Продукты
Продукты
Menu
02
База знаний
05
Услуги
01
О нас
04
2025
Контакты
phone
e-mail:
Обучение
03
Передача персональных данных контрагенту: когда согласие не нужно и что писать в договоре
13.01.2023
12/06/26
Б-152
Далеко не каждая передача персональных данных контрагенту требует отдельного согласия субъекта. По 152-ФЗ для обработки нужно правовое основание, а согласие — только один из возможных вариантов.
Если контрагент получает данные для исполнения договора, работы сервиса, технической поддержки, SaaS-платформы, CRM или личного кабинета, сначала нужно определить роли сторон и цель передачи. Только после этого можно решать, нужно ли согласие или другое основание.
Главная ошибка бизнеса — автоматически требовать письменные согласия «на всякий случай». Такая формулировка может создать лишние обязанности, усложнить документооборот и ослабить правовую позицию компании.
Содержание
Содержание
Почему в договорах так часто требуют согласие на передачу персональных данных
В договорной работе с персональными данными регулярно повторяется один сценарий. Компания подключает клиента к сервису, платформе, CRM, личному кабинету, программному продукту или иной системе. В эту систему по модели работы попадают данные физических лиц: пользователей, сотрудников, представителей, клиентов, подрядчиков.
На этапе согласования договора появляется условие:
На этапе согласования договора появляется условие:
«Клиент обязан получить письменные согласия субъектов персональных данных на передачу данных Исполнителю / Правообладателю / Провайдеру».
На первый взгляд фраза выглядит безопасно. Есть согласие — значит, контрагент защищен, риск закрыт, документ можно положить в папку compliance.
На практике все сложнее. Иногда такое условие не снижает риск, а создает новый: сторона берет на себя обязанность собирать согласия там, где закон не требует именно согласия. В результате бизнес получает лишний документооборот, слабое договорное основание и зависимость всей модели обработки от документа, который субъект может не дать или отозвать.
152-ФЗ не говорит, что любая обработка и любая передача персональных данных должны происходить только по согласию. Закон говорит другое: у обработки должно быть законное основание. Согласие — одно из таких оснований, но не универсальный вариант для любой передачи данных.
Поэтому в договоре важно не механически требовать согласие, а определить, на каком основании персональные данные передаются именно в этой модели отношений.
На практике все сложнее. Иногда такое условие не снижает риск, а создает новый: сторона берет на себя обязанность собирать согласия там, где закон не требует именно согласия. В результате бизнес получает лишний документооборот, слабое договорное основание и зависимость всей модели обработки от документа, который субъект может не дать или отозвать.
152-ФЗ не говорит, что любая обработка и любая передача персональных данных должны происходить только по согласию. Закон говорит другое: у обработки должно быть законное основание. Согласие — одно из таких оснований, но не универсальный вариант для любой передачи данных.
Поэтому в договоре важно не механически требовать согласие, а определить, на каком основании персональные данные передаются именно в этой модели отношений.
Главная ошибка: подменить правовое основание согласием
Бизнес часто просит согласие не потому, что без него действительно нельзя. Причина проще: согласие кажется понятным и управляемым документом. Его можно запросить, приложить, проверить по чек-листу, показать юристу или службе безопасности.
Но согласие далеко не всегда подходит для реальной модели обработки. Более того, оно почти никогда не бывает удобным для бизнеса.
Если физическое лицо само вступает в отношения с компанией, принимает пользовательское соглашение, заключает договор, использует сервис, получает услугу или передает контент в рамках договорной модели, обработка персональных данных может быть необходима для исполнения договора с этим лицом. В таких ситуациях договорное основание может быть самостоятельным правовым основанием обработки, если фактическая модель это подтверждает (пункт 5 часть 1 статьи 6 Закона № 152-ФЗ).
Здесь чаще всего и ломается договорная логика. Вместо того чтобы описать реальную цепочку обработки данных, стороны пишут: «получить письменное согласие». Принимающая сторона вроде бы защищается, но на практике получает слабую конструкцию:
Для бизнеса это не формальность. Это риск спора с клиентом, срыва проекта, лишних гарантий в договоре и ответственности за процесс, который можно было выстроить точнее.
Если нужно глубже разобраться в правовых основаниях передачи данных, можно посмотреть отдельный материал Б-152: «Передача персональных данных третьим лицам: юридические основания».
Но согласие далеко не всегда подходит для реальной модели обработки. Более того, оно почти никогда не бывает удобным для бизнеса.
Если физическое лицо само вступает в отношения с компанией, принимает пользовательское соглашение, заключает договор, использует сервис, получает услугу или передает контент в рамках договорной модели, обработка персональных данных может быть необходима для исполнения договора с этим лицом. В таких ситуациях договорное основание может быть самостоятельным правовым основанием обработки, если фактическая модель это подтверждает (пункт 5 часть 1 статьи 6 Закона № 152-ФЗ).
Здесь чаще всего и ломается договорная логика. Вместо того чтобы описать реальную цепочку обработки данных, стороны пишут: «получить письменное согласие». Принимающая сторона вроде бы защищается, но на практике получает слабую конструкцию:
- если согласие не собрано, модель передачи оказывается под вопросом;
- если согласие собрано неправильно, риск остается;
- если субъект отзывает согласие, нужно заново искать основание для обработки;
- если согласие требовали там, где оно не нужно, компания создает себе лишнюю операционную нагрузку.
Для бизнеса это не формальность. Это риск спора с клиентом, срыва проекта, лишних гарантий в договоре и ответственности за процесс, который можно было выстроить точнее.
Если нужно глубже разобраться в правовых основаниях передачи данных, можно посмотреть отдельный материал Б-152: «Передача персональных данных третьим лицам: юридические основания».
С чего начинать переговоры с контрагентом
Когда контрагент требует включить в договор обязанность собрать согласия, спорить с формулировкой «в лоб» обычно бесполезно. Лучше начать не с согласия, а с карты обработки данных.
Нужно ответить на несколько вопросов:
Последний вопрос особенно важен. Если одно лицо обрабатывает персональные данные по поручению оператора, 152-ФЗ предусматривает, что такое лицо не обязано получать согласие субъекта на обработку его персональных данных. Ответственность перед субъектом при поручении обработки по общему правилу несет оператор, а лицо, действующее по поручению, отвечает перед оператором.
Это не означает, что согласие никогда не нужно. Но это означает, что договор должен отражать реальную роль сторон.
Если получатель данных — технический провайдер, хостинг, SaaS-сервис, CRM, правообладатель платформы или подрядчик, который получает доступ к данным только для обеспечения работы продукта, правовая модель может отличаться от простой «передачи третьему лицу по согласию».
Нужно ответить на несколько вопросов:
- Кто является оператором персональных данных?
- Кто получает данные?
- В чьих интересах идет обработка?
- Для какой цели данные передаются?
- Есть ли у субъекта договор с передающей стороной?
- Предусмотрена ли передача данных логикой сервиса, продукта или договора?
- Получатель действует как самостоятельный оператор или как лицо, обрабатывающее данные по поручению оператора?
Последний вопрос особенно важен. Если одно лицо обрабатывает персональные данные по поручению оператора, 152-ФЗ предусматривает, что такое лицо не обязано получать согласие субъекта на обработку его персональных данных. Ответственность перед субъектом при поручении обработки по общему правилу несет оператор, а лицо, действующее по поручению, отвечает перед оператором.
Это не означает, что согласие никогда не нужно. Но это означает, что договор должен отражать реальную роль сторон.
Если получатель данных — технический провайдер, хостинг, SaaS-сервис, CRM, правообладатель платформы или подрядчик, который получает доступ к данным только для обеспечения работы продукта, правовая модель может отличаться от простой «передачи третьему лицу по согласию».
Практический вывод: сначала нужно описать фактическую цепочку обработки, а уже потом выбирать правовое основание. Иначе договор будет регулировать не реальный процесс, а удобную, но неверную юридическую схему.
Если в компании много процессов, подрядчиков и систем, полезно начать с самопроверки конкретного процесса обработки. Для этого можно использовать материал Б-152: «Чек-лист самопроверки бизнес-процесса обработки ПДн».
Когда передачу можно обосновывать без отдельного согласия
Отдельное согласие на передачу персональных данных не обязательно, если в конкретной ситуации есть другое применимое основание.
Пример: пользователь регистрируется в сервисе, принимает пользовательское соглашение и загружает в систему данные или контент. Для работы сервиса эти данные технически доступны правообладателю, провайдеру или иному лицу, без которого услуга не может быть оказана.
Если такая передача:
то можно рассматривать договорное основание или иную правовую конструкцию, соответствующую фактической модели.
Ключевое слово здесь — «если». Договорное основание не спасает любую передачу автоматически. Оно работает тогда, когда передача действительно необходима для заключения или исполнения договора с субъектом персональных данных либо встроена в понятную и раскрытую пользователю модель услуги.
Поэтому правильный предмет переговоров с клиентом звучит не так:
Пример: пользователь регистрируется в сервисе, принимает пользовательское соглашение и загружает в систему данные или контент. Для работы сервиса эти данные технически доступны правообладателю, провайдеру или иному лицу, без которого услуга не может быть оказана.
Если такая передача:
- предусмотрена договором с пользователем;
- раскрыта в политике обработки персональных данных;
- соответствует фактической архитектуре сервиса;
- необходима для работы продукта или исполнения договора;
- не выходит за заявленные цели обработки,
то можно рассматривать договорное основание или иную правовую конструкцию, соответствующую фактической модели.
Ключевое слово здесь — «если». Договорное основание не спасает любую передачу автоматически. Оно работает тогда, когда передача действительно необходима для заключения или исполнения договора с субъектом персональных данных либо встроена в понятную и раскрытую пользователю модель услуги.
Поэтому правильный предмет переговоров с клиентом звучит не так:
«Как мы соберем согласия?»
А так:
«Какое правовое основание применимо к этой передаче и какими документами мы это подтверждаем?»
Такой подход лучше защищает обе стороны. Передающая сторона не принимает на себя лишние обязанности. Получающая сторона видит, что данные передаются не «как-нибудь», а в рамках определенной правовой модели.
Почему письменное согласие почти всегда требуют по инерции
Даже если стороны выбирают согласие как основание обработки, это еще не означает, что оно обязательно должно быть письменным.
Общий подход 152-ФЗ такой: согласие может быть дано в любой форме, позволяющей подтвердить факт его получения, если федеральный закон не требует иного. При этом согласие должно быть конкретным, информированным и сознательным.
Письменная форма нужна не всегда. В рамках договорной проверки отдельно смотрят, не попадает ли ситуация в зоны, где закон прямо требует письменное согласие или предъявляет повышенные требования к согласию. В исходной логике статьи к таким случаям относятся только:
Если ситуация не относится к таким случаям, требование именно письменного согласия нужно проверять отдельно. Формула «пусть будет письменное, так надежнее» не всегда работает в пользу бизнеса.
Общий подход 152-ФЗ такой: согласие может быть дано в любой форме, позволяющей подтвердить факт его получения, если федеральный закон не требует иного. При этом согласие должно быть конкретным, информированным и сознательным.
Письменная форма нужна не всегда. В рамках договорной проверки отдельно смотрят, не попадает ли ситуация в зоны, где закон прямо требует письменное согласие или предъявляет повышенные требования к согласию. В исходной логике статьи к таким случаям относятся только:
- обработка специальных категорий персональных данных (п. 1 ч. 2 ст. 10 152-ФЗ);
- обработка биометрических персональных данных (ч. 1 ст. 11 152-ФЗ);
- передача персональных данных работника третьему лицу (ст. 88 ТК РФ);
- принятие юридически значимых решений на основании исключительно автоматизированной обработки персональных данных (ч. 2 ст. 16 152-ФЗ);
- включение персональных данных в общедоступные источники персональных данных (ч. 1 ст. 8 152-ФЗ).
Если ситуация не относится к таким случаям, требование именно письменного согласия нужно проверять отдельно. Формула «пусть будет письменное, так надежнее» не всегда работает в пользу бизнеса.
Почему согласие неудобно для бизнеса
Согласие выглядит простым документом только на старте. В эксплуатации оно быстро превращается в отдельный процесс.
Во-первых, согласия нужно учитывать. Компания должна понимать, кто дал согласие, на какую цель, на какой состав данных, как долго оно действует и каким способом может быть отозвано.
Во-вторых, согласие должно быть добровольным. Нельзя просто принудить субъекта подписать документ ради удобства бизнес-процесса. Если компания фактически не может оказать услугу без обработки данных, нужно смотреть, действительно ли согласие является правильным основанием или логичнее использовать договорную модель.
В-третьих, согласие можно отозвать. После отзыва компания должна понимать, есть ли у нее другое основание продолжать обработку. Если вся конструкция держалась только на согласии, процесс может стать неустойчивым.
Наконец, сбор согласий «на всякий случай» теперь опасен еще и с точки зрения риск-ориентированного надзора. Так, ранее были внесены изменения в Постановление Правительства №1046, которое определяет категорию риска оператора персональных данных и, как следствие, регулярность контрольных мероприятий, применимых к нему. В критериях отнесения объектов контроля к группе тяжести «А» прямо указана обработка персональных данных на основании согласия в случаях, когда федеральным законом не предусмотрена обязанность получения такого согласия.
То есть лишнее согласие перестает быть нейтральной страховкой. В отдельных моделях оно может работать как маркер повышенного риска.
Во-первых, согласия нужно учитывать. Компания должна понимать, кто дал согласие, на какую цель, на какой состав данных, как долго оно действует и каким способом может быть отозвано.
Во-вторых, согласие должно быть добровольным. Нельзя просто принудить субъекта подписать документ ради удобства бизнес-процесса. Если компания фактически не может оказать услугу без обработки данных, нужно смотреть, действительно ли согласие является правильным основанием или логичнее использовать договорную модель.
В-третьих, согласие можно отозвать. После отзыва компания должна понимать, есть ли у нее другое основание продолжать обработку. Если вся конструкция держалась только на согласии, процесс может стать неустойчивым.
Наконец, сбор согласий «на всякий случай» теперь опасен еще и с точки зрения риск-ориентированного надзора. Так, ранее были внесены изменения в Постановление Правительства №1046, которое определяет категорию риска оператора персональных данных и, как следствие, регулярность контрольных мероприятий, применимых к нему. В критериях отнесения объектов контроля к группе тяжести «А» прямо указана обработка персональных данных на основании согласия в случаях, когда федеральным законом не предусмотрена обязанность получения такого согласия.
То есть лишнее согласие перестает быть нейтральной страховкой. В отдельных моделях оно может работать как маркер повышенного риска.
Если у компании много согласий, подрядчиков, процессов и систем, ручной учет быстро становится источником ошибок. В таких случаях Privacy Box помогает систематизировать процессы обработки ПДн: вести реестры, актуализировать данные, учитывать риски и поддерживать документы в рабочем состоянии.
Что писать в договоре вместо жесткого требования о согласии
Проблема не в том, что договор регулирует передачу персональных данных. Регулировать ее нужно обязательно. Проблема в том, что договор часто заранее назначает единственное основание — письменное согласие.
Плохая формулировка
Плохая формулировка
«Лицензиат обязан получить письменные согласия субъектов персональных данных на передачу персональных данных Правообладателю».
Почему это слабая конструкция:
- она заранее предполагает, что единственное возможное основание — письменное согласие;
- она не учитывает договорное основание, поручение обработки, требование закона и другие варианты;
- она создает лишнюю обязанность для передающей стороны;
- она делает передачу уязвимой, если согласие не собрано, собрано неправильно или отозвано.
Более корректный вариант
«Лицензиат гарантирует наличие правового основания для обработки и передачи персональных данных Правообладателю в объеме, необходимом для исполнения настоящего договора, включая, если применимо, согласие субъекта персональных данных, договор с субъектом персональных данных, требование закона или иное основание, предусмотренное законодательством о персональных данных».
Эта формулировка не отменяет согласие, если оно действительно нужно. Но она не загоняет стороны в согласие как единственный вариант.
Короткий вариант
«Сторона, передающая персональные данные, обязуется обеспечить наличие надлежащего правового основания для такой передачи в соответствии с законодательством о персональных данных».
Что проверить перед подписанием договора
Перед подписанием договора стоит проверить не только текст условия о персональных данных, но и фактический процесс.
Минимальный набор документов и элементов для проверки:
Минимальный набор документов и элементов для проверки:
Если в документах написано одно, а система работает иначе, спор о согласии становится вторичным. Главная проблема будет в том, что бумажная модель не соответствует фактической обработке.
Отдельно нужно проверить, не затрагивает ли передача:
В этих зонах требования к основанию, форме согласия и договорной конструкции могут быть строже.
Если в цепочке участвует подрядчик, полезно отдельно проверить не только правовое основание, но и организационные меры: доступы, ограничения, обязанности по конфиденциальности, порядок уведомления об инцидентах и ответственность. Смежный разбор Б-152: «Контрагент под контролем: как не потерять персональные данные из-за подрядчика».
Отдельно нужно проверить, не затрагивает ли передача:
- специальные категории персональных данных;
- биометрические персональные данные;
- данные работников;
- трансграничную передачу;
- общедоступное распространение данных;
- исключительно автоматизированные решения, влияющие на права субъекта.
В этих зонах требования к основанию, форме согласия и договорной конструкции могут быть строже.
Если в цепочке участвует подрядчик, полезно отдельно проверить не только правовое основание, но и организационные меры: доступы, ограничения, обязанности по конфиденциальности, порядок уведомления об инцидентах и ответственность. Смежный разбор Б-152: «Контрагент под контролем: как не потерять персональные данные из-за подрядчика».
Как снизить риск при передаче персональных данных контрагенту
Лучшее решение — не собирать максимум согласий, а выстроить понятную правовую модель.
Для этого нужно:
Если согласие действительно нужно, оно не должно быть на все случаи жизни. Его нужно готовить под реальную цель, реальный состав данных, реальных получателей и понятный срок обработки.
Для этого нужно:
- Определить роли сторон.
- Описать цели обработки.
- Закрепить объем передаваемых данных.
- Указать допустимые операции с персональными данными.
- Проверить документы для субъектов персональных данных.
- Сопоставить договор с фактической архитектурой сервиса.
- Включить в договор не механическое требование о письменном согласии, а обязанность обеспечить применимое правовое основание.
Если согласие действительно нужно, оно не должно быть на все случаи жизни. Его нужно готовить под реальную цель, реальный состав данных, реальных получателей и понятный срок обработки.
Короткая схема для бизнеса
Если контрагент требует согласие, не начинайте с шаблона согласия. Начните с модели обработки.
Ответы на эти вопросы обычно важнее, чем наличие еще одной формы согласия.
- Кто передает данные?
- Кто получает данные?
- Для какой цели?
- На каком основании исходно обрабатываются данные?
- Есть ли договор с субъектом?
- Получатель действует самостоятельно или по поручению?
- Передача действительно необходима для услуги или договора?
- Есть ли специальные зоны риска: работники, биометрия, спецкатегории, трансграничная передача, общедоступность?
- Что написано в политике, пользовательском соглашении и договоре?
- Совпадает ли документальная модель с фактической работой системы?
Ответы на эти вопросы обычно важнее, чем наличие еще одной формы согласия.
FAQ
1) Нужно ли всегда получать согласие на передачу персональных данных контрагенту?
Нет. Для обработки и передачи персональных данных нужно законное основание. Согласие — одно из возможных оснований, но не единственное.
Нет. Для обработки и передачи персональных данных нужно законное основание. Согласие — одно из возможных оснований, но не единственное.
2) Когда передача может быть возможна без отдельного согласия?
Когда в конкретной модели есть другое применимое основание: например, договор с субъектом, требование закона, поручение обработки или иная конструкция, предусмотренная законодательством о персональных данных.
Когда в конкретной модели есть другое применимое основание: например, договор с субъектом, требование закона, поручение обработки или иная конструкция, предусмотренная законодательством о персональных данных.
3) Почему нельзя просто собрать согласие «на всякий случай»?
Такой подход создает лишний документооборот, зависимость обработки от отзыва согласия и может ухудшить правовую позицию компании. В отдельных случаях избыточное согласие также может стать маркером повышенного риска для Роскомнадзора.
Такой подход создает лишний документооборот, зависимость обработки от отзыва согласия и может ухудшить правовую позицию компании. В отдельных случаях избыточное согласие также может стать маркером повышенного риска для Роскомнадзора.
4) Если контрагент действует по поручению оператора, должен ли он сам получать согласие?
Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта на обработку его персональных данных. При этом оператор должен корректно оформить правовую модель и поручение.
Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта на обработку его персональных данных. При этом оператор должен корректно оформить правовую модель и поручение.
5) Всегда ли согласие должно быть письменным?
Нет. Согласие может быть дано в форме, позволяющей подтвердить факт его получения, если федеральный закон не требует письменной формы.
Нет. Согласие может быть дано в форме, позволяющей подтвердить факт его получения, если федеральный закон не требует письменной формы.
6) Что лучше написать в договоре вместо требования о письменном согласии?
Лучше закрепить обязанность передающей стороны обеспечить наличие надлежащего правового основания для передачи персональных данных. В формулировке можно указать, что согласие применяется только если оно действительно необходимо.
Лучше закрепить обязанность передающей стороны обеспечить наличие надлежащего правового основания для передачи персональных данных. В формулировке можно указать, что согласие применяется только если оно действительно необходимо.
7) Что нужно проверить до подписания договора?
Нужно сопоставить договор, политику обработки персональных данных, пользовательское соглашение, техническую схему передачи данных, роли сторон, перечень данных, цели обработки и договор с получателем.
Нужно сопоставить договор, политику обработки персональных данных, пользовательское соглашение, техническую схему передачи данных, роли сторон, перечень данных, цели обработки и договор с получателем.
Итог
Передача персональных данных контрагенту не должна оформляться по принципу «соберем согласие, чтобы было спокойнее». Такой подход может выглядеть безопасным, но на практике часто создает лишние обязанности и делает модель обработки менее устойчивой.
Правильная логика другая: сначала определить роли сторон, цель передачи, состав данных и фактическую архитектуру процесса, затем выбрать применимое правовое основание и закрепить его в документах. В договоре важно требовать не согласие любой ценой, а наличие законного основания для передачи данных.
Так компания снижает риск спора с контрагентом, убирает лишнюю операционную нагрузку и делает обработку персональных данных понятной не только на бумаге, но и в реальном процессе.
Правильная логика другая: сначала определить роли сторон, цель передачи, состав данных и фактическую архитектуру процесса, затем выбрать применимое правовое основание и закрепить его в документах. В договоре важно требовать не согласие любой ценой, а наличие законного основания для передачи данных.
Так компания снижает риск спора с контрагентом, убирает лишнюю операционную нагрузку и делает обработку персональных данных понятной не только на бумаге, но и в реальном процессе.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Для регулярного отслеживания изменений в privacy-практике, разборов ошибок и новых требований можно подписаться на Telegram-канал Б-152.
Материалы по теме