Перейти к содержанию
инструкция 13 декабря 2026 По состоянию на 13 декабря 2026

Политика в API: согласие разработчика-партнёра

Когда оператор ПДн открывает API партнёру-разработчику, он передаёт обработку по поручению — и обязан закрыть это документально: политикой, согласиями и поручением по ст. 6 и ст. 18.1 ФЗ-152.
С 30.05.2025 неполный комплект ОРД даёт основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; при повторности — до 1 500 000 ₽. С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156 от 24.06.2025.
→ Если вы юрист и сейчас выстраиваете ОРД для API-интеграции — эта инструкция даёт полный порядок действий по каждому шагу.

API-интеграция с партнёром-разработчиком — типовая схема для SaaS, маркетплейсов и любых продуктов, где сторонний код обращается к базе ПДн. Юрист компании видит её как технический вопрос, пока РКН не квалифицирует её как обработку без надлежащего правового основания. Ниже — последовательный порядок: от определения ролей до получения подписанного пакета документов от партнёра.

Шаг 1. Определите роли: оператор, обработчик, совместный оператор

Первое, что устанавливает юрист — кто в схеме API-интеграции является оператором, а кто осуществляет обработку по поручению. Ответ определяет весь состав документов.

Оператор по ст. 3 ФЗ-152 — тот, кто самостоятельно или совместно с другими лицами определяет цели и состав обработки ПДн. Если ваша компания владеет базой и принимает решение передать API-доступ партнёру — вы оператор. Партнёр-разработчик, который обрабатывает ПДн исключительно по вашему заданию, — обработчик по поручению.

Если партнёр сам определяет, зачем ему нужны данные пользователей и как их использовать — он становится самостоятельным оператором. В таком случае схема меняется: нужно либо отдельное согласие субъекта на передачу данных этому оператору, либо иное правовое основание из ст. 6 ФЗ-152.

«Ст. 6 п. 3 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу на основании договора. Обработчик по поручению не является самостоятельным оператором и обязан соблюдать принципы обработки, установленные ФЗ-152, а также требования оператора.»

Смешанная схема — когда партнёр одновременно обрабатывает ПДн для ваших целей и для собственных — требует двух отдельных правовых оснований и, как правило, двух отдельных согласий субъекта.

Шаг 2. Составьте политику обработки ПДн с разделом об API-интеграции

Политика обработки персональных данных по ст. 18.1 ФЗ-152 — публичный документ, который обязан иметь любой оператор. В контексте API-интеграции она должна содержать явный раздел о передаче ПДн обработчикам.

Обязательные элементы политики по ч. 2 ст. 18.1 ФЗ-152 применительно к API-схеме:

  • цели обработки, для которых открыт API-доступ;
  • категории ПДн, передаваемых через API (не «все данные пользователя», а конкретный перечень);
  • правовое основание передачи — поручение по ст. 6 п. 3 или согласие субъекта;
  • сроки обработки и уничтожения ПДн обработчиком;
  • требование о запрете обработки в иных целях, чем указано в поручении;
  • обязанность обработчика обеспечить конфиденциальность по ст. 7 ФЗ-152.

Отсутствие политики или её неопубликование грозит штрафом по ч. 3 ст. 13.11 КоАП — 30 000–60 000 ₽ для юрлица. Неполный состав политики при проверке РКН — основание для предписания и повторной проверки.

Что подготовить для политики с API-разделом

  • Актуальный перечень API-партнёров с описанием передаваемых категорий ПДн и целей.
  • Раздел «Передача ПДн третьим лицам» с явным указанием на поручение по ст. 6 п. 3 ФЗ-152.
  • Раздел «Меры защиты» со ссылкой на технические и организационные меры по ст. 19 ФЗ-152.
  • Дату утверждения и подпись уполномоченного лица; порядок опубликования на сайте оператора.
  • Процедуру актуализации политики при изменении состава партнёров или категорий ПДн.

Политика есть, но API-раздела в ней нет?

Отсутствие в политике упоминания об API-обработчиках — это прямой риск при проверке РКН: инспектор квалифицирует передачу данных партнёру как обработку без правового основания. Юристы DATUM составят раздел об API-интеграции под конкретную схему передачи и проверят соответствие политики требованиям ч. 2 ст. 18.1 ФЗ-152.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите согласие субъекта с учётом требований с 01.09.2025

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — его нельзя включать в текст договора, оферты или пользовательского соглашения. Это требование ФЗ-156 от 24.06.2025, внёсшего изменения в ч. 1 ст. 9 ФЗ-152.

Если API-интеграция подразумевает передачу ПДн партнёру, который обрабатывает их для собственных целей, — нужно отдельное согласие на такую передачу. Стандартного согласия «на обработку ПДн оператором» недостаточно.

Обязательные реквизиты согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025:

  • ФИО субъекта и его контактные данные;
  • наименование оператора — вашей компании;
  • наименование обработчика или третьего лица, если ПДн передаются;
  • цель обработки — конкретная, не «в маркетинговых целях»;
  • перечень персональных данных, на обработку которых даётся согласие;
  • перечень действий с ПДн (сбор, хранение, передача, обезличивание и т. д.);
  • срок действия согласия или условие его прекращения;
  • способ отзыва согласия.
«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025): согласие субъекта оформляется в виде отдельного документа, не объединённого с договором или иным документом. Ранее полученные согласия, соответствующие требованиям ФЗ-152, обратной силы не утрачивают — переоформлять их не требуется.»

Для API-схем важен ещё один аспект: если партнёр-разработчик планирует использовать ПДн для распространения — то есть делать их доступными неограниченному кругу лиц, — нужно отдельное согласие по ст. 10.1 ФЗ-152. По умолчанию молчание субъекта означает запрет распространения.

Шаг 4. Заключите договор-поручение на обработку ПДн с разработчиком-партнёром

Поручение на обработку по ст. 6 п. 3 ФЗ-152 должно быть оформлено договором или отдельным соглашением. Включить соответствующий раздел в API-лицензионное соглашение допустимо, но только если все обязательные условия прямо прописаны.

Обязательные условия договора-поручения:

  • перечень действий с ПДн, которые вправе совершать обработчик;
  • цели обработки — строго в рамках поручения оператора;
  • обязанность обработчика соблюдать конфиденциальность (ст. 7 ФЗ-152);
  • обязанность применять меры защиты по ст. 19 ФЗ-152;
  • запрет на обработку ПДн в иных целях;
  • порядок уничтожения или возврата ПДн по истечении поручения;
  • право оператора проверять исполнение поручения.

Отсутствие договора-поручения при фактической передаче ПДн через API означает, что обработчик обрабатывает данные без правового основания. Ответственность за это несёт оператор — ваша компания. Судебная практика подтверждает: оператор отвечает за утечку через подрядчика так же, как за собственный инцидент.

Если юрист сейчас проверяет API-интеграцию — проверьте, есть ли подписанный договор-поручение с каждым партнёром. Без него любая передача ПДн через API нарушает ст. 6 ФЗ-152, а штраф по ч. 1 ст. 13.11 КоАП — от 150 000 ₽. Юристы DATUM подготовят договор-поручение и проверят соответствие всего пакета ОРД за фиксированную стоимость.

Заказать аудит 152-ФЗ

Шаг 5. Назначьте ответственного и уведомите РКН по ст. 22 и ст. 22.1 ФЗ-152

Перед тем как открывать API-доступ с передачей ПДн, оператор обязан выполнить два административных действия: уведомить РКН о намерении обрабатывать ПДн и назначить ответственного за организацию обработки.

Уведомление по ст. 22 ФЗ-152 подаётся через портал pd.rkn.gov.ru по форме Приказа РКН № 180 от 28.10.2022. Срок включения в реестр после подачи — 30 дней. Неуведомление или несвоевременное уведомление грозит штрафом по ч. 10 ст. 13.11 КоАП — 100 000–300 000 ₽ для юрлица.

При изменении состава API-партнёров или категорий передаваемых ПДн в реестр подаётся уведомление об изменении сведений — также через pd.rkn.gov.ru.

Ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152 — это лицо внутри компании (не обязательно юрист), которое обеспечивает соблюдение закона. Его назначение оформляется приказом руководителя. Требования к квалификации ответственного установлены ч. 4 ст. 22.1 ФЗ-152. При аутсорсинге функции DPO ответственным выступает привлечённый специалист — это допустимо и прямо предусмотрено законом.

«Ст. 22.1 ФЗ-152: оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Контактные данные ответственного публикуются в политике обработки ПДн и указываются в уведомлении РКН по ст. 22.»

Как выглядит нарушение на практике: три типовых сценария

Сценарий 1. API открыт, договора-поручения нет. Компания предоставила партнёру-разработчику доступ к API с передачей ФИО, email и телефонов пользователей. Договор об API-интеграции есть, но раздела о поручении на обработку ПДн в нём нет. При проверке РКН фиксирует передачу ПДн третьему лицу без правового основания по ст. 6 п. 3 ФЗ-152. Квалификация — ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽. Стратегия: заключить договор-поручение ретроактивно и предъявить его до вынесения постановления — это смягчающее обстоятельство.

Сценарий 2. Согласие включено в пользовательское соглашение. Оператор использует форму согласия, встроенную в текст оферты: «нажимая кнопку, вы соглашаетесь с условиями и даёте согласие на обработку ПДн». С 01.09.2025 такая форма не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. При жалобе субъекта или плановой проверке РКН — ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽. Стратегия: разделить согласие в отдельный чекбокс или отдельную форму до 01.09.2025; согласия, полученные до этой даты в прежнем формате, обратной силы не утрачивают.

Сценарий 3. Партнёр использует ПДн за пределами поручения. Разработчик-партнёр, получив доступ к API, начинает использовать ПДн пользователей для собственной рекламной рассылки. Оператор формально имеет договор-поручение, но без ограничения на использование данных в иных целях. РКН квалифицирует это как нарушение ст. 5 ФЗ-152 (принцип несовместимости целей). Ответственность несёт оператор. Стратегия: включить в договор-поручение явный запрет обработки в иных целях и механизм проверки соблюдения партнёром требований.

Частые вопросы

1. Какие документы должны быть у оператора ПДн при API-интеграции?

Минимальный комплект: политика обработки ПДн с разделом об API-партнёрах (ст. 18.1 ФЗ-152), договор-поручение с каждым разработчиком-партнёром (ст. 6 п. 3 ФЗ-152), отдельные согласия субъектов на передачу ПДн (ст. 9 ФЗ-152 в ред. с 01.09.2025), приказ о назначении ответственного (ст. 22.1 ФЗ-152), уведомление в реестре РКН (ст. 22 ФЗ-152). Отсутствие любого документа даёт основание для штрафа.

2. Как составить политику обработки ПДн, если у компании несколько API-партнёров?

Политика должна описывать передачу ПДн третьим лицам в обобщённом виде — с указанием категорий получателей (партнёры-разработчики, аналитические сервисы, платёжные системы) и правового основания. Не обязательно перечислять конкретные наименования партнёров в тексте самой политики — это можно вынести в отдельный реестр обработчиков для внутреннего пользования. Главное — соответствие ч. 2 ст. 18.1 ФЗ-152 по составу обязательных разделов.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Закон не требует, чтобы ответственным был юрист или специалист по ИБ. Требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152 и включают знание законодательства о ПДн и понимание внутренних процессов обработки. На практике ответственным назначают юриста, DPO или IT-директора. Аутсорсинг функции ответственного через договор с DPO-провайдером прямо допускается законом.

4. Можно ли использовать шаблон политики из интернета?

Шаблон политики из открытых источников не учитывает: специфику ваших API-интеграций, категории обрабатываемых ПДн, конкретный перечень обработчиков, сроки хранения и меры защиты применительно к вашей инфраструктуре. При проверке РКН шаблонная политика без адаптации создаёт риск предписания по ч. 3 ст. 13.11 КоАП. Минимальная доработка — обязательна.

5. Какие согласия нужно переделать после 01.09.2025?

Переделывать ранее полученные согласия не требуется — ФЗ-156 от 24.06.2025 не имеет обратной силы. Однако все новые согласия, получаемые с 01.09.2025, должны оформляться отдельным документом по ст. 9 ФЗ-152: не встроенным в договор или оферту, а в виде самостоятельного чекбокса, формы или документа с обязательными реквизитами. API-форма регистрации пользователя — один из первых объектов для проверки.

Итог

API-интеграция с разработчиком-партнёром требует четырёх документов: политики с API-разделом, согласия по новым требованиям с 01.09.2025, договора-поручения по ст. 6 п. 3 ФЗ-152 и уведомления РКН. Отсутствие любого из них — самостоятельное основание для штрафа от 30 000 до 700 000 ₽ по ст. 13.11 КоАП в редакции с 30.05.2025.

DATUM сопровождает операторов ПДн при выстраивании ОРД для API-схем — от разграничения ролей оператора и обработчика до подготовки полного пакета документов и уведомления РКН.

Услуги DATUM по теме

Смотрите также

АГ
Антон Громов
Аналитик · Технологии и ИБ
Аналитик DATUM по технологиям и ИБ. Специализация: уровни защищённости УЗ-1..4 (ПП РФ № 1119), Приказ ФСТЭК № 21, обезличивание ПДн для ML, реагирование на утечки за 24/72 ч, ст. 272.1 УК.

13 декабря 2026 года