Договор на DPO-аутсорсинг: 7 обязательных условий
Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки персональных данных. Назначение внешнего DPO требует письменного договора с конкретным перечнем полномочий. Без него аутсорсер де-юре остаётся сторонним исполнителем без прав и обязанностей, предусмотренных законом. Ниже — семь условий, каждое из которых проверяет Роскомнадзор при плановой и внеплановой проверке.
Кому подходит DPO-аутсорсинг и когда нужен отдельный договор?
Аутсорсинг функции DPO подходит операторам, у которых нет штатного специалиста по ПДн или объём задач не требует полной ставки. Типичные случаи: IT-компания с несколькими десятками сотрудников, медицинская клиника, интернет-магазин, HR-платформа. Во всех этих ситуациях оператор обязан назначить ответственное лицо по ст. 22.1 ФЗ-152 — физическое или юридическое.
Когда DPO — внешняя организация, назначение оформляется двумя документами: приказом руководителя оператора (или иным распорядительным актом) и гражданско-правовым договором с исполнителем. Приказ без договора недостаточен: он не закрепляет конкретный объём задач, порядок уведомлений и ответственность сторон.
Нужен шаблон договора с DPO или проверка уже готового?
Если вы юрист оператора и хотите проверить, соответствует ли действующий договор с аутсорсером требованиям ст. 22.1 ФЗ-152 — юристы DATUM проведут экспресс-анализ и укажут, каких условий не хватает. Срок: 1–2 рабочих дня. С 01.09.2025 требования к согласиям и ОРД изменились по ФЗ-156 — договор с DPO нужно привести в соответствие.
Подключить DPO-аутсорсинг+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Какие 7 условий обязательны в договоре с DPO?
1. Предмет договора: полномочия по ст. 22.1 ФЗ-152
Предмет должен прямо указывать, что исполнитель принимает на себя функцию лица, ответственного за организацию обработки ПДн оператора, в соответствии со ст. 22.1 ФЗ-152. Обобщённые формулировки — «консультирование по вопросам ПДн» или «юридическое сопровождение» — не дают РКН основания признать исполнителя назначенным ответственным.
2. Перечень конкретных обязанностей DPO
Договор должен перечислять функции: ведение реестра обработки, подготовка уведомлений РКН по ст. 22 ФЗ-152 и Приказу РКН №180, контроль за актуальностью политики конфиденциальности по ст. 18.1 ФЗ-152, ответы на запросы субъектов в течение 10 рабочих дней по ст. 20 ФЗ-152, уведомление об инцидентах за 24 часа по ч. 3.1 ст. 21 ФЗ-152. Без детального перечня суд или РКН может квалифицировать договор как не соответствующий требованиям назначения ответственного.
3. Порядок взаимодействия с РКН
Договор фиксирует, кто подаёт уведомления в РКН: оператор самостоятельно или DPO от имени оператора по доверенности. Если DPO действует по доверенности — в договоре указывается её форма и срок. Важно прописать порядок уведомления об утечке: кто формирует первичное сообщение в 24-часовой срок и итоговый отчёт через 72 часа по Приказу РКН №187.
4. Ответственность DPO за нарушения ОРД
Оператор несёт административную ответственность по ст. 13.11 КоАП независимо от действий DPO. Однако договор должен содержать механизм регрессного требования: если штраф назначен по вине исполнителя (непредставление документов, пропуск срока уведомления), оператор вправе взыскать убытки. Без такого условия взыскать убытки с DPO в споре крайне сложно.
5. Конфиденциальность и ограничения доступа
DPO получает доступ к базам ПДн оператора для выполнения своих функций. Договор должен содержать: перечень систем, к которым предоставляется доступ; обязательство DPO не передавать ПДн третьим лицам; меры по ограничению доступа после расторжения договора. Это напрямую связано с требованиями ст. 6 ФЗ-152 о поручении обработки: если DPO фактически обрабатывает ПДн, а не только организует процесс, договор одновременно является поручением на обработку по п. 3 ст. 6 ФЗ-152.
6. Требования к согласиям с 01.09.2025 (ФЗ-156)
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не объединяется с договором, политикой или офертой (ФЗ-156 от 24.06.2025, поправка в ч. 1 ст. 9 ФЗ-152). Договор с DPO должен включать обязанность исполнителя контролировать соответствие форм согласий новым требованиям и своевременно информировать оператора об изменениях законодательства. Без этого условия оператор рискует получить штраф по ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽) при плановой проверке, которую DPO фактически должен был предотвратить.
7. Порядок расторжения и передачи дел
При прекращении договора у оператора должно оставаться достаточно времени, чтобы либо назначить нового DPO, либо организовать штатного ответственного. Договор устанавливает срок уведомления о расторжении (не менее 30 дней) и порядок передачи: реестр обработки, актуальные версии ОРД, переписка с РКН за период действия договора, открытые обращения субъектов с незакрытыми сроками по ст. 20 ФЗ-152. Без условия о передаче дел оператор после расторжения рискует нарушить сроки ответов субъектам и уведомлений РКН.
Что подготовить юристу оператора перед заключением договора с DPO
- Приказ о назначении ответственного по ст. 22.1 ФЗ-152 с указанием наименования исполнителя-DPO
- Доверенность на представление интересов оператора в РКН (если DPO подаёт уведомления самостоятельно)
- Актуальная политика обработки ПДн по ст. 18.1 ФЗ-152 — DPO должен получить её для анализа до подписания договора
- Перечень информационных систем оператора с категориями ПДн — основа для разграничения доступа
- Реестр действующих согласий субъектов — для оценки объёма работы по приведению в соответствие с ФЗ-156
Если вы юрист оператора и договор с DPO уже заключён, но составлен до поправок ФЗ-156 от 24.06.2025 — его необходимо проверить: требования к контролю согласий и порядку уведомлений изменились. Штраф по ч. 2 ст. 13.11 КоАП за несоответствующее согласие — до 700 тыс. ₽.
Подключить DPO-аутсорсингКак это применяется на практике
Кейс 1. Ритейлер (Сибирский ФО, начало 2026) заключил договор с DPO-аутсорсером в 2023 году. При плановой проверке РКН выяснилось, что договор не содержал перечня обязанностей по ст. 22.1 — только «консультирование». Инспектор не признал исполнителя назначенным ответственным. Оператору выдали предписание о нарушении ч. 1 ст. 18.1 ФЗ-152 и составили протокол по ч. 3 ст. 13.11 КоАП. Договор переоформили, штраф в несколько десятков тысяч рублей уплачен; предписание закрыто в установленный срок.
Кейс 2. IT-компания (Центральный ФО, осень 2025) использовала договор с DPO для закрытия требований ст. 22.1 ФЗ-152. Когда у одного из клиентов-операторов произошёл инцидент, DPO направил первичное уведомление РКН в течение 21 часа — в рамках срока по ч. 3.1 ст. 21 ФЗ-152. Юридическим основанием для действий DPO послужила доверенность, предусмотренная договором. Без этого документа уведомление было бы подано оператором с нарушением срока, что влечёт штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.
Услуги DATUM по теме
- DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании, включая ответы на запросы субъектов
- Комплект ОРД под ключ — пакет документов оператора: политика, согласия, приказы, журналы
- Аудит соответствия 152-ФЗ — проверка ОРД, договоров и процессов обработки ПДн по чек-листу из 38 пунктов
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Оператор обязан иметь: уведомление в реестре РКН по ст. 22 ФЗ-152, политику обработки ПДн по ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1, согласия субъектов с реквизитами по ст. 9 ФЗ-152, инструкции для работников, журнал учёта обращений субъектов, регламент реагирования на инциденты. Если DPO — внешний, к этому перечню добавляется договор с ним и приказ о назначении с указанием исполнителя.
2. Как составить политику обработки ПДн?
Политика должна содержать обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, категории субъектов и ПДн, перечень действий, сроки обработки и уничтожения, порядок реализации прав субъектов. Политика публикуется в открытом доступе — на сайте или при входе в помещение. Использовать шаблон из интернета можно как основу, но он требует обязательной адаптации под реальные процессы конкретного оператора.
3. Кого назначить ответственным по ст. 22.1?
Ответственным может быть штатный работник или внешняя организация (DPO-аутсорсер). Для штатного работника — приказ и должностная инструкция с перечнем функций по ст. 22.1 ФЗ-152. Для внешнего — приказ и гражданско-правовой договор. Закон не устанавливает обязательных квалификационных требований для ответственного, однако ч. 4 ст. 22.1 указывает, что он должен быть знаком с законодательством о ПДн.
4. Можно ли использовать шаблон политики из интернета?
Шаблон из открытых источников не заменяет разработку политики: он не учитывает специфику оператора, реальные категории ПДн, конкретных третьих лиц, которым передаются данные, и условия трансграничной передачи. РКН при проверке сравнивает политику с фактическими процессами. Несоответствие — основание для штрафа по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽). Шаблон допустим как структурная основа, но все разделы наполняются данными конкретного оператора.
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом по ФЗ-156 от 24.06.2025 — не встроенным в договор, оферту или политику конфиденциальности. Обязательные реквизиты: ФИО и контакты субъекта, наименование оператора, цель, перечень ПДн, перечень действий с ними, срок действия согласия, способ отзыва. Ранее полученные согласия переоформлять не требуется — поправка не имеет обратной силы.
Итог
Договор на DPO-аутсорсинг — это юридическое основание для назначения внешнего ответственного по ст. 22.1 ФЗ-152. Без семи условий, описанных выше, он не выполняет функцию защиты оператора: ни при проверке РКН, ни при инциденте с ПДн. Каждое из условий закрывает конкретную претензию инспектора или пробел в регрессной ответственности.
Практика DATUM по сопровождению операторов в части ОРД и DPO-аутсорсинга охватывает разные отрасли: IT, ритейл, медицина, образование. Специализация — структурирование договорной документации под требования ФЗ-152 в актуальной редакции, включая поправки ФЗ-156 с 01.09.2025.