menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Нужно ли оформлять отдельное согласие на передачу персональных данных?

лонгриды
13.01.2023
05/09/25
Б-152
Лонгриды
События /
Нужно ли оформлять отдельное согласие на передачу персональных данных?
Передача персональных данных — это не техническая операция, а правовое действие. Каждая выгрузка из CRM, каждое письмо с вложением, каждый доступ сторонней компании к данным клиента или сотрудника — это момент, в котором компания либо соблюдает закон, либо нарушает его.
Сегодня многие организации выстроили систему согласий и учли требования 152-ФЗ в своих документах и интерфейсах. Однако, именно в вопросе передачи персональных данных третьим лицам по-прежнему возникает множество правовых пробелов. Нужно ли оформлять отдельное согласие? Достаточно ли общей формулировки в договоре? Кого считать третьей стороной?
Чтобы не допустить ошибки, важно четко понимать — не вся передача данных одинакова. Перед тем, как дать доступ к персональным данным за пределами организации, необходимо задать себе три ключевых вопроса: кто является субъектом данных — сотрудник или внешний пользователь? Кто получает эти данные — оператор или обработчик? И есть ли в этом процессе конкретная цель, оправдывающая передачу?
Когда субъектом данных выступает не сотрудник
Что считается корректным оформлением?
Содержание
Когда передача становится нарушением?
Когда субъект — сотрудник: действуют жесткие требования
Автоматизация — не освобождение от правовой ответственности
Что необходимо сделать, чтобы исключить нарушения
Почему это важно?
Что делать, если вы не уверены в надежности своих процессов?
Когда субъектом данных выступает не сотрудник
Что считается корректным оформлением?
Содержание
Когда передача становится нарушением?
Когда субъект — сотрудник: действуют жесткие требования
Автоматизация — не освобождение от правовой ответственности
Что необходимо сделать, чтобы исключить нарушения
Почему это важно?
Что делать, если вы не уверены в надежности своих процессов?

Когда субъектом данных выступает не сотрудник

В отличие от трудовых отношений, где передача персональных данных требует обязательного письменного согласия, в случае обработки данных клиентов, пользователей сайта, контрагентов или потенциальных лидов законодательство допускает более гибкий подход. Однако это не означает полную свободу действий.
Да, отдельное письменное согласие в таких случаях действительно не требуется, если оператор соблюдает три ключевых условия:
1. Согласие уже получено и оформлено корректно. Это означает, что пользователь или клиент:
  • был уведомлен о факте обработки его персональных данных;
  • согласился с конкретными условиями этой обработки;
  • осознанно подтвердил свое волеизъявление
2. В согласии или в другом доступном документе указано право оператора передавать данные третьим лицам. Это может быть:
  • прямо в тексте согласия;
  • в политике обработки персональных данных;
  • в пользовательском соглашении или оферте, с которой пользователь ознакомился и согласился;
3. Указана конкретная цель передачи и категория получателей. Нельзя ограничиться общей формулировкой вроде «для улучшения сервиса». Закон требует:
  • четкого указания цели (например, «для доставки заказа», «для осуществления технической поддержки»);
  • указания полного наименования третьих лиц или категорию таких лиц (например, «логистические подрядчики», «компании-группы» или «партнёры, осуществляющие маркетинговые коммуникации от лица оператора») в зависимости от модели взаимоотношений между оператором  и третьим лицом: оператор-оператор; оператор — обработчик.

Что считается корректным оформлением?

Передача данных допустима, если соблюдены следующие условия:
  • Факт согласия можно доказать
То есть есть лог цифрового действия, скрин формы, зафиксированный ответ или отметка в системе, подтверждающая, что пользователь согласился именно с теми условиями, которые опубликованы на момент сбора данных.
  • Условия были доступны субъекту до момента передачи данных
Недопустимо ссылаться на документы, которые не были представлены пользователю до того, как он ввел номер телефона, email или иные данные. Важно, чтобы ссылка на политику или согласие была размещена на форме, в интерфейсе приложения или в тексте договора.
  • Оператор не вышел за рамки согласованных условий
Если согласие охватывает только обработку для предоставления услуги, но оператор передает данные подрядчику для проведения маркетинговой кампании — это уже нарушение.

Когда передача становится нарушением?

Даже если клиент сам оставил контакт в форме или резюме, это еще не означает согласие на передачу данных третьим лицам. Нарушение возникает, если:
  • в согласии нет прямого указания на возможность передачи третьим лицам;
  • не указаны категории или наименования получателей;
  • цель передачи не конкретизирована;
  • оператор не может документально подтвердить факт согласия.
В такой ситуации даже однократная передача данных (например, когда номер клиента отправляется подрядчику или контакт передается для рекламной рассылки через сторонний сервис) будет расцениваться как нарушение режима конфиденциальности, предусмотренного статьей 7 закона № 152-ФЗ.
Причем, это будет считаться неправомерной обработкой независимо от:
  • добросовестности оператора;
  • деловой цели;
  • автоматизации процесса;
  • или наличия договора с третьей стороной.

Когда субъект — сотрудник: действуют жесткие требования

Работа с персональными данными работников регулируется не только законом № 152-ФЗ, но и положениями Трудового кодекса. А именно статьей 88 ТК РФ, которая устанавливает: передача персональных данных работника третьим лицам допускается на основании письменного согласия.
Здесь не имеет значения, просил ли сам сотрудник «напечатать ему визитки» или передача осуществляется в рамках внутренних процессов. Формулировка в трудовом договоре также не освобождает работодателя от необходимости оформить отдельный письменный документ.
Такое согласие должно соответствовать требованиям части 4 статьи 9 закона № 152-ФЗ. В документе необходимо указать фамилию, имя, отчество субъекта, его адрес и паспортные данные. Также нужно указать наименование и адрес оператора:  работодателя, сформулировать цель обработки, обозначить перечень передаваемых персональных данных, указать имя или категорию лица, которому передаются данные, а также действия, которые допускается совершать с этими данными. Кроме того, согласие должно содержать срок его действия и условия отзыва, а также подпись субъекта персональных данных.
Если данные передаются обработчику (например, аутсорсинговой бухгалтерии, IT-подрядчику или сервису для массовой рассылки), в согласии обязательно указываются наименование и адрес конкретного получателя.
Если же данные передаются иному оператору (например, банку или страховой компании), то допустимо использовать обобщенную формулировку, указав категорию получателей. Стоит учитывать каждое новое направление передачи требует отдельного согласия, связанного с конкретной целью.

Автоматизация — не освобождение от правовой ответственности

Современные компании активно используют автоматические инструменты для сбора и обработки персональных данных: онлайн-формы на сайте, интеграции с CRM-системами, подключение сервисов рассылок, аналитики, чат-ботов, платежных шлюзов и колл-центров. Все это — элементы цифровой инфраструктуры, которые делают бизнес быстрее и эффективнее.
Однако в правовом поле автоматизация не дает поблажек. Любая операция с персональными данными, будь то сбор, передача, хранение или использование, остаётся обработкой в понимании закона № 152-ФЗ. И, следовательно, требует соблюдения всех юридических процедур, как если бы эти действия выполнялись вручную.
Если данные собираются с намерением передать их третьим лицам, субъект должен знать об этом заранее.
И не после того, как данные уже отправлены в call-центр или загружены в рассылочную платформу, а еще до момента ввода данных пользователем. Иначе оператор нарушает не только принцип законности, но и права субъекта.
Что нужно предусмотреть на этапе сбора данных:
1. Четкое указание в согласии на возможную передачу данных третьим лицам. Формулировки типа «для связи по заявке» или «для оказания услуги» недостаточны. Согласие должно включать:
  • цель обработки;
  • факт возможной передачи;
  • перечень получателей (либо конкретных, либо в форме категорий).
2. Пример корректных формулировок:
  • «в цели автоматизации направления email-рассылок обработка персональных данных может быть поручена „наименование лица“».
Почему автоматизация часто приводит к нарушениям?
На практике многие бизнес-процессы строятся по следующей логике:
Риски для оператора:
  • Формальное нарушение закона о ПДн. Даже если все автоматизировано и оператор не трогал данные руками.
  • Претензии субъектов. Особенно в случаях, когда контакты начинают использоваться для маркетинга или обзвона.
  • Проверки Роскомнадзора. Служба регулярно отслеживает платформы с массовым сбором данных (особенно в B2C) и активно реагирует на жалобы.
  • Пользователь заполняет форму.
  • Данные автоматически попадают в CRM.
  • Затем экспортируются в сервис email-рассылки или call-центр.
  • Клиенту звонят или отправляют сообщение.
Если при этом:
  • в согласии не указано, что данные будут переданы третьей стороне;
  • нет договора поручения между оператором и сервисом;
  • не установлены цели и объем обработки, то такая передача будет признана неправомерной, даже если формально данные «никуда не уходили».
Сам доступ третьей стороны к данным, будь то подрядчик, SaaS-сервис или технический оператор, уже рассматривается как обработка третьим лицом. А значит, он должен быть законно оформлен:
  • через договор поручения (ст. 6, ч. 3 закона № 152-ФЗ);
  • и/или через согласие субъекта с раскрытием всех условий передачи (п. 1 ч. 1 ст. 6, ст. 9 закона № 152-ФЗ).
3. Фиксация факта согласия. Это может быть:
  • лог клика по чекбоксу с формулировкой и ссылкой на политику;
  • сохраненная запись из CRM о получении согласия на конкретных условиях.

Что необходимо сделать, чтобы исключить нарушения

Чтобы законно и безопасно передавать персональные данные третьим лицам (особенно в условиях автоматизации и вовлечения подрядчиков), недостаточно формального согласия или устной договоренности. Необходимо выстроить устойчивую систему обработки ПДн, в которой каждая передача будет юридически обоснована, зафиксирована и управляемая.
1. Перепроверьте шаблоны согласий. Первый и наиболее важный шаг — анализ действующих форм согласий. Нужно убедиться, что каждый шаблон:
  • содержит конкретную цель обработки и передачи данных, а не общую формулировку вроде «для оказания услуг»;
  • определяет круг возможных получателей:
– либо поименно (например, ООО «Альфа», И П Иванов И.И.), что актуально для обработчиков по поручению оператора;
– либо через однозначно идентифицируемую категорию («банковские организации», «страховые компании», «типография» и т. д.), что актуально для самостоятельных операторов
– предоставляется субъекту до начала обработки, с возможностью подтвердить волеизъявление.
Без этого даже качественно оформленная форма на сайте или в договоре не дает оператору законного основания для передачи данных.
2. Проведите ревизию архитектуры обработки данных
  • Какие данные передаются? Телефон, email, ФИО, адрес, IP — все это персональные данные.
  • Кому передаются? Сторонним подрядчикам, IT-платформам, логистике, головной компании, банкам?
  • На каком основании?
— Есть ли согласие с упоминанием передачи?
— Заключен ли договор поручения?
— Описаны ли эти действия в политике или пользовательском соглашении?
Важно понимать, что сам факт технической интеграции не легализует обработку. Если, к примеру, сервис рассылок получает данные напрямую из CRM без договора и без указания в согласии, то это уже нарушение.
3. Обеспечьте формальное оформление передачи. Даже если согласие есть, этого недостаточно, если третье лицо является обработчиком. Закон требует:
  • договор поручения, оформленный в соответствии с ч. 3 ст. 6 закона № 152-ФЗ;
  • указание:
– целей и объема обработки;
– перечня допустимых действий с данными;
– обязательств по обеспечению конфиденциальности;
– мер по защите данных и условий уничтожения.
Если подрядчик не подписал такой договор, но получает доступ к ПДн, ответственность за это ложится на оператора, включая все риски: от предписания до штрафа за утечку.

Почему это важно?

  • жалобе от субъекта (особенно в B2C-секторе, где клиенты чувствительны к обзвонам и рассылкам);
  • проверке по обращению или в рамках профилактического визита;
  • претензии от партнеров или штрафам от регулятора.
Даже неумышленная передача без правового основания может привести к:
Сегодня регулятор уделяет особое внимание не только факту согласия, но и юридическому оформлению всех действий, связанных с передачей данных.

Что делать, если вы не уверены в надежности своих процессов?

  • Проведите аудит согласий, форм и договоров.
  • Убедитесь, что архитектура обработки ПДн документирована и соответствует требованиям закона.
  • Приведите в порядок взаимодействие с подрядчиками: как юридически (договоры поручения), так и организационно (инструктажи, регламенты).
  • Проверьте, есть ли в ваших документах упоминание всех используемых платформ и категорий получателей данных.
Если вы хотите выстроить надежную систему обработки и передачи персональных данных, специалисты Б-152 помогут:
  • проверить корректность формулировок;
  • адаптировать согласия и политики под реальные процессы;
  • оформить договоры поручения;
  • устранить риски до того, как они станут предметом проверки.
Согласие — это не формальность. Это юридический инструмент, который либо защищает вашу компанию, либо создает уязвимость.
Своевременно выстроенная архитектура ПДн — это не только требование закона, но и защита вашей репутации и бизнеса.
ОСТАВИТЬ ЗАЯВКУ
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме