инструкция 16 апреля 2027 По состоянию на 16 апреля 2027

Договор поручения обработки ПДн: 7 условий

Q: Можно ли использовать шаблон политики из интернета?

Формально запрета нет. Практически типовой шаблон почти всегда требует существенной доработки: в нём нет конкретных целей оператора, реальных категорий данных, актуальных правовых оснований. РКН при проверке сверяет политику с фактической практикой обработки. Если политика описывает одни цели и категории, а оператор обрабатывает другие — это нарушение ст. 5 и ст. 18.1 ФЗ-152. Использовать шаблон допустимо как основу, но адаптация обязательна.

Договор поручения обработки персональных данных — это обязательный документ, когда оператор передаёт обработку ПДн подрядчику: колл-центру, IT-аутсорсеру, облачному провайдеру, HR-сервису. Без него любая передача данных третьему лицу нарушает ст. 6 ч. 3 ФЗ-152.

С 30.05.2025 ответственность оператора за утечку через подрядчика не снимается: штраф по ч. 12–14 ст. 13.11 КоАП — от 3 до 15 млн ₽. Отсутствие договора поручения — отдельное основание для протокола по ч. 1 ст. 13.11 (150–300 тыс. ₽).

→ Если вы юрист и готовите пакет ОРД или проверяете договоры с подрядчиками — ниже семь условий, без которых документ не защищает оператора.

Поручение обработки ПДн регулируется п. 3 ст. 6 ФЗ-152: оператор вправе передать обработку только по договору или на основании государственного (муниципального) задания. Закон устанавливает минимальный перечень условий, которые такой договор должен содержать. На практике юристы нередко включают в документ общие формулировки о конфиденциальности — без нужных реквизитов. В этой инструкции разберём семь обязательных условий договора поручения, покажем типичные ошибки и объясним, как каждое условие связано с конкретной нормой закона.

Что такое поручение обработки по ст. 6 ФЗ-152 и кому оно нужно?

Поручение обработки — это передача оператором части операций с персональными данными третьему лицу (обработчику). Оператор при этом остаётся ответственным перед субъектом ПДн и перед Роскомнадзором. Обработчик не становится самостоятельным оператором: он действует строго в рамках договора и указаний оператора.

Поручение возникает в типовых ситуациях: облачный сервис хранит базу клиентов, колл-центр обзванивает покупателей по переданному списку, бухгалтерия на аутсорсе обрабатывает зарплатные данные, маркетинговое агентство рассылает письма по базе оператора, IT-подрядчик администрирует CRM. В каждом из этих случаев нужен письменный договор поручения с обязательными условиями по п. 3 ст. 6 ФЗ-152.

«Ст. 6 ч. 3 ФЗ-152 — оператор вправе поручить обработку ПДн третьему лицу по договору; такой договор должен предусматривать обязанность соблюдать конфиденциальность, выполнять требования по защите ПДн и перечень действий, которые обработчик вправе совершать.»

Если договор не заключён, а данные фактически переданы, — это нарушение ст. 6 ФЗ-152 и основание для штрафа по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽ для юридического лица в редакции с 30.05.2025). При повторном нарушении — ч. 1.1 той же статьи (300–500 тыс. ₽).

Проверяете договоры с подрядчиками на соответствие ФЗ-152?

Юрист, который готовит или аудирует ОРД, сталкивается с типовой проблемой: есть договор, в нём есть слова «персональные данные» и «конфиденциальность» — но семи обязательных условий нет. Такой документ не защищает оператора ни от РКН, ни в суде. Специалисты DATUM проводят аудит по чек-листу 38 пунктов и выдают приоритизированный план устранения пробелов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Укажите перечень действий, которые разрешены обработчику

Первое обязательное условие — исчерпывающий перечень операций с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Перечислять нужно именно те, которые фактически нужны подрядчику, — и ничего сверх.

Типичная ошибка: формулировка «обработка персональных данных» без расшифровки. Такая запись не выполняет требование п. 3 ст. 6 ФЗ-152, поскольку закон требует указать конкретный перечень действий. РКН при проверке вправе квалифицировать это как отсутствие надлежащего поручения.

Если облачный провайдер только хранит базу — укажите «хранение». Если колл-центр читает данные и вносит пометки — «хранение, извлечение, уточнение, использование». Расширительное толкование в пользу подрядчика недопустимо.

Шаг 2. Пропишите цели обработки и категории ПДн

Договор поручения должен содержать цели, ради которых передаются данные. Цели должны совпадать с теми, что указаны в уведомлении оператора в реестре РКН (ст. 22 ФЗ-152) и в политике обработки ПДн (ст. 18.1 ФЗ-152). Расхождение — нарушение принципа соответствия целям по ст. 5 ФЗ-152.

Рядом с целями — категории передаваемых данных: общие (ФИО, контакты), специальные (состояние здоровья, судимость по ст. 10 ФЗ-152), биометрические (ст. 11 ФЗ-152). Если передаются специальные категории, договор должен отдельно фиксировать правовое основание и дополнительные меры защиты.

Практический совет: укажите не только категории, но и конкретный состав данных — например, «фамилия, имя, отчество, номер телефона, адрес электронной почты, история заказов». Это снижает риск при проверке и упрощает претензионную работу при инциденте.

Шаг 3. Закрепите обязанность соблюдать конфиденциальность

Закон прямо требует, чтобы договор поручения содержал обязанность обработчика не раскрывать и не распространять ПДн без согласия оператора (п. 3 ст. 6 ФЗ-152). Это условие — не просто декларация: его нарушение создаёт ответственность обработчика перед оператором по договору и является основанием для расторжения.

Конфиденциальность должна охватывать весь период обработки и срок после прекращения договора. Укажите конкретный срок — например, «в течение 5 лет после прекращения договора» или «бессрочно в отношении специальных категорий ПДн».

Отдельно пропишите запрет на передачу ПДн субподрядчикам без письменного согласия оператора. Без этого подрядчик вправе привлечь четвёртое лицо — и ответственность за утечку через него всё равно останется на операторе (принцип ВС РФ: оператор отвечает за утечку через подрядчика).

Шаг 4. Установите требования по защите ПДн и уровень защищённости

Четвёртое условие — обязанность обработчика выполнять меры по защите ПДн в соответствии со ст. 19 ФЗ-152 и уровнем защищённости (УЗ), установленным для конкретной информационной системы (ПП РФ №1119 от 01.11.2012). Уровень защищённости определяет оператор; обработчик обязан его соблюдать.

В договоре нужно зафиксировать: применяемый уровень защищённости (УЗ-1, УЗ-2, УЗ-3 или УЗ-4), ссылку на Приказ ФСТЭК №21 от 18.02.2013 как источник базового набора мер, обязанность обработчика документально подтверждать выполнение мер по запросу оператора.

Если обработчик — облачный провайдер, проверьте наличие у него аттестата соответствия или заключения об оценке эффективности защиты. Без документального подтверждения оператор не сможет доказать РКН, что меры были выбраны и применены надлежащим образом.

Если вы юрист и комплектуете ОРД для оператора — договор поручения входит в стандартный пакет из 38 документов. DATUM собирает ОРД под ключ от 45 000 ₽, включая шаблоны с условиями по п. 3 ст. 6 ФЗ-152 и чек-лист для проверки подрядчиков.

Собрать ОРД под ключ

Шаг 5. Определите порядок реагирования на инцидент и уведомления РКН

С 01.03.2023 действует Приказ РКН №187: при утечке ПДн оператор обязан уведомить РКН в течение 24 часов (первичное уведомление) и в течение 72 часов направить отчёт о результатах внутреннего расследования (ч. 3.1 ст. 21 ФЗ-152). Срок исчисляется с момента обнаружения инцидента — не с момента его подтверждения.

Если инцидент произошёл на стороне обработчика, оператор всё равно несёт ответственность за соблюдение сроков. Поэтому договор должен содержать: обязанность обработчика немедленно (не позднее 12 часов) уведомить оператора о любом подозрительном событии; порядок передачи информации для составления уведомления РКН; обязанность обработчика содействовать расследованию и предоставлять документы.

Неуведомление РКН об инциденте — штраф по ч. 11 ст. 13.11 КоАП от 1 до 3 млн ₽. Без соответствующего условия в договоре поручения оператор не сможет доказать, что предпринял разумные меры для выполнения этой обязанности вовремя.

Шаг 6. Пропишите обязанность уничтожить ПДн по окончании договора

По ст. 21 ФЗ-152 оператор обязан уничтожить или обезличить ПДн при достижении целей обработки. Договор поручения должен закрепить аналогичную обязанность для обработчика: после прекращения договора или по письменному требованию оператора обработчик уничтожает все копии данных, включая резервные, и подтверждает это актом.

Установите срок уничтожения — не более 30 дней с момента прекращения договора или получения требования. Укажите форму подтверждения: акт об уничтожении с подписью уполномоченного лица обработчика.

Без этого условия оператор рискует: данные остаются у подрядчика бессрочно, могут попасть в утечку уже после прекращения правоотношений, а оператор всё равно несёт ответственность как лицо, передавшее данные без надлежащего контроля.

Шаг 7. Включите право оператора на проверку и аудит обработчика

Седьмое условие — право оператора проводить проверки исполнения договора: запрашивать документы, организовывать выезды, изучать журналы обработки. Это не просто договорная защита: ст. 18.1 ФЗ-152 обязывает оператора принимать меры, обеспечивающие соблюдение закона, в том числе контролировать обработчиков.

Зафиксируйте в договоре: периодичность плановых проверок (не реже одного раза в год), право внеплановой проверки при получении жалобы субъекта или запроса РКН, обязанность обработчика обеспечить доступ и предоставить документы в течение 5 рабочих дней.

Отсутствие права на аудит лишает оператора возможности доказать РКН, что он контролировал обработку. На практике суды учитывают наличие таких условий в договоре при оценке добросовестности оператора и при рассмотрении вопроса о смягчении ответственности по ст. 4.1 КоАП.

Что проверить в договоре поручения: чек-лист

Перечень разрешённых действий с ПДн — исчерпывающий, без отсылки к «обработке вообще»
Цели обработки совпадают с уведомлением в реестре РКН (ст. 22 ФЗ-152) и политикой (ст. 18.1 ФЗ-152)
Обязанность соблюдать конфиденциальность — с указанием срока после прекращения договора и запретом привлечения субподрядчиков без согласия оператора
Уровень защищённости (УЗ-1..4) и ссылка на Приказ ФСТЭК №21 — с обязанностью обработчика документально подтверждать выполнение мер
Порядок уведомления оператора об инциденте в срок не позднее 12 часов — для соблюдения 24-часового окна РКН по ч. 3.1 ст. 21 ФЗ-152

Как это применяется на практике

Кейс 1. Юрист производственной компании (Уральский ФО, весна 2026) при аудите ОРД обнаружил, что договор с IT-аутсорсером содержал только пункт о конфиденциальности — без перечня действий, без указания УЗ и без права на проверку. После плановой проверки РКН выдал предписание об устранении нарушений и составил протокол по ч. 1 ст. 13.11 КоАП. Договор был переработан; штраф оспорен в суде с применением ст. 4.1.1 КоАП — компания получила предупреждение как при первичном нарушении без причинённого вреда.

Кейс 2. В деле об утечке клиентских данных через колл-центр (Центральный ФО, осень 2025) арбитражный суд региона установил, что договор поручения не содержал порядка уведомления оператора об инциденте. В результате первичное уведомление РКН было направлено с задержкой — на третьи сутки вместо первых 24 часов. Оператор получил штраф по ч. 11 ст. 13.11 КоАП в размере около 1,5 млн ₽ дополнительно к штрафу за саму утечку. Наличие корректного условия в договоре позволило бы зафиксировать, что оператор предпринял разумные меры для своевременного получения информации.

Типичные сценарии и риски при отсутствии обязательных условий

Сценарий 1. Договор без перечня действий — запрос субъекта на уничтожение. Субъект направил требование уничтожить его ПДн. Оператор передал требование обработчику, но в договоре право на уничтожение не было предусмотрено. Обработчик отказал, сославшись на отсутствие основания. Срок ответа субъекту по ст. 21 ФЗ-152 — 7 рабочих дней на уничтожение. Нарушение срока влечёт протокол по ч. 5 ст. 13.11 КоАП (50–90 тыс. ₽). Стратегия: включить в договор прямую обязанность обработчика исполнять требования оператора об уничтожении в течение 3 рабочих дней.

Сценарий 2. Нет условия о субподрядчиках — утечка на четвёртом звене. Подрядчик без согласования привлёк субподрядчика для хранения резервных копий. У субподрядчика произошла утечка. Оператор не знал о субподрядчике. РКН квалифицировал ситуацию как нарушение условий обработки и привлёк оператора по ч. 1 ст. 13.11 и ч. 12 ст. 13.11 (в зависимости от числа субъектов — от 3 до 15 млн ₽). Стратегия: запрет субподрядчиков или прямая обязанность согласовывать с оператором письменно, с распространением условий договора поручения на субподрядчика.

Сценарий 3. Нет условия об уничтожении — проверка после расторжения договора. Договор расторгнут год назад. РКН при проверке установил, что данные по-прежнему хранятся у бывшего обработчика. Оператор не вправе уже требовать уничтожения по договору — срок его действия истёк. РКН составил протокол за нарушение принципа хранения не дольше необходимого (ст. 5 ФЗ-152). Стратегия: включить в договор обязанность уничтожения в течение 30 дней после прекращения, а также условие о том, что обязанность уничтожить данные сохраняется и после истечения срока договора.

Услуги DATUM по теме

Комплект ОРД под ключ — договор поручения, политика, согласия, приказы: 38 документов от 45 000 ₽
Аудит соответствия 152-ФЗ — проверка договоров с подрядчиками по чек-листу 38 пунктов, от 100 000 ₽
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании, от 30 000 ₽/мес

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки персональных данных (ст. 18.1 ФЗ-152), приказ о назначении ответственного лица (ст. 22.1 ФЗ-152), согласия субъектов в установленных случаях (ст. 9 ФЗ-152), договоры поручения со всеми обработчиками (ст. 6 ч. 3 ФЗ-152), регламент реагирования на инциденты по Приказу РКН №187. Отсутствие любого из них — самостоятельное основание для штрафа по соответствующей части ст. 13.11 КоАП.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: наименование и контакты оператора, цели обработки, правовые основания, категории субъектов и состав ПДн, порядок и условия обработки, перечень применяемых мер защиты, права субъектов и порядок их реализации. Документ публикуется в открытом доступе — на сайте или в ином месте, где субъекты могут с ним ознакомиться. Шаблон из интернета без адаптации под конкретную деятельность оператора создаёт риски: цели или состав данных могут не совпадать с реальной практикой.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным за организацию обработки ПДн может быть штатный сотрудник или внешний специалист (аутсорсинг). Закон не устанавливает обязательной квалификации, но ч. 4 ст. 22.1 требует, чтобы это лицо понимало нормы 152-ФЗ и было способно организовать их соблюдение. Назначение оформляется приказом руководителя. Функцию ответственного можно передать по договору DPO-аутсорсеру — это законная практика, регулируемая п. 3 ст. 6 ФЗ-152 как поручение обработки.

4. Можно ли использовать шаблон политики из интернета?

Формально — да, запрета нет. Практически — типовой шаблон почти всегда требует существенной доработки: в нём нет конкретных целей оператора, реальных категорий данных, актуальных правовых оснований. РКН при проверке сверяет политику с фактической практикой обработки. Если политика описывает одни цели и категории, а оператор обрабатывает другие — это нарушение ст. 5 и ст. 18.1 ФЗ-152. Использовать шаблон допустимо как основу, но адаптация под конкретного оператора обязательна.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не объединяется с договором, офертой или политикой конфиденциальности (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Обязательные реквизиты: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Согласия, полученные до 01.09.2025 и соответствующие прежним требованиям, переоформлять не обязательно — обратная сила у поправок отсутствует. Новые согласия с указанной даты должны отвечать обновлённым требованиям.

6. Что происходит, если обработчик нарушил договор и произошла утечка?

Ответственность перед РКН несёт оператор — независимо от вины обработчика. Штраф по ч. 12–14 ст. 13.11 КоАП в зависимости от числа субъектов составляет от 3 до 15 млн ₽. Оператор вправе предъявить обработчику регрессное требование в размере понесённых убытков и штрафов — если договором предусмотрена ответственность обработчика. Без соответствующего условия в договоре регрессный иск сложнее обосновать.

Итог

Договор поручения обработки ПДн — не формальность, а инструмент управления ответственностью. Семь условий по п. 3 ст. 6 ФЗ-152 — перечень действий, цели, конфиденциальность, защита, реагирование на инциденты, уничтожение и право аудита — формируют правовую конструкцию, в которой оператор контролирует обработчика и документирует это для регулятора.

DATUM сопровождает операторов в подготовке пакета ОРД, включая договор поручения, с 2014 года. Практика охватывает компании в финансовом секторе, ритейле, IT и медицине — от первичного аудита до представления интересов при проверке РКН.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с РКН и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

16 апреля 2027 года