инструкция 19 января 2028 По состоянию на 19 января 2028

Зарплатный проект: передача ПДн в банк

Передача ФИО, паспортных данных и реквизитов работников в банк по зарплатному проекту — это обработка персональных данных с участием третьего лица, которая требует отдельного согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025.

С 30.05.2025 штраф за передачу ПДн без надлежащего согласия достигает 700 000 ₽ (ч. 2 ст. 13.11 КоАП); при повторении — до 1 500 000 ₽. Если в компании более 100 сотрудников и банк-партнёр обрабатывает данные в иностранной инфраструктуре, подключается норма о локализации по ч. 5 ст. 18 ФЗ-152.

→ Если вы HRD и подключаете зарплатный проект или переводите его на новый банк — проверьте каждый шаг ниже до того, как передать первый файл.

Зарплатный проект — стандартная практика HR-департамента. Ошибка в оформлении согласий или в договоре с банком превращает её в источник административной ответственности. После 01.09.2025 согласие на обработку ПДн не может быть частью трудового договора, дополнительного соглашения или кадрового приказа — только отдельный документ (ФЗ-156 от 24.06.2025). В этой инструкции — шесть шагов, которые закрывают основные риски для HR-директора.

Шаг 1. Определите, какие данные и на каком основании передаёте в банк

Банку для зарплатного проекта, как правило, нужны: ФИО работника, дата рождения, паспортные данные (серия, номер, дата выдачи, орган), СНИЛС, ИНН и номер карточного счёта (или согласие на его открытие). Это общие персональные данные по ст. 3 ФЗ-152, но их передача третьему лицу — банку — выходит за рамки ст. 87 ТК РФ, которая разрешает передачу ПДн работника только в пределах одной организации.

Правовое основание для передачи банку — п. 1 ч. 1 ст. 6 ФЗ-152: согласие субъекта. Ссылка на исполнение трудового договора (п. 5 ч. 1 ст. 6) здесь не работает: выплата зарплаты через конкретный банк — это выбор работодателя, а не существенное условие договора. Исключение — если работник сам выбрал этот банк в порядке ст. 136 ТК РФ; тогда согласие по ФЗ-152 не требуется, поскольку инициатива исходит от субъекта.

«Ст. 86–88 ТК РФ устанавливают требования к обработке ПДн работников внутри организации. Передача ПДн третьим лицам, в том числе банкам, регулируется дополнительно ст. 6 и ст. 9 ФЗ-152.»

Не запрашивайте у работника данные, не нужные для открытия счёта. Перечень дополнительных документов (медицинская документация, сведения о составе семьи, национальности) недопустим — это нарушение принципа минимизации по ст. 5 ФЗ-152 и прямой запрет ст. 86 ТК РФ.

Шаг 2. Оформите согласие работника как отдельный документ

С 01.09.2025 согласие на обработку ПДн не может быть включено в текст трудового договора, анкеты при приёме или любого иного документа. ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: согласие оформляется исключительно отдельным документом. Работодатель, у которого согласие по-прежнему встроено в трудовой договор, нарушает состав ч. 2 ст. 13.11 КоАП — штраф 300 000–700 000 ₽.

Обязательные реквизиты согласия на передачу ПДн в банк по зарплатному проекту:

ФИО работника, паспортные данные или иной идентификатор;
наименование работодателя-оператора, ИНН, адрес;
наименование банка как получателя ПДн, его ИНН, адрес;
цель передачи: «открытие и обслуживание банковского счёта для зачисления заработной платы»;
перечень передаваемых данных (ФИО, дата рождения, паспортные данные, СНИЛС, ИНН);
перечень действий, которые банк вправе совершать с ПДн;
срок действия согласия или условия его прекращения;
способ отзыва согласия работником.

Согласия, оформленные до 01.09.2025, считаются действительными — ФЗ-156 не имеет обратной силы. При замене банка или расширении перечня передаваемых данных потребуется новое согласие.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025: согласие субъекта оформляется отдельным документом, не объединяется с иными договорами или соглашениями. Действует с 01.09.2025.»

Согласия работников ещё в трудовых договорах?

Если в компании зарплатный проект оформлен до 01.09.2025 и согласия встроены в трудовой договор — каждый документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Срок для переоформления не установлен законом, но риск растёт с каждой проверкой.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Заключите договор с банком о поручении обработки

Передача ПДн в банк для зачисления зарплаты квалифицируется как поручение обработки третьему лицу по п. 3 ч. 1 ст. 6 ФЗ-152. Это означает: в договоре с банком (или в отдельном соглашении о конфиденциальности) должен быть прямо указан перечень действий с ПДн, цели обработки и обязанность банка соблюдать конфиденциальность.

Без такого договора работодатель несёт полную ответственность за действия банка с персональными данными работников — включая случаи, когда банк допустил утечку. Позиция судов в подобных спорах: оператор отвечает за действия обработчика, действующего по его поручению.

Проверьте в договоре с банком следующие пункты:

исчерпывающий перечень ПДн, которые получает банк;
ограничение целей — только выплата зарплаты, без маркетинговой обработки;
обязанность банка уведомить работодателя об инциденте с ПДн в течение 24 часов;
порядок уничтожения ПДн при расторжении зарплатного проекта;
запрет передачи ПДн субподрядчикам банка без письменного согласия работодателя.

Большинство крупных банков имеют стандартный договор для зарплатных проектов. Проверьте его на соответствие ФЗ-152 до подписания — стандартные формы банков нередко содержат разрешение на обработку ПДн в маркетинговых целях, что выходит за рамки согласия работника.

Шаг 4. Проверьте вопросы локализации при использовании иностранного банка

Если зарплатный проект ведётся с иностранным банком или его дочерней структурой, чьи серверы находятся за рубежом, возникает норма ч. 5 ст. 18 ФЗ-152: первичная запись, систематизация и хранение ПДн граждан РФ должны осуществляться в базах данных на территории России. С 01.07.2025 требования локализации ужесточены: первичный сбор ПДн, в том числе через веб-формы и API, также должен происходить в российской инфраструктуре.

Штраф за нарушение локализации — 1 000 000–6 000 000 ₽ по ч. 8 ст. 13.11 КоАП, при повторном нарушении — 6 000 000–18 000 000 ₽.

«Ч. 5 ст. 18 ФЗ-152: запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществляются с использованием баз данных, находящихся в России.»

На практике большинство крупных российских банков соответствуют этому требованию. Если зарплатный проект ведётся через международный банк — запросите у него письменное подтверждение локализации данных.

Шаг 5. Урегулируйте ситуацию при использовании КЭДО

Если кадровый электронный документооборот (КЭДО) используется для подписания согласий работников на зарплатный проект, оператором ПДн в системе КЭДО является работодатель. Оператор платформы КЭДО действует как обработчик по поручению — ему также нужен отдельный договор поручения с перечнем действий и целей.

Согласие на передачу ПДн в банк, подписанное через КЭДО простой электронной подписью, признаётся равнозначным письменному, если это предусмотрено соглашением сторон по ст. 22.2 ТК РФ. Усиленная квалифицированная подпись (УКЭП) требуется только для документов, прямо перечисленных в ч. 3 ст. 22.3 ТК РФ; согласие на обработку ПДн в этот перечень не входит.

При переходе на новую платформу КЭДО или смену оператора — проверьте, куда физически реплицируются данные из системы: если сервер платформы находится за рубежом, применяется ч. 5 ст. 18 ФЗ-152.

Что подготовить HR-директору перед подключением зарплатного проекта

Отдельное согласие по ст. 9 ФЗ-152 (ред. с 01.09.2025) с исчерпывающим перечнем ПДн и реквизитами банка-получателя.
Договор с банком о поручении обработки ПДн (п. 3 ч. 1 ст. 6 ФЗ-152) с запретом маркетинговой обработки и обязанностью уведомить об инциденте.
Актуальное уведомление в реестре РКН (ст. 22 ФЗ-152) с указанием банка как получателя ПДн.
Письменное подтверждение от банка о локализации данных в России (если есть сомнения в инфраструктуре).
Приказ о назначении ответственного за обработку ПДн в HR-подразделении (ст. 22.1 ФЗ-152).

Шаг 6. Закройте риски при смене банка или увольнении работников

При смене банка-партнёра работодатель должен: уведомить работников о смене получателя ПДн, получить новые согласия с реквизитами нового банка, направить в старый банк требование об уничтожении переданных ПДн в разумный срок. Сохранение ПДн работников в системах старого банка без правового основания — нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица).

При увольнении работника его согласие на обработку ПДн в рамках зарплатного проекта автоматически утрачивает силу после прекращения трудовых отношений. Работодатель обязан направить в банк уведомление о прекращении правового основания для обработки ПДн. Документы кадрового учёта (личное дело, согласия) хранятся работодателем 75 лет по типовым срокам Росархива.

Типовые ситуации: как это работает на практике

Ситуация 1. Замена банка без переоформления согласий. Производственная компания (Уральский ФО, начало 2026) перевела зарплатный проект из одного банка в другой. Согласия работников на обработку ПДн содержали реквизиты прежнего банка. Новый банк получил файлы с данными 340 сотрудников без надлежащего правового основания. По итогам внеплановой проверки РКН составлен протокол по ч. 2 ст. 13.11 КоАП. Штраф составил сотни тысяч рублей. Компания дополнительно уведомила РКН об изменении сведений в реестре операторов и переоформила согласия. Ситуацию можно было закрыть заранее — при наличии шаблонного согласия с формулировкой «банк, выбранный работодателем для выплаты заработной платы» вместо конкретного наименования.

