Перейти к содержанию
инструкция 22 января 2028 По состоянию на 22 января 2028

Согласие на передачу ПДн в материнскую компанию

Передача персональных данных работников в материнскую компанию — самостоятельное основание обработки по ст. 6 ФЗ-152, требующее отдельного письменного согласия.
С 01.09.2025 согласие не может быть встроено в трудовой договор или политику конфиденциальности: ФЗ-156 от 24.06.2025 обязал оформлять его отдельным документом. Штраф за обработку без надлежащего согласия — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.
→ Если в вашем HR-департаменте согласия всё ещё вшиты в трудовой договор или анкету — прочитайте инструкцию и исправьте до первой проверки РКН.

Группы компаний передают кадровые данные внутри периметра ежедневно: согласование кандидатуры в головном офисе, единая система расчёта зарплаты, корпоративный портал, КЭДО. Каждая из этих операций — передача ПДн третьему лицу, то есть отдельной организации. Трудовой договор, оферта и политика конфиденциальности с 01.09.2025 не заменяют согласие. Ниже — пошаговый порядок для HRD: от аудита текущей практики до актуальных шаблонов документов.

Шаг 1. Зачем нужно отдельное согласие при передаче в материнскую компанию?

Материнская компания — самостоятельное юридическое лицо. Когда дочерняя организация передаёт ей персональные данные сотрудника, она действует как оператор, передающий данные другому оператору. По ст. 6 ФЗ-152 это допустимо при наличии хотя бы одного правового основания. Трудовой договор охватывает обработку, необходимую для исполнения обязанностей работодателя перед работником, но не передачу за пределы компании в целях корпоративного управления.

Ст. 87 ТК РФ прямо запрещает сообщать персональные данные третьей стороне без письменного согласия работника, кроме случаев, прямо предусмотренных законом. Исключение: угроза жизни и здоровью. Консолидация кадровых данных в холдинге под это исключение не подпадает.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом и не объединяется ни с каким другим — договором, офертой, правилами обслуживания, политикой конфиденциальности.»

Ранее выданные согласия, правильно оформленные до 01.09.2025, обратной силой не затрагиваются. Но если они были встроены в трудовой договор после этой даты или вообще не были получены — каждый такой документ создаёт состав нарушения ч. 2 ст. 13.11 КоАП.

Шаг 2. Какие реквизиты должно содержать согласие?

Ст. 9 ФЗ-152 устанавливает обязательный перечень элементов письменного согласия. Для передачи в материнскую компанию каждый из них требует конкретизации — нельзя писать «третьим лицам» или «аффилированным компаниям».

Обязательные реквизиты согласия на передачу в материнскую компанию

  • ФИО работника, его контактные данные (адрес или email для связи)
  • Полное наименование оператора-работодателя и получателя данных (материнской компании) с указанием ОГРН или ИНН
  • Конкретная цель передачи: например, «консолидация кадровой отчётности в ООО [материнская компания] для целей управленческого учёта холдинга»
  • Перечень передаваемых ПДн: ФИО, должность, подразделение, оклад, ИНН, СНИЛС — только те, которые фактически передаются
  • Перечень действий с ПДн у получателя: хранение, систематизация, использование в отчётности
  • Срок действия согласия или указание на событие прекращения (увольнение + срок хранения)
  • Способ отзыва согласия: письменное заявление на имя HRD или уполномоченного лица

Если материнская компания зарегистрирована за рубежом — согласие должно дополнительно содержать указание на страну передачи. Это отдельный блок трансграничной передачи по ст. 12 ФЗ-152 со своим порядком уведомления РКН.

Согласия работников в трудовых договорах — что делать после 01.09.2025?

Если HRD не переоформил согласия на передачу ПДн в материнскую компанию после 01.09.2025, каждый документ, встроенный в договор, создаёт основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Срок не восстанавливается — нарушение фиксируется на дату обработки. Юристы DATUM соберут пакет согласий по новым требованиям ФЗ-156 и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Как правильно получить согласие — бумажный и электронный формат?

Закон допускает два формата письменного согласия: собственноручная подпись на бумажном носителе и усиленная квалифицированная электронная подпись (УКЭП) либо иной способ, подтверждающий факт согласия и позволяющий установить личность субъекта. При использовании КЭДО согласие может быть подписано той же электронной подписью, которой подписываются кадровые документы — при условии, что это прямо предусмотрено локальным нормативным актом о КЭДО.

Важно: согласие на передачу ПДн в материнскую компанию — самостоятельный документ. Его нельзя оформить как приложение к трудовому договору, часть должностной инструкции или раздел политики конфиденциальности. С 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП независимо от содержания.

