инструкция 15 октября 2026 По состоянию на 15 октября 2026

Договор с подрядчиком на сбор ПДн

Договор с подрядчиком на сбор персональных данных — это соглашение об обработке ПДн по поручению оператора в рамках п. 3 ст. 6 ФЗ-152. Без такого договора оператор несёт ответственность за действия подрядчика как за собственные нарушения.

С 30.05.2025 утечка через подрядчика квалифицируется по ч. 12–14 ст. 13.11 КоАП — штраф 3–15 млн ₽ за утечку от 1 000 субъектов. При повторности — оборотный штраф от 20 млн ₽ по ч. 15 ст. 13.11. Практика подтверждает: суды возлагают ответственность на оператора, даже когда инцидент произошёл на стороне подрядчика.

→ Если вы юрист и выстраиваете пакет ОРД для оператора с внешними подрядчиками — ниже пошаговый порядок структурирования договора и сопутствующей документации.

Подрядчики по сбору ПДн — колл-центры, CRM-агентства, рекрутинговые платформы, аутстаффинговые компании — обрабатывают данные субъектов от имени оператора. ФЗ-152 требует оформлять это отношение договором поручения с конкретным перечнем условий. Отсутствие договора или неполный состав условий — нарушение ч. 3 ст. 6 ФЗ-152, которое РКН фиксирует при плановых и внеплановых проверках. Инструкция ниже рассчитана на юриста, который готовит или проверяет пакет ОРД оператора.

Что такое обработка ПДн по поручению и зачем она требует отдельного договора?

Обработка по поручению — ситуация, когда оператор передаёт функцию сбора или иных действий с ПДн третьему лицу, оставаясь ответственным перед субъектами и регулятором. Подрядчик в этой схеме не становится самостоятельным оператором: он действует строго в рамках инструкций, которые оператор закрепляет в договоре.

«Ст. 6 ч. 3 ФЗ-152 — оператор вправе поручить обработку ПДн другому лицу только на основании договора или иного документа. В договоре обязательно определяются цели обработки, перечень действий, которые подрядчик вправе совершать, и его обязанность соблюдать конфиденциальность и принимать меры защиты по ст. 19 ФЗ-152.»

Без договора любое действие подрядчика с ПДн является обработкой без правового основания — нарушение ч. 1 ст. 13.11 КоАП с санкцией 150 000–300 000 ₽. Если подрядчик собирает данные без письменного согласия субъекта в тех случаях, где оно требуется, штраф по ч. 2 ст. 13.11 составит 300 000–700 000 ₽. Повторное нарушение по ч. 2.1 — 1–1,5 млн ₽.

Принципиальный момент для юриста: ответственность оператора перед РКН и судом не снимается ссылкой на вину подрядчика. Практика арбитражных судов устойчива — оператор несёт ответственность за утечку, произошедшую на стороне лица, которому поручена обработка (принцип из практики ВС РФ по делам об обработке ПДн третьими лицами).

Шаг 1. Проверьте правовые основания для передачи сбора ПДн подрядчику

До подписания договора установите, по какому основанию из ст. 6 ФЗ-152 оператор вообще собирает эти данные. Подрядчик действует в рамках того же основания — он не может расширять цели обработки за пределы, установленные для оператора.

Типовые сценарии:

Сбор данных соискателей через рекрутинговую платформу — основание: согласие субъекта (п. 1 ч. 1 ст. 6) или заключение договора с субъектом (п. 5 ч. 1 ст. 6).
Телемаркетинг через колл-центр — основание: согласие субъекта. С 01.09.2025 согласие оформляется отдельным документом по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.
Аутстаффинг с передачей кадровых ПДн — основание: исполнение обязанностей по трудовому законодательству (п. 2 ч. 1 ст. 6), ст. 86–88 ТК РФ.

Если оператор не может назвать конкретное основание из ст. 6 — подписание договора с подрядчиком проблему не устраняет, а лишь добавляет второй субъект потенциальной ответственности.

Проверяете ОРД оператора перед проверкой РКН?

Договор с подрядчиком — один из 38 обязательных документов пакета ОРД. Отсутствие или ненадлежащее оформление любого из них фиксируется инспектором как нарушение. У вас есть время подготовиться до плановой проверки — РКН публикует план на сайте за 90 дней.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Определите обязательные условия договора по ч. 3 ст. 6 ФЗ-152

Договор поручения на обработку ПДн должен содержать как минимум следующие условия — их отсутствие делает передачу данных подрядчику незаконной:

Цель обработки — формулировка должна совпадать с целью, указанной оператором при уведомлении РКН по ст. 22 ФЗ-152 и в политике обработки ПДн.
Перечень действий — конкретные операции: сбор, запись, систематизация, хранение, передача обратно оператору. Общая формулировка «обработка ПДн» недостаточна — РКН требует перечисления.
Обязанность соблюдать конфиденциальность — подрядчик не вправе передавать ПДн третьим лицам без прямого указания оператора.
Обязанность принять меры защиты — ссылка на ст. 19 ФЗ-152 и, если применимо, на уровень защищённости ИСПДн по ПП РФ №1119 и требования Приказа ФСТЭК №21.
Запрет на субпоручение или условия, при которых оно допустимо — с письменного согласия оператора и с сохранением той же ответственности.
Порядок уничтожения ПДн по окончании поручения — срок, способ, документальное подтверждение.

«Ст. 18.1 ФЗ-152 — оператор обязан принимать меры для обеспечения выполнения обязанностей по ФЗ-152, в том числе при обработке ПДн по поручению. Политика обработки ПДн должна содержать описание передачи данных третьим лицам и оснований такой передачи.»

Дополнительно: если подрядчик находится в иностранном государстве или использует инфраструктуру за рубежом — договор должен учитывать требования ст. 12 ФЗ-152 о трансграничной передаче и, при необходимости, уведомление РКН.

Шаг 3. Согласуйте условия согласия субъекта под конкретный сценарий сбора

С 01.09.2025 согласие субъекта на обработку ПДн — отдельный документ (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Оно не может быть объединено с договором, офертой, политикой или любым другим документом.

Если подрядчик собирает данные непосредственно у субъекта (например, колл-центр фиксирует согласие по телефону), договор с подрядчиком должен:

Устанавливать, кто является стороной, получающей согласие — оператор, а не подрядчик.
Определять форму фиксации согласия: аудиозапись, электронная форма с квалифицированной ЭП или иные способы, обеспечивающие идентификацию субъекта.
Закреплять обязанность подрядчика передавать записи согласий оператору в установленный срок.
Содержать перечень обязательных реквизитов согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.

Согласия, полученные подрядчиком до 01.09.2025, признаются действительными — обратной силы ФЗ-156 не имеет. Но новые согласия с 01.09.2025 должны оформляться по новым правилам независимо от того, когда был подписан договор с подрядчиком.

Шаг 4. Включите обязанности подрядчика по реагированию на инциденты

Это условие критично с 30.05.2025. По ч. 3.1 ст. 21 ФЗ-152 оператор обязан уведомить РКН об утечке в течение 24 часов с момента обнаружения, а через 72 часа — направить отчёт о результатах расследования (порядок установлен Приказом РКН №187 от 14.11.2022).

Если инцидент произошёл на стороне подрядчика, оператор узнаёт о нём с задержкой — и именно эта задержка приводит к нарушению 24-часового срока. Штраф по ч. 11 ст. 13.11 КоАП за несвоевременное уведомление — 1–3 млн ₽.

Договор должен обязывать подрядчика:

Уведомить оператора о любом инциденте с ПДн немедленно — не позднее 4 часов с момента обнаружения (с учётом того, что у оператора остаётся 20 часов на само уведомление РКН).
Предоставить оператору первичные сведения об инциденте: время, характер, категории ПДн, число субъектов, предположительные причины.
Содействовать расследованию и предоставить все материалы для отчёта по истечении 72 часов.
Нести договорную ответственность (штраф, возмещение расходов) за нарушение сроков уведомления оператора.

