Нужно ли согласие на пересылку персональных данных между филиалами?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, пересылка персональных данных между филиалами компании считается обработкой ПДн и требует соблюдения правил ФЗ-152. Наличие отдельного согласия зависит от целей обработки: если филиалы действуют в рамках одного юридического лица и данные передаются только для исполнения договора или выполнения обязанностей оператора, согласие может не требоваться. Но если пересылка связана с дополнительными целями (например, маркетинг, реклама, фото- или видеопубликации), согласие необходимо.

Когда согласие не требуется:

• филиалы входят в состав одного юридического лица и обрабатывают данные в рамках договорных отношений с субъектом (например, для предоставления услуги или ведения бухгалтерии);
• передача данных закреплена внутренними регламентами и не выходит за цели, заявленные при их сборе.

Когда согласие обязательно:

• если данные пересылаются в сторонние организации (например, подрядчикам);
• если передаются специальные категории данных (сведения о здоровье, биометрия), которые по закону требуют письменного согласия;
• если филиалы используют данные сверх первоначальных целей (например, филиал собирал данные только для записи в зал, а их передают в другой филиал для маркетинговой рассылки).

Обоснование по законодательству

• Ст. 3 ФЗ-152 — обработкой признаётся любое действие с ПДн, включая передачу.
• Ст. 6 ФЗ-152, ч. 1, п. 2 — согласие не требуется, если обработка необходима для исполнения договора.
• Ст. 9 ФЗ-152, ч. 4 — для обработки специальных категорий данных нужно письменное согласие субъекта.
• Ст. 19 ФЗ-152 — оператор обязан обеспечивать безопасность ПДн при их передаче.

Практика и позиция Роскомнадзора

Роскомнадзор указывает, что филиалы одной организации не считаются самостоятельными операторами, а значит, пересылка данных между ними допустима без отдельного согласия, если это не выходит за рамки изначальных целей.
Пример: сеть клиник пересылала данные пациентов между филиалами для записи на приём. Проверка РКН подтвердила правомерность обработки, так как это было частью договора на оказание медицинских услуг.
В другом случае: сеть фитнес-клубов использовала данные клиентов одного филиала для рассылки рекламы от другого филиала без согласия. РКН признал это нарушением, так как цели обработки изменились.

Что важно учитывать компаниям

• Необходимо обеспечить безопасные каналы пересылки данных (шифрование, VPN, защищённая почта).
• В локальных актах компании нужно прописать порядок обмена данными между филиалами.
• Если пересылка связана с дополнительными целями, нужно запросить новое согласие субъекта.

Рекомендации и выводы

Да, пересылка данных между филиалами — это обработка ПДн. Согласие не нужно, если филиалы входят в одно юрлицо и действуют в рамках договора или закона. Но если данные используются для новых целей или передаются третьим лицам, согласие обязательно. Чтобы исключить риски:

1. Определите цели передачи данных и закрепите их документально.
2. Настройте техническую защиту каналов передачи.
3. Для специальных категорий данных оформляйте письменные согласия.
4. Включите порядок обмена ПДн между филиалами в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации оформить регламенты обмена данными между филиалами, подготовить формы согласий и полный пакет документов по ФЗ-152 для защиты бизнеса при проверках.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге