Передача персональных данных третьим лицам: основания, порядок и требования закона по 152-ФЗ

В эпоху цифровой экономики обмен информацией стал неотъемлемой частью бизнес-процессов любой организации. Компании ежедневно взаимодействуют с банками, контрагентами и государственными органами, обмениваясь важными сведениями. Каждый шаг сопряжен с серьезными юридическими рисками. Федеральный закон № 152-ФЗ устанавливает жесткие рамки для любого обмена конфиденциальной информацией. В 2026 году контроль со стороны Роскомнадзора усиливается, поэтому ошибки в документах становятся недопустимыми. Многие руководители и юристы часто задаются вопросом: что значит передача персональных данных третьим лицам с точки зрения закона? Это не просто техническая отправка файла или доступ к базе, а полноценное юридическое действие, требующее строгого соблюдения регламентов.

Оператор ПДн несет полную ответственность за безопасность сведений после их передачи другому лицу. Поэтому критически важно правильно оформлять взаимоотношения. Ключевым инструментом легализации такого обмена часто выступает согласие на передачу персональных данных третьим лицам. Получение этого документа от субъекта - базовое требование, за исключением случаев, прямо предусмотренных законодательством. Игнорирование необходимости получения разрешения может привести к крупным штрафам и судебным искам.

Закон требует, чтобы цель передачи персональных данных третьим лицам была конкретной и законной. Нельзя передавать личную информацию для неясных будущих нужд. Несоблюдение этого принципа - это серьезное нарушение прав. В статье мы подробно разберем все законные основания, порядок оформления документации, обязанности оператора и меры ответственности.

Основные понятия

Федеральный закон «О персональных данных» №152 ФЗ – создан для создания правовой основы обращения с ПДн физических лиц и реализации конституционных прав человека.

Обработчик данных- это лицо, которое осуществляет обработку ПДн по поручению оператора. Обработчик действует строго в рамках установленных оператором инструкций.

Согласие на передачу ПДн третьим лицам - это письменное разрешение субъекта, которое предоставляет оператору правовое основание для передачи конфиденциальных сведений другим организациям. Без этого документа любая передача сведений - нарушение законодательства, если нет иных оснований, предусмотренных Федеральным законом № 152-ФЗ.

Правовые основы взаимодействия

Передача персональных данных оператором третьим лицам осуществляется исключительно при наличии одного из следующих оснований:

• Письменного согласия, оформленного в виде соглашения о передаче ПДн третьим лицам, форма которого разрабатывается заранее;

• Договора поручения об обработке личных материалов, заключённого между оператором и обработчиком (третьим лицом);

• Прямого указания федерального закона или иных предусмотренных законодательством оснований.

Процедура требует соблюдения установленных требований к документальному оформлению взаимоотношений. Договор поручения, регулирующий такую передачу, должен содержать:

• Исчерпывающий перечень передаваемых ПДн;

• Чётко определённые цели обработки ПДн;

• Обязанности обработчика (третьего лица);

• Конкретные меры по обеспечению безопасности ПДн.

Соглашение о передаче персональных данных третьим лицам обязательно в случаях, когда основанием передачи выступает согласие субъекта данных.

Практические примеры

Передача персональных данных третьим лицам порядок процедуры требует строгого соблюдения этапов и условий, установленных законодательством.

Зарплатный проект: Работодатель получает согласие сотрудника. Заключает договор с банком. Передает необходимые материалы для выплаты зарплаты. Банк обрабатывает информацию в рамках своих целей.

Аутсорсинг кадровых услуг:

• Работодатель заключает договор с кадровым агентством.

• Получает дополнительное согласие сотрудников.

• Указывает конкретные цели обработки.

• Контролирует действия обработчика.

При распределении ответственности оператор:

• Несет полную юридическую ответственность.

• Определяет порядок обработки данных.

• Защищает права субъектов.

• Контролирует действия обработчика.

Обработчик:

• Выполняет только порученные операции.

• Соблюдает конфиденциальность.

• Не запрашивает самостоятельное согласие субъектов.

• Отвечает за нарушение инструкций оператора.

Информация по безопасности

Для обеспечения законности и защиты прав субъектов критически важно тщательно проработать все аспекты документального оформления при передаче сведений:

• Обязательно четко формулировать цели обработки и способы передачи персональных данных третьим лицам в документах.

• Детально прописывать обязанности обработчика.

• Включать положения о конфиденциальности.

• Определять ответственность за нарушения.

• Регулярно контролировать действия обработчика.

Соблюдение этих правил позволит эффективно организовать обработку ПДн и минимизировать риски нарушения законодательства о защите информации.

Согласие не требуетсяпри наличии специального правового основания.

Ответственностьза незаконную передачу ПДн несут:

• Организация-оператор

• Конкретное должностное лицо, осуществившее передачу

Ответственность наступает в случае:

• передача персональных данных третьим лицам без согласия субъекта

• если получение согласия было обязательным по закону

Важно помнить, что соблюдение этих правил обязательно для всех операторов ПДн и служит гарантией защиты прав субъектов информации.

Наказание за передачу персональных данных третьим лицам

Нарушение требований Федерального закона № 152-ФЗ, включая незаконную передачу ПДн третьим лицам без согласия субъекта и нарушение неприкосновенности частной жизни, влечёт ответственность по следующим нормам:

• По части 1 статьи 137 УК РФ: Штраф до 200 000 рублей, лишение свободы до 2 лет, лишение права занимать определенные должности до 3 лет.

• По части 3 статьи 137 УК РФ (применительно к несовершеннолетним): Штраф 150 000 - 350 000 рублей, штраф в размере дохода за 18 месяцев - 3 года, лишение права занимать определенные должности 3-5 лет, принудительные работы до 5 лет

• Арест до 6 месяцев, лишение свободы до 5 лет.

Ответственность наступает за: умышленные действия, незаконный сбор, распространение информации без согласия, публичное демонстрирование личной информации.

Штраф за утечку сведений: размер штрафа теперь зависит от объема утерянных материалов: от 200.00 руб до 15.000.000 руб

Статья 272.1 УК РФвводит ответственность за:

• Незаконное использование и распространение ПДн.

• Незаконный сбор и хранение ПДн.

• Создание ресурсов для незаконного распространения.

Максимальное наказание:

• До 10 лет лишения свободы

• Штраф до 3 000 000 руб.

В прошлом году Роскомнадзор ввел штрафы за нарушения при работе с персональными данными по 152-ФЗ, которые актуальны и в 2026 году:

• За неуведомление о намерении обрабатывать данные до 300.000 руб

• За неуведомление об утечке данных до 3 000 000 руб.

Помните: любые организации или ИП, работающие с персональными данными, может проверить РКН.

В 2026 году передача персональных данных третьим лицам возможна исключительно при неукоснительном соблюдении оснований, порядка и требований Федерального закона № 152-ФЗ - это не только правовая обязанность оператора, но и фундамент доверия, защиты прав граждан и устойчивого развития бизнеса в условиях усиления регуляторного контроля.