Передача персональных данных для исполнения договора
Подборка наиболее важных документов по запросу Передача персональных данных для исполнения договора (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Судебная практика
Позиции судов по спорным вопросам. Административная ответственность и проверки: Предписание Роскомнадзора
(КонсультантПлюс, 2026)Признается недействительным предписание Роскомнадзора, которое выдано из-за несоответствия закону согласия работника на передачу персональных данных, но для целей передачи такое согласие не требовалось (данные переданы для исполнения договора в интересах работника: ДМС, санаторно-курортное лечение, предоставление служебного жилья и т.п.)
(КонсультантПлюс, 2026)Признается недействительным предписание Роскомнадзора, которое выдано из-за несоответствия закону согласия работника на передачу персональных данных, но для целей передачи такое согласие не требовалось (данные переданы для исполнения договора в интересах работника: ДМС, санаторно-курортное лечение, предоставление служебного жилья и т.п.)
Позиции судов по спорным вопросам. Трудовое право: Персональные данные в трудовом договоре
(КонсультантПлюс, 2026)Не признается нарушением обработки персональных данных передача работодателем сведений о работнике, содержащихся в трудовом договоре (ФИО, доход и пр.), его руководителю (заместителю руководителя) для исполнения должностных обязанностей, даже если от работника не получено согласие на передачу данных этому лицу, но получено общее согласие на их обработку
(КонсультантПлюс, 2026)Не признается нарушением обработки персональных данных передача работодателем сведений о работнике, содержащихся в трудовом договоре (ФИО, доход и пр.), его руководителю (заместителю руководителя) для исполнения должностных обязанностей, даже если от работника не получено согласие на передачу данных этому лицу, но получено общее согласие на их обработку
Статьи, комментарии, ответы на вопросы
Статья: Ответы Банка России на вопросы (предложения) банков, поступившие в рамках ежегодной встречи кредитных организаций с руководством регулятора (Приложение к Письму Банка России от 24.07.2023 N 03-23-16/6611)
("Официальный сайт Ассоциации "Россия", 2023)Справочно. В соответствии с частью 15 статьи 12 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) Правительство Российской Федерации определяет случаи, при которых требования в части уведомления Роскомнадзора о намерении осуществлять трансграничную передачу персональных данных не применяются к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей. Указанные случаи определены в Постановлении Правительства Российской Федерации от 29 декабря 2022 года N 2526 "Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3 - 6, 8 - 11 статьи 12 Федерального закона "О персональных данных" (далее - Постановление Правительства Российской Федерации N 2526). Указание на иные случаи, при которых требования в части уведомления Роскомнадзора о намерении осуществлять трансграничную передачу персональных данных не применяются к операторам, осуществляющим трансграничную передачу персональных данных, в Федеральном законе N 152-ФЗ отсутствует.
("Официальный сайт Ассоциации "Россия", 2023)Справочно. В соответствии с частью 15 статьи 12 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) Правительство Российской Федерации определяет случаи, при которых требования в части уведомления Роскомнадзора о намерении осуществлять трансграничную передачу персональных данных не применяются к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей. Указанные случаи определены в Постановлении Правительства Российской Федерации от 29 декабря 2022 года N 2526 "Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3 - 6, 8 - 11 статьи 12 Федерального закона "О персональных данных" (далее - Постановление Правительства Российской Федерации N 2526). Указание на иные случаи, при которых требования в части уведомления Роскомнадзора о намерении осуществлять трансграничную передачу персональных данных не применяются к операторам, осуществляющим трансграничную передачу персональных данных, в Федеральном законе N 152-ФЗ отсутствует.
Вопрос: Организация-контрагент оказывает ООО услугу в рамках договора, привлекая для этого своих работников. Необходимо ли ООО оформлять согласие на обработку персональных данных с этими работниками, если для работы с ними используются их персональные данные?
(Консультация эксперта, 2026)Ответ: Нет, если персональные данные работников организации-контрагента передаются в рамках исполнения договора и организация-контрагент получила от своих работников согласие на передачу их персональных данных третьим лицам.
(Консультация эксперта, 2026)Ответ: Нет, если персональные данные работников организации-контрагента передаются в рамках исполнения договора и организация-контрагент получила от своих работников согласие на передачу их персональных данных третьим лицам.
Нормативные акты
Федеральный закон от 27.07.2006 N 152-ФЗ
(ред. от 24.06.2025)
"О персональных данных"3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона.
(ред. от 24.06.2025)
"О персональных данных"3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона.
Вопрос: Надо ли запрашивать отдельное согласие работника на передачу его персональных данных, указанных в договоре об оказании услуг, третьим лицам (с указанием контрагента)? Вправе ли контрагент передавать его данные своим работникам?
(Консультация эксперта, 2026)В частности, при привлечении сторонних организаций (на основании заключенных с ними договоров) для выполнения каких-либо услуг, которые будут затрагивать обработку персональных данных работника, работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Закона N 152-ФЗ, в том числе получить согласие работников на передачу их персональных данных.
(Консультация эксперта, 2026)В частности, при привлечении сторонних организаций (на основании заключенных с ними договоров) для выполнения каких-либо услуг, которые будут затрагивать обработку персональных данных работника, работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Закона N 152-ФЗ, в том числе получить согласие работников на передачу их персональных данных.
Статья: Защита прав граждан от необоснованного сбора персональных данных
(Абрамян С.К.)
("Право и экономика", 2024, N 5)При рассмотрении исков о защите персональных данных потребителя суды исходят из самого факта нарушения неприкосновенности персональных данных или факта их незаконной передачи третьим лицам без согласия потребителя. В зависимости от обстоятельств нарушения суды дают оценку правомерности предоставленного доступа к персональным данным или их использования. Согласно проведенному исследованию практика не определилась в позиции, следует ли однозначно устанавливать конкретный перечень третьих лиц, которым могут быть переданы персональные данные потребителя, нарушается ли право потребителя в случае отсутствия у него возможности отказаться от передачи персональных данных третьим лицам. Суды должны учитывать при этом, использовались ли персональные данные потребителя для исполнения его обязательств как стороны договора. Законодатель не определил персональные данные в качестве гражданско-правовой категории. Для обеспечения надлежащего восстановления прав истца по делам этой категории следует признать персональные данные личными нематериальными благами, что позволит признавать их объектом личного неимущественного права.
(Абрамян С.К.)
("Право и экономика", 2024, N 5)При рассмотрении исков о защите персональных данных потребителя суды исходят из самого факта нарушения неприкосновенности персональных данных или факта их незаконной передачи третьим лицам без согласия потребителя. В зависимости от обстоятельств нарушения суды дают оценку правомерности предоставленного доступа к персональным данным или их использования. Согласно проведенному исследованию практика не определилась в позиции, следует ли однозначно устанавливать конкретный перечень третьих лиц, которым могут быть переданы персональные данные потребителя, нарушается ли право потребителя в случае отсутствия у него возможности отказаться от передачи персональных данных третьим лицам. Суды должны учитывать при этом, использовались ли персональные данные потребителя для исполнения его обязательств как стороны договора. Законодатель не определил персональные данные в качестве гражданско-правовой категории. Для обеспечения надлежащего восстановления прав истца по делам этой категории следует признать персональные данные личными нематериальными благами, что позволит признавать их объектом личного неимущественного права.
Готовое решение: Как составить договор аутсорсинга
(КонсультантПлюс, 2026)Условия, которые позволят оператору выполнить его обязанности в связи с обработкой переданных исполнителю персональных данных, также рекомендуем включить в договор аутсорсинга. В частности, условие об обязанности исполнителя заблокировать персональные данные в случае выявления их неправомерной обработки и уточнить персональные данные в случае подтверждения факта их неточности (ч. 1, 2 ст. 21 Закона о персональных данных).
(КонсультантПлюс, 2026)Условия, которые позволят оператору выполнить его обязанности в связи с обработкой переданных исполнителю персональных данных, также рекомендуем включить в договор аутсорсинга. В частности, условие об обязанности исполнителя заблокировать персональные данные в случае выявления их неправомерной обработки и уточнить персональные данные в случае подтверждения факта их неточности (ч. 1, 2 ст. 21 Закона о персональных данных).
Статья: Закон США NDAA 2021 и правовые проблемы обеспечения банками конфиденциальности информации
(Лаутс Е.Б.)
("Банковское право", 2021, N 5)При этом ст. 6 Закона о персональных данных допускает ряд случаев, когда обработка персональных данных субъекта возможна без его согласия, в частности, когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. В рассматриваемом случае отказ от представления сведений по запросу по закону может привести к невозможности исполнения договора между банком и клиентом вследствие блокировки корреспондентского счета банка в долларах США. Согласно п. 4 ст. 12 Закона о персональных данных, трансграничная передача персональных данных возможна даже на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, и может осуществляться в случае исполнения договора, стороной которого является субъект персональных данных. Тем не менее в случае возникновения спора с клиентом существует риск признания такой передачи неправомерной, поскольку информация запрашивается третьим лицом, не являющимся стороной по договору банковского счета между банком и клиентом <22>. Кроме того, как было отмечено, персональные данные могут одновременно являться объектами банковской тайны, для которой установлен более жесткий режим передачи.
(Лаутс Е.Б.)
("Банковское право", 2021, N 5)При этом ст. 6 Закона о персональных данных допускает ряд случаев, когда обработка персональных данных субъекта возможна без его согласия, в частности, когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. В рассматриваемом случае отказ от представления сведений по запросу по закону может привести к невозможности исполнения договора между банком и клиентом вследствие блокировки корреспондентского счета банка в долларах США. Согласно п. 4 ст. 12 Закона о персональных данных, трансграничная передача персональных данных возможна даже на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, и может осуществляться в случае исполнения договора, стороной которого является субъект персональных данных. Тем не менее в случае возникновения спора с клиентом существует риск признания такой передачи неправомерной, поскольку информация запрашивается третьим лицом, не являющимся стороной по договору банковского счета между банком и клиентом <22>. Кроме того, как было отмечено, персональные данные могут одновременно являться объектами банковской тайны, для которой установлен более жесткий режим передачи.
Готовое решение: Кто такой агент в агентском договоре, его права и обязанности
(КонсультантПлюс, 2026)Да, несет, так же как любой оператор персональных данных. Оператор (иное лицо, получившее доступ к персональным данным) не имеет права раскрывать третьим лицам и распространять персональные данные без согласия субъекта этих данных (ст. 7 Закона о персональных данных).
(КонсультантПлюс, 2026)Да, несет, так же как любой оператор персональных данных. Оператор (иное лицо, получившее доступ к персональным данным) не имеет права раскрывать третьим лицам и распространять персональные данные без согласия субъекта этих данных (ст. 7 Закона о персональных данных).
Статья: Правовые аспекты обработки банками данных клиентов: между Сциллой и Харибдой
(Ушаков Д.А.)
("Банковское право", 2022, N 2)Реализация этих процессов предусматривает передачу персональных данных многочисленным партнерам банка: это и страховые компании, и мобильные операторы, и коллекторские агентства и т.п. Такой информационный обмен сложно напрямую отнести к целям исполнения кредитного договора, поэтому для его осуществления необходимо иное правовое основание для обработки персональных данных. В качестве такого правового основания потенциально могла бы выступить еще одна норма Федерального закона N 152-ФЗ, зафиксированная в п. 7 ч. 1 ст. 6, устанавливающая возможность обработки персональных данных без согласия субъекта в целях осуществления прав и законных интересов оператора, однако оценочный характер, а также недостаточная четкость формулировок допускают ее различное толкование и порождают серьезные риски в правоприменении. И банкам в данной ситуации в целях минимизации регуляторных рисков намного проще использовать проверенный временем способ получения права на обработку персональных данных, предусматривающий оформление согласия.
(Ушаков Д.А.)
("Банковское право", 2022, N 2)Реализация этих процессов предусматривает передачу персональных данных многочисленным партнерам банка: это и страховые компании, и мобильные операторы, и коллекторские агентства и т.п. Такой информационный обмен сложно напрямую отнести к целям исполнения кредитного договора, поэтому для его осуществления необходимо иное правовое основание для обработки персональных данных. В качестве такого правового основания потенциально могла бы выступить еще одна норма Федерального закона N 152-ФЗ, зафиксированная в п. 7 ч. 1 ст. 6, устанавливающая возможность обработки персональных данных без согласия субъекта в целях осуществления прав и законных интересов оператора, однако оценочный характер, а также недостаточная четкость формулировок допускают ее различное толкование и порождают серьезные риски в правоприменении. И банкам в данной ситуации в целях минимизации регуляторных рисков намного проще использовать проверенный временем способ получения права на обработку персональных данных, предусматривающий оформление согласия.
Статья: Значение подписи как реквизита письменной формы
(Джумагулов Д.Д.)
("Закон", 2024, N 5)На наш взгляд, собственноручная подпись подтверждает серьезность намерений. В особенности это видно, когда стороны используют эту функцию подписи, предусматривая необходимость проставления подписи под отдельными условиями договора, например при совершении медицинских процедур, передаче персональных данных, ознакомлении с положениями материальной ответственности работника и т.п.
(Джумагулов Д.Д.)
("Закон", 2024, N 5)На наш взгляд, собственноручная подпись подтверждает серьезность намерений. В особенности это видно, когда стороны используют эту функцию подписи, предусматривая необходимость проставления подписи под отдельными условиями договора, например при совершении медицинских процедур, передаче персональных данных, ознакомлении с положениями материальной ответственности работника и т.п.
Статья: Особенности формирования межсистемных правовых образований для регулирования защиты персональных данных при их трансграничной передаче
(Нефедов Б.И., Истомин Н.А.)
("Российский юридический журнал", 2021, N 2)"a) право этого государства или международной организации, включая применимые международные договоры или соглашения; или
(Нефедов Б.И., Истомин Н.А.)
("Российский юридический журнал", 2021, N 2)"a) право этого государства или международной организации, включая применимые международные договоры или соглашения; или
Статья: Правовые проблемы обеспечения права на приватность при монетизации пользовательских данных в финансовой сфере
(Терещенко И.А.)
("Закон", 2025, N 9)Кроме того, монетизация данных характеризуется значительным дисбалансом интересов, при котором выгоду получают преимущественно банки, тогда как пользователи остаются без компенсации за использование их ПД: клиенты не обладают достаточным контролем над своими данными, в то время как финансовые организации активно задействуют их для максимизации прибыли. Анализ практики обработки персональных данных в банковском секторе свидетельствует о наличии случаев избыточного сбора и использования информации о клиентах, в то время как достижение заявленных целей зачастую требует лишь минимального объема данных. В этой связи представляется целесообразным формирование и внедрение единых стандартов деловой практики, ориентированных на соблюдение принципа соразмерности объема обрабатываемых данных целям их обработки. Особое внимание следует уделить обязательному получению отдельного согласия субъекта персональных данных в тех случаях, когда предполагаемая обработка выходит за рамки целей, прямо связанных с исполнением договорных обязательств. При этом вопросы безопасности данных остаются недостаточно решенными, поскольку передача информации третьим лицам и эксперименты с профайлингом существенно повышают риски утечек и злоупотреблений.
(Терещенко И.А.)
("Закон", 2025, N 9)Кроме того, монетизация данных характеризуется значительным дисбалансом интересов, при котором выгоду получают преимущественно банки, тогда как пользователи остаются без компенсации за использование их ПД: клиенты не обладают достаточным контролем над своими данными, в то время как финансовые организации активно задействуют их для максимизации прибыли. Анализ практики обработки персональных данных в банковском секторе свидетельствует о наличии случаев избыточного сбора и использования информации о клиентах, в то время как достижение заявленных целей зачастую требует лишь минимального объема данных. В этой связи представляется целесообразным формирование и внедрение единых стандартов деловой практики, ориентированных на соблюдение принципа соразмерности объема обрабатываемых данных целям их обработки. Особое внимание следует уделить обязательному получению отдельного согласия субъекта персональных данных в тех случаях, когда предполагаемая обработка выходит за рамки целей, прямо связанных с исполнением договорных обязательств. При этом вопросы безопасности данных остаются недостаточно решенными, поскольку передача информации третьим лицам и эксперименты с профайлингом существенно повышают риски утечек и злоупотреблений.
Статья: Что станет с моим "цифровым наследием", когда я умру?
(Де Роза Р.Э.)
("Право и цифровая экономика", 2022, NN 1, 2)Что касается защиты частной жизни умерших, то Суд напоминает, что Регламент ЕС N 679/2016 защищает право на защиту персональных данных живых людей. Кроме того, в соответствии со статьей 6 (b) обработка персональных данных является законной, если она необходима для выполнения договора, стороной которого является субъект данных. На самом деле было сказано, что наследник занимает ту же договорную позицию, что и умерший.
(Де Роза Р.Э.)
("Право и цифровая экономика", 2022, NN 1, 2)Что касается защиты частной жизни умерших, то Суд напоминает, что Регламент ЕС N 679/2016 защищает право на защиту персональных данных живых людей. Кроме того, в соответствии со статьей 6 (b) обработка персональных данных является законной, если она необходима для выполнения договора, стороной которого является субъект данных. На самом деле было сказано, что наследник занимает ту же договорную позицию, что и умерший.