Иконка поиска
Логотип Все адвокаты
Иконка поиска

Вопрос

Гражданское право

Вопросы по обработке персональных данных, согласию субъектов и уведомлению Роскомнадзора согласно 152-ФЗ и КоАП РФ

Здравствуйте. Нужна консультация по соблюдению требований Федерального закона №152-ФЗ «О персональных данных» с учетом изменений, вступающих в силу 30 мая 2025 года, а также КоАП РФ (новая редакция ст. 13.11). Наша компания занимается B2B-услугами и обрабатывает персональные данные физлиц в разных ситуациях: 1. На сайте есть форма обратной связи, где посетители оставляют ФИО, телефон и email для бесплатной консультации. Там написано: «Нажимая кнопку, вы даёте согласие на обработку персональных данных». Вопрос: хватает ли этого текста по закону, или надо делать отдельную форму согласия с чек-боксом или письменным вариантом? 2. Для одного клиента мы управляем корпоративной мобильной связью и обрабатываем данные их сотрудников. В договоре с клиентом есть пункт о праве на обработку ПДн, но сами сотрудники не подписывают отдельного согласия. Вопрос: обязательно ли получать согласие от этих сотрудников, или договора с клиентом достаточно? 3. Для другого клиента мы выплачиваем компенсации физлицам по договору комиссии. Раньше в договоре было условие, что клиент должен получить согласие от физлиц, но его юрист вычеркнул это, сказав, что согласие не нужно из-за п.5 ст.6 152-ФЗ (гражданско-правовой договор). Вопрос: правда ли, что в таком случае, когда мы как комиссионер не контактируем напрямую с физлицами, их согласие не требуется? 4. Наша бухгалтерия ведется на аутсорсе, и мы передаем данные физлиц (ФИО, ИНН, реквизиты карт) компании-аутсорсеру для формирования и отправки платежей. Вопрос: нужно ли получать отдельное согласие от физлиц на эту передачу и заключать с аутсорсером договор на обработку ПДн? 5. Нужно ли нам подавать уведомление о намерении обрабатывать ПДн в Роскомнадзор? Если да — как правильно его оформить и какие риски могут быть, если его не подать? Спасибо заранее.

Вопрос №14441Ответы: 1
20.10.2025
Аватар НейроадвокатаНейроадвокат
Гражданское правоНужен документ
Соблюдение требований Федерального закона №152-ФЗ «О персональных данных» при обработке ПДн в B2B-услугах

1. Форма согласия на сайте

Анализ ситуации: Текущая форма с текстом "Нажимая кнопку, вы даёте согласие на обработку персональных данных" не соответствует требованиям законодательства.

Применимые нормы:

"Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 9)

"Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 9)

Выводы и рекомендации:

  • Текущая форма согласия не соответствует требованиям закона
  • Необходимо создать отдельную форму согласия с чек-боксом, содержащую все обязательные сведения
  • Согласие должно быть конкретным и информированным

2. Обработка данных сотрудников клиента при управлении корпоративной связью

Анализ ситуации: Обработка персональных данных сотрудников клиента без их прямого согласия.

Применимые нормы:

"Обработка персональных данных допускается в следующих случаях: обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 6)

"Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: наименование либо фамилия, имя, отчество и адрес оператора или его представителя; цель обработки персональных данных и ее правовое основание; перечень персональных данных; предполагаемые пользователи персональных данных; установленные настоящим Федеральным законом права субъекта персональных данных; источник получения персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 18)

Выводы и рекомендации:

  • Договора с клиентом недостаточно для освобождения от обязанности уведомлять сотрудников
  • Необходимо уведомить сотрудников об обработке их данных в соответствии со ст. 18 ФЗ-152
  • Рекомендуется получить прямое согласие сотрудников или обеспечить, чтобы клиент как оператор данных своих сотрудников предоставил вам необходимое правовое основание

3. Выплаты компенсаций по договору комиссии

Анализ ситуации: Обработка персональных данных при выплате компенсаций без прямого контакта с физлицами.

Применимые нормы:

"Обработка персональных данных допускается в следующих случаях: обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 6)

Выводы и рекомендации:

  • Юрист клиента прав в том, что п. 5 ст. 6 152-ФЗ может служить основанием для обработки без согласия
  • Однако необходимо убедиться, что обработка строго ограничена целями исполнения договора
  • Рекомендуется документально зафиксировать правовое основание обработки в договоре комиссии

4. Передача данных бухгалтерии на аутсорсинг

Анализ ситуации: Передача персональных данных (ФИО, ИНН, реквизиты карт) аутсорсинговой компании.

Применимые нормы:

"Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 6)

"Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 6)

Выводы и рекомендации:

  • Отдельное согласие физлиц на передачу данных аутсорсеру не требуется
  • ОБЯЗАТЕЛЬНО заключение договора на обработку ПДн с аутсорсером
  • В договоре должны быть определены цели, перечень данных и меры защиты

5. Уведомление в Роскомнадзор

Анализ ситуации: Необходимость подачи уведомления о обработке ПДн.

Применимые нормы:

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 22)

"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 22)

Применимые нормы ответственности:

"Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на юридических лиц - от ста тысяч до трехсот тысяч рублей." (Источник: Кодекс Российской Федерации об административных правонарушениях, Статья 13.11)

Выводы и рекомендации:

  • Поскольку обработка ведется с использованием средств автоматизации (сайт, базы данных), уведомление в Роскомнадзор ОБЯЗАТЕЛЬНО
  • Неподача уведомления влечет административную ответственность по ст. 13.11 КоАП РФ
  • Уведомление подается до начала обработки данных

Общие выводы и рекомендации

  1. Срочно привести форму согласия на сайте в соответствие с требованиями ст. 9 152-ФЗ
  2. Урегулировать вопрос с обработкой данных сотрудников клиента - либо получить их согласие, либо обеспечить надлежащее уведомление
  3. Заключить договор на обработку ПДн с бухгалтерским аутсорсером
  4. Подать уведомление в Роскомнадзор о обработке персональных данных
  5. Разработать и внедрить политику обработки ПДн и локальные акты по защите данных

Учитывая комплексный характер нарушений и значительные штрафы по новой редакции ст. 13.11 КоАП РФ, рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных, для разработки полного комплекса документов и приведения деятельности в соответствие с законодательством.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение