инструкция 29 января 2027 По состоянию на 29 января 2027

Согласие на передачу третьим лицам

Q: Какие согласия нужно переоформить после 01.09.2025 по ФЗ-156?

Переоформлению подлежат согласия, которые включены в текст договора, оферты или политики обработки ПДн, а не оформлены отдельным документом; не содержат поимённого указания получателей при передаче третьим лицам; не имеют указания на конкретный способ отзыва. Согласия, полученные до 01.09.2025 и соответствующие требованиям по составу реквизитов, переоформлять не требуется — обратной силы закон не имеет. Однако на практике большинство форм до поправок не содержало всех обязательных реквизитов.

Согласие на передачу персональных данных третьим лицам — отдельный документ со строгим перечнем реквизитов по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

С 01.09.2025 согласие не может быть частью договора, оферты или политики конфиденциальности. Нарушение требований к составу — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽ за каждый дефектный документ.

Если вы юрист и сейчас проверяете комплект ОРД — пройдите по шагам ниже, чтобы убедиться, что согласия на передачу составлены правильно. → Комплект ОРД под ключ

С 01.09.2025 ФЗ-156 от 24.06.2025 установил, что согласие на обработку персональных данных оформляется отдельным документом — в том числе когда речь идёт о передаче ПДн третьим лицам. Юрист, выстраивающий документооборот оператора, сталкивается с двумя задачами одновременно: привести старые формы в соответствие с новыми требованиями и не создать пробелов в правовых основаниях обработки, которые контролирует Роскомнадзор. Ниже — пошаговая инструкция по составлению, проверке и хранению такого согласия.

Шаг 1. Определите, нужно ли отдельное согласие на передачу третьим лицам

Передача персональных данных третьему лицу — это предоставление ПДн конкретному получателю, который будет обрабатывать их в своих целях. Такая передача требует самостоятельного правового основания по ст. 6 ФЗ-152.

Согласие на передачу требуется, если нет иного основания из закрытого перечня ст. 6. Иные основания, которые снимают необходимость согласия: исполнение договора с субъектом, когда третье лицо — соисполнитель; выполнение обязанности, возложенной законом (например, передача в ФНС, СФР); судопроизводство или исполнительное производство. Во всех прочих случаях — согласие обязательно.

Проверочный список: нужно ли согласие на передачу

Третье лицо не является стороной договора с субъектом и не исполняет обязанность по закону
Передача осуществляется в маркетинговых, партнёрских или аналитических целях
Оператор передаёт ПДн в зарплатный проект, страховой компании, банку-партнёру по инициативе оператора, а не субъекта
Третье лицо использует ПДн для своих целей, а не по поручению оператора
Передача работодателем данных работника в кадровое агентство или кредитному брокеру

Важно разграничить передачу третьему лицу и поручение обработки по п. 3 ч. 1 ст. 6 ФЗ-152. При поручении оператор остаётся ответственным, а лицо, осуществляющее обработку, действует только в его интересах и по его инструкциям. Для поручения согласие субъекта не требуется, но нужен договор-поручение. Для передачи в чужих целях — согласие обязательно.

Шаг 2. Включите в согласие обязательные реквизиты по ст. 9 ФЗ-152

С 01.09.2025 согласие на передачу третьим лицам должно существовать как отдельный документ, не объединённый ни с каким другим. Перечень обязательных реквизитов установлен ч. 4 ст. 9 ФЗ-152.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — согласие субъекта оформляется в виде отдельного документа и должно содержать: наименование оператора и его адрес; ФИО и контактные данные субъекта; цель обработки; перечень передаваемых ПДн; наименование получателя и его адрес (третье лицо); перечень действий, совершаемых третьим лицом; срок действия согласия; способ отзыва согласия.»

Наиболее частая ошибка — указание обобщённого получателя («партнёры компании», «организации группы»). Роскомнадзор при проверке квалифицирует это как ненадлежащее согласие. Каждый получатель должен быть поимённо назван с указанием организационно-правовой формы, наименования и адреса.

Перечень передаваемых ПДн должен строго соответствовать тому, что фактически уходит третьему лицу. Если передаётся имя, телефон и email — только они. Если впоследствии оператор начинает передавать дополнительные сведения, необходимо переоформить согласие или получить новое.

Срок действия согласия указывается конкретной датой или событием («до истечения 3 лет с момента подписания», «до расторжения договора»). Бессрочное согласие допускается, но субъект вправе отозвать его в любой момент.

Согласия уже собраны, но нет уверенности в их составе?

Если юрист проверяет комплект ОРД и обнаруживает, что согласия на передачу составлены до 01.09.2025 или содержат обобщённые формулировки по получателю — каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок действия старых согласий не продлевается автоматически.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Оформите согласие как отдельный документ и свяжите с политикой конфиденциальности

Требование об отдельном документе по ФЗ-156 означает: согласие на передачу третьим лицам не может содержаться в тексте трудового договора, пользовательского соглашения, оферты или политики обработки ПДн — даже если оно выделено отдельным разделом с подписью.

Политика обработки персональных данных по ст. 18.1 ФЗ-152 является самостоятельным документом, раскрывающим общий порядок работы с ПДн оператора. Она должна быть опубликована в открытом доступе. Согласие на конкретную передачу — это волеизъявление субъекта, не публичный документ. Их объединение недопустимо.

Правильная связка выглядит так: в политике конфиденциальности указывается, что оператор вправе передавать ПДн третьим лицам при наличии согласия субъекта, полученного в установленном порядке. Само согласие — отдельный бланк или электронная форма с фиксацией факта подписания.

Для электронного согласия фиксация означает сохранение: IP-адреса, timestamp, идентификатора пользователя и текста согласия в той редакции, которая была предъявлена субъекту. Лог должен быть воспроизводим при проверке РКН.

Шаг 4. Предусмотрите порядок отзыва и установите процедуру внутри компании

Субъект вправе отозвать согласие в любой момент (ч. 2 ст. 9 ФЗ-152). После отзыва оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней, если иное не предусмотрено законом. Передача третьему лицу после отзыва — самостоятельное нарушение.

Способ отзыва должен быть указан в тексте самого согласия. Типичные варианты: письменное заявление в офис; обращение через личный кабинет; письмо на электронный адрес с подтверждением. Главное условие — способ не должен быть сложнее способа получения согласия.

Внутренняя процедура должна закрывать цепочку: получен отзыв → зафиксировано в журнале → уведомлено третье лицо → ПДн у третьего лица уничтожены или возвращены → отметка в журнале. Если у третьего лица нет механизма уничтожения по требованию оператора, это следует прописать в договоре-поручении или в соглашении о передаче ещё до начала обработки.

Ответственный за организацию обработки по ст. 22.1 ФЗ-152 должен контролировать исполнение процедуры отзыва. Назначение ответственного — обязательное требование для юридических лиц.

Шаг 5. Включите согласие в реестр операторов РКН и актуализируйте уведомление

Уведомление об обработке ПДн в РКН по ст. 22 ФЗ-152 подаётся до начала обработки. Форма уведомления установлена Приказом РКН №180 от 28.10.2022. Если оператор начинает передавать ПДн новому третьему лицу или меняет цели передачи — уведомление необходимо актуализировать.

«Ст. 22 ФЗ-152 — оператор обязан направить в РКН уведомление о намерении обрабатывать ПДн до начала обработки. При изменении сведений — уведомить об изменениях. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.»

При заполнении уведомления в разделе «Передача ПДн» указываются: цели передачи, категории получателей, страна назначения. Если передача осуществляется в иностранную компанию — дополнительно требуется уведомление о трансграничной передаче по ст. 12 ФЗ-152, если страна не входит в перечень государств с адекватной защитой.

После включения оператора в реестр (в течение 30 дней с подачи уведомления) выписка из реестра становится одним из ключевых документов при проверке РКН. Расхождение между реестровыми данными и фактической практикой передачи — типичный повод для предписания.

Если юрист обнаружил расхождение между реестровыми данными и тем, что компания фактически передаёт третьим лицам — это нарушение по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) и повод для внеплановой проверки. Специалисты DATUM актуализируют уведомление и приведут комплект ОРД в соответствие.

Заказать аудит 152-ФЗ

Как применяется на практике: типовые ситуации

Ситуация 1. Торговая компания (Сибирский ФО, осень 2025) передавала данные покупателей банку-партнёру для оформления рассрочки. Согласие было включено в текст договора купли-продажи отдельным пунктом. После 01.09.2025 РКН при плановой проверке квалифицировал это как нарушение ч. 2 ст. 13.11 КоАП — согласие не являлось отдельным документом по требованию ФЗ-156. Юрист компании оспорил штраф, представив доказательства того, что новые формы отдельного согласия были введены в оборот в течение 30 дней после вступления поправок в силу, что позволило снизить его размер с применением ст. 4.1 КоАП.

