Политика обработки ПДн партнёров и контрагентов
Обработка ПДн физических лиц — контактных лиц контрагентов, представителей партнёров, ИП — требует отдельной политики либо раздела в общей политике оператора. Часть 2 ст. 18.1 ФЗ-152 устанавливает обязательный перечень сведений, которые должны быть в этом документе. Ниже — пошаговая инструкция: от анализа потоков данных до публикации документа и назначения ответственного.
Шаг 1. Проверьте, какие ПДн вы реально обрабатываете по контрагентам
Перед составлением политики необходимо зафиксировать фактические потоки данных. Контрагент — юридическое лицо, но договор подписывает физическое лицо: генеральный директор, уполномоченный сотрудник, ИП. Именно их данные подпадают под ФЗ-152.
Типовые категории ПДн по контрагентам: ФИО и должность представителя, паспортные данные (для нотариальных доверенностей), ИНН физлица (для ИП), контактные телефон и email, подпись. Все эти сведения — персональные данные по ст. 3 ФЗ-152.
Зафиксируйте: в каких системах хранятся эти данные (CRM, 1С, архив договоров, электронная почта), кто имеет к ним доступ, передаются ли данные третьим лицам (бухгалтеру на аутсорсе, облачному сервису ЭДО). Без этой карты нельзя корректно заполнить раздел о целях и основаниях обработки.
Шаг 2. Определите правовое основание обработки по ст. 6 ФЗ-152
Для обработки ПДн представителей контрагентов согласие субъекта, как правило, не требуется. Основание — исполнение договора, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6 ФЗ-152), либо законный интерес оператора (п. 7 ч. 1 ст. 6). Если контрагент — ИП, обработка его данных производится в рамках заключённого с ним договора.
Отдельные случаи требуют согласия: рассылки маркетинговых материалов партнёру, сбор дополнительных данных (фото для пропуска), публикация данных о партнёре на сайте оператора. Здесь применяется ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие оформляется отдельным документом, не включённым в текст договора или оферты.
В политике укажите конкретные основания для каждой цели обработки. Указание «согласие» как единственного основания там, где реально применяется договорное, создаёт риск: при отзыве «согласия» оператор формально теряет право обрабатывать данные.
Проверяете ОРД или готовите пакет с нуля?
Состав обязательных документов для оператора ПДн — 38 позиций. Юристы DATUM составят политику обработки ПДн с учётом специфики работы с контрагентами, определят правовые основания для каждого потока и проверят соответствие ст. 18.1 и ст. 22 ФЗ-152. Срок актуальности с учётом ФЗ-156 от 24.06.2025 — до 01.09.2025 все согласия должны быть переоформлены отдельными документами.
Собрать ОРД под ключ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Составьте политику с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152
Часть 2 ст. 18.1 ФЗ-152 определяет минимальный состав политики обработки персональных данных. Документ должен содержать: наименование оператора, цели обработки, правовые основания, перечень обрабатываемых данных, категории субъектов, порядок и условия обработки, сроки, порядок уничтожения, права субъекта и порядок их реализации, сведения об ответственном лице.
Обязательные разделы политики по партнёрам и контрагентам
- Наименование, ИНН и адрес оператора; контакты ответственного по ст. 22.1 ФЗ-152
- Цели обработки ПДн контрагентов: заключение и исполнение договоров, бухгалтерский и налоговый учёт, верификация полномочий представителя
- Правовые основания по ст. 6 ФЗ-152 для каждой цели (договор, законная обязанность, законный интерес)
- Перечень ПДн: ФИО, должность, контактные данные, реквизиты документов, удостоверяющих полномочия
- Порядок реализации прав субъекта: адрес и срок ответа (10 рабочих дней по ст. 20 ФЗ-152)
Отдельно укажите условия передачи данных третьим лицам. Если данные контрагентов передаются бухгалтерскому аутсорсеру или в облачный ЭДО — это поручение обработки по п. 3 ст. 6 ФЗ-152. Поручение оформляется договором с перечнем разрешённых действий; ответственность перед субъектом несёт оператор, а не обработчик.
Как опубликовать политику и выполнить требование ст. 18.1 ФЗ-152?
Статья 18.1 ФЗ-152 обязывает оператора обеспечить неограниченный доступ к политике. Для интернет-сайта это означает размещение документа по постоянному URL с возможностью скачивания или прочтения без регистрации. Ссылка на политику должна присутствовать на главной странице, в разделе «Контакты» и в формах сбора данных.
Для организации без сайта — публикация на информационном стенде или включение в стандартный пакет документов, передаваемых контрагенту при заключении договора. РКН при проверке запрашивает скриншот или распечатку с датой актуальности.
Документ нельзя публиковать один раз и забыть. При изменении состава обрабатываемых данных, смене ответственного, появлении нового облачного сервиса — политика подлежит обновлению. Рекомендуемая периодичность ревизии — раз в год и при каждом изменении ИТ-инфраструктуры.
Шаг 4. Подайте уведомление в РКН по ст. 22 ФЗ-152 и назначьте ответственного по ст. 22.1
Уведомление в Роскомнадзор о намерении обрабатывать персональные данные подаётся до начала обработки через портал pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022. Включение в реестр занимает до 30 дней. Неуведомление или несвоевременное уведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП в редакции с 30.05.2025.
После уведомления назначьте приказом ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152. Это физическое лицо — сотрудник оператора или внешний DPO. Требования к квалификации установлены ч. 4 ст. 22.1: необходимо знание законодательства о ПДн, понимание технических и организационных мер защиты.
В политике укажите ФИО или должность ответственного и его контакты для обращений субъектов. Если ответственный сменился — обновите политику и уведомление в РКН.
Если вы юрист и готовите уведомление РКН по ст. 22 или назначаете ответственного по ст. 22.1 — DPO-аутсорсинг DATUM закрывает обе функции: ведём реестр операторов, отвечаем на запросы субъектов, обновляем политику при изменениях. Абонентское обслуживание от 30 000 ₽/мес. Срок подключения — 5 рабочих дней.
Подключить DPO-аутсорсШаг 5. Проверьте согласия с учётом изменений ФЗ-156 от 24.06.2025
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом по ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Согласие не может быть включено в текст договора, оферты, политики или иного документа. Обратной силы норма не имеет: согласия, полученные до 01.09.2025 в составе договора, считаются действительными, но при перезаключении договора новое согласие должно быть отдельным.
Для работы с контрагентами согласие чаще всего требуется в трёх случаях: рассылка маркетинговых материалов представителю компании-партнёра; публикация ФИО и контактов на сайте оператора в разделе «Партнёры»; сбор биометрии для пропускной системы (ст. 11 ФЗ-152 — только письменное согласие). В остальных случаях — договорное основание или законный интерес.
Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, его контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия согласия, способ отзыва. Отсутствие любого реквизита делает согласие ненадлежащим по ч. 2 ст. 13.11 КоАП — штраф 300 000–700 000 ₽.
Как применяются эти требования на практике
Кейс 1. Производственная компания (Уральский ФО, начало 2026 года) прошла плановую проверку РКН. Политика обработки ПДн была опубликована на сайте, но не содержала раздела о правах субъектов и порядка их реализации — нарушение ч. 2 ст. 18.1 ФЗ-152. Уведомление в реестре не обновлялось три года: реальный состав обрабатываемых данных расширился. По итогам проверки выписаны протоколы по ч. 3 и ч. 10 ст. 13.11 КоАП — штрафы в совокупности составили несколько сотен тысяч рублей. Оба нарушения устраняются на этапе подготовки ОРД, а не после проверки.
Кейс 2. Дистрибьюторская компания (Центральный ФО, осень 2025 года) использовала шаблон политики, скачанный из интернета. В шаблоне отсутствовало указание на конкретные категории субъектов (партнёры, ИП-контрагенты), не был назначен ответственный по ст. 22.1. Юрист компании выявил несоответствие при внутреннем аудите и обратился за составлением пакета ОРД. Политика была переработана, ответственный назначен приказом, уведомление обновлено через pd.rkn.gov.ru — до плановой проверки компания привела документацию в порядок без штрафных последствий. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Услуги DATUM по теме
- Комплект ОРД под ключ — полный пакет документов оператора по 152-ФЗ, включая политику и согласия
- Аудит соответствия 152-ФЗ — проверка текущего состояния ОРД, уведомлений и технических мер
- DPO-аутсорсинг — ответственный по ст. 22.1, ответы на запросы субъектов, актуализация реестра
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный пакет включает: политику обработки ПДн (ст. 18.1 ФЗ-152), уведомление в РКН (ст. 22), приказ о назначении ответственного (ст. 22.1), согласия субъектов там, где они необходимы (ст. 9), договоры на поручение обработки с третьими лицами (п. 3 ст. 6), журнал учёта обращений субъектов. Для проверки РКН запрашивает их все — отсутствие любого фиксируется как нарушение.
2. Как составить политику обработки ПДн?
Политика составляется с учётом фактических потоков данных конкретного оператора: состав ПДн, цели, основания по ст. 6 ФЗ-152, сроки хранения, перечень третьих лиц, которым данные передаются. Шаблон из интернета без адаптации не выполняет требование ч. 2 ст. 18.1 — инспектор РКН это проверяет. Документ публикуется с обеспечением неограниченного доступа и обновляется при изменении условий обработки.
3. Кого назначить ответственным по ст. 22.1 ФЗ-152?
Ответственным может быть штатный сотрудник (юрист, специалист по ИБ, секретарь в малом бизнесе) или внешний аутсорсер — DPO. Требования по ч. 4 ст. 22.1: знание законодательства о ПДн и понимание технических и организационных мер защиты. ФИО или должность ответственного указывается в политике и уведомлении в РКН. При смене ответственного оба документа обновляются.
4. Можно ли использовать шаблон политики из интернета?
Шаблон — отправная точка, но не готовый документ. Политика должна отражать реальные цели и состав ПДн конкретного оператора, конкретных субъектов (в данном случае — партнёры и контрагенты), конкретные системы хранения и передачи данных. Использование типового шаблона без адаптации создаёт риск: при проверке РКН формальное несоответствие между политикой и фактической обработкой квалифицируется по ч. 1 ст. 13.11 КоАП — штраф 150 000–300 000 ₽.
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 согласие на обработку ПДн по ч. 1 ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025) оформляется отдельным документом. Его нельзя включать в договор, оферту или политику. Для работы с ПДн контрагентов согласие нужно при маркетинговых рассылках, публикации данных на сайте, сборе биометрии. При заключении и исполнении договора согласие не требуется — применяется п. 5 ч. 1 ст. 6 ФЗ-152. Старые согласия, оформленные до 01.09.2025, переоформлять не нужно — обратной силы норма не имеет.
Итог
Политика обработки ПДн партнёров и контрагентов — не формальность, а рабочий документ, который определяет правовые основания обработки, состав данных и порядок реализации прав субъектов. Несоответствие политики реальной обработке — один из наиболее частых оснований для протоколов РКН. С 30.05.2025 санкции по ч. 3 ст. 13.11 КоАП действуют в новой редакции, а с 01.09.2025 вступили в силу требования к форме согласия по ФЗ-156.
Практика DATUM по подготовке ОРД включает составление и адаптацию политик, уведомлений в РКН, согласий с учётом актуальной редакции ФЗ-152. Пакет ОРД готовится под конкретного оператора — с разбивкой по категориям субъектов, системам хранения и третьим лицам.
15 декабря 2026 года