Передача персональных данных третьим лицам: основания и договоры

Table of contents

• Что считается передачей третьим лицам по 152‑ФЗ
• Основания для передачи ПДн: с согласием и без
• Поручение обработки vs передача третьим лицам
• Когда нужно отдельное согласие и как его оформить
• Договор с получателем ПДн: обязательные условия
• Кейсы: какое основание и какие документы нужны
• Трансграничная передача ПДн
• Безопасность и минимизация при передаче
• Учет, уведомления и взаимодействие с Роскомнадзором
• Типовые ошибки и риски
• Чек‑лист по 152‑ФЗ для передачи третьим лицам
• Вывод и что сделать сейчас

Что считается передачей третьим лицам по 152‑ФЗ {#chto-takoe-peredacha}

«Передача персональных данных третьим лицам» в смысле 152‑ФЗ включает предоставление или доступ к ПДн лицу, которое не является самим оператором и не действует строго по его поручению. В терминах закона это «предоставление» (разглашение конкретному лицу) и «распространение» (разглашение неопределенному кругу) — см. определения в ст. 3 152‑ФЗ и наш глоссарий.

Важно отличать:

• уполномоченное лицо (обработчик) — действует строго по поручению оператора, цели и средства обработки задает оператор;
• самостоятельный получатель (третье лицо) — определяет собственные цели/средства обработки как отдельный оператор.

Тема «152 ФЗ передача персональных данных» всегда упирается в две оси: наличие правового основания и правильный тип договора с получателем.

Для базового контекста о законе смотрите обзор: О законе 152‑ФЗ и структуру и статьи.

Основания для передачи ПДн: с согласием и без {#osnovaniya}

Передача персональных данных третьим лицам по 152‑ФЗ допускается при наличии одного из оснований ст. 6 152‑ФЗ. Ключевые случаи:

• Согласие субъекта ПДн — универсальное основание. Оформляется письменно или электронно, с перечислением целей, категорий ПДн, действий, получателей. Подробнее: Согласие на обработку ПДн.
• Исполнение договора с субъектом — если передача необходима для исполнения договора или заключения договора по инициативе субъекта (например, передача адреса курьеру). Подробнее про обработку без согласия — здесь.
• Требования закона, правосудие, госорганы — когда передача прямо предусмотрена законом или необходима для правосудия/исполнения полномочий.
• Защита жизни и здоровья субъекта или иных лиц — экстренные случаи.
• Осуществление прав и законных интересов оператора или третьих лиц — если не нарушаются права и свободы субъекта.

Особые режимы:

• Специальные категории ПДн (здоровье, убеждения и т. п.) — применяются основания ст. 10 и проработка рисков, см. раздел медицинские ПДн.
• Биометрические ПДн — ограничения и отдельные основания по ст. 11 и странице биометрия.
• Обще­доступные ПДн — действуют особые правила: обобщенный обзор.

Принципы обработки (минимизация, целевая обусловленность) из ст. 5 обязательны и для передачи третьим лицам.

Поручение обработки vs передача третьим лицам {#poruchenie-vs-peredacha}

Если вы «поручаете» обработку (аутсорсинг, облако, колл‑центр), это один режим. Если передаете данные независимому партнеру (банк, страховая, курьер, маркетплейс), это другой режим. Различия — не формальные, а правовые.

Критерий	Поручение обработки (уполномоченное лицо)	Передача третьему лицу (самостоятельный оператор)
Кто определяет цели/средства	Оператор	Получатель самостоятельно
Основание	ст. 6 ч. 3 — поручение	Любое из оснований ст. 6 (договор, закон, согласие)
Договор	Договор поручения/DPA с условиями ст. 19	Обычный договор между операторами + правовое основание
Контроль оператора	Широкий (инструкции, аудит)	Ограниченный (требования к конфиденциальности/безопасности)
Примеры	Облако, хостинг, ИТ‑аутсорсинг, колл‑центр	Банк‑эквайер, курьерская служба, страховая

Подробнее о механике поручения: Поручение обработки ПДн.

Когда нужно отдельное согласие и как его оформить {#soglasie}

• Передача для маркетинга партнеров — обычно требуется согласие (цели не связаны напрямую с вашим договором с субъектом).
• Распространение ПДн (публикация в интернете, передача неопределенному кругу) — требуется отдельное согласие на распространение по ст. 10.1: смотрите страницу Согласие на распространение ПДн.
• Специальные категории и биометрия — читайте разделы спецкатегории и биометрия, как правило, нужно отдельное явно выраженное согласие.
• Веб‑аналитика/рекламные идентификаторы — оценивайте правовые основания, корректно информируйте в политике и баннере согласия: Cookies и баннеры, Яндекс.Метрика и 152‑ФЗ.

Готовые шаблоны и генераторы: шаблоны и формы, генератор политик и согласий.

Договор с получателем ПДн: обязательные условия {#dogovor}

Независимо от того, поручение это или «152 ФЗ передача третьим лицам», включайте в договор:

• Предмет: какие категории ПДн, чьи субъекты, какие действия с ПДн, цели.
• Роли сторон: оператор/уполномоченное лицо или независимые операторы.
• Ограничение целей и сроков обработки, запрет несовместимых целей.
• Конфиденциальность и обязательства персонала.
• Требования к безопасности: организационные и технические меры по ст. 19, связь с уровнями защищенности ИСПДн, криптография и шифрование, учитываемые требования ФСТЭК и ФСБ.
• Субобработка: запрет или условия привлечения субподрядчиков.
• Локация и трансграничность: где хранятся данные, условия вывоза за рубеж. См. трансграничная передача и локализация/ЦОД, облака.
• Права субъектов: порядок обработки запросов, сроки, взаимодействие сторон.
• Уведомления об инцидентах: сроки и содержание сообщений, взаимодействие с субъектами/РКН. См. инциденты и утечки.
• Аудит и контроль, ответственность и штрафы, порядок возврата/уничтожения ПДн.

Подготовить пакет документов помогает наш раздел: Пакет документов по 152‑ФЗ и Политика обработки ПДн.

Кейсы: какое основание и какие документы нужны {#keys}

Кейс	Основание	Статус получателя	Документы
Оплата на сайте через банк‑эквайер	Исполнение договора с субъектом (оплата)	Самостоятельный оператор	Договор эквайринга + информирование субъекта
Доставка заказа курьером	Исполнение договора	Самостоятельный оператор	Договор поставки/доставки + уведомление клиента о передаче
Хостинг/облако (ИСПДн)	Поручение (ст. 6 ч. 3)	Уполномоченное лицо	DPA/договор поручения + меры безопасности
Колл‑центр «горячая линия»	Поручение	Уполномоченное лицо	DPA + инструкции по скриптам и хранению записей
Рассылка партнера	Согласие субъекта	Самостоятельный оператор	Согласие + договор обмена ПДн + отказ от спама
Яндекс.Метрика	Интересы оператора/согласие	Самостоятельный оператор	Информирование в политике, настройка целей, руководство по Метрике
Запрос госоргана	Прямое требование закона	Госорган	Ответ по регламенту + акт передачи

Трансграничная передача ПДн {#cross-border}

Если получатель за рубежом, действуют правила ст. 12 152‑ФЗ и локализация. Проверьте:

• где физически обрабатываются/хранятся ПДн (локализация первичного сбора в РФ сохраняется);
• правовой режим страны получателя и достаточность защиты;
• наличие договорных гарантий конфиденциальности и безопасности;
• корректность уведомления и информирования субъектов. Подробнее: Трансграничная передача ПДн и серверы/ЦОД.

Безопасность и минимизация при передаче {#security}

Передача персональных данных третьим лицам 152‑ФЗ требует не только правового основания, но и адекватной защиты. Практики:

• Минимизируйте состав ПДн: передавайте только то, что нужно цели (ст. 5).
• Шифруйте каналы и данные «на покое», разграничивайте доступы, ведите журналы.
• Проверьте модель угроз ИСПДн и уровень защищенности: модель угроз, ИСПДн: определение и требования, меры безопасности.
• Согласуйте с получателем процедуру инцидентов и возврата/уничтожения данных: уничтожение и блокировка.

Учет, уведомления и взаимодействие с Роскомнадзором {#roskomnadzor}

• Ведение реестра получателей и журналов передачи — внутренняя обязанность оператора: внутренний контроль и обучение.
• Уведомление о начале обработки и актуализация сведений в реестре операторов — см. уведомление в Роскомнадзор и реестр операторов ПДн.
• Готовность к проверкам: проверки Роскомнадзора, подготовка к проверке, аудит соответствия.
• Обновляйте публичную политику и информируйте субъектов о категориях получателей: требования к сайту.

Типовые ошибки и риски {#risks}

• Передают «лишние» данные (нет принципа минимизации) — нарушение ст. 5.
• Путают поручение и передачу третьему лицу — не тот договор и распределение ролей.
• Нет отдельного согласия на распространение — риск для публикаций/маркетинга (ст. 10.1).
• Отсутствуют меры безопасности и инструкции получателю — риск утечки и санкций.
• Некачественное информирование субъектов — претензии и блокировки сервисов.

Санкции и составы: см. ответственность и штрафы и КоАП 13.11. Алгоритм реакции при инциденте: действия при нарушении ПДн.

Чек‑лист по 152‑ФЗ для передачи третьим лицам {#checklist}

• Определите роль получателя: уполномоченное лицо или самостоятельный оператор.
• Зафиксируйте правовое основание: договор/закон/согласие (для спецкатегорий и маркетинга — отдельные согласия).
• Минимизируйте состав данных и цели.
• Заключите корректный договор (DPA или межоператорский) с обязательствами по безопасности и инцидентам.
• Проверьте трансграничность и локализацию.
• Обновите политику и реестр обработок/получателей.
• Проведите брифинг/обучение персонала: внутренний контроль и обучение.
• Подготовьтесь к проверкам и аудиту доказательной базы.

Вывод и что сделать сейчас {#cta}

Передача персональных данных третьим лицам 152‑ФЗ — это всегда два шага: законное основание и правильный договорный контур. Четко определяйте роль контрагента, минимизируйте данные, обеспечьте меры безопасности и документируйте каждое действие. Так вы снизите риски, упростите взаимодействие с Роскомнадзором и избежите штрафов.

Нужна помощь? Мы подготовим договоры, согласия и политику, настроим процессы и проведем аудит:

• Консалтинг и документы «под ключ»
• Аудит соответствия 152‑ФЗ
• Обучение и курсы

Материал справочный. За актуальными поправками следите на страницах: изменения 2025 и текст 152‑ФЗ, последняя редакция.