аналитика 14 октября 2026 По состоянию на 14 октября 2026

Принцип передачи только при наличии оснований

Передача персональных данных третьим лицам допустима только при наличии правового основания по ст. 6 ФЗ-152: согласие субъекта, договор, закон или иное из одиннадцати оснований.

Нарушение принципа влечёт штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 рублей, а при повторности — до 500 000 рублей. С 30.05.2025 санкции существенно выросли.

→ Если вы юрист и анализируете законность передачи данных контрагентам — этот материал даёт полную правовую карту оснований и последствий их отсутствия.

Принцип передачи только при наличии оснований закреплён в ст. 5 и ст. 6 ФЗ-152 и означает: любое предоставление персональных данных третьему лицу требует законного основания, зафиксированного до момента передачи. С 30.05.2025, когда вступили в силу изменения по ФЗ-420 от 30.11.2024, санкции за нарушение этого принципа выросли кратно. В материале разобраны все одиннадцать оснований из ст. 6, типовые ошибки при поручении обработки, ситуации, когда передача невозможна в принципе, и практика применения норм в 2025–2026 годах.

Что такое принцип передачи только при наличии оснований и откуда он следует?

Ст. 5 ФЗ-152 формулирует принцип законности обработки: персональные данные обрабатываются исключительно в случаях, прямо предусмотренных законом. Передача данных — один из видов обработки по определению ст. 3 ФЗ-152: туда относятся предоставление (доступ третьему лицу) и распространение (неограниченный круг получателей). Таким образом, каждая передача — это самостоятельное действие по обработке, которое требует собственного правового основания.

Ст. 6 ФЗ-152 перечисляет одиннадцать оснований для обработки. Оператор обязан до начала передачи убедиться, что хотя бы одно из них применимо, и зафиксировать это документально. Отсутствие основания означает незаконность передачи вне зависимости от добросовестности намерений.

«Ст. 5 ФЗ-152 — обработка ПДн осуществляется на законной и справедливой основе; объём и характер обрабатываемых данных должны соответствовать заявленным целям. Передача без основания нарушает этот принцип и влечёт административную ответственность по ст. 13.11 КоАП.»

Важно разграничить два режима: передача оператором по своей инициативе (предоставление, распространение) и поручение обработки третьему лицу по п. 3 ст. 6 ФЗ-152. В первом случае новый получатель становится самостоятельным оператором и должен иметь собственное основание. Во втором — получатель действует от имени и по заданию оператора, ответственность за обработку остаётся на операторе.

Какие основания разрешают передачу персональных данных по ст. 6 ФЗ-152?

Ст. 6 ФЗ-152 допускает обработку (включая передачу) при наличии одного из следующих оснований:

Согласие субъекта (п. 1 ст. 6). Наиболее универсальное, но и наиболее требовательное к форме. С 01.09.2025 согласие по ФЗ-156 от 24.06.2025 оформляется отдельным документом — не в составе договора или оферты. В согласии должны быть указаны конкретные получатели или их категории, цель передачи, перечень передаваемых данных.
Исполнение договора с субъектом (п. 5 ст. 6). Допустима передача данных, необходимая для исполнения договора, стороной которого является субъект. Например, передача реквизитов покупателя логистическому оператору для доставки. Передача должна быть объективно необходима: избыточные данные под это основание не подпадают.
Возложение законом обязанности (п. 2 ст. 6). Передача данных государственным органам по требованию закона: ФНС, ПФР, следственным органам, судам.
Судопроизводство и исполнение судебных актов (п. 3 ст. 6). Передача в рамках судебного процесса, исполнительного производства.
Защита жизни или здоровья субъекта (п. 6 ст. 6). Применяется в экстренных ситуациях, когда получить согласие невозможно.
Статистические, научные, журналистские цели (п. 11 ст. 6). При условии обязательного обезличивания; конкретные получатели не могут быть идентифицированы.
Иные основания из п. 4, 7–10 ст. 6 — исполнение международных договоров, профессиональная деятельность журналистов, транспортная безопасность и т. д.

«Ст. 6 ФЗ-152 — исчерпывающий перечень оснований. Любая передача ПДн, не подпадающая ни под одно из одиннадцати оснований, является незаконной вне зависимости от договорённостей сторон.»

На практике юристы чаще всего работают с тремя основаниями: согласие (п. 1), исполнение договора (п. 5) и законная обязанность (п. 2). Именно на стыке этих трёх нарушения встречаются чаще всего.

Анализируете договоры с контрагентами на предмет законности передачи ПДн?

Типовой аудит выявляет 4–7 оснований для протокола по ст. 13.11 КоАП в каждой второй организации: отсутствие поручений на обработку, передача маркетинговых данных без согласия, устаревшие формы согласий. Штраф по ч. 1 ст. 13.11 — от 150 000 до 300 000 рублей за каждый эпизод. С 30.05.2025 повторность увеличивает санкцию до 500 000 рублей по ч. 1.1.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Чем поручение обработки отличается от передачи данных новому оператору?

Разграничение поручения и передачи — один из самых практически значимых вопросов при работе с контрагентами. Ошибка в квалификации приводит к тому, что договорная конструкция не соответствует фактическим отношениям и основание для обработки отсутствует.

Поручение обработки (п. 3 ст. 6 ФЗ-152) означает, что третье лицо действует строго в рамках задания оператора, не определяет цели и не принимает самостоятельных решений об обработке. Обязательные условия: письменный договор или соглашение, перечень действий, цели обработки, обязанность соблюдать конфиденциальность. Оператор несёт ответственность перед субъектом за действия лица, которому поручена обработка.

Передача новому оператору означает, что получатель становится самостоятельным оператором со своими целями. Он обязан иметь собственное правовое основание для обработки полученных данных. Если такого основания нет — нарушение на стороне получателя. Если оператор-источник передал данные без основания — нарушение и на его стороне.

«П. 3 ст. 6 ФЗ-152 — оператор вправе поручить обработку ПДн третьему лицу, если это предусмотрено договором с субъектом или согласием субъекта. Договор поручения должен содержать перечень действий и цели обработки, а также обязанность соблюдать конфиденциальность.»

Что подготовить юристу для проверки законности передачи ПДн

Реестр третьих лиц, которым передаются данные, с указанием правового основания для каждого получателя.
Договоры поручения на обработку с теми, кто действует как обработчик по п. 3 ст. 6 ФЗ-152, — проверить наличие обязательных условий.
Формы согласий субъектов с перечнем конкретных получателей (или их категорий) и указанием целей передачи.
Политику обработки ПДн, опубликованную на сайте оператора, — проверить упоминание всех категорий получателей.
Уведомление в реестре РКН — убедиться, что цели и категории получателей соответствуют фактическим.

Когда передача ПДн невозможна в принципе: спецкатегории и биометрия

Ст. 10 ФЗ-152 устанавливает запрет на обработку специальных категорий ПДн — сведений о состоянии здоровья, расовой и национальной принадлежности, политических взглядах, религиозных убеждениях, интимной жизни и судимостях. Передача таких данных третьим лицам без явного исключения из п. 2 ст. 10 недопустима.

Биометрические данные по ст. 11 ФЗ-152 обрабатываются и передаются только с письменного согласия субъекта. Исключения — строго перечислены в п. 2 ст. 11. Передача биометрии без письменного согласия с 30.05.2025 квалифицируется по ч. 16 ст. 13.11 КоАП.

Данные с правом на распространение по ст. 10.1 ФЗ-152 требуют отдельного согласия. Молчание субъекта означает запрет на распространение. Если оператор передал данные неограниченному кругу лиц, ссылаясь на общее согласие — это нарушение ст. 10.1.

Типовые ситуации: когда основание есть, когда его нет

Ситуация 1. Передача данных покупателя курьерской службе. Интернет-магазин заключает договор с логистическим оператором. Передача ФИО, адреса и телефона покупателя для доставки подпадает под п. 5 ст. 6 ФЗ-152 — исполнение договора с субъектом. Основание есть. Условие: данные передаются в объёме, необходимом только для доставки. Передача истории заказов или email для рассылки без согласия — уже нарушение, поскольку выходит за рамки цели исполнения договора. Дополнительно нужен договор поручения с курьерской службой по п. 3 ст. 6. Без него курьерская служба становится самостоятельным оператором без основания.

Ситуация 2. Передача данных сотрудников аутсорсинговой бухгалтерии. Компания передаёт ФИО, ИНН, СНИЛС работников внешнему бухгалтеру. Основание — п. 2 ст. 6 (исполнение законной обязанности по уплате налогов и взносов) в части данных, необходимых для расчёта и подачи отчётности. Договор поручения обязателен. Доказательства: договор с перечнем действий, цели обработки, условие конфиденциальности, отметка в уведомлении РКН о категории получателей. Вероятный исход при отсутствии договора поручения: протокол по ч. 1 ст. 13.11 с возможным штрафом 150 000–300 000 рублей. Стратегия: заключить договор поручения до начала передачи, проверить объём передаваемых данных на соответствие целям.

Ситуация 3. Передача клиентской базы партнёру для совместного маркетинга. Компания хочет передать email-адреса клиентов аффилированному партнёру для рассылки. Ни одно из оснований ст. 6, кроме согласия (п. 1), для такой передачи не применяется. Основание должно быть получено до передачи. Согласие с 01.09.2025 — отдельный документ по ФЗ-156, с указанием партнёра-получателя или его категории и целей. Передача без согласия или на основании «общей» политики конфиденциальности — нарушение по ч. 1 ст. 13.11. При повторности после 30.05.2025 — штраф по ч. 1.1 до 500 000 рублей. Стратегия: получить отдельное согласие с указанием партнёра и цели рассылки до любой передачи.

