Передача персональных данных внутри группы компаний — один из самых частых и при этом самых уязвимых вопросов с точки зрения 152-ФЗ.
Особенно это касается:
- IT-холдингов;
- SaaS-платформ;
- финтех-групп;
- маркетинговых экосистем;
- компаний, использующих AI-аналитику;.
На первый взгляд всё кажется простым:
Почему бы не сделать всю группу оператором персональных данных?
Но с точки зрения законодательства это невозможно.
Кто может быть оператором персональных данных?
В соответствии с 152-ФЗ оператором персональных данных является юридическое лицо (или ИП), а не «группа компаний».
Группа компаний — это управленческое понятие.
Для Роскомнадзора существуют конкретные юридические лица.
Поэтому каждый субъект внутри группы должен быть квалифицирован:
- как оператор ПДн;
- как обработчик ПДн;
- либо как самостоятельный оператор с собственными целями обработки.
И именно здесь возникает ключевой риск.
Два подхода к передаче ПДн внутри группы
Вариант 1. Формальная модель
Самый распространённый, но самый рискованный вариант.
Каждое юридическое лицо объявляется самостоятельным оператором персональных данных.
Взаимодействие между юрлицами «формально» ограничивается отдельными целями.
Часто при этом:
- реальные процессы передачи данных не описаны;
- роли в IT-инфраструктуре не совпадают с документами;
- маркетинговые базы «гуляют» между юрлицами;
- AI-аналитика проводится без надлежащего основания.
Такой подход может работать до первой проверки.
Проблема в том, что надзорный орган оценивает фактическую модель обработки, а не только документы.
Вариант 2. Архитектурный подход (рекомендуемый)
Вместо «игры с документами» выстраивается реальная система:
- определяется, кто фактически является оператором;
- кто выступает обработчиком;
- в каких целях передаются персональные данные;
- какие ИСПДн используются;
- какие договоры заключены между компаниями группы;
- как распределена ответственность.
В этом случае:
- корректируется IT-инфраструктура;
- назначаются ответственные лица;
- формируются регламенты передачи ПДн;
- внедряется контроль за обработкой, включая AI-инструменты.
Этот путь сложнее.
Но он даёт предсказуемость, управляемость и защиту при проверке Роскомнадзора.
Особый риск: передача ПДн для AI-обработки и аналитики
Сегодня большинство групп компаний используют:
- AI-аналитику поведения пользователей;
- скоринговые модели;
- машинное обучение;
- персонализированные рекомендации;
- чат-боты и автоматизацию маркетинга.
И здесь возникает дополнительный вопрос:
На каком основании данные передаются между юрлицами для обучения моделей?
Если одна компания группы передает данные другой для:
- анализа поведения;
- построения профиля клиента;
- обучения нейросети.
то необходимо:
- корректно определить цели обработки;
- проверить, требуется ли отдельное согласие;
- описать трансграничную передачу (если используются зарубежные AI-сервисы);
- разграничить роль оператора и обработчика.
AI-обработка ПДн без правильно оформленной архитектуры — одна из зон повышенного регуляторного риска в 2025–2026 году.
Как правильно выстроить передачу ПДн внутри группы компаний
Универсального решения не существует.
Архитектура строится исходя из:
- бизнес-процессов;
- модели монетизации;
- IT-структуры;
- количества юрлиц;
- роли управляющей компании;
- наличия AI-сервисов.
Практический шаг при подготовке к проверке
Если вы хотите понять, насколько модель устойчива, начните со схемы.
Шаг 1. Определите все процессы внутри группы
- сбор данных;
- хранение;
- передача;
- аналитика;
- маркетинг;
- AI-обработка.
Шаг 2. Зафиксируйте все ИСПДн
В каких юрлицах:
- расположены базы данных;
- работают сотрудники с доступом;
- находятся серверы;
- используются облачные сервисы.
Шаг 3. Определите линии взаимодействия
- Оператор — Оператор.
- Оператор — Обработчик.
- Обработчик — Субподрядчик.
После этого становится понятно, где возникает риск незаконной передачи персональных данных.
Что входит в полноценную архитектуру ПДн внутри группы
- аудит соответствия 152-ФЗ;
- описание ролей компаний;
- договоры поручения обработки;
- регламенты передачи данных;
- назначение ответственных лиц;
-
- комиссии по защите ПДн;
- корректировка IT-процессов;
- учет AI-обработки и автоматизированных решений;
- приведение политики конфиденциальности в соответствие с фактической моделью.
Главная ошибка
Компании часто думают:
У нас одна группа, значит можно свободно передавать данные.
С точки зрения закона — нельзя.
Каждая передача персональных данных должна иметь:
- правовое основание;
- определенную цель;
- оформленные отношения;
- описанные процессы.
Управленческий вывод
Передача персональных данных внутри группы компаний — это не просто вопрос документов.
Это вопрос архитектуры управления данными.
Если модель не совпадает с реальностью — риск возникает не только штрафной, но и инвестиционный.
Инвесторы и аудиторы всё чаще проверяют:
- структуру операторов;
- передачу ПДн;
- AI-обработку;
- трансграничные потоки данных.
Когда необходим аудит передачи ПДн
Аудит особенно актуален, если:
- в группе 2 и более юрлиц;
- используется единая CRM;
- маркетинг централизован;
- есть AI-аналитика;
- планируется инвестиционная сделка;
- есть сомнения в корректности уведомления Роскомнадзора.
Нужна архитектура передачи ПДн?
Мы выстраиваем:
- систему распределения ролей в группе;
- безопасную модель передачи персональных данных;
- регуляторно устойчивую AI-обработку;
- полный контур документации по 152-ФЗ.
Передача ПДн «по привычке» — это риск.
Запишитесь на консультацию
