Перейти к содержанию
инструкция 15 декабря 2026 По состоянию на 15 декабря 2026

Договор с облачным провайдером: оператор vs обработчик

Облачный провайдер, обрабатывающий ПДн по вашему заданию, — это обработчик по п. 3 ст. 6 ФЗ-152. Если договор не закрепляет это разграничение, оператором по закону остаётесь только вы — и весь штраф по ст. 13.11 КоАП ляжет на вашу компанию.
С 30.05.2025 штраф за нарушение условий обработки составляет 150 000–300 000 ₽ по ч. 1 ст. 13.11 КоАП; при повторности — до 500 000 ₽. Оборотный штраф по ч. 15 за повторную утечку — 1–3% годовой выручки, не менее 20 млн ₽.
Если вы юрист и проверяете договор с облачным провайдером — эта инструкция покажет, какие пункты обязательны, какие документы нужны и где ошибаются чаще всего.

Облачные сервисы — CRM, ERP, корпоративная почта, хранилища файлов — обрабатывают персональные данные сотрудников и клиентов ежедневно. Юрист, проверяющий договор с провайдером, должен ответить на два вопроса: кто является оператором, а кто — обработчиком, и содержит ли договор все обязательные условия по п. 3 ст. 6 ФЗ-152. Отсутствие хотя бы одного обязательного пункта создаёт основание для протокола РКН. Инструкция ниже разбивает задачу на пять шагов.

Шаг 1. Определите, кто оператор, а кто обработчик

Оператор — это тот, кто самостоятельно определяет цели и состав обработки ПДн. Облачный провайдер, действующий строго по вашему заданию, — обработчик: он не определяет цели, а лишь выполняет технические операции. Разграничение прямо следует из ст. 3 ФЗ-152.

Критерии разграничения — три вопроса:

  • Кто определяет, зачем собираются данные (цель)? — оператор.
  • Кто выбирает, какие данные собирать и как долго хранить? — оператор.
  • Кто только исполняет техническое задание без права менять цели? — обработчик.

Если провайдер использует данные в собственных целях (таргетинг, аналитика для третьих лиц) — он становится самостоятельным оператором. Тогда договор поручения недостаточен: нужно отдельное правовое основание по ст. 6 ФЗ-152 для каждой из сторон.

«Ст. 3 ФЗ-152: оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.»

Шаг 2. Включите в договор обязательные условия по п. 3 ст. 6 ФЗ-152

Поручение обработки — это не просто упоминание слова «конфиденциальность» в договоре. Пункт 3 ст. 6 ФЗ-152 устанавливает минимальный перечень условий, без которых поручение считается ненадлежащим.

Обязательные условия в договоре с провайдером:

  • Перечень действий с ПДн — какие именно операции выполняет провайдер: хранение, резервное копирование, передача на серверы, уничтожение.
  • Цели обработки — строго в рамках задания оператора; провайдер не вправе обрабатывать ПДн в иных целях.
  • Обязанность соблюдать конфиденциальность — прямое указание в тексте.
  • Обязанность обеспечить защиту ПДн — меры по ст. 19 ФЗ-152, конкретный уровень защищённости (УЗ-1...УЗ-4 по ПП РФ №1119).
  • Право оператора проверять выполнение обязательств — аудит, запрос документов, инспекция.
  • Обязанность провайдера прекратить обработку и уничтожить данные по окончании договора или по требованию оператора.
  • Запрет субпоручения без письменного согласия оператора либо прямое согласование субобработчиков (субпровайдеров).
«П. 3 ст. 6 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу с согласия субъекта, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку по поручению оператора, обязано соблюдать принципы и правила, предусмотренные настоящим федеральным законом.»

Если договор содержит только стандартный пункт об NDA — этого недостаточно. РКН при проверке запрашивает текст договора с провайдером и сверяет с требованиями п. 3 ст. 6.

