18 декабря 2025 г.

Дарья Давыдова

Передача персональных данных является неотъемлемой частью деятельности операторов, обеспечивающей эффективность бизнес-процессов и расширение возможностей оператора.

В данной статье рассматриваются особенности правового регулирования и практические аспекты оформления отношений с подрядчиками. Особое внимание уделяется различиям между передачей персональных данных третьим лицам в роли обработчиков и самостоятельных операторов, а также анализируются возможные риски, связанные с такой передачей, и общие рекомендации по их минимизации.

Ключевые различия между передачей персональных данных обработчику и самостоятельному оператору

В контексте передачи персональных данных важно различать две формы, в качестве которых могут выступать третьи лица — это оператор и обработчик.

С точки зрения положений статьи 3 152-ФЗ обе роли — и операторы, и обработчики — считаются операторами персональных данных, поскольку осуществляют обработку персональных данных. Тем не менее, как неоднократно отмечал РКН, различие между ними кроется в факте делегирования полномочий по обработке персональных данных от «основного» оператора.

Обработчик (лицо, осуществляющее обработку по поручению оператора)

Если у оператора имеется ряд задач, связанных с обработкой персональных данных, но их выполнение он возлагает на третье лицо (например, в связи с отсутствием необходимых внутренних ресурсов), то в таком случае третье лицо является лицом, осуществляющим обработку персональных данных по поручению оператора (обработчик).

Такими лицами чаще всего выступают:

  • компании, оказывающие услуги по хранению данных;

  • организации, предоставляющие услуги по рассылкам электронных писем или смс-сообщений;

  • подрядчики, предоставляющие сервисы электронного документооборота, технического обслуживания корпоративных систем (с возможностью доступа к персональным данным в ходе такого обслуживания);

  • колл-центры для обработки обращений клиентов, и многие другие.

В соответствии с частью 4 статьи 6 152-ФЗ обработчик не обязан получать согласие у субъекта персональных данных на обработку его персональных данных.

Это объясняется тем, что у лица нет самостоятельных целей (интересов) в отношении обрабатываемых данных, и обработка осуществляется им на основании и условиях, установленных между оператором и субъектом.

Из этого следует, что в случае наступления событий (выявление неправомерной обработки, достижение цели обработки, отзыв субъекта персональных данных согласия на обработку), требующих в соответствии со статьей 21 152-ФЗ прекращения обработки персональных данных, обработчик также должен прекратить осуществлять такую обработку, а на оператора возлагается обязанность по обеспечению выполнения этого требования.

Кроме того, с обработчиком требуется заключить соглашение о поручении обработки персональных данных. Это соглашение может быть оформлено либо как отдельный договор, либо включено в основной договор, регулирующий отношения сторон (законодательных требований к форме документа нет, но есть требования к содержанию, установленные частью 3 статьи 6 152-ФЗ).

Важно отметить риски для операторов, поручающих обработку персональных данных третьим лицам. Дело в том, что при установлении нарушений на стороне обработчика ответственность перед субъектом будет нести оператор, согласно части 5 статьи 6 152-ФЗ. После вступления в силу майских поправок в статью 13.11 КоАП РФ, усиливающих ответственность за нарушения в сфере персональных данных, этот факт становится решающим при оценке рисков.

Оператор

Другой формой третьего лица выступает оператор персональных данных. Это лицо обладает собственными целями (интересами) в отношении обработки персональных данных. С оператором такое лицо связывает договор или законодательные требования, в рамках которых передаются персональные данные.

Самостоятельными операторами выступают:

  • органы власти в рамках исполнения оператором своих функций и обязанностей, установленных законодательством;

  • компании, деятельность которых лицензируема, если обработка персональных данных связана с такой деятельностью (например, операторы мобильной связи, банковские, страховые и образовательные организации);

  • подрядчики, с которыми не заключались соглашения о поручении обработки персональных данных.

Так как в отношениях двух самостоятельных операторов нет факта делегирования полномочий, то не требуется заключение соглашения на поручение обработки персональных данных.

При этом, если фактически отношения выстроены по поручению обработки, но само поручение оформлено не было, третье лицо будет признано самостоятельным оператором.

Каждый из операторов обязан обеспечить себе самостоятельные правовые основания обработки персональных данных, перечень которых содержится в части 1 статьи 6 152-ФЗ. Другими словами, если подходящим правовым основанием каждого оператора является, например, согласие субъекта на обработку персональных данных в соответствии с пунктом 1 части 1 статьи 6 152-ФЗ, то данное согласие должны получить все самостоятельные операторы.

В свою очередь, если оператор передает персональные данные органам власти (например, в ФНС, СФР, правоохранительные, судебные органы), то правовым основанием будет выступать законодательство, устанавливающее полномочия оператора осуществлять такую передачу.

Явным преимуществом отношений между самостоятельными операторами является отсутствие обязанности первого оператора нести ответственность за нарушения, совершенные действиями (бездействием) второго оператора.

С точки зрения рисков для оператора отношения по такой модели кажутся менее рисковыми, однако у первого оператора отсутствует контроль за действиями других операторов, и обработка персональных данных субъектов может продолжаться третьими лицами после прекращения отношений между операторами, а также после прекращения отношений между субъектом и первым оператором.

Это может повлечь за собой определенные репутационные риски, если контрагенты не обеспечили себя правовыми основаниями обработки или субъект персональных данных не был должным образом проинформирован о передаче его данных третьим лицам. Чаще всего, в таких ситуациях все обращения и претензии субъектов (например, клиентов), поступают именно в адрес оператора, передавшего персональные данные другим лицам.

Нюансы при оформлении передачи персональных данных

Передача персональных данных работников

Особое место в данной теме занимает передача персональных данных работников оператора.

Дело в том, что в соответствии со статьей 88 Трудового кодекса РФ работодатель не имеет права без письменного согласия работника передавать его персональные данные третьим лицам, за исключением целей предупреждения угрозы жизни и здоровью или случаев, прямо предусмотренных законодательством.

Учитывая требования части 4 статьи 9 152-ФЗ к письменной форме согласия на обработку персональных данных, а также разъяснения РКН, высказанные на публичных мероприятиях, в таком согласии может быть указано только одно третье лицо. В связи с этим, если передача персональных данных работников происходит нескольким операторам и (или) обработчикам, даже в рамках одной цели, согласий в письменной форме от работника должно быть получено по количеству таких третьих лиц.

Такая особенность касается не только передачи данных работников. Если требуется оформление согласия в письменной форме по части 4 статьи 9 152-ФЗ, и при этом обработка предполагает также передачу персональных данных, то необходимо придерживаться принципа «одно третье лицо — одно согласие».

Указание третьих лиц в согласии на обработку персональных данных

В иных случаях, когда согласие может быть оформлено в соответствии с частью 1 статьи 9 152-ФЗ в «любой форме, позволяющей подтвердить факт его получения», указание третьих лиц варьируется в зависимости от роли таких лиц.

Согласно разъяснениям РКН, указание третьих лиц является обязательным в силу принципа информированности согласия по части 1 статьи 9 152-ФЗ, при этом требование о поименовании третьих лиц распространяется только в отношении обработчиков при толковании пункта 6 части 4 статьи 9 152-ФЗ. Это значит, что если обработка персональных данных предполагает поручение третьим лицам, то в согласии требуется перечисление всех таких лиц.

Если же передача осуществляется другим самостоятельным операторам, в таком случае допустимо указание лишь на категорию таких лиц (например, «банковские организации», «курьерские службы») и цель обработки, в связи с которой персональные данные передаются.

Также РКН допускает возможность указания в тексте согласия гиперссылки на интернет-страницу оператора, содержащую актуальный список третьих лиц. В случае выявления несовпадения между фактической передачей и информацией из данного списка, оператору грозит ответственность за неправомерную передачу персональных данных.

Распространение как разновидность передачи персональных данных

Отдельно стоит также упомянуть о распространении как об одном из видов передачи персональных данных.

В отличие от предоставления, под распространением понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Чаще всего, распространение встречается при публикации персональных данных на внешнем сайте оператора, когда любой желающий может зайти на данную страницу и ознакомиться с имеющейся информацией (например, о сотрудниках оператора или клиентах, оставивших свои отзывы).

Однако, если круг лиц все-таки можно обозначить, то в таком случае будет иметь место предоставление персональных данных, а не распространение. Поэтому при ограничении доступа к просмотру сведений, содержащих персональные данные, посредством регистрации пользователей, передача персональных данных будет осуществляется в виде предоставления, то есть раскрытия данных определенному кругу лиц.

При распространении персональных данных необходимо строго соблюдать положения, установленные статьей 10.1 152-ФЗ. Форма согласия на распространение должна соответствовать требованиям приказа РКН от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

Поскольку согласие на распространение оформляется отдельно от иных согласий на обработку персональных данных, оператору рекомендуется провести анализ соотношения преимуществ и возможных издержек, связанных с внедрением процессов по распространению персональных данных.

Выводы

С одной стороны, привлечение третьих лиц способствует снижению нагрузки на внутреннюю инфраструктуру оператора, включая уровень защищенности информационных систем.

Все это является возможностью для операторов повысить эффективность своей деятельности, сосредоточить усилия на реализации ключевых бизнес-целей.

В условиях постоянных изменений законодательства в сфере персональных данных, усиление ответственности за нарушения использование внешних ресурсов становится важным, а порой единственным инструментом для своевременного внедрения инновационных решений и повышения конкурентоспособности.

С другой стороны, привлечение третьих лиц требует ответственного подхода к оформлению договорных отношений оператора с ними.

В первую очередь, оператору следует провести комплексную проверку благонадежности контрагента. Особое внимание следует уделить тому, соблюдает ли подрядчик требования к обеспечению безопасности персональных данных, а также включено ли лицо в реестр операторов РКН.

В случае, если оператор поручает обработку персональных данных, но обработчик отказывается от заключения соглашения о поручении обработки, то это является существенным индикатором возможных рисков и основанием для прекращения взаимодействия с таким подрядчиком.

В целом, для минимизации рисков важно не только наличие договорных обязательств, соответствующих требованиям законодательства, но и их четкое соблюдение, а также постоянный контроль за деятельностью третьих лиц в области обработки и защиты персональных данных.

Источник: Дарья Давыдова, консультант по защите персональных данных компании Б-152