработки персональных данных с разделом о передаче данных банкам-партнёрам.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
  • Журнал учёта согласий с датами подписания, сроками действия и фактами отзыва.

Шаг 4. Организуйте подписание и КЭДО

Письменная форма согласия по ст. 9 ФЗ-152 подразумевает собственноручную подпись работника на бумажном носителе или усиленную квалифицированную электронную подпись (УКЭП) при использовании КЭДО. Простая электронная подпись для согласий на передачу ПДн третьим лицам — риск: РКН квалифицирует её как несоблюдение письменной формы.

При подключении КЭДО оператором системы электронного документооборота выступает либо работодатель, либо оператор платформы. Если оператором является платформа — необходим договор поручения обработки ПДн по ст. 6 ч. 3 ФЗ-152. Персональные данные работников, которые обрабатываются в КЭДО-системе, должны храниться на серверах в России (ст. 18 ч. 5 ФЗ-152). Если платформа использует зарубежные облака — это нарушение требований локализации.

Для дистанционных работников и тех, кто находится в других городах, допустимо направление согласия почтой с уведомлением о вручении. Электронное подписание с помощью УКЭП через портал госуслуг также принимается как надлежащая письменная форма.

Если в вашей компании работают дистанционные сотрудники и согласия подписываются через КЭДО — уточните, соответствует ли платформа требованиям локализации по ст. 18 ч. 5 ФЗ-152. Нарушение при проверке РКН — штраф 1 000 000–6 000 000 ₽ по ч. 8 ст. 13.11 КоАП.

Собрать ОРД под ключ

Шаг 5. Определите срок хранения согласий после увольнения

Согласие на передачу ПДн в банк-партнёр входит в состав личного дела работника. Срок хранения личного дела — 75 лет (по номенклатуре дел для организаций, не являющихся источниками комплектования государственных архивов) или 50 лет (для организаций, принятых на хранение после 2003 года, по Приказу Росархива). Уничтожить согласие раньше этого срока нельзя: при проверке документов уволенных работников РКН вправе запросить ранее подписанные согласия.

После истечения цели обработки (банковский счёт закрыт, трудовой договор прекращён, срок хранения документов истёк) ПДн подлежат уничтожению или обезличиванию по ст. 21 ФЗ-152. Факт уничтожения фиксируется актом с подписями членов комиссии.

Отдельный вопрос — что делать с запросом уволенного работника об уничтожении его ПДн. Здесь возникает коллизия: работник вправе потребовать уничтожения по ч. 2 ст. 9 ФЗ-152, но работодатель обязан хранить документы в соответствии с требованиями архивного законодательства. В таком случае оператор вправе отказать в уничтожении, сославшись на обязательность хранения, — и обязан письменно уведомить работника о причинах отказа в течение 10 рабочих дней.

Шаг 6. Проверьте, что делать при отзыве согласия

Работник вправе отозвать согласие в любой момент (ст. 9 ч. 2 ФЗ-152). Отзыв согласия не означает автоматическое прекращение трудового договора и не лишает работника права на получение зарплаты. После отзыва работодатель обязан:

  • Прекратить передачу новых данных в банк.
  • Уведомить банк об отзыве согласия и потребовать прекращения обработки.
  • Предложить работнику альтернативный способ получения зарплаты — наличными через кассу или на другой счёт по его выбору.
  • Зафиксировать факт отзыва в журнале учёта согласий.

Нельзя делать следующее: отказывать работнику в выплате зарплаты до момента подписания нового согласия, оказывать давление с целью возобновления согласия, продолжать передавать данные в банк после даты отзыва. Каждое из этих действий — самостоятельное нарушение, которое может квалифицироваться по ч. 1 или ч. 2 ст. 13.11 КоАП.

Как это применяется на практике

Кейс 1. Производственная компания (Уральский ФО, начало 2026 года): при плановой проверке РКН инспектор запросил согласия 340 работников на передачу ПДн в банк-партнёр зарплатного проекта. Согласие было оформлено как пункт в анкете при приёме на работу — не отдельным документом. РКН составил протокол по ч. 2 ст. 13.11 КоАП. Компания переоформила согласия по новым требованиям в течение 30 дней и представила доказательства в арбитраж. Суд снизил штраф, применив смягчающие обстоятельства, — оперативное устранение нарушения и отсутствие предшествующих привлечений.

Кейс 2. Торговая сеть (Центральный ФО, осень 2025 года): HR-директор выявил, что при переходе на КЭДО согласия на передачу данных в банк подписывались простой электронной подписью через мобильное приложение. После консультации с юристами пакет документов переработали — согласия подписаны УКЭП через ЕСИА. Инициативное уведомление РКН о переходе на новый формат позволило избежать проверки по этому основанию в плановом цикле.

Типичные ситуации при зарплатном проекте

Ситуация 1: Смена банка-партнёра. Работодатель переходит в другой банк, старые согласия содержат только название прежнего банка. Доказательство нарушения: перечень переданных данных в новый банк при отсутствии согласия с его наименованием. Вероятный исход: протокол по ч. 2 ст. 13.11, штраф 300 000–700 000 ₽. Стратегия: до смены банка собрать новые согласия с наименованием нового банка, старые хранить в соответствии со сроком.

Ситуация 2: Работник отказывается подписывать согласие. Работодатель не вправе принудить к подписанию или задержать зарплату. Вероятный исход: при жалобе работника в РКН — проверка и протокол за нарушение ст. 9 ФЗ-152. Стратегия: обеспечить альтернативный способ выплаты зарплаты (кассовый ордер или счёт в банке по выбору работника), зафиксировать отказ письменно, не допускать давления.

Ситуация 3: Согласие подписано до 01.09.2025 и встроено в трудовой договор. По разъяснениям юридического сообщества и буквальному тексту ФЗ-156, обратной силы закон не имеет — ранее подписанные согласия не обязательно переоформлять немедленно. Однако при новом приёме работников с 01.09.2025 и при любом обновлении согласий — обязательная отдельная форма. Стратегия: провести ревизию, переоформить согласия при ближайшем плановом взаимодействии с работниками (например, при индексации зарплаты или изменении условий).

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка пакета HR-документов по 38 пунктам, включая согласия для зарплатного проекта.
  • Комплект ОРД под ключ — разработка всех документов: политика, согласия, приказы, журналы, регламенты.
  • DPO-аутсорсинг — абонентское сопровождение функции ответственного по ст. 22.1 ФЗ-152, включая ответы работникам на запросы об обработке.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Обратной силы ФЗ-156 не имеет: согласия, подписанные до 01.09.2025, формально не аннулируются автоматически. Однако если согласие встроено в трудовой договор или иной документ, а не оформлено отдельно, — при проверке РКН инспектор вправе квалифицировать это как нарушение ст. 9 ФЗ-152 в действующей редакции. Рекомендованная стратегия: переоформить согласия при ближайшем плановом взаимодействии с работниками. При новом приёме с 01.09.2025 отдельный документ обязателен без исключений.

2. Какие данные нельзя запрашивать в анкете соискателя?

По ст. 86 ТК РФ работодатель вправе обрабатывать только данные, необходимые для исполнения трудового договора. Нельзя запрашивать: национальность, вероисповедание, политические взгляды, сведения о состоянии здоровья (кроме случаев обязательного медосмотра), семейное положение, данные о родственниках (кроме экстренных контактов). Специальные категории по ст. 10 ФЗ-152 — под запретом без явного правового основания. Нарушение при сборе избыточных данных — ч. 1 ст. 13.11 КоАП, штраф до 300 000 ₽.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение на рабочих местах допустимо при соблюдении трёх условий: работники уведомлены под подпись об обработке их биометрических данных (изображение — биометрия по ст. 11 ФЗ-152), цели наблюдения закреплены в локальном акте (охрана труда, безопасность), и в политике обработки ПДн указан этот вид обработки. Нельзя вести скрытое наблюдение за работниками. Обработка видеозаписей через системы распознавания лиц (СКУД с биометрией) требует письменного согласия каждого работника.

4. Сколько хранить согласия после увольнения?

Согласие входит в личное дело работника. Срок хранения личного дела — 75 лет (для документов, созданных до 2003 года) или 50 лет (для более поздних, по нормам Росархива). Уничтожить согласие до истечения срока хранения нельзя: это нарушение требований архивного законодательства и ст. 21 ФЗ-152. После истечения срока — уничтожение по акту с подписями комиссии.

5. Кто оператор при использовании КЭДО?

Оператором персональных данных работников остаётся работодатель — независимо от того, используется КЭДО или бумажный документооборот. Платформа КЭДО — обработчик по поручению оператора (ст. 6 ч. 3 ФЗ-152). Работодатель обязан заключить с платформой договор поручения обработки, в котором зафиксированы цели, перечень данных, требования безопасности и обязанность уничтожить данные по окончании договора. Если платформа хранит данные на серверах за рубежом — это нарушение локализации по ст. 18 ч. 5 ФЗ-152, штраф 1 000 000–6 000 000 ₽.

6. Что делать, если банк запрашивает больше данных, чем нужно для открытия счёта?

Объём данных, передаваемых банку, определяется принципом минимизации по ст. 5 ФЗ-152: только те данные, которые необходимы для достижения цели. Если банк требует, например, сведения о семейном положении или доходах членов семьи — это выходит за рамки цели зарплатного проекта. Работодатель не обязан передавать избыточные данные и несёт ответственность как оператор за соответствие объёма передаваемых данных целям обработки.

Итог

Согласие на передачу ПДн в банк-партнёр по зарплатному проекту — это отдельный документ с девятью обязательными реквизитами. С 01.09.2025 любая иная форма создаёт риск штрафа по ч. 2 ст. 13.11 КоАП в диапазоне 300 000–700 000 ₽ за первичное нарушение. При повторном нарушении — 1 000 000–1 500 000 ₽. Ключевые точки контроля: наименование конкретного банка, минимальный перечень данных, письменная форма (УКЭП при КЭДО), порядок отзыва и хранение 50–75 лет после увольнения.

Практика DATUM по HR-направлению охватывает разработку пакета согласий для зарплатных проектов, КЭДО, систем биометрического контроля доступа и личных дел. Юристы сопровождают проверки РКН в HR-департаментах среднего и крупного бизнеса.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

23 января 2028 года