Можно ли передавать персональные данные из отдела в отдел без согласия?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, передача персональных данных между отделами одной организации возможна без отдельного согласия, если она необходима для исполнения договора или выполнения законных обязанностей оператора. По сути, это не передача третьим лицам, а внутренняя обработка ПДн в рамках одного юридического лица. Однако при этом сохраняется обязанность соблюдать требования ФЗ-152: передача должна быть ограничена целями, ради которых данные были собраны, и сопровождаться мерами по их защите.

Когда согласие не требуется:

• обработка происходит строго в целях исполнения договора с клиентом или сотрудником (например, бухгалтерия получает данные для начисления зарплаты, а кадровый отдел — для ведения личных дел);
• передача данных осуществляется в рамках выполнения требований закона (налоговый учёт, кадровое администрирование, учёт клиентов).

Когда согласие необходимо:

• если данные передаются для новых целей, не заявленных при их сборе (например, маркетинговая рассылка, публикация информации);
• если речь идёт о специальных категориях данных (сведения о здоровье, биометрия), для которых законом предусмотрено письменное согласие, за исключением случаев, прямо установленных законом.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — обработка включает любое действие с персональными данными, в том числе передачу.
• Ст. 6 ФЗ-152, ч. 1, п. 2 — согласие не требуется, если обработка необходима для исполнения договора или закона.
• Ст. 19 ФЗ-152 — оператор обязан обеспечить защиту персональных данных при их передаче и доступе внутри организации.

Практика и позиция Роскомнадзора

Роскомнадзор в своих разъяснениях отмечает: передача данных между структурными подразделениями не требует отдельного согласия, если речь идёт об обработке в рамках одного оператора.
Пример: в банке данные клиента передавались из отдела продаж в службу безопасности для проверки по договору. Проверка РКН признала обработку правомерной.
Противоположная ситуация: в компании отдел кадров передавал персональные данные сотрудников в маркетинговый отдел для внутренних рассылок. Проверка выявила нарушение — цели обработки изменились, а согласие на маркетинг отсутствовало.

Что важно учитывать организациям

• Доступ к персональным данным должны иметь только сотрудники, для которых эти данные необходимы в рамках их должностных обязанностей.
• Внутренние регламенты должны закреплять порядок передачи и разграничение доступа.
• Передача ПДн должна сопровождаться мерами защиты (пароли, шифрование, журналы доступа).

Рекомендации и выводы

Да, передача данных из отдела в отдел без согласия допустима, если это связано с исполнением договора или законом установленной обязанностью. Но при этом:

1. Чётко фиксируйте цели обработки и не используйте данные для иных задач.
2. Ограничивайте доступ к данным только уполномоченными сотрудниками.
3. Оформите локальные акты о порядке передачи ПДн внутри компании.
4. Включите эти процедуры в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации выстроить безопасный процесс передачи ПДн внутри компании, оформить внутренние регламенты и подготовить полный пакет документов по ФЗ-152, чтобы исключить претензии Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге