Оформление согласия на передачу персональных данных третьим лицам в 2026 году, образцы документов
Федеральный закон от 27.07.2006 № 152-ФЗ не запрещает передачу данных как таковую. Он требует легитимного основания. Согласие — самое распространенное, но не единственное.
Согласие на передачу обязательно, если:
- Передаете данные «на сторону» для целей, не связанных с договором. Классика: передача клиентской базы в колл-центр на аутсорсинге, рекламному агентству для таргетинга, курьерской службе для доставки. Формально это исполнение договора (ст. 6 152-ФЗ), но осторожные операторы берут согласие. Если же цель — маркетинг или «улучшение сервиса» без привязки к конкретной сделке — согласие строго обязательно (п. 1 ст. 6 152-ФЗ).
- Распространяете данные (размещаете в открытом доступе). Публикация фото сотрудника на доске почета, отзыва клиента с именем на сайте, передачи данных в справочник 2ГИС — это «распространение». Требуется отдельное согласие по ст. 10.1 152-ФЗ. Без него — штраф до 500 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ.
- Осуществляете трансграничную передачу (даже в Беларусь или Казахстан). Требуется не просто согласие, а уведомление Роскомнадзора, если страна-получатель не входит в «белый список» государств с адекватной защитой (Приказ Роскомнадзора от 15.03.2022 № 27).
Когда согласие не нужно:
- Запрос суда, прокуратуры, следствия, МВД (обязательно мотивированный, иначе требуйте согласие).
- Исполнение обязанностей, возложенных законом (сдача отчетности в СФР, ФНС, передача сведений в военкомат).
- Передача в рамках исполнения договора, где субъект данных — сторона (передали адрес транспортной компании для доставки заказанного холодильника).
С 1 сентября 2025 года согласие — строго отдельный документ. Включать его в текст договора, оферты или анкеты запрещено (п. 1.1 ст. 9 152-ФЗ). Отдельная галочка на сайте — окей, но чек-бокс должен вести к самостоятельному согласию, а не быть частью пользовательского соглашения.
Взаимодействие с государственными органами: требования к передаче данных через СМЭВ
С 1 марта 2026 года вступило в силу Постановление Правительства РФ от 30.08.2025 № 1344, которое ужесточило правила для банков, но тренд понятен всем.
Что поменялось:
- Передача сведений госорганам (ОРД, ФСБ, МВД) — только через СМЭВ (систему межведомственного электронного взаимодействия).
- Запрос госоргана — только в машиночитаемом формате, подписанный УКЭП должностного лица.
- Ваш ответ — электронное сообщение по техрегламенту СМЭВ.
Если получили запрос «на бланке» с мокрой печатью по почте — проверяйте. Легитимный госорган в 2026 году работает через СМЭВ или официальные каналы ГИС. «Бумажные» запросы от «курьеров» часто оказываются схемой сбора баз для черных маркетологов.
Не на любой запрос госоргана нужно согласие. Но вы обязаны убедиться, что запрос законен (ст. 14 152-ФЗ). Если нет ссылки на конкретную норму закона, дающей право требовать данные без согласия — отвечайте отказом или требуйте письменное согласие субъекта.
Меры по предотвращению неправомерной передачи данных (включая риски Big Data)
Главная головная боль 2026 года — перехват клиентов через виджеты и скрипты (информеры погоды, чаты, кнопки соцсетей). Сторонний код на вашем сайте может спокойно отправлять ФИО и телефон посетителя в базу конкурента — и вы получите иск от клиента и штраф.
Как прописать в согласии защиту от этого:
В согласии на обработку (не в договоре!) добавьте блок:
"1.4. Настоящим субъект персональных данных ЗАПРЕЩАЕТ оператору передавать его персональные данные (указать какие: ФИО, телефон, e-mail, IP-адрес) любым третьим лицам без предварительного письменного уведомления субъекта, за исключением случаев прямого исполнения обязанностей, возложенных законодательством РФ.
1.5. Передача данных третьим лицам, включая аутсорсинговые компании и подрядчиков, допускается только после подписания с ними отдельного договора поручения на обработку ПДн (ст. 6 152-ФЗ) и при условии, что такие лица не используют данные для собственных маркетинговых или иных целей, не связанных с оказанием услуг субъекту.
