Нужно ли получать согласие на обработку персональных данных при передаче данных подрядчику?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, в большинстве случаев согласие обязательно. Передача персональных данных третьим лицам (в том числе подрядчикам) допустима только при наличии законного основания. Если подрядчик не является стороной договора с субъектом данных и обработка не предусмотрена законом, организация обязана получить письменное согласие субъекта.

Примеры, когда согласие нужно:

• передача данных клиентов подрядчику для обзвона или e-mail-рассылки;
• передача фото сотрудников рекламному агентству для публикации;
• передача персональных данных детей (участников кружка или секции) сторонним организациям для мероприятий.

Примеры, когда согласие не требуется:

• если подрядчик выступает в роли обработчика ПДн по поручению оператора (например, IT-компания обслуживает CRM с данными клиентов). В этом случае оформляется договор поручения на обработку ПДн (ст. 6, ч. 3 ФЗ-152), а согласие у субъектов не запрашивается дополнительно;
• если передача данных основана на законе (например, в ФНС, ФСС, ПФР).

Обоснование по законодательству

• Ст. 6 ФЗ-152, ч. 1 — обработка допускается без согласия только в случаях, прямо установленных законом или договором.
• Ст. 6 ФЗ-152, ч. 3 — оператор вправе поручить обработку ПДн другому лицу по договору, при этом согласие субъекта не требуется, но оператор несёт ответственность.
• Ст. 9 ФЗ-152 — согласие субъекта обязательно, если нет иного законного основания.

Практика проверок Роскомнадзора

В компании передавали данные клиентов подрядчику для маркетинговой рассылки без согласия. Проверка признала это нарушением, так как договор с подрядчиком не освобождает от необходимости согласия субъекта.

Другая организация поручила IT-подрядчику обслуживание серверов с базой данных сотрудников. Роскомнадзор подтвердил: отдельное согласие не нужно, если заключён договор на обработку ПДн и подрядчик выполняет функции обработчика.

Важный нюанс

Если подрядчик получает данные для своих целей, согласие субъекта обязательно.

Если подрядчик работает по поручению оператора, согласие не требуется, но договор должен включать: перечень действий с ПДн, обязанности по обеспечению безопасности, запрет на передачу третьим лицам.

Рекомендации и выводы

При передаче данных подрядчику:

1. Определите, кто подрядчик — обработчик по поручению или отдельный оператор.
2. Если подрядчик — обработчик, заключите договор на обработку ПДн.
3. Если подрядчик использует данные для своих целей — получите письменное согласие субъектов.
4. Включите порядок работы с подрядчиками в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации подготовить договоры с подрядчиками по требованиям ФЗ-152, разработать формы согласий для случаев передачи данных и включить всё это в пакет документов. Это защитит бизнес от претензий Роскомнадзора и штрафов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге