18 ноября 2025 г.

Ольга Новикова

Практически все компании обрабатывают и передают кому-либо ПДн (персональные данные) своих клиентов и сотрудников — например, оформляют корпоративный полис ДМС или направляют партнёрам заявки с контактами клиентов, не говоря уже об отчётности в государственные структуры.

Вроде бы налаженный и совершенно прозрачный процесс. Но с 2025 года в некоторых случаях за передачу ПДн без согласия субъекта может прилететь крупный штраф. Когда и почему нужно подписывать дополнительные документы, объясняет Ольга Новикова, консультант по защите персональных данных компании Б-152.

3 вопроса, которые помогут определить правовой режим передачи ПДн

Важно понимать не только сам факт передачи, но и её контекст, от которого зависят ваши юридические обязанности, уровень защиты данных и мера ответственности. Чтобы не ошибиться, задайте себе 3 вопроса:

  1. Чьи это данные? Передача справки о заработной плате — это данные сотрудника. А отправка базы email-адресов для рассылки — это данные клиентов или пользователей, то есть внешних лиц. Формы согласия и правовые основания в двух этих случаях разные.
  2. Кто получатель? Если вы передаете данные в банк для оформления зарплатных карт, банк становится оператором и сам решает, как их обрабатывать в своих целях. Но если вы направляете данные в call-центр для опроса клиентов, то call-центр — это обработчик, поэтому действует строго по вашему договору и поручению.
  3. С какой целью? «Повышение качества обслуживания» — размытая цель. Формулировка должна быть точная, подробная и основанная на договоре с потребителями. Например, так: «передача данных в транспортную компанию для доставки заказанного клиентом товара».

Правила передачи данных внешних субъектов (клиентов, пользователей)

Передавать ПДн клиентов и пользователей можно без отдельного письменного согласия, но только в том случае, если субъект уже дал согласие другим способом — например, поставил галочку в форме на сайте или в пользовательском соглашении. Причём в документе должны быть чётко указаны цели передачи, конкретные получатели или их категории («транспортные компании», «партнёрские банки» и т. д.)

Сохраняйте подтверждения того, что человек согласился именно с теми условиями, которые были представлены на момент сбора данных. В случае с «галочками в формах» это могут быть логи. Политику обработки ПДн нужно разместить в свободном доступе, чтобы каждый мог с ними ознакомиться до и после предоставления своих данных.

Если же вы решили использовать данные с другой целью, не совпадающей с указанной в документах, или меняете получателей, то подписывайте дополнительное согласие, которое защитит ваш бизнес от проблем.

Условия передачи данных персонала

Ст. 88 Трудового кодекса РФ и Законом № 152-ФЗ гласит, что передавать ПДн сотрудников третьим лицам разрешено исключительно на основании их письменного согласия. На каждую новую цель передачи данных нужно получать отдельное согласие. Нельзя выдать одно разрешение сразу «на всё».

Ч. 4 ст. 9 Закона № 152-ФЗ регламентирует его содержание:

  • ФИО, адрес, паспортные данные и подпись сотрудника.
  • Название и адрес вашей компании.
  • Какую именно информацию передаёте и зачем.
  • Кому передаёте.
  • Что именно можно делать с данными.
  • На какой период даётся согласие и как его отозвать досрочно.

Риски неправомерной передачи персональных данных

Любой доступ третьего лица к ПДн, даже технический, считается обработкой. Соответственно, если вы пользуетесь CRM, сервисами рассылок или платёжными шлюзами, правовое оформление тоже необходимо.

Если компания не соблюдает требования законодательства, субъекты ПДн имеют право обратиться с жалобой в Роскомнадзор, который в итоге инициирует проверку. Если нарушение подтвердится, компанию и должностных лиц могут привлечь к административной ответственности по ст. 13.11 КоАП РФ.

План действий по минимизации рисков: что компании могут сделать прямо сейчас

  • Проверьте свой сайт. Есть ли на нём политика обработки ПДн и доступна ли она пользователям? Отображена действительно полная и достоверная информация? Если нет — перепишите и опубликуйте документ по всем правилам. Это несложно и занимает немного времени.
  • Убедитесь, что все ваши клиенты дали согласия на обработку ПДн в случаях, где это согласие выступает правовым основанием обработки ПДн. Если кого-то пропустили, получите согласие . Объясните, почему иначе не сможете оказывать услуги.
  • Если пользователи дают согласие на сайте, привлекайте для аудита ИТ-специалистов, чтобы они подготовили для вас доказательства.
  • Проведите аудит шаблонов согласий. Убедитесь, что в них конкретно указаны цели передачи и круг получателей и вы можете доказать, что субъекты ознакомились с условиями до начала обработки.
  • Составьте реестр всех операций передачи ПДн: какие данные, кому и на каком основании передаёте. Если какие-то процессы действующие согласия, договоры или иные правовые основания не покрывают, срочно подписывайте документы. Заключите договоры поручения на обработку со всеми подрядчиками, у которых есть доступ к ПДн ваших клиентов и сотрудников. Они должны соответствовать ч. 3 ст. 6 Закона № 152-ФЗ, поэтому пропишите цели, состав данных, обязанность обеспечения конфиденциальности и безопасности.

На самом деле ничего страшного и опасного в работе с персональными данными нет. Просто не забывайте про документы, относитесь к ним не как к формальности и устраняйте риски до того, как они станут поводом для проверки.

Источник: Ольга Новикова, консультант по защите персональных данных компании Б-152