Вопросы по обработке персональных данных, согласию субъектов и уведомлению Роскомнадзора согласно 152-ФЗ и КоАП РФ
Вопрос #14441
Создан 20.10.2025 04:05
Бесплатный
вопрос
Здравствуйте. Нужна консультация по соблюдению требований Федерального закона №152-ФЗ «О персональных данных» с учетом изменений, вступающих в силу 30 мая 2025 года, а также КоАП РФ (новая редакция ст. 13.11). Наша компания занимается B2B-услугами и обрабатывает персональные данные физлиц в разных ситуациях: 1. На сайте есть форма обратной связи, где посетители оставляют ФИО, телефон и email для бесплатной консультации. Там написано: «Нажимая кнопку, вы даёте согласие на обработку персональных данных». Вопрос: хватает ли этого текста по закону, или надо делать отдельную форму согласия с чек-боксом или письменным вариантом? 2. Для одного клиента мы управляем корпоративной мобильной связью и обрабатываем данные их сотрудников. В договоре с клиентом есть пункт о праве на обработку ПДн, но сами сотрудники не подписывают отдельного согласия. Вопрос: обязательно ли получать согласие от этих сотрудников, или договора с клиентом достаточно? 3. Для другого клиента мы выплачиваем компенсации физлицам по договору комиссии. Раньше в договоре было условие, что клиент должен получить согласие от физлиц, но его юрист вычеркнул это, сказав, что согласие не нужно из-за п.5 ст.6 152-ФЗ (гражданско-правовой договор). Вопрос: правда ли, что в таком случае, когда мы как комиссионер не контактируем напрямую с физлицами, их согласие не требуется? 4. Наша бухгалтерия ведется на аутсорсе, и мы передаем данные физлиц (ФИО, ИНН, реквизиты карт) компании-аутсорсеру для формирования и отправки платежей. Вопрос: нужно ли получать отдельное согласие от физлиц на эту передачу и заключать с аутсорсером договор на обработку ПДн? 5. Нужно ли нам подавать уведомление о намерении обрабатывать ПДн в Роскомнадзор? Если да — как правильно его оформить и какие риски могут быть, если его не подать? Спасибо заранее.
ИИ Ассистент Платформы
Адвокат
A
<h2 id="no152-b2b-">Соблюдение требований Федерального закона №152-ФЗ «О персональных данных» при обработке ПДн в B2B-услугах</h2>
<h3 id="1">1. Форма согласия на сайте</h3>
<p><strong>Анализ ситуации:</strong> Текущая форма с текстом "Нажимая кнопку, вы даёте согласие на обработку персональных данных" не соответствует требованиям законодательства.</p>
<p><strong>Применимые нормы:</strong></p>
<blockquote>
<p>"Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 9)</p>
<p>"Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 9)</p>
</blockquote>
<p><strong>Выводы и рекомендации:</strong><br />
- Текущая форма согласия не соответствует требованиям закона<br />
- Необходимо создать отдельную форму согласия с чек-боксом, содержащую все обязательные сведения<br />
- Согласие должно быть конкретным и информированным</p>
<h3 id="2">2. Обработка данных сотрудников клиента при управлении корпоративной связью</h3>
<p><strong>Анализ ситуации:</strong> Обработка персональных данных сотрудников клиента без их прямого согласия.</p>
<p><strong>Применимые нормы:</strong></p>
<blockquote>
<p>"Обработка персональных данных допускается в следующих случаях: обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 6)</p>
<p>"Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: наименование либо фамилия, имя, отчество и адрес оператора или его представителя; цель обработки персональных данных и ее правовое основание; перечень персональных данных; предполагаемые пользователи персональных данных; установленные настоящим Федеральным законом права субъекта персональных данных; источник получения персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 18)</p>
</blockquote>
<p><strong>Выводы и рекомендации:</strong><br />
- Договора с клиентом недостаточно для освобождения от обязанности уведомлять сотрудников<br />
- Необходимо уведомить сотрудников об обработке их данных в соответствии со ст. 18 ФЗ-152<br />
- Рекомендуется получить прямое согласие сотрудников или обеспечить, чтобы клиент как оператор данных своих сотрудников предоставил вам необходимое правовое основание</p>
<h3 id="3">3. Выплаты компенсаций по договору комиссии</h3>
<p><strong>Анализ ситуации:</strong> Обработка персональных данных при выплате компенсаций без прямого контакта с физлицами.</p>
<p><strong>Применимые нормы:</strong></p>
<blockquote>
<p>"Обработка персональных данных допускается в следующих случаях: обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 6)</p>
</blockquote>
<p><strong>Выводы и рекомендации:</strong><br />
- Юрист клиента прав в том, что п. 5 ст. 6 152-ФЗ может служить основанием для обработки без согласия<br />
- Однако необходимо убедиться, что обработка строго ограничена целями исполнения договора<br />
- Рекомендуется документально зафиксировать правовое основание обработки в договоре комиссии</p>
<h3 id="4">4. Передача данных бухгалтерии на аутсорсинг</h3>
<p><strong>Анализ ситуации:</strong> Передача персональных данных (ФИО, ИНН, реквизиты карт) аутсорсинговой компании.</p>
<p><strong>Применимые нормы:</strong></p>
<blockquote>
<p>"Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 6)</p>
<p>"Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 6)</p>
</blockquote>
<p><strong>Выводы и рекомендации:</strong><br />
- Отдельное согласие физлиц на передачу данных аутсорсеру не требуется<br />
- ОБЯЗАТЕЛЬНО заключение договора на обработку ПДн с аутсорсером<br />
- В договоре должны быть определены цели, перечень данных и меры защиты</p>
<h3 id="5">5. Уведомление в Роскомнадзор</h3>
<p><strong>Анализ ситуации:</strong> Необходимость подачи уведомления о обработке ПДн.</p>
<p><strong>Применимые нормы:</strong></p>
<blockquote>
<p>"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 22)</p>
<p>"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, Статья 22)</p>
</blockquote>
<p><strong>Применимые нормы ответственности:</strong></p>
<blockquote>
<p>"Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на юридических лиц - от ста тысяч до трехсот тысяч рублей." (Источник: Кодекс Российской Федерации об административных правонарушениях, Статья 13.11)</p>
</blockquote>
<p><strong>Выводы и рекомендации:</strong><br />
- Поскольку обработка ведется с использованием средств автоматизации (сайт, базы данных), уведомление в Роскомнадзор ОБЯЗАТЕЛЬНО<br />
- Неподача уведомления влечет административную ответственность по ст. 13.11 КоАП РФ<br />
- Уведомление подается до начала обработки данных</p>
<h3 id="_1">Общие выводы и рекомендации</h3>
<ol>
<li><strong>Срочно привести форму согласия на сайте в соответствие с требованиями ст. 9 152-ФЗ</strong></li>
<li><strong>Урегулировать вопрос с обработкой данных сотрудников клиента</strong> - либо получить их согласие, либо обеспечить надлежащее уведомление</li>
<li><strong>Заключить договор на обработку ПДн с бухгалтерским аутсорсером</strong></li>
<li><strong>Подать уведомление в Роскомнадзор</strong> о обработке персональных данных</li>
<li><strong>Разработать и внедрить политику обработки ПДн</strong> и локальные акты по защите данных</li>
</ol>
<p>Учитывая комплексный характер нарушений и значительные штрафы по новой редакции ст. 13.11 КоАП РФ, рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных, для разработки полного комплекса документов и приведения деятельности в соответствие с законодательством.</p>
<p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>
20.10.2025 04:13