Договор с провайдером уже подписан, но нужных пунктов нет?

Юрист, обнаруживший пробел в договоре, рискует: при проверке РКН оператор несёт ответственность за действия обработчика полностью. Исправить ситуацию можно через дополнительное соглашение или новый DPA-приложение. У вас есть время подготовиться — пока проверка не началась. Юристы DATUM соберут пакет договорной документации для отношений оператор–обработчик в рамках комплекта ОРД под ключ.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте ОРД оператора — не только договор с провайдером

Договор с провайдером — один документ из пакета ОРД. РКН оценивает систему обработки ПДн в целом. Отсутствие любого из обязательных документов — самостоятельное основание для штрафа по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽ за отсутствие политики) или по ч. 1 (150 000–300 000 ₽ за ненадлежащую обработку).

Обязательные документы, связанные с обработкой через провайдера:

  • Политика обработки ПДн — публикуется по ст. 18.1 ФЗ-152, должна описывать категории обработчиков и основания передачи.
  • Уведомление в РКН — по ст. 22 ФЗ-152, форма по Приказу РКН №180 от 28.10.2022. В уведомлении указываются сведения об обработчиках.
  • Приказ о назначении ответственного — по ст. 22.1 ФЗ-152; без него ответственность за взаимодействие с провайдером не закреплена.
  • Согласия субъектов — если ПДн передаются провайдеру, согласие должно это охватывать. С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется отдельным документом.
  • Регламент реагирования на инциденты — провайдер обязан уведомить оператора об утечке в срок, который оператор фиксирует: только тогда 24-часовой дедлайн перед РКН выполним.
«Ст. 18.1 ФЗ-152 ч. 2: политика в отношении обработки ПДн должна включать сведения о лицах, осуществляющих обработку по поручению оператора, и о целях такой обработки.»

Как выглядит типичная ошибка: три сценария из практики

Сценарий 1. Договор SaaS без DPA. Компания использует западный SaaS-сервис для хранения клиентских данных. Договор — стандартная оферта, на русском языке нет. Раздел о конфиденциальности есть, но отсутствует перечень действий с ПДн и нет права оператора на проверку. При плановой проверке РКН инспектор запрашивает договор. Оператор не может подтвердить соблюдение п. 3 ст. 6 ФЗ-152. Составляется протокол по ч. 1 ст. 13.11 КоАП. Стратегия: заключить дополнительное соглашение (DPA) на русском языке с нужными пунктами до проверки.

Сценарий 2. Провайдер — субобработчик без уведомления. Оператор заключил договор с IT-интегратором, тот разместил данные у субпровайдера без письменного согласия оператора. Утечка произошла на уровне субпровайдера. Оператор узнал об утечке из новостей, а не от интегратора. 24-часовой срок уведомления РКН пропущен. Результат: протоколы по ч. 10 и ч. 11 ст. 13.11 одновременно (неуведомление об утечке — 1–3 млн ₽). Стратегия: в договоре с интегратором — прямой запрет субпоручения без письменного согласия и обязанность уведомить оператора об инциденте в течение 4 часов.

Сценарий 3. Облако за рубежом без уведомления о трансграничке. Облачный провайдер хранит данные на серверах в Германии. Оператор не подал уведомление о трансграничной передаче в РКН по ст. 12 ФЗ-152. Локализация нарушена по ч. 5 ст. 18 ФЗ-152 (первичный сбор должен осуществляться в базах в России). Санкция по ч. 8 ст. 13.11 КоАП — 1–6 млн ₽. Стратегия: перевести первичный сбор на российские серверы; зарубежное хранение допустимо как зеркало при соблюдении ч. 5 ст. 18 и уведомлении РКН о трансграничке.

Если вы юрист и видите в договоре с провайдером пробелы по п. 3 ст. 6 ФЗ-152 — время до плановой проверки РКН ограничено. Юристы DATUM проведут аудит договорной базы и ОРД по чек-листу из 38 пунктов.

