Недавно получил хороший вопрос от подписчика моего телеграмм-канала. Решил поделиться разбором и тут.

Ситуация следующая:

две организации (назовём их А и Б) решили провести совместный вебинар. Регистрацию делают на сайте компании А. Собирают ФИО, телефон, email, должность, компанию. А после вебинара обе организации хотят звонить участникам, рассылать рекламу и проводить опросы.

Вопрос: как всё это оформить, чтобы не нарваться на штрафы?

Давайте разберемся по порядку.

Главное: это не «поручение», а «передача»

Первое, что нужно определить - какие отношения между А и Б с точки зрения 152-ФЗ.

Многие путают два механизма: - Поручение на обработку (ст. 6 ч. 3) - когда одна компания обрабатывает данные по заданию другой, в её интересах и по её правилам. - Передача третьему лицу (ст. 7) - когда вторая компания получает данные и использует их в своих собственных целях.

В нашей ситуации компания Б хочет сама звонить, сама рассылать рекламу, сама проводить опросы - от своего имени и в своих интересах. Это однозначно передача, а не поручение.

Почему это важно? При поручении - Б не обязана получать отдельное согласие, но и не может использовать данные для себя. При передаче - Б становится самостоятельным оператором ПДн со всеми обязанностями.

Что должно быть на сайте при регистрации

Здесь пересекаются два закона: 152-ФЗ «О персональных данных» и 38-ФЗ «О рекламе». И каждый требует своё.

1️⃣ Согласие на обработку ПДн (требование 152-ФЗ)

По ст. 9 согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Это не пустые слова - суды и Роскомнадзор проверяют каждый критерий.

В тексте согласия обязательно указать: - кто оператор (полное наименование организации А, ИНН, адрес) - цели обработки: организация вебинара, связь с участниками, проведение опросов, маркетинговые коммуникации - перечень ПДн: ФИО, телефон, email, должность, наименование компании - действия с данными: сбор, хранение, использование, передача - кому передаются данные: полное наименование организации Б, её ИНН, адрес и цели, для которых Б будет использовать данные - срок действия согласия и способ его отзыва

❗ С 2025 года согласие должно быть оформлено отдельно от других документов (пользовательских соглашений, оферт и т.д.). Нельзя «зашить» согласие внутрь оферты.

2️⃣ Согласие на получение рекламы (требование 38-ФЗ)

Ст. 18 ч. 1 закона «О рекламе» прямо говорит: распространение рекламы по сетям электросвязи допускается только при условии предварительного согласия адресата.

Это отдельное согласие. Его нельзя объединять с согласием на обработку ПДн в одну галочку. Два разных закона — два разных согласия.

При этом согласие на рекламу должно покрывать рассылки от обеих организаций - и А, и Б.

3️⃣ Политика обработки ПДн

По ст. 18.1 ч. 2 152-ФЗ организация А обязана опубликовать на своём сайте свою Политику в отношении обработки персональных данных. Публиковать политику организации Б на сайте А закон не требует, но рекомендуется дать на неё ссылку в тексте согласия - для обеспечения информированности субъекта.

Что оформить между организациями А и Б

Между компаниями нужен договор (или соглашение) о передаче ПДн, в котором закрепить: - перечень передаваемых данных - цели передачи и дальнейшей обработки - обязанности Б по обеспечению конфиденциальности и безопасности (ст. 19) - порядок действий при отзыве согласия субъектом - порядок уведомления об инцидентах и утечках - ответственность сторон

Организация Б после получения данных - полноценный оператор ПДн. Она обязана: - подать уведомление в Роскомнадзор (если ещё не подано) - иметь опубликованную Политику обработки ПДн - обеспечивать все права субъектов (доступ, уточнение, удаление) - обеспечивать безопасность ПДн.

Итого — чек-лист

Для организации А (сайт с регистрацией):
✓ Два раздельных чекбокса: обработка ПДн + реклама
✓ Текст согласия с указанием организации Б
✓ Опубликованная Политика обработки ПДн
✓ Ссылка на Политику Б (рекомендация)
✓ Уведомление в РКН

Между А и Б: ✓ Договор о передаче ПДн

Для организации Б:
✓ Уведомление в РКН
✓ Политика обработки ПДн на своём сайте