1.6. Оператор обязан в течение 24 часов уведомить субъекта о факте технической передачи данных третьим лицам (включая передачу через API, виджеты и сторонние скрипты) с указанием объема переданных данных и цели передачи."
Если конкурент перехватит данные через ваш виджет, у вас появится доказательство суду, что вы действовали против воли клиента, а значит, риск ответственности ложится на оператора виджета. Но предъявить это можно только при наличии запрещающей формулировки в согласии.
Примерные образцы согласий на передачу персональных данных (действуют в 2026 году)
Унифицированного бланка нет. Но есть 10 обязательных реквизитов по ч. 4 ст. 9 152-ФЗ. Если чего-то не хватает — согласие ничтожно. Обработка — незаконна.
Образец 1. Согласие на передачу персональных данных контрагенту (при аутсорсинге бухгалтерских услуг)
Генеральному директору ООО «Ромашка»
Иванову И.И.
от Петрова Петра Петровича,
паспорт: серия 11 22 № 333444, выдан УВД г. Москвы
адрес: г. Москва, ул. Ленина, д. 1, кв. 1
СОГЛАСИЕ НА ПЕРЕДАЧУ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
Я, Петров Петр Петрович, в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ, даю согласие ООО «Ромашка» (ИНН 7701234567, адрес: г. Москва, ул. Ленина, д. 1) на передачу моих персональных данных:
- Цель передачи: ведение бухгалтерского и налогового учета, расчет заработной платы, сдача отчетности в контролирующие органы.
- Перечень передаваемых данных: ФИО, ИНН, СНИЛС, адрес регистрации, сумма дохода, размер налоговых вычетов.
- Третье лицо (получатель): ООО «Бухгалтерский аутсорсинг» (ИНН 7707654321, адрес: г. Москва, ул. Пушкина, д. 2).
- Действия получателя: сбор, запись, систематизация, хранение, использование исключительно в целях, указанных в п. 1.
- Срок согласия: до 31.12.2028 или до момента письменного отзыва.
- Порядок отзыва: направление письменного заявления на юридический адрес ООО «Ромашка».
- Передача других данных или иным лицам без моего отдельного согласия запрещена.
____________ (подпись) / Петров П.П. / 10.05.2026
Образец 2. Согласие на распространение персональных данных (для публикации на сайте)
Начальнику отдела кадров ООО «Работодатель»
от менеджера Сидоровой С.С.
СОГЛАСИЕ НА РАСПРОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ (ст. 10.1 152-ФЗ)
Я, Сидорова Светлана Сергеевна, разрешаю распространять мои персональные данные неограниченному кругу лиц следующим способом: размещение на сайте rabotodatel.ru в разделе «Наша команда».
Категории и перечень данных:
- фамилия, имя, отчество;
- замещаемая должность;
- фотографическое изображение (фото в деловом стиле).
Запреты и условия:
- ЗАПРЕЩАЮ передавать указанные данные иным сайтам и информационным системам.
- ЗАПРЕЩАЮ использовать мое фото в рекламных целях, не связанных с информированием о структуре компании.
- Обработка разрешена только в виде хранения и демонстрации на указанном сайте.
Срок согласия: 2 года с даты подписания.
Порядок отзыва: письменное заявление в отдел кадров.
____________ (подпись) / Сидорова С.С. / 10.05.2026
Особенности оформления согласия в электронной форме (через сайт или приложение)
Классическая ошибка 2025 года (за которую штрафовали массово): чек-бокс «Я согласен с условиями оферты и политикой обработки ПД» в одной строке.
Как сделать правильно в 2026 году:
- Отдельный чек-бокс под каждую цель обработки (маркетинг, передача курьеру, аналитика).
- Фраза должна быть адресной: «Я даю согласие ООО “Магазин” на передачу моего номера телефона ООО “СДЭК” для уведомления о доставке».
- Ссылка на Политику обработки ПД — обязательно, но это не заменяет текст согласия.
- Электронное согласие приравнивается к письменному, только если сайт фиксирует действие пользователя (IP, время, user-agent) и пользователь подтвердил, что ознакомлен.
Для загранпередачи или биометрии простая галочка не работает. Требуется УКЭП либо собственноручная подпись на бумаге.
Автор. Е.Грицак
