справочник 13 марта 2027 По состоянию на 13 марта 2027

Передача ПДн третьим лицам: 3 правовых режима

Передача персональных данных третьим лицам — это не одно действие, а три разных правовых режима, каждый из которых требует своего основания и документального оформления.

Смешение режимов — наиболее распространённое нарушение при проверках РКН. Штраф по ч. 1 ст. 13.11 КоАП за обработку ПДн в целях, несовместимых с основаниями, составляет 150 000–300 000 ₽, а при повторности — до 500 000 ₽.

→ Если вы юрист и проверяете комплаенс компании — начните с разграничения режимов: поручение обработки, предоставление и распространение. Ошибка в квалификации меняет весь пакет документов.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 и насчитывает 18 частей. Три правовых режима передачи ПДн — поручение обработки, предоставление и распространение — прямо разграничены в ст. 3 ФЗ-152 и влекут разные правовые последствия. Настоящий справочник структурирует эти режимы с привязкой к нормам, основаниям и типичным ошибкам оформления.

Что такое передача ПДн по смыслу 152-ФЗ?

Передача персональных данных — собирательное понятие, которое в ФЗ-152 не используется как единый термин. Закон разграничивает три самостоятельных действия: предоставление (доступ к данным конкретному лицу или кругу лиц), распространение (раскрытие неограниченному кругу лиц) и поручение обработки (делегирование функций обработки третьему лицу по договору). Каждое из этих действий входит в понятие «обработка ПДн» по ст. 3 ФЗ-152, а значит, требует самостоятельного правового основания по ст. 6 ФЗ-152.

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку ПДн, а также определяющее цели и содержание такой обработки (ст. 3 ФЗ-152). Именно оператор несёт ответственность за законность передачи данных третьим лицам — вне зависимости от того, кто фактически осуществляет обработку.

Субъект персональных данных — физическое лицо, которому принадлежат соответствующие данные. Права субъекта при передаче его ПДн третьим лицам определяются ст. 14–17 ФЗ-152: право на доступ к своим данным, право на уточнение, блокирование и уничтожение.

«Ст. 3 ФЗ-152 — обработка ПДн включает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.»

Каковы три правовых режима передачи ПДн третьим лицам?

Режим 1: поручение обработки — оператор привлекает третье лицо для выполнения конкретных операций с ПДн от имени и в интересах оператора. Основание — п. 3 ст. 6 ФЗ-152. Обязательные условия: письменный договор-поручение или соглашение, содержащее перечень операций, цели обработки, требования к конфиденциальности и обязанность уничтожить данные после исполнения. Лицо, осуществляющее обработку по поручению, не является самостоятельным оператором: оно обязано соблюдать принципы ст. 5 ФЗ-152 и не вправе обрабатывать данные в иных целях. Типичные примеры: аутсорсинг расчёта зарплаты, облачное хранение, колл-центр на аутсорсе, CRM-платформа с хранением клиентских данных.

Режим 2: предоставление ПДн — передача данных конкретному лицу или определённому кругу лиц. По ст. 3 ФЗ-152 это самостоятельное действие, требующее правового основания по ст. 6. Наиболее распространённые основания: согласие субъекта (п. 1 ч. 1 ст. 6), исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6), исполнение обязанности оператора, установленной федеральным законом (п. 2 ч. 1 ст. 6). Предоставление ПДн иному оператору превращает получателя в самостоятельного оператора — со всеми обязанностями по ФЗ-152. Типичные примеры: передача данных сотрудника в банк по зарплатному проекту, направление данных клиента страховщику, сведения в контролирующие органы.

Режим 3: распространение ПДн — действия, направленные на раскрытие данных неопределённому кругу лиц: публикация, общий доступ, размещение в открытых источниках. Ст. 10.1 ФЗ-152 требует для распространения отдельного согласия субъекта — с прямым указанием на допустимость распространения. Умолчание субъекта означает запрет распространения. С 01.09.2025, по нормам ФЗ-156 от 24.06.2025, согласие на обработку ПДн (в том числе на распространение) оформляется отдельным документом, не совмещённым с договором или офертой.

Нужна классификация режимов для вашей компании?

Если юрист проверяет комплаенс и видит смешение режимов — пакет ОРД и договоров-поручений нужно пересобирать. До проверки РКН есть время выявить и устранить нарушения. Штраф за обработку ПДн в целях, несовместимых с основаниями, — 150 000–300 000 ₽ по ч. 1 ст. 13.11 КоАП, а при повторности — до 500 000 ₽ по ч. 1.1.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие основания обработки ПДн применяются при передаче?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований обработки ПДн. При передаче третьим лицам оператор обязан идентифицировать основание до начала передачи — а не подбирать его постфактум. Наиболее практически значимые:

Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152) — универсальное основание. С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156: ФИО субъекта, контакты, наименование оператора, цель, перечень данных, перечень действий (включая передачу), срок, способ отзыва.
Исполнение договора с субъектом (п. 5 ч. 1 ст. 6 ФЗ-152) — передача данных допустима, если она необходима для исполнения договора, стороной которого является субъект. Расширительное толкование этого основания — типичная ошибка, фиксируемая РКН.
Федеральный закон (п. 2 ч. 1 ст. 6 ФЗ-152) — передача в государственные органы, фонды, реестры по прямому требованию закона. Самостоятельное согласие субъекта не требуется, но основание должно быть указано в уведомлении РКН и политике обработки.
Поручение обработки (п. 3 ч. 1 ст. 6 ФЗ-152) — технически не является самостоятельным основанием обработки; оно регулирует форму привлечения третьего лица. Первичное основание (согласие, договор, закон) у оператора должно быть.

Принципы ст. 5 ФЗ-152 применяются ко всем режимам передачи без исключения: данные должны соответствовать заявленным целям, быть точными, не избыточными и обрабатываться не дольше, чем необходимо. Нарушение принципов — самостоятельное основание для протокола РКН.

Что подготовить для законной передачи ПДн третьим лицам

Классификация режима передачи: поручение, предоставление или распространение — с указанием основания по ст. 6 ФЗ-152
Договор-поручение (при режиме поручения): перечень операций, требования к конфиденциальности, обязанность уничтожить данные
Отдельное согласие субъекта (при режиме предоставления или распространения, если иное основание отсутствует): реквизиты по ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025
Актуальная политика обработки ПДн с разделом о передаче данным третьим лицам и перечнем получателей или их категорий
Уведомление РКН с указанием категорий получателей ПДн и оснований передачи

Типовые ошибки при передаче ПДн: три практических ситуации

Ситуация 1. Облачный подрядчик без договора-поручения. Компания хранит клиентские данные в облачном сервисе иностранного провайдера — без письменного договора-поручения по п. 3 ст. 6 ФЗ-152. РКН при проверке квалифицирует это как передачу данных без надлежащего основания (ч. 1 ст. 13.11 КоАП, 150 000–300 000 ₽) и одновременно как нарушение требований локализации по ч. 5 ст. 18 ФЗ-152 (ч. 8 ст. 13.11 КоАП, 1 000 000–6 000 000 ₽). Стратегия: заключить договор-поручение, оценить локализацию первичного сбора данных.

Ситуация 2. Согласие «на передачу партнёрам» в оферте. Интернет-магазин включил в договор-оферту пункт о передаче ПДн «аффилированным лицам и партнёрам». С 01.09.2025 такое согласие недействительно: оно не оформлено отдельным документом по ФЗ-156, не содержит перечня действий и получателей, не предусматривает способа отзыва. Основание по п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора) не применимо к передаче маркетинговым партнёрам. Штраф по ч. 2 ст. 13.11 — 300 000–700 000 ₽. Стратегия: переоформить согласие в отдельный документ, ограничить перечень получателей.

Ситуация 3. Публикация данных сотрудников без согласия на распространение. Компания размещает на сайте фотографии и биографии сотрудников без их отдельного согласия на распространение по ст. 10.1 ФЗ-152. Наличие согласия в трудовом договоре не снимает нарушение: с 01.09.2025 требуется отдельный документ. При жалобе субъекта — предписание РКН об устранении + протокол по ч. 1 ст. 13.11 КоАП. Стратегия: получить отдельные согласия на распространение или снять материалы.

Если в компании есть подрядчики, партнёры или облачные сервисы, обрабатывающие ПДн, — режим передачи и комплект документов требуют проверки. Специалисты DATUM проведут аудит и соберут ОРД под ключ.

Заказать аудит 152-ФЗ

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка ПДн — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Даже хранение данных без их использования является обработкой и требует правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанности по федеральному закону (п. 2), жизненно важные интересы субъекта или третьих лиц (п. 6), осуществление правосудия и исполнение судебного акта (п. 3). При передаче ПДн третьим лицам оператор обязан идентифицировать конкретное основание заранее — общая отсылка к «законным интересам» без конкретизации РКН не принимает.

3. Что грозит за нарушение 152-ФЗ?

В редакции с 30.05.2025 (ФЗ-420) ст. 13.11 КоАП предусматривает до 18 составов. За обработку ПДн без надлежащего основания — 150 000–300 000 ₽ (ч. 1), при повторности — 300 000–500 000 ₽ (ч. 1.1). За отсутствие письменного согласия там, где оно обязательно, — 300 000–700 000 ₽ (ч. 2). За нарушение локализации — 1 000 000–6 000 000 ₽ (ч. 8). При повторной утечке — оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽ (ч. 15). С 11.12.2024 действует ст. 272.1 УК РФ: незаконное использование ПДн — до 10 лет лишения свободы (ч. 5).

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 уведомление РКН обязательно до начала обработки ПДн. Исключения установлены ч. 2 ст. 22: например, обработка данных только работников оператора или данных, полученных при заключении договора с физлицом и обрабатываемых исключительно для его исполнения. Большинство компаний, взаимодействующих с клиентами через сайт или CRM, под исключения не подпадают. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единого возрастного порога: по общему правилу гражданской дееспособности согласие вправе давать лицо с 18 лет. Для несовершеннолетних от 14 до 18 лет согласие может быть получено от самого субъекта, однако в отдельных случаях (медицинские данные, биометрия) требуется согласие законного представителя. Дети до 14 лет — исключительно через законного представителя. При оказании услуг образовательными организациями, медицинскими учреждениями и платформами, ориентированными на несовершеннолетних, порядок согласия регулируется отраслевым законодательством.

Итог

Три правовых режима — поручение обработки, предоставление и распространение ПДн — различаются по правовому основанию, форме документального оформления и ответственности получателя данных. Смешение режимов, использование устаревших форм согласий или отсутствие договоров-поручений — системные нарушения, выявляемые при любой проверке РКН.

Практика DATUM показывает, что в большинстве компаний среднего бизнеса режим передачи данным подрядчикам не квалифицируется корректно: договоры-поручения отсутствуют либо не содержат обязательных условий по п. 3 ст. 6 ФЗ-152. Аудит позволяет выявить это до, а не во время проверки.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка режимов передачи ПДн, оснований и документов
Комплект ОРД под ключ — договоры-поручения, согласия, политика обработки
DPO-аутсорсинг — сопровождение обработки ПДн на абонентском обслуживании

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Согласия работников по ст. 9 152-ФЗ в ред. ФЗ-156, обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

13 марта 2027 года