Если подрядчик уже работает с ПДн, а условий о реагировании на инциденты в договоре нет — это пробел, который РКН фиксирует при проверке. Юристы DATUM проведут аудит договорной базы с подрядчиками и составят дополнительные соглашения в течение 5 рабочих дней.

Заказать аудит 152-ФЗ

Шаг 5. Проверьте смежную документацию оператора, которую затрагивает договор с подрядчиком

Договор с подрядчиком не существует изолированно — он влечёт обязательное обновление ряда других документов оператора.

Что обновить после подписания договора с подрядчиком

Политика обработки ПДн по ст. 18.1 ФЗ-152 — добавить раздел о передаче данных подрядчику: наименование, цель, перечень передаваемых данных.
Уведомление в реестре РКН по ст. 22 ФЗ-152 — обновить сведения о третьих лицах, которым передаются ПДн. Форма подаётся через pd.rkn.gov.ru (Приказ РКН №180 от 28.10.2022).
Согласия субъектов — проверить, отражена ли передача данных именно этому подрядчику в действующих согласиях. Если нет — получить новые согласия по правилам ст. 9 ФЗ-152 в редакции с 01.09.2025.
Приказ о назначении ответственного по ст. 22.1 ФЗ-152 — убедиться, что ответственный охватывает процессы с подрядчиком в своём функционале.
Регламент реагирования на инциденты — включить в него порядок получения уведомления от подрядчика и действия оператора в первые 24 часа.

Отдельного внимания требует ст. 22 ФЗ-152. Если при уведомлении РКН о намерении обрабатывать ПДн оператор не указал передачу данных конкретному подрядчику, а затем фактически передал — это нарушение ч. 10 ст. 13.11 КоАП с штрафом 100 000–300 000 ₽.

Ответственный за обработку ПДн по ст. 22.1 ФЗ-152 не должен быть непосредственно подчинён коммерческому руководителю, взаимодействующему с подрядчиком. Конфликт интересов — типичная претензия РКН при проверке кадровых и коммерческих операторов.

Как это применяется на практике

Кейс 1. Торговая компания (Сибирский ФО, осень 2025) поручила колл-центру обзвон базы клиентов для телемаркетинга. Договор подписан, но в нём не был установлен срок уничтожения ПДн после завершения кампании. Колл-центр хранил базу 11 месяцев после окончания договора. При внеплановой проверке РКН зафиксировал нарушение принципа «не дольше необходимого» по ст. 5 ФЗ-152 и составил протокол по ч. 1 ст. 13.11. Ответственность возложена на оператора. Штраф в диапазоне 150 000–300 000 ₽ снижен до минимума с учётом добровольного устранения нарушения до вынесения постановления.

Кейс 2. IT-компания (Центральный ФО, начало 2026) использовала стороннюю платформу автоматизации маркетинга с серверами в ЕС для сбора лидов с сайта. Договор поручения не был заключён. При аудите юрист выявил: передача ПДн носит систематический характер, платформа не является стороной договора с субъектами, уведомление РКН о трансграничной передаче не подавалось. Совокупность нарушений: отсутствие договора поручения (ч. 1 ст. 13.11), необеспечение локализации по ч. 5 ст. 18 ФЗ-152 (ч. 8 ст. 13.11, штраф 1–6 млн ₽) и непредставление уведомления о трансграничной передаче. После аудита оператор перевёл сбор данных на российскую платформу, заключил договор поручения, обновил уведомление в реестре РКН и политику ПДн — до возбуждения дела об административном правонарушении.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов, включая договор поручения и политику ПДн
Аудит соответствия 152-ФЗ — проверка договорной базы с подрядчиками по чек-листу
DPO-аутсорсинг — ведение реестра операторов и сопровождение запросов субъектов

Частые вопросы

1. Какие документы должны быть у оператора ПДн, который передаёт сбор данных подрядчику?

Минимальный комплект: договор поручения с условиями по ч. 3 ст. 6 ФЗ-152, актуальная политика обработки ПДн по ст. 18.1 с разделом о передаче данных подрядчику, уведомление в реестре РКН по ст. 22 с указанием третьих лиц, согласия субъектов в форме отдельного документа по ст. 9 (с 01.09.2025 — по правилам ФЗ-156), приказ о назначении ответственного по ст. 22.1, регламент реагирования на инциденты с порядком получения уведомления от подрядчика.

2. Как составить политику обработки ПДн, которая учитывает работу с подрядчиком?

Политика должна содержать обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели и правовые основания обработки, перечень категорий ПДн, наименование и контакты оператора, сроки обработки и хранения, порядок обеспечения прав субъектов. Для каждого подрядчика, которому передаются данные, в политику включают: наименование, цель передачи, перечень передаваемых категорий ПДн, правовое основание (договор поручения). Публикация политики на сайте обязательна — отсутствие влечёт штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽).

3. Кого назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?

Ответственным назначается лицо с достаточными полномочиями и квалификацией в области ПДн — требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152. На практике это юрист, специалист по ИБ или отдельный сотрудник compliance-функции. Ключевое требование: ответственный не должен находиться в прямом подчинении у руководителя направления, которое коммерчески заинтересовано в сборе данных. Функции ответственного можно передать на аутсорсинг — DPO-аутсорсинг по ст. 22.1 ФЗ-152.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблон из открытых источников не отражает конкретные цели, категории ПДн, подрядчиков и процессы конкретного оператора. РКН при проверке сопоставляет содержание политики с фактической практикой обработки. Несоответствие — основание для предписания об устранении нарушений и протокола по ч. 1 ст. 13.11 КоАП. Политика должна быть написана под реальные процессы оператора, включая описание работы каждого подрядчика.

5. Какие согласия нужны после 01.09.2025 при сборе ПДн через подрядчика?

С 01.09.2025 согласие субъекта — отдельный документ, не совмещённый с договором, офертой или политикой (ФЗ-156 от 24.06.2025, ст. 9 ФЗ-152). Если подрядчик фиксирует согласие вместо оператора (например, колл-центр по телефону), договор поручения должен устанавливать: сторона, получающая согласие, — оператор; обязательный перечень реквизитов по ст. 9; формат фиксации и порядок передачи оператору. Согласия, полученные до 01.09.2025, действительны без переоформления.

6. Что происходит, если подрядчик нарушил условия договора и допустил утечку?

Оператор несёт административную ответственность перед РКН вне зависимости от того, по чьей вине произошла утечка. Штраф по ч. 12–14 ст. 13.11 КоАП — 3–15 млн ₽ в зависимости от числа субъектов. Параллельно оператор вправе предъявить подрядчику иск о взыскании убытков и штрафных санкций, предусмотренных договором поручения. Именно поэтому договор должен включать конкретную договорную ответственность подрядчика за нарушение сроков уведомления об инциденте и за несоблюдение мер защиты.

Итог

Договор с подрядчиком на сбор ПДн — не формальность, а инструмент распределения ответственности. Без него оператор полностью принимает на себя риски действий третьего лица: от штрафов по ч. 1–2 ст. 13.11 КоАП до оборотного взыскания по ч. 15 при повторной утечке. Договор, отвечающий требованиям ч. 3 ст. 6 ФЗ-152, в связке с актуальной политикой ПДн, корректным уведомлением РКН и отдельными согласиями субъектов по новым правилам — это базовый уровень защиты оператора.

Юристы DATUM структурировали договоры поручения для операторов в ритейле, финтехе, медицине и EdTech. Практика показывает: большинство нарушений при работе с подрядчиками — следствие не злого умысла, а отсутствия актуального пакета ОРД.

Есть действующие подрядчики, а договоры поручения не проверены?

Если юрист компании ставит под сомнение полноту договорной базы с подрядчиками по ПДн — это прямой риск при плановой проверке РКН или после инцидента. DATUM проведёт аудит соответствия 152-ФЗ по чек-листу из 38 пунктов и выдаст отчёт с приоритизированным планом устранения нарушений. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.