«Ст. 22.2 ТК РФ — работодатель вправе вести кадровый электронный документооборот при условии уведомления работников и получения их согласия на участие в КЭДО. Согласие на обработку ПДн в рамках КЭДО — отдельный документ относительно согласия на КЭДО.»

Если компания переходит на КЭДО одновременно с пересмотром согласий — целесообразно зафиксировать оба документа в одну сессию подписания, но как два физически разных файла или бумажных листа. Объединять их в один документ запрещено.

Шаг 4. Что происходит с согласием при увольнении работника?

Увольнение само по себе не прекращает действие согласия автоматически, если срок в нём не привязан к дате расторжения трудового договора. HRD необходимо предусмотреть в тексте согласия одно из двух: либо конкретный срок (например, «в течение 5 лет с даты увольнения»), либо указание на событие — «до истечения срока хранения личного дела работника в соответствии с законодательством об архивном деле».

Типовой срок хранения личного дела — 75 лет (ст. 22.1 Федерального закона об архивном деле для документов по личному составу). Это означает, что оператор-работодатель вправе хранить ПДн уволенного работника именно столько. Но передача материнской компании в этот период должна оставаться обоснованной целью — после увольнения цель «управленческий учёт действующего персонала» исчезает.

Практическое решение: в согласии предусмотреть разный объём передаваемых ПДн для двух периодов — в период трудовых отношений (полный состав) и после увольнения (только данные, необходимые для архивного хранения и расчётов по обязательствам).

Шаг 5. Как оформить передачу, если материнская компания зарубежная?

Передача ПДн за рубеж — трансграничная передача по ст. 12 ФЗ-152. Порядок зависит от того, входит ли страна нахождения материнской компании в перечень государств с адекватной защитой персональных данных по актуальному приказу РКН.

Если страна в перечне — достаточно уведомить РКН о намерении осуществлять трансграничную передачу через личный кабинет на pd.rkn.gov.ru. Если страны в перечне нет — дополнительно нужно получить разрешение РКН либо заключить соглашение, содержащее стандартные защитные оговорки. Согласие работника при этом по-прежнему обязательно, но не заменяет уведомление регулятора.

«Ст. 12 ФЗ-152 — до передачи ПДн на территорию государства, не обеспечивающего адекватную защиту прав субъектов, оператор обязан уведомить РКН и получить его разрешение либо заключить договор с получателем, содержащий меры, компенсирующие отсутствие адекватной защиты.»

Отдельный вопрос — локализация по ч. 5 ст. 18 ФЗ-152: первичный сбор, запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны производиться в базах данных на территории России. Даже при наличии зарубежной материнской компании российская дочерняя организация обязана хранить первичные данные в РФ. Штраф за нарушение локализации — от 1 до 6 млн ₽ по ч. 8 ст. 13.11 КоАП.

Если у вас зарубежная материнская компания и кадровые данные уходят туда без уведомления РКН — это нарушение ч. 8 ст. 13.11 КоАП (1–6 млн ₽) и отдельно ч. 1 ст. 13.11 (150–300 тыс. ₽) за ненадлежащее основание передачи. Юристы DATUM проверят схему передачи и подготовят уведомление РКН.

Собрать ОРД под ключ

Как это работает на практике: типовые сценарии для HRD

Сценарий 1. Единая система расчёта зарплаты в холдинге. Дочерняя компания использует расчётный центр материнской структуры — бухгалтерия передаёт ФИО, должность, СНИЛС, ИНН, данные о доходах. Ситуация: согласия нет, данные передаются на основании «производственной необходимости». Вероятный исход при проверке: протокол по ч. 1 ст. 13.11 (150–300 тыс. ₽) и отдельно по ч. 2 (300–700 тыс. ₽) за отсутствие письменного согласия. Стратегия: оформить согласие со всем действующим персоналом, включить в оферту для новых сотрудников при найме, фиксировать журнал передачи данных.

Сценарий 2. Согласие вшито в трудовой договор до 01.09.2025. HR-служба получила уведомление от РКН об индикаторе риска — согласия в разделе 8 трудового договора не соответствуют новым требованиям. Доказательства: трудовые договоры без отдельного документа согласия, приказ о приёме на работу без приложения. Вероятный исход: предписание об устранении в срок 30 дней + штраф по ч. 2 ст. 13.11. Стратегия: немедленно разработать отдельный шаблон согласия, организовать подписание всем составом персонала через КЭДО или очно.

Сценарий 3. Новый работник отказывается подписывать согласие. Кандидат отказывается давать согласие на передачу данных в материнскую компанию. HRD спрашивает: можно ли отказать в трудоустройстве? Ответ: нет. Отказ в трудоустройстве по причине непредоставления ПДн, не предусмотренных ТК РФ, нарушает ст. 64 ТК РФ. Стратегия: разделить необходимые и факультативные данные. Передача в материнскую компанию — факультативная цель; при отказе работника данные не передаются, процедуры холдинга для этого сотрудника ограничиваются доступными инструментами без его данных.