Ситуация 2. КЭДО и вопрос оператора. Региональная торговая сеть (Сибирский ФО, осень 2025) использовала платформу КЭДО стороннего провайдера для подписания кадровых документов, включая согласия на передачу ПДн в банк. При проверке РКН выяснил, что договор с провайдером КЭДО не содержит условий о поручении обработки ПДн по п. 3 ч. 1 ст. 6 ФЗ-152. Работодатель как оператор нёс ответственность за действия провайдера. Предписание об устранении нарушений выдано в течение двух недель. Затраты на приведение договора в соответствие оказались минимальными по сравнению с возможным штрафом по ч. 1 ст. 13.11 (до 300 000 ₽).

Если HR-директор переводит зарплатный проект на новый банк или переходит на КЭДО — проверьте согласия и договоры до передачи первого файла. Юристы DATUM проведут аудит кадровых ПДн и соберут пакет документов по ФЗ-152 под ключ.

Собрать ОРД под ключ

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, оформленные до 01.09.2025, действительны — ФЗ-156 не применяется к ранее заключённым документам. Переоформление требуется в двух случаях: работник уже отозвал согласие или компания расширяет перечень передаваемых данных либо меняет банк-получатель. Новые согласия с 01.09.2025 — только отдельный документ, без включения в трудовой договор или иной кадровый акт (ст. 9 ФЗ-152 в ред. ФЗ-156).

2. Какие данные нельзя спрашивать у работника в анкете?

Ст. 86 ТК РФ и ст. 10 ФЗ-152 запрещают без специального основания запрашивать: сведения о состоянии здоровья, национальности, вероисповедании, судимости, политических взглядах, сведения о членах семьи сверх необходимого для льгот и гарантий. Для зарплатного проекта достаточно паспортных данных, СНИЛС и ИНН. Любые данные сверх этого перечня требуют отдельного обоснования цели и отдельного согласия.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих помещениях допустимо при соблюдении трёх условий по ст. 86–88 ТК РФ и ст. 9 ФЗ-152: работники уведомлены под подпись о факте и целях наблюдения; цели обоснованы (охрана, контроль рабочего процесса); в помещениях отдыха, медицинских кабинетах и туалетах наблюдение запрещено. Запись с камер, содержащая изображение лица, по позиции Роскомнадзора является биометрическими ПДн при их использовании для идентификации личности — в этом случае применяется ст. 11 ФЗ-152 и требуется письменное согласие.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн работника относится к документам кадрового учёта. По Перечню Росархива типовой срок хранения — 75 лет для большинства кадровых документов, в том числе личного дела. Само по себе согласие не уничтожается при увольнении: оно остаётся частью личного дела и подтверждает правомерность обработки в период трудовых отношений. Уничтожение ПДн работника после увольнения допустимо, но с соблюдением сроков хранения документов по ст. 17 ФЗ-152 и Перечня Росархива.

5. Кто является оператором при использовании КЭДО?

Оператором ПДн при использовании КЭДО остаётся работодатель — он определяет цели и состав обработки. Провайдер платформы КЭДО действует как лицо, осуществляющее обработку по поручению оператора (п. 3 ч. 1 ст. 6 ФЗ-152). С ним необходимо заключить договор поручения с исчерпывающим перечнем действий с ПДн. Ответственность за нарушения, допущенные провайдером, несёт оператор-работодатель, если иное не предусмотрено договором и не доказана вина провайдера как самостоятельного нарушителя.

6. Что делать, если работник отказывается подписывать согласие на зарплатный проект?

Работник вправе отказаться от зарплатного проекта и потребовать выплаты зарплаты иным способом — наличными или на карту другого банка по ст. 136 ТК РФ. Принудить работника к подписанию согласия нельзя: ч. 4 ст. 9 ФЗ-152 прямо запрещает обусловливать трудоустройство или исполнение договора получением согласия на обработку ПДн, не связанную с целями договора. Если работник выбирает банк самостоятельно, согласие по ФЗ-152 не требуется — он сам инициирует передачу своих данных.

Итог

Зарплатный проект требует от HR-директора трёх ключевых документов: отдельного согласия работника с реквизитами банка-получателя, договора поручения с банком и актуального уведомления в реестре РКН. После 01.09.2025 согласие не может быть частью трудового договора — это ч. 2 ст. 13.11 КоАП при проверке. При смене банка процедура повторяется полностью.

Юристы DATUM сопровождают зарплатные проекты в части ФЗ-152: проверяют формы согласий, договоры с банками, соответствие КЭДО требованиям ст. 22.2 ТК РФ и ст. 6 ФЗ-152, готовят пакет ОРД для HR-подразделения.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка кадровых ПДн, форм согласий, договоров с банком
Комплект ОРД под ключ — политика, согласия, приказы, регламенты для HR-отдела
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

19 января 2028 года