Если вы юрист и обнаружили, что в компании данные клиентов передаются партнёрам без надлежащих оснований или договоров поручения — время для исправления ограничено. Проверка РКН может начаться по жалобе субъекта в любой момент. Юристы DATUM проведут аудит по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Как выглядит практика 2025–2026 годов по нарушениям принципа передачи

Кейс 1. Торговая компания (Центральный ФО, лето 2025) передавала клиентские базы нескольким партнёрам для рассылок на основании общего пользовательского соглашения, размещённого на сайте. РКН провёл проверку по жалобе субъекта. Инспектор установил: ни одно из согласий не содержало указания на конкретных получателей, договоры поручения отсутствовали. Протокол составлен по ч. 1 ст. 13.11 КоАП в редакции с 30.05.2025. Штраф для юридического лица — в диапазоне 150 000–300 000 рублей. Дополнительно РКН выдал предписание об устранении нарушений в части оформления договоров поручения.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) использовала CRM-систему американского вендора с хранением данных на серверах за рубежом и автоматической синхронизацией клиентских записей. При аудите юрист компании выявил: уведомление о трансграничной передаче в РКН не подавалось, договор поручения с вендором отсутствовал, данные российских граждан записывались вне территории РФ в нарушение ч. 5 ст. 18 ФЗ-152. После консультации с внешним юристом была проведена локализация, подано уведомление о трансграничной передаче. Нарушения устранены до начала проверки. При наличии протокола риск составлял бы нарушение по ч. 8 ст. 13.11 КоАП — штраф от 1 000 000 до 6 000 000 рублей.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всех оснований передачи ПДн по чек-листу из 38 пунктов
Комплект ОРД под ключ — договоры поручения, согласия, политика обработки с учётом требований ФЗ-156
DPO-аутсорсинг — ответы на запросы субъектов, контроль оснований при каждой новой передаче данных

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка ПДн — это любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (предоставление, распространение, доступ), обезличивание, блокирование, удаление, уничтожение. Таким образом, передача данных третьему лицу — самостоятельное действие по обработке, которое требует отдельного правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит одиннадцать оснований. На практике чаще применяются три: согласие субъекта (п. 1), исполнение договора, стороной которого является субъект (п. 5), и исполнение законной обязанности оператора (п. 2). Ни одно из оснований не имеет приоритета над другими — достаточно одного применимого. Отсутствие всех одиннадцати означает незаконность обработки.

3. Что грозит за нарушение принципа передачи без оснований?

С 30.05.2025 (ФЗ-420 от 30.11.2024) передача ПДн без правового основания квалифицируется по ч. 1 ст. 13.11 КоАП: штраф для юридического лица — от 150 000 до 300 000 рублей. При повторном нарушении — ч. 1.1, от 300 000 до 500 000 рублей. Если передача осуществлялась без письменного согласия, когда оно обязательно, — ч. 2 ст. 13.11, от 300 000 до 700 000 рублей. За каждый эпизод может составляться отдельный протокол.

4. Нужно ли уведомлять РКН малому бизнесу?

По ст. 22 ФЗ-152 уведомлять РКН обязан любой оператор ПДн до начала обработки, включая малый бизнес. Исключения перечислены в ч. 2 ст. 22: данные, обрабатываемые исключительно в соответствии с трудовым законодательством; данные, полученные только для заключения разового договора; публично доступные данные. Если компания передаёт данные третьим лицам — это выходит за рамки большинства исключений, и уведомление обязательно. Неуведомление: штраф по ч. 10 ст. 13.11 от 100 000 до 300 000 рублей.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единого возрастного порога — это регулируется ГК РФ. Несовершеннолетние до 14 лет не могут давать согласие самостоятельно: его подписывают родители или иные законные представители. С 14 до 18 лет подросток вправе давать согласие на ПДн, необходимые для самостоятельно допустимых гражданско-правовых действий. При обработке данных детей оператор обязан учитывать возраст субъекта и получать согласие от надлежащего лица.

Итог

Принцип передачи только при наличии оснований — не формальность, а основа законности любого взаимодействия с данными субъектов. Каждая передача требует проверки по ст. 6 ФЗ-152: применимо ли хотя бы одно из одиннадцати оснований, зафиксировано ли оно документально, соответствует ли объём передаваемых данных цели.

Юристы DATUM сопровождают операторов ПДн с 2014 года, проводят аудиты по чек-листу из 38 пунктов и формируют пакеты ОРД под актуальные требования ФЗ-152 в редакции 2025 года — включая новые требования к согласиям по ФЗ-156 и договорам поручения.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

14 октября 2026 года