Ситуация 2. IT-компания (Центральный ФО, начало 2026) направила в РКН уведомление об обработке, указав в качестве получателей ПДн обобщённую категорию «аффилированные лица». При получении запроса РКН о представлении согласий выяснилось, что конкретные наименования получателей в согласиях не совпадали с фактическими компаниями-партнёрами. Потребовалось переоформить 4 500 согласий и актуализировать уведомление. Процедура заняла два месяца и потребовала параллельного взаимодействия с РКН в формате предоставления объяснений.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов, включая согласия на передачу третьим лицам под конкретные цели оператора
Аудит соответствия 152-ФЗ — проверка согласий, уведомления РКН и политики по чек-листу из 38 пунктов
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, включая контроль отзывов согласий

Частые вопросы

1. Какие документы должны быть у оператора ПДн для законной передачи ПДн третьим лицам?

Минимальный комплект включает: уведомление в РКН по ст. 22 ФЗ-152 с актуальными сведениями о получателях, политику обработки ПДн по ст. 18.1 с упоминанием передачи третьим лицам, отдельное подписанное согласие субъекта по ст. 9 с поимённым указанием каждого получателя, договор-поручение или соглашение о передаче с получателем, приказ о назначении ответственного по ст. 22.1. Если получатель находится за рубежом — дополнительно уведомление о трансграничной передаче по ст. 12 ФЗ-152.

2. Как составить политику обработки ПДн, чтобы она соответствовала ст. 18.1 ФЗ-152?

Политика должна содержать: цели и правовые основания обработки, перечень категорий ПДн, порядок хранения и уничтожения, сведения о передаче третьим лицам и трансграничной передаче, порядок реализации прав субъектов. Политика публикуется в открытом доступе на сайте оператора. Согласия на обработку в текст политики не включаются — с 01.09.2025 это требование ФЗ-156 является обязательным. Использование типового шаблона из интернета без адаптации под реальные процессы оператора создаёт риск при проверке РКН.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152 и каковы его задачи при работе с согласиями?

Ответственным за организацию обработки ПДн назначается работник оператора — юридического лица — приказом руководителя. Квалификационных требований ФЗ-152 не устанавливает, но фактически это должно быть лицо, способное организовать исполнение требований закона. В контексте согласий на передачу ответственный контролирует: своевременное получение согласий, ведение журнала отзывов, уведомление третьих лиц при отзыве и уничтожение данных в установленный срок.

4. Можно ли использовать шаблон согласия на передачу из интернета?

Типовые шаблоны, размещённые до 01.09.2025, не учитывают требование об отдельном документе по ФЗ-156, не содержат актуального способа отзыва и, как правило, не называют конкретных получателей. Их прямое использование без адаптации создаёт риск признания согласия ненадлежащим. Шаблон — только основа; реквизиты получателей, цели и перечень ПДн должны отражать реальные процессы конкретного оператора.

5. Какие согласия нужно переоформить после 01.09.2025 по ФЗ-156?

Переоформлению подлежат согласия, которые: включены в текст договора, оферты или политики обработки ПДн, а не оформлены отдельным документом; не содержат поимённого указания получателей при передаче третьим лицам; не имеют указания на конкретный способ отзыва. Согласия, полученные до 01.09.2025 и соответствующие требованиям по составу реквизитов, обратной силы закон не имеет — переоформлять их не требуется, если состав реквизитов был достаточным. Однако на практике большинство форм до поправок не содержало всех обязательных реквизитов.

Итог

Согласие на передачу персональных данных третьим лицам — самостоятельный юридический документ с закрытым перечнем реквизитов по ст. 9 ФЗ-152. С 01.09.2025 его нельзя встраивать в договор или политику. Каждый получатель называется поимённо, каждое изменение состава передаваемых ПДн требует нового согласия или корректировки существующего.

DATUM сопровождает операторов в разработке комплекта ОРД, включая согласия на передачу третьим лицам с учётом редакции ФЗ-156 и позиции РКН при проверках.

Нужен комплект ОРД с учётом требований с 01.09.2025?

Юристы DATUM соберут согласия на передачу третьим лицам под конкретных получателей, подготовят политику конфиденциальности, актуализируют уведомление в РКН и назначат ответственного по ст. 22.1. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.