Нужно ли согласие на передачу данных контрагентам по договору?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, в большинстве случаев согласие требуется. Передача персональных данных контрагентам (например, поставщикам, подрядчикам, партнёрам) квалифицируется как обработка ПДн. Для её законности необходимо либо наличие прямого основания в законе, либо письменное согласие субъекта данных.

Когда согласие не требуется:

- если субъект сам является стороной договора и передаёт свои данные напрямую (например, клиент заключает договор с подрядчиком и лично сообщает свои данные);
- если обязанность передачи данных предусмотрена федеральным законом (например, передача информации госорганам в рамках установленных требований).

Когда согласие необходимо:

- если компания передаёт данные своих сотрудников (ФИО, должность, контакты) партнёрам для исполнения договора;
- если в договоре фигурируют персональные данные третьих лиц, которые сами его не подписывают;
- если передача выходит за рамки целей, прямо закреплённых в договоре.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — передача данных является обработкой ПДн.
• Ст. 6 ч. 1 п. 5 ФЗ-152 — согласие не требуется, если обработка необходима для исполнения договора, стороной которого является субъект.
• Ст. 6 ч. 1 п. 2 ФЗ-152 — согласие не требуется, если обработка установлена законом.
• Ст. 9 ФЗ-152 — в остальных случаях требуется согласие субъекта, оформленное письменно или в форме электронного документа.
• Ст. 19 ФЗ-152 — оператор обязан обеспечивать защиту ПДн при их передаче.

Практика и позиция Роскомнадзора

Роскомнадзор неоднократно подчёркивал: если компания передаёт ПДн сотрудников своим контрагентам (например, для организации пропусков, доставки документов, обеспечения взаимодействия), то это требует согласия работников.

В одной проверке выявили, что организация передавала списки сотрудников (ФИО, телефоны, e-mail) подрядчику для внутреннего взаимодействия без согласий. Роскомнадзор указал, что у работников не было возможности контролировать использование их данных, и обязал компанию оформить согласия и локальные акты.

Важный момент для организаций

Факт заключения договора между двумя юрлицами не является основанием для автоматической передачи ПДн сотрудников. Работодатель обязан либо получить согласие работников, либо включить порядок передачи данных в трудовые и внутренние документы, если это прямо связано с исполнением их обязанностей.

Рекомендации и выводы

Да, согласие на передачу данных контрагентам по договору в большинстве случаев необходимо. Чтобы действовать законно:

1. Определите, чьи именно данные передаются и в каких целях.
2. Если субъект не является стороной договора, оформите письменное согласие.
3. Чётко укажите цель передачи (например, «для обеспечения доступа на территорию контрагента»).
4. Включите порядок передачи данных контрагентам в комплект документов по ФЗ-152.

Компания ICTech подготовит для вашей организации формы согласий, регламенты взаимодействия с контрагентами и полный пакет документов по ФЗ-152, что позволит избежать претензий Роскомнадзора и штрафов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге