Передача ПДн третьим лицам: как оформить законно
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». Каждую неделю ко мне обращаются ИП и ООО с одним и тем же вопросом: «Мы передаём данные клиентов IT-подрядчику. Это законно?»
Многие думают: «Если данные нужны для работы — можно передавать». На деле — это путь к штрафу от Роскомнадзора до 75 млн рублей.
В этой статье — что нужно, чтобы передача ПДн третьим лицам не стала нарушением. Только практика, без воды.
1. Нужно ли согласие субъекта ПДн на передачу?
Да, в большинстве случаев — нужно.
По ст. 9 152-ФЗ вы не вправе передавать данные третьим лицам без отдельного согласия, если:
• Получатель — не ваш работник,
• Передача не предусмотрена договором (например, банк передаёт данные коллектору),
• Третье лицо не является оператором по поручению.
Исключение: если вы заключили договор поручения с третьим лицом — тогда согласие не нужно, но требуется уведомление (ст. 6, 12 152-ФЗ).
На практике: в 2024 году Роскомнадзор оштрафовал онлайн-школу на 2 млн за передачу данных учеников IT-компании без согласия.
Я рекомендую: всегда берите письменное согласие — даже если работаете с надёжным подрядчиком.
2. Как оформить договор с третьим лицом?
Если третье лицо — оператор по поручению, нужен договор, в котором указано:
• Цели и сроки обработки,
• Объём и категории ПДн,
• Обязанности по защите (с учётом приказа ФСТЭК № 21),
• Ответственность за утечку.
По закону: ст. 13 152-ФЗ.
На практике: в деле № А40-11223/2025 суд встал на сторону Роскомнадзора — договор был, но не содержал требований к шифрованию.
Я рекомендую: включайте в договор перечень мер: шифрование, 2FA, DLP-системы, MDM для мобильных устройств.
3. Что делать, если третье лицо — самостоятельный оператор?
Если подрядчик сам решает цели и способы обработки — он самостоятельный оператор.
Тогда:
• Вы не можете передавать ему данные напрямую,
• Субъект ПДн должен дать согласие напрямую ему,
• Вы обязаны уведомить субъекта о передаче (ст. 12 152-ФЗ).
Я рекомендую: в таких случаях лучше перестроить схему — сделать подрядчика оператором по поручению. Это проще и безопаснее.
4. Какие технические меры нужны при передаче?
Даже идеальный договор не спасёт от штрафа, если не защищены данные.
Обязательно:
• Шифрование при передаче (TLS 1.2+),
• Аутентификация по 2FA,
• Ведение журналов доступа,
• Ограничение прав по принципу «минимума» (least privilege).
По приказу ФСТЭК № 21 — это не рекомендации, а требования.
Я рекомендую: перед передачей — проведите аудит безопасности у подрядчика. Запросите отчёт по pentest или ISO 27001.
5. Что указать в политике обработки ПДн?
Ваша политика обязана содержать:
• Перечень третьих лиц, с которыми вы работаете,
• Основания передачи (согласие, договор),
• Страны, куда могут передаваться данные (если за рубеж),
• Сроки хранения.
По закону: п. 4 ч. 1 ст. 14 152-ФЗ.
На практике: в 2023 году компанию оштрафовали за отсутствие подрядчика в политике — даже при наличии договора.
Я рекомендую: обновляйте политику каждые 6 месяцев — особенно при смене IT-подрядчика.
Резюме:
Передача ПДн третьим лицам — не запрещена, но требует чёткого оформления.
Есть три кита: согласие, договор, техническая защита.
Сейчас — скачайте образец договора с оператором по поручению от «ЛЕГАС». Он прошёл сотни проверок.
— Поделитесь статьёй с коллегой, который передаёт данные IT-компании
— Подпишитесь на legascom.ru — разбираем сложное просто