Кейс из практики. Производственная компания (Уральский ФО, осень 2025) входила в холдинг с головным офисом в другом регионе. HR-директор обнаружил при подготовке к плановой проверке РКН, что согласия на передачу ПДн в управляющую компанию оформлены как приложение к трудовым договорам, подписанным до 01.09.2025. С юристами DATUM провели аудит кадрового пакета, выявили 312 договоров с несоответствующей формой согласия. В течение трёх недель через КЭДО переподписали отдельные согласия, обновили ОРД, уведомили РКН об изменении сведений об обработке. Проверка РКН прошла без предписаний.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Только те, которые были оформлены с нарушением требований ФЗ-156 — то есть встроены в трудовой договор, политику или иной документ. Согласия, оформленные до 01.09.2025 как самостоятельный документ с надлежащими реквизитами по ст. 9 ФЗ-152, остаются действительными. ФЗ-156 не имеет обратной силы и не обязывает переоформлять правильно составленные ранее документы.

2. Какие данные нельзя запрашивать в анкете у соискателя?

Ст. 86 ТК РФ запрещает запрашивать сведения о политических, религиозных и иных убеждениях, членстве в партиях и профсоюзах, личной жизни. Данные о состоянии здоровья — только в части, необходимой для определения пригодности к конкретной должности. Национальность, вероисповедание, судимость (если должность не требует проверки по закону) — под запретом. Запрашивать их через анкету, даже с согласия соискателя, создаёт риск нарушения ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽).

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение в служебных помещениях допустимо без отдельного согласия, если оно введено в целях безопасности и охраны труда, работники надлежащим образом уведомлены локальным нормативным актом (ст. 87 ТК РФ), а таблички о ведении съёмки размещены в поле зрения. Биометрические системы СКУД с распознаванием лица — иная ситуация: обработка биометрических ПДн по ст. 11 ФЗ-152 требует отдельного письменного согласия. Нарушение — штраф по ч. 16 ст. 13.11 КоАП.

4. Сколько хранить согласия после увольнения работника?

Согласие — кадровый документ, связанный с персональными данными работника. Срок хранения документов по личному составу — 75 лет (ст. 22.1 Федерального закона об архивном деле). Согласие хранится не менее срока обработки, указанного в нём самом, плюс период, необходимый для подтверждения законности обработки при возможном споре. Уничтожение согласия раньше срока хранения личного дела — риск при проверке РКН или судебном разбирательстве.

5. Кто является оператором при использовании КЭДО — работодатель или платформа?

Работодатель — оператор персональных данных работников вне зависимости от того, какая платформа используется для КЭДО. Платформа КЭДО действует как лицо, осуществляющее обработку по поручению оператора (ст. 6 ч. 3 ФЗ-152). Для этого необходим договор поручения обработки с перечнем обрабатываемых ПДн, целями, сроками и требованиями конфиденциальности. Без такого договора платформа КЭДО становится самостоятельным оператором без правовых оснований, что нарушает ч. 1 ст. 13.11 КоАП.

6. Что изменилось в требованиях к согласиям с 01.09.2025?

ФЗ-156 от 24.06.2025 ввёл требование о том, что согласие на обработку персональных данных должно быть оформлено отдельным документом — его нельзя включить в текст трудового договора, оферты, правила внутреннего распорядка или политику конфиденциальности. Содержательные требования к реквизитам согласия по ст. 9 ФЗ-152 не изменились. Несоблюдение нового требования о самостоятельности документа с 01.09.2025 квалифицируется как нарушение ч. 2 ст. 13.11 КоАП — штраф для юридического лица до 700 000 ₽.

Итог

Передача персональных данных работников в материнскую компанию требует отдельного письменного согласия с полным составом реквизитов по ст. 9 ФЗ-152. После 01.09.2025 согласие не может быть частью трудового договора или любого другого документа. При зарубежной материнской компании к согласию добавляется уведомление РКН о трансграничной передаче, а требование локализации по ч. 5 ст. 18 ФЗ-152 не снимается.

Юристы DATUM сопровождают HR-департаменты при пересмотре кадровых согласий, формируют пакет ОРД по 152-ФЗ и представляют интересы операторов при проверках РКН.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка кадровых согласий и ОРД HR-департамента по чек-листу из 38 пунктов
  • Комплект ОРД под ключ — разработка отдельных согласий, политики и кадровых регламентов по новым требованиям
  • DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонентском обслуживании

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

22 января 2028 года