Перейти к содержанию
инструкция 8 июля 2026 По состоянию на 8 июля 2026

Политика для B2B: согласие представителя контрагента

В B2B-отношениях оператор обрабатывает персональные данные физических лиц — директоров, менеджеров, подписантов контрагента. Это ПДн по ст. 3 ФЗ-152 вне зависимости от того, что договор заключён между юридическими лицами.
Отсутствие политики обработки ПДн по ст. 18.1 ФЗ-152 и ненадлежащее согласие представителя контрагента образуют составы по ч. 2 и ч. 3 ст. 13.11 КоАП — штрафы до 700 000 ₽ за согласие и до 60 000 ₽ за политику. С 01.09.2025 согласие обязано быть отдельным документом по ФЗ-156 от 24.06.2025.
→ Если вы юрист и выстраиваете комплаенс по 152-ФЗ в компании с B2B-контрагентами — эта инструкция даёт пошаговый алгоритм.

Большинство компаний полагают, что 152-ФЗ касается только работы с клиентами-физлицами. На практике каждый B2B-договор порождает обработку ПДн: ФИО и должность директора контрагента, подписанта, куратора проекта, бухгалтера, уполномоченного лица — всё это персональные данные. Роскомнадзор при проверке смотрит на полноту ОРД в целом, включая блок B2B. Ниже — шесть шагов для юриста, который выстраивает комплаенс с нуля или проверяет существующий пакет документов.

Шаг 1. Определите, какие ПДн контрагентов вы реально обрабатываете

Прежде чем писать политику или собирать согласия, зафиксируйте фактический состав данных. В типовом B2B-процессе оператор обрабатывает следующие категории ПДн физических лиц — представителей контрагентов:

  • ФИО и должность директора, генерального директора, уполномоченного лица;
  • паспортные данные подписантов договоров (серия, номер, дата выдачи);
  • рабочий email, телефон менеджера по проекту;
  • данные из доверенностей (ФИО, паспорт, полномочия);
  • ИНН физического лица — если указан в договоре или счёте.

Каждая категория — отдельный вид обработки с отдельным правовым основанием. Обработка ФИО и должности директора при подписании договора обоснована п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора). Обработка паспортных данных без договорной необходимости требует самостоятельного основания — как правило, согласия по ст. 9 ФЗ-152.

«Ст. 6 ФЗ-152 — обработка ПДн допустима без согласия субъекта, если она необходима для исполнения договора, стороной которого является субъект (п. 5 ч. 1). Представитель контрагента стороной договора не является — это правовая ловушка B2B-отношений.»

Именно здесь возникает главная ловушка: договор заключён между юридическими лицами, а ПДн принадлежат физическому лицу — представителю. Он не является стороной договора, поэтому основание п. 5 ч. 1 ст. 6 формально на него не распространяется. Для обработки его данных нужно либо согласие, либо иное основание из ч. 1 ст. 6.

Шаг 2. Выберите правовое основание для каждой категории данных

После инвентаризации сопоставьте каждую категорию ПДн с допустимым основанием из ч. 1 ст. 6 ФЗ-152. Для B2B-контекста актуальны три варианта:

Вариант А — законный интерес (п. 7 ч. 1 ст. 6 ФЗ-152). Обработка необходима для осуществления прав и законных интересов оператора или третьих лиц, если при этом не нарушаются права и свободы субъекта. Применимо к обработке рабочих контактов менеджера проекта — суды признавали это основание достаточным для корпоративной переписки. Требует документального обоснования: внутреннего приказа с описанием интереса.

Вариант Б — согласие (п. 1 ч. 1 ст. 6 и ст. 9 ФЗ-152). Универсальное основание. С 01.09.2025 согласие обязано оформляться отдельным документом по ФЗ-156 от 24.06.2025: нельзя включать его в текст договора, приложения к нему или политику конфиденциальности. Реквизиты по ст. 9 ФЗ-152: ФИО и контакты субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.

Вариант В — требование закона (п. 2 ч. 1 ст. 6 ФЗ-152). Если обработка прямо предписана нормативным актом — например, хранение первичных документов с подписями по закону о бухучёте. Это основание покрывает хранение бумажных договоров с ФИО подписантов, но не охватывает, например, маркетинговую рассылку.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие субъекта на обработку ПДн оформляется отдельным документом. Включение согласия в текст договора с контрагентом недопустимо.»

Рекомендуемая схема для B2B: хранение подписанных договоров — Вариант В; рабочие контакты для исполнения — Вариант А с приказом; паспортные данные вне договорной необходимости — Вариант Б с отдельным согласием.

Правовое основание выбрано неверно — что происходит на проверке?

Если юрист обосновал обработку паспортных данных менеджера контрагента через п. 5 ст. 6 (исполнение договора), а РКН при проверке установит, что субъект не является стороной договора — оператор получит предписание и протокол по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Повторное нарушение — ч. 1.1, штраф до 500 000 ₽. Юристы DATUM за 5 рабочих дней проведут экспресс-анализ оснований обработки и выдадут матрицу «категория ПДн — основание — документ».

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Составьте политику обработки персональных данных по ст. 18.1 ФЗ-152

Политика обработки персональных данных — обязательный публичный документ по ч. 2 ст. 18.1 ФЗ-152. Оператор обязан опубликовать её на сайте или предоставить любому обратившемуся без ограничений. Отсутствие публичной политики образует состав по ч. 3 ст. 13.11 КоАП — штраф до 60 000 ₽. Для компании с B2B-деятельностью политика должна охватывать отдельный раздел о контрагентах.

Обязательные разделы политики по ч. 2 ст. 18.1 ФЗ-152:

  • цели обработки ПДн — отдельно по каждой категории субъектов (клиенты, сотрудники, представители контрагентов);
  • перечень категорий ПДн по каждой цели;
  • правовые основания обработки со ссылкой на нормы;
  • категории субъектов ПДн;
  • порядок и условия обработки, в том числе сроки хранения;
  • описание мер защиты по ст. 19 ФЗ-152 (организационные и технические);
  • порядок реализации прав субъектов: обращение, сроки ответа по ст. 20 (10 рабочих дней);
  • сведения о трансграничной передаче, если она осуществляется.

Типичная ошибка юристов: раздел о контрагентах либо отсутствует, либо обобщён с разделом о клиентах. РКН при проверке смотрит на соответствие политики реальной обработке. Если в политике нет упоминания о данных представителей контрагентов, а они фактически обрабатываются — несоответствие фиксируется как нарушение ст. 18.1.

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры по обеспечению исполнения своих обязанностей, включая опубликование политики обработки ПДн. Ч. 2 определяет обязательное содержание: цели, основания, категории, порядок, меры защиты, права субъектов.»

Ещё одна ошибка: использование шаблонной политики из интернета без адаптации к реальным процессам компании. Политика должна описывать фактическую обработку, а не абстрактный перечень возможных операций. РКН проверяет соответствие политики уведомлению в реестре (ст. 22 ФЗ-152) и фактической деятельности.

Как правильно оформить согласие представителя контрагента после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн — самостоятельный документ. Включение его в текст договора с контрагентом, в доверенность или в общую политику конфиденциальности недействительно. Ранее полученные согласия, включённые в договоры до 01.09.2025, обратной силы не теряют — ФЗ-156 не имеет обратного действия.

Реквизиты согласия по ст. 9 ФЗ-152 (в редакции с 01.09.2025):

  • фамилия, имя, отчество субъекта — конкретного физического лица;
  • контактные данные субъекта;
  • полное наименование и адрес оператора;
  • цель обработки — конкретная, не «в рамках делового сотрудничества»;
  • перечень персональных данных — конкретные поля, не «необходимые для работы»;
  • перечень действий с ПДн — сбор, хранение, передача третьим лицам и т. д.;
  • срок действия согласия или указание на бессрочность;
  • способ отзыва — конкретный адрес и форма обращения.

Практический вопрос: как получить согласие от директора контрагента до подписания договора? Три рабочих варианта: (1) направить форму согласия вместе с проектом договора и получить подписанный экземпляр до обмена договорами; (2) предусмотреть согласие как отдельное приложение к пакету документов при onboarding контрагента; (3) электронное согласие с квалифицированной электронной подписью или через идентифицированный личный кабинет.

Если вы юрист и в вашей компании согласия представителей контрагентов включены в текст договора — с 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — до 700 000 ₽. Юристы DATUM соберут пакет ОРД под ключ, включая отдельные формы согласий по новым требованиям ФЗ-156.

Собрать ОРД под ключ

Шаг 5. Уведомите РКН и назначьте ответственного по ст. 22 и 22.1 ФЗ-152

Обработка ПДн требует предварительного уведомления Роскомнадзора по ст. 22 ФЗ-152 — до начала обработки. Форма уведомления утверждена Приказом РКН №180 от 28.10.2022, подача — через pd.rkn.gov.ru с использованием ЕСИА или УКЭП. После подачи оператор включается в реестр в течение 30 дней. Неуведомление или несвоевременное уведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Уведомление должно отражать реальную обработку, включая B2B-категорию субъектов. Если уведомление подано ранее без упоминания представителей контрагентов, а такая обработка ведётся — необходимо направить уведомление об изменении сведений. Форма та же — Приказ РКН №180.

«Ст. 22.1 ФЗ-152 — оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки ПДн. Требования к квалификации — ч. 4 ст. 22.1. Назначение оформляется приказом.»

Параллельно по ст. 22.1 ФЗ-152 оформите приказ о назначении ответственного за обработку ПДн. Это отдельный документ — не совмещайте функцию с должностной инструкцией. Ответственный должен знать реестр операторов, актуальные формы согласий, порядок реагирования на запросы субъектов и регламент уведомления РКН об инцидентах. При отсутствии подходящего специалиста — функцию можно передать на DPO-аутсорсинг по договору.

Шаг 6. Соберите полный пакет ОРД по теме B2B и организуйте хранение

Организационно-распорядительная документация по B2B-блоку включает не только политику и согласия. Полный минимальный пакет для юриста:

Что подготовить для B2B-блока ОРД

  • Политика обработки ПДн с разделом о представителях контрагентов — опубликованная на сайте или выдаваемая по запросу (ст. 18.1 ФЗ-152).
  • Форма отдельного согласия для директора/менеджера/подписанта контрагента с реквизитами по ст. 9 ФЗ-152 в редакции с 01.09.2025.
  • Приказ об утверждении перечня лиц, допущенных к обработке ПДн контрагентов, с подписями об ознакомлении.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
  • Уведомление в РКН по ст. 22 ФЗ-152 с включением категории «представители контрагентов», подтверждение включения в реестр.

Срок хранения ПДн представителей контрагентов определяется целью обработки: пока действует договор плюс период исковой давности (как правило, 3 года) плюс сроки хранения первичных документов по законодательству о бухучёте (5 лет). По истечении — уничтожение с актом или обезличивание. Хранение дольше необходимого нарушает принцип ст. 5 ФЗ-152 и фиксируется при проверке.

Как это применяется на практике

Кейс 1. Юридическая служба производственной компании (Уральский ФО, начало 2026) провела внутренний аудит перед плановой проверкой РКН. Выяснилось, что согласия трёх категорий контрагентов включены в текст рамочных договоров, заключённых до 01.09.2025. Новые договоры после 01.09.2025 содержали то же условие — нарушение ФЗ-156. В течение двух недель юрист вместе с внешними консультантами переработал формы: согласие вынесено в отдельное приложение, подписывается до обмена основным договором. К проверке компания пришла с актуальным пакетом ОРД, нарушений по ч. 2 ст. 13.11 не зафиксировано.

Кейс 2. Компания-разработчик SaaS (Центральный ФО, осень 2025) получила запрос субъекта — менеджера клиента-контрагента — об уничтожении его персональных данных. В политике обработки ПДн раздел о представителях B2B-контрагентов отсутствовал. Компания не смогла ответить на запрос в течение 10 рабочих дней по ст. 20 ФЗ-152 — документов о сроках и порядке хранения не было. Инцидент завершился предписанием РКН об устранении нарушений и штрафом в десятки тысяч рублей по ч. 4 ст. 13.11 КоАП (невыполнение обязанности по предоставлению информации субъекту). ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн по закону?

Минимальный пакет: политика обработки ПДн по ст. 18.1 ФЗ-152, согласия субъектов в форматах по ст. 9 ФЗ-152 (с 01.09.2025 — отдельный документ по ФЗ-156), приказ о назначении ответственного по ст. 22.1, перечень лиц, допущенных к обработке, уведомление в РКН по ст. 22 с подтверждением включения в реестр, внутренние регламенты по реагированию на запросы субъектов и на инциденты. Для B2B-оператора добавляются матрица оснований обработки по категориям контрагентов и формы согласий для представителей.

2. Как составить политику обработки ПДн, чтобы она соответствовала ст. 18.1 ФЗ-152?

Политика должна описывать реальную обработку, а не абстрактный перечень. Обязательные разделы: цели и основания по каждой категории субъектов (клиенты, сотрудники, представители контрагентов), перечень ПДн, сроки хранения, меры защиты, права субъектов и сроки ответа (10 рабочих дней по ст. 20), сведения о трансграничной передаче при наличии. Политику следует синхронизировать с уведомлением в реестре РКН — несоответствие фиксируется при проверке.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152 и каковы требования?

Ответственным назначается работник или внешний исполнитель по договору (DPO-аутсорсинг). Ч. 4 ст. 22.1 ФЗ-152 устанавливает требования к квалификации: знание законодательства о ПДн, способность организовать обработку в соответствии с требованиями. Назначение оформляется приказом. Функции: ведение уведомлений, ответы на запросы субъектов, взаимодействие с РКН, контроль за соответствием документации.

4. Можно ли использовать шаблон политики из интернета?

Шаблон — только отправная точка. Политика по ч. 2 ст. 18.1 ФЗ-152 обязана описывать фактическую обработку конкретного оператора: реальные цели, категории субъектов, основания, сроки хранения и меры защиты. Типовой шаблон без адаптации не отражает B2B-специфику, не совпадает с уведомлением в реестре РКН, не содержит актуальных норм после поправок 2024–2025 годов. На проверке РКН расхождение политики с реальностью фиксируется как нарушение ст. 18.1.

5. Какие согласия нужны после 01.09.2025 в B2B-документообороте?

После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн — самостоятельный документ. В B2B-контексте это означает: согласие директора или менеджера контрагента не включается в текст договора, доверенности или иного корпоративного документа. Оно подписывается отдельно — до начала обработки ПДн. Ранее полученные согласия в составе договоров, подписанных до 01.09.2025, сохраняют силу. Новые договоры или дополнительные соглашения после этой даты — требуют отдельного согласия.

Итог

Политика для B2B — не шаблонный документ, а описание реальной обработки ПДн представителей контрагентов: директоров, менеджеров, подписантов. Шесть шагов — от инвентаризации данных до полного пакета ОРД — закрывают основные риски по ч. 2, ч. 3 и ч. 4 ст. 13.11 КоАП. После 01.09.2025 отдельное согласие стало обязательным требованием, а не рекомендацией.

DATUM сопровождает B2B-операторов в построении ОРД с 2014 года: от матрицы оснований обработки до уведомления РКН и DPO-аутсорсинга по ст. 22.1 ФЗ-152.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — согласия в SaaS и B2B, трансграничные сервисы аналитики, политики конфиденциальности для маркетплейсов и корпоративных платформ.

8 июля 2026 года