Заказать аудит 152-ФЗ

Шаг 4. Проверьте локализацию и трансграничную передачу

Часть 5 ст. 18 ФЗ-152 требует, чтобы запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществлялись в базах данных, расположенных на территории России. Это касается первичного сбора — не каждой операции с данными.

Что проверить в договоре с провайдером по вопросу локализации:

  • Указано ли место нахождения серверов (страна, регион)? Если нет — добавьте условие или запросите у провайдера письменное подтверждение российской юрисдикции дата-центра.
  • Если серверы за рубежом — проведена ли оценка страны адекватной защиты? Перечень стран определяется актом РКН. Страны ЕС и ряд других входят в перечень, но это не отменяет требование локализации первичного сбора.
  • Подано ли уведомление о трансграничной передаче по ст. 12 ФЗ-152 в РКН? Если нет — нарушение по ч. 1 ст. 13.11 КоАП.
«Ч. 5 ст. 18 ФЗ-152: при сборе ПДн, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.»

Нарушение локализации при использовании зарубежного облака — один из наиболее распространённых составов при проверках операторов, использующих иностранные SaaS-платформы. По данным практики, РКН квалифицирует его по ч. 8 ст. 13.11 КоАП (штраф 1–6 млн ₽ для юрлица).

Шаг 5. Закрепите порядок реагирования на инциденты в договоре

Часть 3.1 ст. 21 ФЗ-152 обязывает оператора уведомить РКН в течение 24 часов с момента выявления инцидента. Если утечка произошла на стороне провайдера, а оператор узнал об этом позже — 24-часовой срок всё равно исчисляется с момента, когда оператор был или должен был быть осведомлён.

Обязательные условия в договоре на случай инцидента:

  • Срок уведомления провайдером оператора об инциденте — рекомендуется не более 4 часов с момента обнаружения.
  • Форма уведомления — письменно (email с подтверждением доставки или защищённый канал).
  • Перечень информации в уведомлении: характер инцидента, категории ПДн, предполагаемое число затронутых субъектов, принятые меры.
  • Обязанность провайдера содействовать расследованию — предоставить журналы, логи, технические данные.
  • Штрафные санкции за нарушение срока уведомления — иначе у провайдера нет мотивации соблюдать 4-часовой порог.
«Ч. 3.1 ст. 21 ФЗ-152: при выявлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов, оператор обязан уведомить РКН в срок не позднее 24 часов с момента выявления. Порядок уведомления установлен Приказом РКН №187 от 14.11.2022.»

Что подготовить юристу при проверке договора с облачным провайдером

  • Текст договора с провайдером — сверить с перечнем обязательных условий п. 3 ст. 6 ФЗ-152 (7 пунктов из шага 2).
  • Актуальное уведомление в реестре РКН на pd.rkn.gov.ru — убедиться, что провайдер указан как обработчик.
  • Политика обработки ПДн в открытом доступе — включает сведения об обработчиках по ч. 2 ст. 18.1 ФЗ-152.
  • Приказ о назначении ответственного по ст. 22.1 ФЗ-152 — закрепляет, кто взаимодействует с провайдером по вопросам ПДн.
  • Регламент реагирования на инциденты — включает условие о 4-часовом уведомлении от провайдера к оператору.

Как это применяется на практике

Кейс 1. IT-компания (Центральный ФО, осень 2025) использовала CRM-систему на зарубежных серверах без уведомления РКН о трансграничной передаче. При внеплановой проверке, инициированной жалобой сотрудника, инспектор РКН выявил отсутствие условий поручения в договоре с провайдером и нарушение локализации. Юрист компании привлёк DATUM для подготовки возражений: было заключено дополнительное соглашение задним числом (до вынесения постановления), подано уведомление о трансграничке. Штраф по ч. 1 ст. 13.11 КоАП составил сумму в нижней части диапазона — минимальный для данного состава. Суд учёл оперативность устранения нарушений.

Кейс 2. Производственное предприятие (Уральский ФО, начало 2026) передало обработку кадровых ПДн HR-SaaS-платформе. Договор поручения был заключён, однако в нём отсутствовал запрет субпоручения. Платформа разместила данные у субпровайдера — произошла утечка. По принципу ответственности оператора за действия обработчика (позиция судебной практики ВС РФ) компания получила протокол по ч. 1 ст. 13.11. После аудита договорной базы и внесения изменений в ОРД риск повторного нарушения с квалификацией по ч. 1.1 был исключён.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн при работе с облачным провайдером?

Минимальный пакет: договор с провайдером по п. 3 ст. 6 ФЗ-152 (с перечнем действий, целями, правом проверки и запретом субпоручения), политика обработки ПДн по ст. 18.1 ФЗ-152, уведомление в реестре РКН по ст. 22 ФЗ-152 с указанием обработчика, приказ об ответственном по ст. 22.1 ФЗ-152 и регламент реагирования на инциденты с порядком уведомления от провайдера к оператору.

2. Как составить политику обработки ПДн при наличии облачного провайдера?

Политика по ст. 18.1 ФЗ-152 должна включать: цели и правовые основания обработки, категории субъектов и ПДн, перечень обработчиков (с указанием, что провайдер действует по поручению), меры защиты, порядок обращений субъектов и сроки хранения. Шаблон из интернета не учитывает специфику вашей инфраструктуры и состав обработчиков — это источник риска при проверке РКН.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным назначается сотрудник или привлечённое лицо, обладающее знаниями в области защиты ПДн. Требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152. На практике это юрист, специалист по ИБ или DPO-аутсорсер. Важно: ответственный должен быть реально включён в процесс взаимодействия с провайдером — получать уведомления об инцидентах и координировать реагирование.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Нет — точнее, можно как основу, но не без адаптации. Типовой шаблон не учитывает конкретный перечень ваших обработчиков, фактические категории ПДн и правовые основания. РКН при проверке сопоставляет текст политики с реальной обработкой. Несоответствие — основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Политику нужно адаптировать под вашу систему, включая раздел об облачных провайдерах.

5. Какие согласия нужны после 01.09.2025 при передаче ПДн провайдеру?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие субъекта на обработку ПДн оформляется отдельным документом — не в составе договора, оферты или пользовательского соглашения. Если ПДн передаются провайдеру, а согласие это не охватывает, — основание обработки отсутствует. Ранее выданные согласия переоформлять не нужно (закон не имеет обратной силы), но новые согласия с 01.09.2025 — только отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152.

Итог

Договор с облачным провайдером — не административная формальность, а ключевой документ, определяющий распределение ответственности за ПДн между оператором и обработчиком. Отсутствие обязательных условий по п. 3 ст. 6 ФЗ-152, нарушение локализации по ч. 5 ст. 18 ФЗ-152 или пропуск 24-часового срока уведомления об инциденте — каждый из этих пробелов создаёт самостоятельный состав по ст. 13.11 КоАП.

Практика DATUM по 152-ФЗ с 2014 года охватывает договорное сопровождение отношений оператор–обработчик, аудит ОРД и защиту в арбитраже по ст. 13.11 КоАП. Подготовим договор с провайдером, приведём ОРД в соответствие и закроем риски до проверки РКН.

Смотрите также

АГ
Антон Громов
Аналитик · Технологии и ИБ
Аналитик DATUM по технологиям и информационной безопасности. Специализация — техническая сторона 152-ФЗ: уровни защищённости УЗ-1..4 (ПП РФ № 1119), Приказ ФСТЭК № 21, обезличивание ПДн, SaaS-инфраструктура, реагирование на утечки за 24/72 часа, ст. 272.1 УК.

15 декабря 2026 года