Надо ли получить согласие на передачу персональных данных

Отдельное согласие на передачу ПД третьим лицам необходимо, когда это не предусмотрено законом или договором для исполнения обязательств. Если договором подряда, например, предусмотрено, что вознаграждение исполнителя перечисляется на его конкретный банковский счет, а необходимые документы доставляются курьером — дополнительное согласие необязательно. А вот для обработки ПД, указанных в анкете участниками конкурса, с 1 сентября 2025 года требуется отдельное письменное согласие с указанием целей обработки (ст. 9 Федерального закона № 152-ФЗ от 27.07.2006).

Правильно ли, что отдельное согласие на передачу персональных данных не требуется при оформлении договоров ГПХ и выплат через банки или расчётные сервисы?

В договорах с исполнителями всегда присутствует передача данных в налоговую, СФР и банк. Насколько можно опираться на норму об «обработке для исполнения договора», чтобы не собирать отдельные согласия на передачу, и какие пункты необходимо включить в текст договора, чтобы всё соответствовало новому порядку обработки ПДН?

Отвечает Туркина Елена

Передача данных исполнителя по договору в налоговую и СФР является обязанностью организации или предпринимателя, которые производят выплаты в пользу физического лица по договору гражданско-правового характера. Значит, получать согласие на это не требуется, т.к. передача ПД происходит в силу требований закона (п. 2 ч. 1 ст. 6 ФЗ-152). Также не надо отдельное согласие на передачу данных гражданина банку в целях выплаты ему денежных средств за выполненные работы или оказанные услуги, если заключенный с ним договор ГПХ предусматривает выплату вознаграждения на конкретный банковский счет, указанный в договоре. В этом случае обработка персональных данных необходима для исполнения договора, стороной которого является субъект ПД (п. 5 ч. 1 ст. 6 ФЗ-152). Включить в договор ГПХ пункт, где исполнитель дает согласие на обработку своих персональных данных в целях исполнения договора, включая их передачу в банк для перечисления вознаграждения, конечно, можно. Но стоит помнить, что с 01.09.2025 согласие на обработку персональных данных должно оформляться отдельно от иных документов. Следовательно, для тех случаев, когда согласие должно присутствовать, такую оговорку в тексте договора Роскомнадзор может признать недостаточной.

Нужно ли оформлять отдельное согласие на передачу персональных данных внешним компаниям: бухгалтерии на аутсорсе, ЭДО или IT‑подрядчику?

Мы используем внешние сервисы для обмена документами и расчёта зарплат. Надо ли брать от сотрудников отдельное согласие на передачу их ПД этим компаниям? Также хотелось бы понять, достаточно ли в договоре упомянуть, что такие лица действуют как обработчики по поручению, или с ними должен быть заключён отдельный договор о поручении обработки ПДН с прописанными гарантиями конфиденциальности и запретом использовать данные для своих целей.

Отвечает Туркина Елена

Да, надо оформлять отдельное письменное согласие от сотрудников на передачу их персональных данных аутсорсерам (в т.ч. бухгалтерии), IT-подрядчикам и операторам ЭДО, так как это считается передачей информации третьим лицам. Согласие оформляется отдельным документом, содержит цель передачи, перечень данных, наименования и адреса компаний и иную информацию, предусмотренную ст. 9 ФЗ-152.

В договоре с внешними компаниями недостаточно просто упомянуть, что они действуют как обработчики ПД по поручению. В соглашении о поручении должны быть определены перечень обрабатываемых ПД, перечень действий с ними, которые станет совершать обработчик, цели обработки, обязанность внешней компании соблюдать конфиденциальность персональных данных и иные требования, предусмотренные ч. 3 ст. 6 ФЗ-152. Такое поручение можете оформить как отдельным документом, так и включить все необходимые моменты в основной договор оказания услуг.

Можно ли включать согласие на обработку персональных данных внутри договора с физическим лицом или теперь требуется отдельная форма?

До недавнего времени согласие на обработку ПДН мы прописывали отдельным пунктом внутри договора. Теперь слышим, что с 1 сентября 2025 года Роскомнадзор требует отдельный документ. Так ли это и будет ли договор считаться нарушающим закон, если согласие останется частью основного текста?

Отвечает Туркина Елена

С 1 сентября 2025 года согласие на обработку персональных данных оформляется отдельным документом — это прямо указано в новой редакции ст. 9 ФЗ-152. С этой даты нельзя прописывать эту норму пунктом в договоре или объединять с другими волеизъявлениями (например, согласием на получение рекламной рассылки или на передачу информации третьим лицам). По мнению законодателя, такой подход позволит человеку давать разрешение на обработку своих ПД более осознанно и добровольно, так как многие граждане, подписывая какой-нибудь многостраничный договор, не имеют привычки внимательно читать текст.

Когда обязательно получать отдельное письменное согласие на распространение персональных данных и что в нём указать?

В конкурсах и рекламных акциях, которые мы проводим, иногда публикуем имена, фотографии или города победителей. Понимаю, что это уже распространение ПД, а не просто передача. Как правильно оформить согласие на публикацию: какие формулировки обязательны, можно ли добавить пункты о сроках, ограничениях и праве участника отозвать согласие?

Отвечает Туркина Елена

Согласие на распространение персональных данных, к каковым относится публикация имен, фотографий и иной информации о физических лицах, необходимо оформить в письменном виде отдельно от иных видов разрешений на обработку ПД (ст. 10.1 ФЗ-152). Какие-либо обязательные формулировки законом не установлены, но из документа должно однозначно следовать, что человек соглашается конкретно на распространение информации о себе, какой именно, в каких целях и какому кругу лиц (неопределенному или строго обозначенному). Добавить пункты о сроках действия такого согласия, ограничениях и праве на отзыв не только можно, но и необходимо.

Какие действия нарушают требования закона при передаче персональных данных, даже если получено общее согласие от клиента или сотрудника?

Иногда подрядчики или офис‑менеджеры по привычке копируют документы клиентов и хранят их в личных облаках, пересылают данные в мессенджеры или делятся ими с партнёрами «для удобства». Хочу понять, какие конкретные риски и ответственность несёт компания за такие действия, даже если человек подписывал общее согласие на обработку и передачу данных.

Отвечает Туркина Елена

Общего согласия на передачу персональных данных нет и быть не может. В каждом конкретном случае человек соглашается передать информацию о себе конкретному лицу (физическому или юридическому) и в конкретных целях. В силу ст. 19 ФЗ-152 оператор обязан обеспечить безопасность ПД, в т.ч. не допускать несанкционированного доступа и утечки информации. Хранение информации о клиентах или работниках в личном облаке кого-либо из сотрудников может повлечь утечку данных и в результате — крупные штрафы для компании. То же самое касается пересылки данных в мессенджерах, т.к. не все мессенджеры имеют надежное сквозное шифрование и защищены от утечек. Поделиться с партнерами данными физлица без надлежащим образом полученного разрешения тоже означает нарушить закон. Даже если такие действия осуществляются в интересах гражданина и он согласился на передачу своих ПД — но в устной форме (например, по телефону). Ответственность за такие действия наступает по ст. 13.11 КоАП РФ. Штрафы для компании, в зависимости от состава правонарушения, составляют от 300 000 до нескольких миллионов рублей.

Нужно ли отдельно оформлять согласие на передачу данных при выплачиваемых призах или подарках участникам конкурсов?

Мы проводим акции, где победителям переводятся денежные призы или отправляются подарки курьером. В рамках этого требуется передать их ФИО, адрес и ИНН для 6‑НДФЛ. Нужно ли брать на это отдельное согласие или достаточно того, что участник акцептовал публичную оферту, где такие передачи указаны как часть исполнения условий конкурса?

Отвечает Туркина Елена

Согласие на обработку ПД для доставки подарка победителю акции необходимо. Но его можно интегрировать в общие правила акции отдельным документом, четко указав цель обработки данных, на которую участник дает согласие — исполнение акции и вручение приза в случае победы. Для передачи информации в налоговые органы в целях налогообложения дополнительное разрешение не требуется (п. 2 ч. 1 ст. 6 152-ФЗ).