Может, но это должно быть обязательно оговорено в "Согласии на обработку ПДн" и в вашем "Положении об организации и обработки ПДн" должно быть прописано, что вы имеете право передавать данные третьей стороне и обязательно на какой срок и с какой целью. Соответственно в договоре должно быть тоже: цель передачи, сроки на которые передают, ответственность сторон в случае компрометации или утери ПДн. И обязательно должно быть подтверждено документально, как в той организации осуществляется ИБ (то есть сертификаты на ПО, МЭ, АРМ т.д. и т.п.), к этому вопросу нужно подойти очень серьёзно.
