Оператор vs обработчик ПДн: разграничение
С 30 мая 2025 года ст. 13.11 КоАП насчитывает 18 частей, и за нарушения в цепочке «оператор — обработчик» компания может получить штраф от 150 тысяч до 500 миллионов рублей в зависимости от состава. Понимание того, кто в конкретных отношениях является оператором, а кто обработчиком, — это не академический вопрос: это прямое условие корректного оформления договора поручения, разграничения ответственности и прохождения проверки РКН.
Чем оператор отличается от обработчика по ст. 3 и ст. 6 152-ФЗ?
Ст. 3 ФЗ-152 определяет оператора как лицо, которое самостоятельно или совместно с другими организует и осуществляет обработку ПДн, а также определяет её цели. Ключевой признак — самостоятельное определение цели. Именно это отличает оператора от любого другого участника обработки.
Обработчик в ст. 3 не назван напрямую отдельным субъектом, однако п. 3 ст. 6 ФЗ-152 вводит конструкцию поручения: оператор вправе поручить обработку ПДн другому лицу на основании договора. Это лицо и является обработчиком в российском праве. Его отличительный признак — отсутствие самостоятельных целей обработки: он действует строго в рамках задания оператора.
Лицо, которому оператор поручил обработку по п. 3 ст. 6 ФЗ-152, обязано соблюдать принципы и правила обработки, предусмотренные 152-ФЗ. Ответственность перед субъектом при этом несёт оператор: обработчик отвечает перед оператором на основании договора, но не перед субъектом ПДн напрямую.
Разграничение критично с точки зрения принципов ст. 5 ФЗ-152. Оператор обязан обеспечить законность, конкретность и соразмерность целей обработки. Обработчик лишён права самостоятельно расширять или изменять эти цели — любой выход за рамки поручения превращает его в самостоятельного оператора со всеми вытекающими последствиями.
Как на практике определить роль: критерии и пограничные случаи
На практике граница между оператором и обработчиком размывается в трёх типичных ситуациях: когда подрядчик использует данные для собственных целей (аналитика, таргетинг, улучшение модели), когда договор не содержит ограничений на состав и цели обработки, и когда технически невозможно разграничить, чьи данные и в чьих интересах обрабатываются.
Три практических критерия разграничения:
- Цель обработки. Если контрагент обрабатывает ПДн только для исполнения вашего задания — он обработчик. Если он вправе использовать данные для своих продуктов, рекламных кампаний или статистических моделей — он самостоятельный оператор.
- Инструкция и контроль. Обработчик действует по детальной инструкции оператора. Если контрагент сам определяет технологию, состав данных или срок хранения — это признак операторских полномочий.
- Ответственность перед субъектом. Оператор отвечает на запросы субъектов по ст. 20 ФЗ-152. Если запрос субъекта о доступе, уточнении или уничтожении данных попадает к контрагенту напрямую — это признак, что он функционирует как самостоятельный оператор.
Совместная обработка — ещё один пограничный случай: ст. 3 ФЗ-152 допускает, что несколько лиц совместно организуют обработку. В этом случае они оба являются операторами, и ответственность распределяется между ними. Такая конструкция требует соглашения о совместной обработке с чётким разграничением функций.
Договор с подрядчиком охватывает ПДн, но роли не закреплены?
Если в договоре с IT-подрядчиком, колл-центром или CRM-вендором отсутствует раздел о поручении обработки ПДн, — каждый из участников формально является самостоятельным оператором. При проверке РКН это означает протокол по ст. 13.11 КоАП для обеих сторон. Юристы DATUM проведут аудит договорной базы по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Что должен содержать договор поручения обработки ПДн?
П. 3 ст. 6 ФЗ-152 устанавливает требования к договору, на основании которого оператор поручает обработку. Отсутствие любого из обязательных элементов — основание для протокола при проверке РКН.
Что должен содержать договор поручения обработки ПДн
- Перечень действий (операций) с ПДн, которые вправе совершать обработчик, и цели обработки
- Обязанность обработчика соблюдать конфиденциальность и обеспечивать безопасность ПДн
- Требования к защите ПДн — организационные и технические меры по ст. 19 ФЗ-152
- Запрет на передачу ПДн третьим лицам без согласования с оператором
- Право оператора на проверку исполнения обработчиком условий договора
Договор поручения обработки ПДн — не то же самое, что NDA или стандартный договор оказания услуг с пунктом о конфиденциальности. РКН при проверке запрашивает именно договор по п. 3 ст. 6 ФЗ-152 с полным перечнем элементов. Его отсутствие квалифицируется как обработка ПДн без правового основания — ч. 1 ст. 13.11 КоАП, штраф для юрлица 150–300 тысяч рублей.
Отдельно необходимо учитывать правовые основания обработки по ст. 6 ФЗ-152. Если обработка осуществляется в рамках исполнения договора с субъектом (п. 5 ст. 6), согласие субъекта на передачу данных обработчику не требуется. Если правовое основание — согласие по п. 1 ст. 6, то передача обработчику должна быть прямо отражена в тексте согласия. С 01.09.2025 по ФЗ-156 согласие оформляется отдельным документом и не может объединяться с договором или офертой.
Как распределяется ответственность при утечке через обработчика?
Принципиальная позиция судебной практики: оператор отвечает за утечку через обработчика перед субъектом ПДн и перед РКН вне зависимости от того, по чьей вине произошёл инцидент. Это вытекает из конструкции п. 3 ст. 6 ФЗ-152: именно оператор несёт ответственность за действия обработчика.
При этом у оператора сохраняется право регрессного требования к обработчику по условиям договора. Если договор не содержит положений об ответственности обработчика за инциденты, оператор лишается этого инструмента и несёт все потери самостоятельно.
С 30 мая 2025 года ответственность за утечку распределяется по масштабу инцидента. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3–5 миллионов рублей. Утечка от 10 000 до 100 000 субъектов — ч. 13, 5–10 миллионов рублей. Утечка более 100 000 субъектов — ч. 14, 10–15 миллионов рублей. При повторности применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 миллионов рублей и не более 500 миллионов рублей.
Дополнительно — уголовная ответственность по ст. 272.1 УК РФ, введённой ФЗ-421 от 30.11.2024 (действует с 11.12.2024). По ч. 5 — лишение свободы до 10 лет при тяжких последствиях. Норма применима к физическим лицам, в том числе к сотрудникам, допустившим утечку, и к должностным лицам обработчика.
Если юрист компании готовит договор с новым подрядчиком, который получит доступ к ПДн клиентов или сотрудников, — убедитесь, что договор содержит все элементы поручения по п. 3 ст. 6 ФЗ-152. Его отсутствие = штраф 150–300 тысяч рублей при первой же проверке. Юристы DATUM соберут 38-документный пакет ОРД, включая корректный договор поручения обработки.
Собрать ОРД под ключТри типичных сценария для юриста компании
Сценарий 1. IT-интегратор получил доступ к базе клиентов для настройки CRM. Ситуация: подрядчик подключился к боевой базе, договор содержит только NDA. Доказательства нарушения: отсутствует перечень разрешённых действий с ПДн, отсутствует запрет на использование данных в своих целях, не определены меры защиты. Вероятный исход: при проверке РКН — протокол по ч. 1 ст. 13.11 КоАП (150–300 тысяч рублей) в отношении компании-оператора. Если интегратор использовал данные для обучения собственной модели — самостоятельный протокол в его адрес. Стратегия: заключить дополнительное соглашение о поручении обработки до начала работ; ограничить доступ минимально необходимым набором данных; зафиксировать технические меры защиты.
Сценарий 2. Колл-центр на аутсорсинге обрабатывает обращения клиентов. Ситуация: договор с колл-центром есть, но в нём нет прямой ссылки на п. 3 ст. 6 ФЗ-152 и отсутствуют требования к уровню защищённости ИСПДн. Доказательства риска: колл-центр хранит записи разговоров и клиентские данные на собственных серверах без подтверждённого соответствия УЗ-3 (ПП РФ №1119). Вероятный исход: при утечке через колл-центр оператор несёт полную ответственность по ч. 12–14 ст. 13.11. Возможность регресса к колл-центру ограничена отсутствием положений о его ответственности в договоре. Стратегия: переработать договор; запросить у колл-центра документацию о соответствии требованиям Приказа ФСТЭК №21; включить право аудита.
Сценарий 3. SaaS-платформа HR-автоматизации обрабатывает данные сотрудников нескольких клиентов. Ситуация: вендор сообщает, что является обработчиком, однако в пользовательском соглашении оставляет за собой право на обезличенную аналитику поведения пользователей. Доказательства риска: использование данных для улучшения собственного продукта — самостоятельная цель, не соответствующая статусу обработчика. Вероятный исход: вендор является совместным оператором, его ответственность не ограничена рамками договора об обработке. Стратегия: потребовать исключения из соглашения права на аналитику за счёт клиентских данных или оформить отдельное согласие субъектов на такую обработку; при отказе вендора — сменить платформу или принять юридический риск осознанно.
Как это применяется на практике
Кейс 1. Торговая компания (Центральный ФО, осень 2025) передала CRM-вендору данные около 80 тысяч покупателей для настройки системы лояльности. Договор содержал только пункт о неразглашении. В ходе внеплановой проверки РКН установил отсутствие договора поручения обработки по п. 3 ст. 6 ФЗ-152. Компания получила протокол по ч. 1 ст. 13.11 КоАП; штраф составил сотни тысяч рублей. Параллельно вендор получил самостоятельный протокол как неустановленный оператор. После привлечения юристов удалось применить ст. 4.1.1 КоАП и заменить штраф на предупреждение для компании с учётом статуса малого предприятия и первичности нарушения. Конкретный номер дела и точная сумма уточняются менеджером при публикации.
Кейс 2. IT-разработчик (Северо-Западный ФО, начало 2026) предоставлял услуги по технической поддержке медицинской информационной системы клиники. Договор поручения обработки был оформлен корректно, однако в нём отсутствовало прямое ограничение на доступ к специальным категориям ПДн пациентов (ст. 10 ФЗ-152). После утечки медицинских данных 1 400 пациентов клиника получила протокол по ч. 12 ст. 13.11 КоАП (штраф 3–5 миллионов рублей) как оператор. Разработчик — самостоятельный протокол. В арбитраже удалось снизить штраф клиники, опираясь на наличие договора поручения и оперативное уведомление РКН в течение 24 часов. Конкретный номер дела уточняется менеджером при публикации.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка договорной базы, ОРД и процессов обработки по 38 пунктам
- Комплект ОРД под ключ — включает корректный договор поручения обработки по п. 3 ст. 6 ФЗ-152
- DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
По ст. 3 ФЗ-152 обработка ПДн — это любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Важно: даже простое хранение базы данных с ФИО и телефонами — это обработка ПДн. Наличие базы без каких-либо дополнительных операций не освобождает от требований 152-ФЗ.
2. На основании чего можно обрабатывать ПДн?
Ст. 6 ФЗ-152 устанавливает 11 правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение законодательно установленной обязанности (п. 2). Для специальных категорий ПДн (ст. 10) перечень оснований строже. Обработка без правового основания образует состав ч. 1 ст. 13.11 КоАП — штраф 150–300 тысяч рублей для юрлица в редакции с 30.05.2025.
3. Что грозит за нарушение 152-ФЗ?
Основная ответственность — административная по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (действует с 30.05.2025). Диапазон штрафов для юрлиц: от 30 тысяч рублей (ч. 3, отсутствие политики) до оборотного штрафа по ч. 15 — 1–3% годовой выручки, не менее 20 миллионов рублей. С 11.12.2024 действует также уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы при тяжких последствиях.
4. Нужно ли уведомлять РКН малому бизнесу?
По ст. 22 ФЗ-152 обязанность уведомить РКН о намерении обрабатывать ПДн распространяется на операторов без исключения по размеру бизнеса. Освобождение от уведомления возможно только по основаниям ч. 2 ст. 22 — например, если обработка касается исключительно работников оператора и не распространяется на третьих лиц. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП: 100–300 тысяч рублей для юрлица.
5. С какого возраста нужно согласие на ПДн?
ФЗ-152 не устанавливает единого возрастного порога. По общему правилу ГК РФ дееспособность наступает с 18 лет. Для детей до 14 лет согласие на обработку ПДн даётся законными представителями; с 14 до 18 лет — самостоятельно при наличии частичной дееспособности. В сфере образования и медицины действуют специальные нормы (ФЗ-273, ФЗ-323). С 01.09.2025 по ФЗ-156 согласие оформляется отдельным документом, что особенно актуально для онлайн-сервисов, ориентированных на несовершеннолетних.
Итог
Разграничение оператора и обработчика ПДн — это не формальность, а правовая конструкция, от которой зависит распределение ответственности в цепочке обработки. Отсутствие корректного договора поручения по п. 3 ст. 6 ФЗ-152 превращает любого подрядчика в самостоятельного оператора и создаёт двойной риск протоколов при проверке РКН.
DATUM сопровождает операторов ПДн в части договорной базы, ОРД и взаимодействия с РКН с 2014 года. Практика охватывает как разовые аудиты договорных отношений, так и абонентское ведение функции DPO по ст. 22.1 ФЗ-152.
8 февраля 2027 года