Есть ООО "Альфа". Функции её ЕИО переданы управляющей компании ООО "Бета" по договору о передаче полномочий. Вопрос: Как должна быть организована обработка персональных данных работников, если работники ООО "Альфа" давали согласие на обработку своих ПД только ООО "Альфа"? При этом фактически обработкой ПД занимается управляющая компания ООО "Бета". Нужно ли ООО "Бета" получить отдельные согласия с работников ООО "Альфа" на обработку их ПД (т.е. согласия на передачу ПД третьим лицам)? Нужно ли заключать договор поручения на обработку ПД между Альфа и Бета? Или в данном случае договор о передаче полномочий ЕИО будет являться аналогом договора поручения? Как правильно организовать обработку ПД работников Альфа чтобы не нарушить закон о ПД в данной части?

  •  2 декабря 2025 г.

Вопрос является достаточно спорным. Официальные разъяснения по ситуации, к сожалению, не обнаружены. Соответственно, мы выражаем наше мнение по указанной ситуации.

Нормы гражданского законодательства, предусматривающие возможность передачи осуществления функций единоличного исполнительного органа общества с ограниченной ответственностью юридическому лицу (п. 3 ст. 65.3 ГК РФ, п. 2 ст. 40 и ст. 42 Федерального закона от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью"), не содержат положений, регулирующих вопросы взаимодействия указанного юридического лица с работниками управляемой организации и использования персональных данных этих работников. Отсутствуют соответствующие положения и в трудовом законодательстве.

В свою очередь, в нормах п.п. 2-11 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", содержащих исчерпывающий перечень случаев, в которых допускается обработка персональных данных без согласия субъекта, к которому они относятся, не упоминается возможность такой обработки управляющей организацией - ООО, являющегося работодателем для указанного субъекта персональных данных. Отсутствует соответствующее упоминание и в ст. 88 ТК РФ и иных федеральных законах.

Следовательно, принимая во внимание, что оператором персональных данных согласно буквальному толкованию п. 2 ст. 1 и ст. 9 Закона N 152-ФЗ выступает именно то ООО, в котором трудоустроены работники, передача их данных для обработки третьему лицу, которым и выступает в рассматриваемом случае управляющая организация, возможно в силу ч. 3 ст. 6 Закона N 152-ФЗ только при наличии на это согласия работника.

Таким образом, в рассматриваемом случае для передачи персональных данных работников ООО сотрудникам управляющей организации (кадровым, бухгалтерским службам, иным лицам и подразделениям) ООО необходимо получить у них такое согласие, а также включить в договор с управляющей организацией положения, регулирующие вопросы обработки персональных данных его работников.

Вместе с тем, учитывая, что судебная практика, как правило, рассматривает руководителя управляющей организации как представителя работодателя в отношениях с работниками управляемого юридического лица (апелляционное определение СК по гражданским делам Верховного Суда Республики Дагестан от 10.08.2016 по делу N 33-2973/2016, апелляционное определение СК по гражданским делам Хабаровского краевого суда от 01.03.2013 по делу N 33-1372/2013), мы полагаем, что такие данные по смыслу ст. 20 и ст. 86 ТК РФ могут передаваться указанному руководителю и при отсутствии прямого согласия работников на это. Однако данный вывод является лишь нашим экспертным мнением. Правоприменительной практики - как подтверждающей, так и опровергающей его - нам обнаружить не удалось.

 

Относительно поручения:

По нашему мнению, достаточно согласия.

От оператора персональных данных следует отличать лицо, обрабатывающее персональные данные по поручению оператора. В ч. 3 ст. 6 Закона N 152-ФЗ указано, что оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта.

К сожалению, законодатель не раскрывает статус такого обработчика, но в контексте Закона N 152-ФЗ основными признаками, отличающими его от оператора персональных данных, являются: во-первых, наличие самостоятельной правосубъектности, то есть обработчик должен быть юридически независимым по отношению к оператору, и, во-вторых, обработка им персональных данных должна осуществляться в интересах оператора. Примерами обработчиков персональных данных могут быть организации, осуществляющие расчеты и начисления заработной платы работникам оператора; ведение кадрового документооборота оператора; лица, привлеченные оператором для взыскания задолженности с физических лиц по гражданско-правовым договорам; провайдеры "облачных" сервисов, предоставляющие оператору виртуальные вычислительные ресурсы для обработки персональных данных физических лиц, и т.п.

 

Обоснование

Передача персональных данных без согласия работника третьим лицам возможна только в установленных законом случаях, например, в налоговый орган и СФР. В других ситуациях надо получить письменное согласие работника (ст. 88 ТК РФ, Разъяснения Роскомнадзора).


{Типовая ситуация: Обработка персональных данных работников: требования, документы, штрафы (Издательство "Главная книга", 2025) {КонсультантПлюс}}
 

4. При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

Работодатель, согласно ст. 22 Трудового кодекса Российской Федерации, обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности Федеральным законом "Об обязательном пенсионном страховании в Российской Федерации, Федеральным законом "Об основах обязательного социального страхования, Федеральным законом "Об обязательном медицинском страховании в Российской Федерации".

Таким образом, передача персональных данных работников в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации осуществляется без их согласия.

Согласие работника, государственного служащего не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25.04.1997 N 490, нормативными правовыми актами в сфере транспортной безопасности).

Под исключения, связанные с отсутствием необходимости получения согласия, подпадают случаи передачи работодателем персональных данных работников, государственных служащих в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации.

Так, в соответствии со ст. ст. 17, 19 Федерального закона от 12.01.1996 N 10-ФЗ "О профессиональных союзах, их правах и гарантиях деятельности" для осуществления своей уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений (союзов, ассоциаций), органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам, в том числе осуществлять контроль за соблюдением работодателями, должностными лицами законодательства о труде, по вопросам трудового договора (контракта), рабочего времени и времени отдыха, оплаты труда, гарантий и компенсаций, льгот и преимуществ, а также по другим социально-трудовым вопросам в организациях, в которых работают члены данного профсоюза, и имеют право требовать устранения выявленных нарушений.

Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.

Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

Необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:

а) договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;

б) наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;

в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).


{<Разъяснения> Роскомнадзора "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" {КонсультантПлюс}}
 

Необходимость согласия работника на передачу контрагенту его персональных данных

В рассматриваемой ситуации работник, чьи персональные данные указаны в договоре оказания услуг между организациями, не является ни стороной этого договора, ни выгодоприобретателем (поручителем) по нему.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст. 18 и ст. 18 Закона N 152-ФЗ, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ, в том числе требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 Закона N 152-ФЗ (ч. 3 ст. 6 Закона N 152-ФЗ).

При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных (ч. 4 ст. 6 Закона N 152-ФЗ).

Работодатель вправе передавать данные о работнике без его согласия третьим лицам при угрозе жизни и здоровью человека, а также в иных случаях, установленных законом. Во всех остальных случаях сообщать персональные данные работника третьей стороне работодатель может только на основании письменного согласия работника (абз. 2, 3 ст. 88 ТК РФ).

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом N 152-ФЗ (ст. 7 Закона N 152-ФЗ).

Таким образом, в рассматриваемом случае заключение договора оказания услуг между организациями преследует коммерческие цели, поэтому работодатель не вправе передавать персональные данные работников без их согласия третьим лицам.

Согласие работника на передачу персональных данных на обработку конкретному третьему лицу - документ, необходимость получения которого возникает, если работодатель передает персональные данные работника третьим лицам, в том числе поручает обработку персональных данных работника другим лицам, в частности при заключении гражданско-правовых договоров с контрагентами (абз. 2, 3 ст. 88 ТК РФ, ч. 3 ст. 6 Закона N 152-ФЗ).

В частности, при привлечении сторонних организаций (на основании заключенных с ними договоров) для выполнения каких-либо услуг, которые будут затрагивать обработку персональных данных работника, работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Закона N 152-ФЗ, в том числе получить согласие работников на передачу их персональных данных.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки (ч. 5 ст. 5 Закона N 152-ФЗ).

В общем случае на каждую передачу персональных данных работника третьим лицам работодателю необходимо оформлять отдельное письменное согласие на передачу персональных данных (абз. 2, 3 ст. 88 ТК РФ, ч. 5 ст. 5, ч. 3 ст. 6 Закона N 152-ФЗ). Нельзя в согласии в разовом порядке написать, что работник не против передачи своих персональных данных любым третьим лицам, с которыми у работодателя может быть заключен договор.

Также работодатель может в установленном порядке получить от работника согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения. В таком случае работодателю не нужно будет каждый раз получать от работника отдельное согласие (ст. 10.1 Закона N 152-ФЗ).

В согласии работника на обработку его персональных данных конкретным третьим лицом нужно указать, в частности: наименование контрагента, осуществляющего обработку персональных данных (также рекомендуется указать его ИНН, ОГРН), перечень персональных данных, на обработку которых дается согласие, перечень действий с персональными данными, на совершение которых дается согласие, цель их обработки, срок, в течение которого действует согласие на обработку персональных данных, а также способ его отзыва (ч. 4 ст. 9 Закона N 152-ФЗ).

При оформлении согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в нем, помимо прочего, должны быть указаны: сведения об операторе-организации (операторе-гражданине, являющемся ИП), а также сведения об информационных ресурсах работодателя (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере, и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными работника (Требования, утв. Приказом Роскомнадзора от 24.02.2021 N 18).

На сайте Роскомнадзора функционирует интернет-сервис для операторов персональных данных. С помощью данного сервиса в формате конструктора оператору будет достаточно заполнить необходимые поля, после чего шаблон будет рассмотрен специалистами Роскомнадзора и при необходимости оператору будут даны рекомендации по его доработке. В дальнейшем оператор сможет использовать сформированную форму согласия в своей работе (Информация Роскомнадзора "Роскомнадзор разработал сервис для операторов персональных данных").


Вопрос: Надо ли запрашивать отдельное согласие работника на передачу его персональных данных, указанных в договоре об оказании услуг, третьим лицам (с указанием контрагента)? Вправе ли контрагент передавать его данные своим работникам? (Консультация эксперта, 2025) {КонсультантПлюс}
  

Риски  

Какую ответственность несет оператор за нарушение правил обработки персональных данных при их передаче третьему лицу

При передаче персональных данных третьему лицу оператор может нести ответственность как за свои действия, так и при определенных условиях за действия такого третьего лица. Это зависит от того, давал ли оператор третьему лицу поручение на обработку персональных данных или нет. Например, оператор может дать такое поручение агенту, который действует в интересах оператора.

Кроме того, третье лицо может получить доступ к персональным данным как работник оператора, и в этом случае оператор может понести ответственность за действия работника.

Если оператор не поручал третьему лицу обрабатывать персональные данные и передал их в других целях (например, передал их цессионарию при уступке права требования) и при этом:

  1. оператор допустил нарушения при передаче данных. В этом случае оператор несет ответственность за разглашение персональных данных по общим правилам. Это следует из ч. 1 ст. 24 Закона о персональных данных.

В первую очередь это административная ответственность за нарушение правил обработки персональных данных. Например, по ч. 2 ст. 13.11 КоАП РФ за то, что оператор передал персональные данные цессионарию при уступке права требования без согласия на это должника-гражданина (Постановление Шестого кассационного суда общей юрисдикции от 25.02.2021 N 16-284/2021).

Также для оператора возможна и ответственность перед своими работниками. Например, если оператор передал страховой компании персональные данные своего работника для оформления полиса добровольного медицинского страхования, не получив на это согласие работника, когда это было обязательно, с него может быть взыскана компенсация морального вреда (Апелляционное определение Московского городского суда от 20.05.2021 по делу N 33-19612/2021);

  1. оператор не нарушал законодательство при передаче персональных данных. В частности, он получил от субъекта персональных данных согласие на обработку этих данных, которое предусматривает возможность передачи персональных данных третьим лицам. Но нарушения допустило третье лицо, которое получило эти данные. За нарушения, которые допустило третье лицо, оператор ответственности не несет, так как закон обязывает его отвечать только за действия такого третьего лица, которому он поручал обработку персональных данных. Это следует из ч. 5, 6 ст. 6, ч. 1 ст. 24 Закона о персональных данных.

Если оператор поручил третьему лицу обрабатывать персональные данные и при этом:

  1. оператор допустил нарушения при их передаче, он несет ответственность за разглашение персональных данных. Например, он отвечает за (ч. 3 ст. 6, ч. 1 ст. 24 Закона о персональных данных):
    • отсутствие согласия субъекта персональных данных на такую передачу. К примеру, в ситуации, когда оператор передал по агентскому договору в организацию, специализирующуюся на взыскании долгов, персональные данные своего клиента-должника, не получив на это его согласия (п. 18 Обзора судебной практики по делам, связанным с защитой прав потребителей финансовых услуг, утв. Президиумом Верховного Суда РФ 27.09.2017);
    • отсутствие обязательных сведений в поручении на обработку персональных данных. Например, оператора могут оштрафовать по ч. 6 ст. 13.11 КоАП РФ, если он не установил в агентском договоре требования к третьему лицу о защите персональных данных, а третье лицо сделало их доступными для посторонних лиц (Постановление Второго кассационного суда общей юрисдикции от 02.06.2020 по делу N 16-3231/2020);
  2. оператор нарушений не допускал, но нарушения допустило третье лицо, которое получило эти данные. В этом случае оператор несет гражданско-правовую, а также материальную (если нарушены права работника) ответственность перед субъектом персональных данных за неправомерные действия третьего лица. Это следует из ч. 5, 6 ст. 6, ч. 1 ст. 24 Закона о персональных данных.

Готовое решение: Кто и какую ответственность несет за нарушение законодательства о персональных данных (КонсультантПлюс, 2025) {КонсультантПлюс}
  

Клиентский опыт

В дополнение к основному ответу мы хотели бы поделиться с Вами Клиентским опытом решения похожих задач. Вы можете ознакомиться с эффективной последовательностью действий в КонсультантПлюс по теме Вашего запроса в документе: «Безопасная работа с персональными данными в 2025 году».

 

Еще по этой теме

10 декабря 2025 г.

Шесть кейсов при работе с персональными данными: исправляем частые ошибки бизнеса. Рекомендации по построению эффективной системы работы с персональными данными в свете грядущих изменений

20 января 2026 г.

Ответственность за нарушения законодательства о персональных данных

КонсультантПлюс

СБИС

Образование

Новости

Мероприятия

Записи мероприятий

Подборки

Справочная информация

Библиотека

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie. Они помогают нам делать этот сайт удобнее для пользователей. Нажав кнопку «Соглашаюсь», вы даете свое согласие на обработку файлов cookie вашего браузера. Однако вы можете запретить обработку некоторых типов файлов cookie в настройках вашего браузера. С условиями обработки данных при помощи файлов cookie можно ознакомиться в Политике.