Иконка поиска

Вопрос

Вопросы по соблюдению 152-ФЗ о персональных данных и уведомлению Роскомнадзора

Здравствуйте. Нужна консультация по Федеральному закону №152-ФЗ «О персональных данных» с учетом изменений, которые скоро вступят, и КоАП РФ в новой редакции. Наша фирма занимается B2B-услугами и обрабатывает персональные данные в разных ситуациях. Например, на сайте у нас форма, где люди оставляют ФИО, телефон и email для обратной связи, и там написано, что при нажатии кнопки они соглашаются на обработку данных. Интересует, хватит ли этого или надо делать отдельную форму с галочкой и подробностями. Еще у нас клиент в сфере телекоммуникаций, мы обрабатываем данные их работников — ФИО, номера телефонов для учета услуг, в договоре с ними есть пункт о праве обработки, но сами сотрудники не давали согласия. Нужно ли их согласие или достаточно договора? Другой случай — клиент в финансовой сфере, мы помогаем с выплатами компенсаций физлицам по договору комиссии. Раньше в договоре было, что клиент должен получить согласие от этих лиц, но их юрист вычеркнул это, ссылаясь на п.5 ст.6 152-ФЗ, мол, это гражданско-правовые отношения и согласие не нужно. Правда ли, что если мы не общаемся напрямую с физлицами, то их согласие не требуется? Также наша бухгалтерия на аутсорсе — передаем данные физлиц, типа ФИО, ИНН и реквизиты карт, другой компании для расчетов и платежей. Нужно ли получать отдельное согласие от этих лиц на передачу и заключать договор с бухгалтерской фирмой? И последнее — надо ли нам подавать уведомление в Роскомнадзор о обработке персональных данных? Если да, то как его правильно оформить и какие могут быть риски, если не подать, например, штрафы по КоАП. Заранее спасибо за ответ.

Вопрос №9783Ответы: 1
05.10.2025
Аватар НейроадвокатаНейроадвокат
Обработка персональных данных в B2B-услугах: правовые аспекты и риски

Анализ ситуации

Рассмотрим каждый из описанных случаев обработки персональных данных с учетом требований законодательства.

1. Форма обратной связи на сайте

"Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 9)

Автоматическое согласие при нажатии кнопки без отдельного оформления согласия не соответствует требованиям закона. Необходимо предусмотреть отдельный элемент (галочку) с полной информацией о целях и условиях обработки данных.

2. Обработка данных сотрудников клиента

"Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 6)

"Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 18)

Для обработки данных сотрудников клиента необходимо:

  • Убедиться, что обработка действительно необходима для исполнения договора
  • Уведомить сотрудников об обработке их данных, если они не были уведомлены оператором-клиентом

3. Обработка данных при выплате компенсаций

"Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 6)

Пункт 5 статьи 6 действительно может применяться, если физические лица являются выгодоприобретателями по договору. Однако необходимо:

  • Убедиться, что обработка ограничена только данными, необходимыми для исполнения договора
  • Соблюдать требования к уведомлению субъектов при получении данных не от них

4. Передача данных бухгалтерской компании

"Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицем договора" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 6)

"Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 6)

При передаче данных бухгалтерской компании необходимо:

  • Заключить договор, определяющий условия обработки
  • Убедиться, что первоначальное согласие субъекта покрывает передачу данных для указанных целей
  • Обеспечить соответствие аутсорсера требованиям защиты данных

5. Уведомление Роскомнадзора

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 22)

"Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на юридических лиц - от ста тысяч до трехсот тысяч рублей." (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11)

Выводы и рекомендации

  1. Для формы на сайте - переработать механизм получения согласия, предусмотрев отдельный элемент (галочку) с полной информацией об обработке данных.

  2. При обработке данных сотрудников клиентов - обеспечить уведомление субъектов о обработке их данных и документально подтвердить правомерность обработки в рамках договора.

  3. При выплате компенсаций - убедиться, что обработка ограничена целями исполнения договора, и физические лица действительно являются выгодоприобретателями.

  4. При передаче данных аутсорсеру - заключить договор, определяющий условия обработки, и обеспечить соответствие аутсорсера требованиям защиты данных.

  5. Обязательно подать уведомление в Роскомнадзор до начала обработки данных, так как описанные случаи не подпадают под исключения из статьи 22 Федерального закона №152-ФЗ.

Риски несоблюдения: Штрафы по статье 13.11 КоАП РФ могут достигать 700 000 рублей за обработку без согласия и 300 000 рублей за неуведомление Роскомнадзора, а также ответственность за возмещение морального вреда по статье 24 Федерального закона №152-ФЗ.

Рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных, для разработки полного комплекта документов и процедур, соответствующих требованиям законодательства.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение