аналитика 14 февраля 2027 По состоянию на 14 февраля 2027

Поручение обработки от клиента: типовой договор

Поручение обработки персональных данных — это передача клиентом-оператором функции обработки ПДн исполнителю на основании п. 3 ст. 6 ФЗ-152. Исполнитель не становится самостоятельным оператором, но несёт ответственность перед оператором за соблюдение назначенных мер защиты.

Для SaaS-платформы, обрабатывающей данные клиентов в мультиарендной инфраструктуре, ошибка в конструкции договора поручения означает нарушение ч. 3 ст. 6 ФЗ-152 — штраф по ч. 1 ст. 13.11 КоАП до 300 000 ₽ плюс риск переквалификации платформы в самостоятельного оператора со всеми последствиями.

→ Если вы CTO SaaS-продукта и обрабатываете ПДн клиентов в своём облаке — проверьте, есть ли в соглашении с каждым клиентом корректный раздел поручения или отдельный договор, иначе вся цепочка ответственности разрушена.

С 30.05.2025 новая редакция ст. 13.11 КоАП действует в полную силу. Параллельно с 01.07.2025 ужесточены требования к локализации: первичный сбор данных граждан РФ должен происходить в инфраструктуре, физически расположенной в России. Для CTO, чья платформа работает в облаке и обрабатывает данные десятков или сотен клиентов-операторов, это создаёт троечастную задачу: корректно оформить поручение по каждому клиенту, подтвердить уровень защищённости по ПП РФ №1119, выбрать и задокументировать меры по Приказу ФСТЭК №21. Ниже — разбор того, что должен содержать типовой договор поручения, где чаще всего возникают пробелы и как это влияет на уровни защищённости и обезличивание для ML.

Что такое поручение обработки и чем оно отличается от передачи прав?

По п. 3 ст. 6 ФЗ-152 оператор вправе поручить обработку ПДн другому лицу — при условии, что такое поручение оформлено договором или принято на основании закона либо иного нормативного акта. Лицо, осуществляющее обработку по поручению, действует исключительно в рамках указаний оператора и не вправе обрабатывать ПДн в собственных целях.

«Ч. 3 ст. 6 ФЗ-152: обработка ПДн по поручению оператора не меняет статус оператора — он остаётся ответственным перед субъектом ПДн. Исполнитель обязан соблюдать конфиденциальность и применять меры защиты, предусмотренные ст. 19 ФЗ-152.»

Ключевое практическое следствие: если SaaS-платформа хранит и обрабатывает ПДн пользователей своего клиента без договора поручения, регулятор может признать платформу самостоятельным оператором. Это влечёт обязанность уведомить РКН по ст. 22 ФЗ-152, вести реестр операторов отдельно и отвечать перед субъектами напрямую — то есть взять на себя весь груз оператора, не имея ни клиентской базы, ни цели обработки.

Поручение обработки также нужно отличать от договора на оказание услуг, в котором ПДн упоминаются лишь как объект передачи. В последнем случае исполнитель нередко получает доступ к ПДн без явного разграничения ролей, что создаёт неопределённость при проверке РКН и при инциденте.

Какие обязательные условия должен содержать договор поручения по ч. 3 ст. 6 ФЗ-152?

Статья 6 ФЗ-152 прямо называет содержательные требования к договору поручения. На практике в контракте должны быть отражены следующие блоки.

Обязательные условия договора поручения

Перечень действий (операций) с ПДн, которые разрешены исполнителю: сбор, хранение, передача, обезличивание, уничтожение — каждое действие явно.
Цели обработки — совпадают с целями, заявленными оператором в уведомлении РКН по ст. 22 ФЗ-152.
Требования к конфиденциальности ПДн и обязанность исполнителя соблюдать их.
Перечень технических и организационных мер защиты, соответствующих установленному уровню защищённости (УЗ-1..УЗ-4 по ПП РФ №1119 и мерам Приказа ФСТЭК №21).
Запрет на субпоручение без письменного согласия оператора; если субпоручение допускается — цепочка ответственности должна быть прослежена до конечного исполнителя.

Отдельный вопрос — логирование как ПДн. Журналы доступа к ИСПДн содержат идентификаторы пользователей, IP-адреса, временны́е метки операций. По позиции РКН, такие данные относятся к ПДн и должны обрабатываться в рамках того же договора поручения, что и исходные данные субъектов. Для CTO это означает: политика логирования в SaaS должна прямо описывать, какие данные фиксируются, где хранятся и кто имеет к ним доступ.

Есть договоры с клиентами, но нет раздела поручения?

Отсутствие корректного договора поручения превращает SaaS-платформу в самостоятельного оператора со всеми обязанностями по ст. 22 ФЗ-152. При первой плановой проверке РКН это станет основанием для протокола по ч. 1 ст. 13.11 КоАП — до 300 000 ₽ за каждый клиентский договор без поручения. Юристы DATUM проведут аудит договорной базы по чек-листу из 38 пунктов и выдадут приоритизированный план устранения.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как уровни защищённости УЗ-1..УЗ-4 влияют на договор поручения в SaaS?

ПП РФ №1119 устанавливает четыре уровня защищённости информационных систем персональных данных (ИСПДн). Уровень зависит от категории ПДн (общие, специальные, биометрические), типа угроз (1–3) и количества субъектов: порог — 100 000 человек. SaaS-платформа, обслуживающая корпоративных клиентов, нередко оказывается выше этого порога суммарно по всем арендаторам.

Для мультиарендной архитектуры возникает специфический вопрос: уровень защищённости определяется по каждой ИСПДн отдельно или по всей платформе суммарно? Ответ регулятора однозначен: если данные разных операторов физически хранятся в единой инфраструктуре и не разделены технически, платформа рассматривается как единая ИСПДн. Это автоматически поднимает УЗ до значения, соответствующего наиболее критичному арендатору.

«ПП РФ №1119: при обработке специальных категорий ПДн от 100 000 субъектов и угрозах 2-го типа — УЗ-1. При общих ПДн от 100 000 субъектов и угрозах 3-го типа — УЗ-3. Каждый уровень требует конкретного базового набора мер по Приказу ФСТЭК №21.»

В договоре поручения уровень защищённости должен быть прямо указан — и это обязанность оператора-клиента, а не платформы. На практике клиент нередко не знает свой УЗ. Задача CTO платформы — либо потребовать от клиента документально подтверждённый УЗ, либо предусмотреть в договоре механизм самодекларации клиентом и фиксации ответственности за корректность декларации.

Приказ ФСТЭК №21 закрепляет 109 мер в 15 группах: идентификация и аутентификация (ИАФ), управление доступом (УПД), ограничение программной среды (ОПС), защита носителей информации (ЗНИ), регистрация событий (РСБ), антивирусная защита (АВЗ), обнаружение вторжений (СОВ), анализ защищённости (АНЗ), обеспечение целостности (ОЦЛ), обеспечение доступности (ОДТ), защита среды виртуализации (ЗСВ), защита технических средств (ЗТС), защита информационной системы (ЗИС), управление конфигурацией (УКФ), защита АСУ (ОПО). Базовый набор для каждого УЗ указан в приложении к Приказу №21. Договор поручения должен содержать ссылку на применяемый набор мер или включать его в приложение.

Обезличивание для ML: как оформить в рамках поручения?

Использование клиентских данных для обучения ML-моделей — распространённая практика SaaS-платформ в CRM, HR-tech и аналитике. С точки зрения ФЗ-152 обучение модели на ПДн без согласия субъекта или иного основания по ст. 6 — нарушение. Выход — обезличивание до начала обучения.

Приказ РКН, введённый в действие с 01.09.2025 в развитие ст. 13.1 ФЗ-152 (ФЗ-233 от 08.08.2024), закрепляет пять методов обезличивания: введение идентификаторов, изменение состава и семантики, декомпозиция, перемешивание, обобщение и агрегация. Только применение одного из этих методов легализует дальнейшую работу с данными как с обезличенными — без обязанности соблюдать требования ФЗ-152 к защите ПДн.

«Ст. 13.1 ФЗ-152 (ред. ФЗ-233): обезличенные ПДн, полученные с соблюдением установленных методов, не являются персональными данными в смысле ФЗ-152 и могут передаваться в ЕИП НСУД. Методы обезличивания — в отдельном приказе РКН.»

В договоре поручения необходимо явно указать: имеет ли платформа право обезличивать данные клиента для обучения моделей, какой метод применяется, в каких целях используется обезличенный массив и кто контролирует корректность обезличивания. Без этого условия любая обработка данных клиента за пределами прямо указанных в договоре операций является нарушением ч. 3 ст. 6 ФЗ-152.

Если CTO включил обезличивание для ML в архитектуру платформы, но не отразил это в договорах поручения с клиентами — каждый клиентский датасет обрабатывается без надлежащего основания. DPIA поможет выявить все точки риска до проверки РКН.

Провести DPIA

Как применяется поручение на практике: три типовых сценария

Сценарий 1. SaaS-платформа без отдельного договора поручения. Ситуация: HR-tech платформа обрабатывает резюме и персональные данные кандидатов для десятков корпоративных клиентов. Договор с клиентами — стандартный SaaS-оферта без раздела поручения. Доказательная картина: в реестре РКН платформа заявлена как оператор исключительно в отношении собственных пользователей. Вероятный исход: при внеплановой проверке РКН, инициированной жалобой субъекта, платформа будет признана самостоятельным оператором по данным всех клиентов. Протоколы — по ч. 1 ст. 13.11 КоАП за каждый клиентский договор, штраф до 300 000 ₽ за факт. Стратегия: ввести типовое приложение к оферте «Условия поручения обработки ПДн» и направить его всем действующим клиентам через механизм акцепта обновлений.

Сценарий 2. Облако за рубежом и требование локализации с 01.07.2025. Ситуация: платформа хранит первичные данные в европейском дата-центре, резервные копии — в российском. С 01.07.2025 ч. 5 ст. 18 ФЗ-152 запрещает первичные операции (запись, систематизацию, накопление, хранение, уточнение, извлечение) в зарубежной инфраструктуре. Доказательная картина: первичное хранение за рубежом нарушает ч. 5 ст. 18 ФЗ-152, что квалифицируется по ч. 8 ст. 13.11 КоАП — штраф от 1 000 000 до 6 000 000 ₽; повторное — от 6 до 18 млн ₽. Договор поручения с зарубежным облачным провайдером не легализует нарушение локализации, так как локализация — публично-правовое требование, от которого нельзя отступить соглашением сторон. Стратегия: перенести первичный слой хранения в облако в РФ (сертифицированные операторы), зарубежную инфраструктуру использовать только для аналитических задач с обезличенными данными.

Сценарий 3. Субпоручение без согласия оператора. Ситуация: платформа передала функцию резервного копирования субподрядчику. В договоре с клиентом субпоручение не предусмотрено. Доказательная картина: субподрядчик получил доступ к ПДн без какого-либо правового основания — нарушение ч. 3 ст. 6 ФЗ-152. Если субподрядчик — иностранная компания, возникает дополнительно нарушение ст. 12 ФЗ-152 (трансграничная передача без уведомления РКН). Стратегия: либо получить явное согласие клиентов на субпоручение, либо перейти на схему, при которой субподрядчик работает исключительно с обезличенными данными, не требующими договора поручения.

Как это выглядит в судебной и регуляторной практике

Кейс 1. IT-компания (Сибирский ФО, начало 2026) предоставляла CRM-платформу малому бизнесу. В оферте отсутствовал раздел поручения обработки ПДн. При плановой проверке РКН инспектор квалифицировал платформу как самостоятельного оператора по данным клиентов и составил протокол по ч. 1 ст. 13.11 КоАП. Компания представила в РКН акцептованную клиентами редакцию оферты с новым разделом поручения. Суд принял это как смягчающее обстоятельство и снизил штраф до минимума по ч. 1 — 150 000 ₽.

Кейс 2. По данным публичной практики 2025–2026 годов (case_S2_pkr_analitika), арбитражный суд Санкт-Петербурга и Ленинградской области рассматривал дело об утечке данных примерно 70 000 субъектов цифровой платформы. Одним из отягчающих обстоятельств, которые изучал суд, стало отсутствие документально подтверждённых мер защиты ИСПДн, предусмотренных Приказом ФСТЭК №21. Суд применил смягчающие обстоятельства, однако дело подтвердило: отсутствие технической документации по уровням защищённости делает защиту компании в суде значительно сложнее. ⚠️ Точный номер дела и итоговая сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка договоров поручения, ОРД и технической защиты по чек-листу из 38 пунктов.
Комплект ОРД под ключ — разработка типового договора поручения, приложений по УЗ и мерам ФСТЭК.
DPIA (оценка воздействия) — оценка рисков мультиарендной архитектуры и ML-обработки до запуска.

Частые вопросы

1. Какой УЗ выбрать для SaaS?

Уровень защищённости определяется по наиболее критичному арендатору в системе. Если хотя бы один клиент передаёт специальные категории ПДн (данные о здоровье, судимости) и число субъектов в системе превышает 100 000 — минимальный УЗ для всей платформы определяется по ПП РФ №1119 исходя из типа угроз. При угрозах 3-го типа и специальных ПДн — это УЗ-2. Документально фиксируйте модель угроз по каждому арендатору и суммарную оценку.

2. Можно ли использовать иностранные облака?

С 01.07.2025 первичные операции с ПДн граждан РФ (запись, систематизация, накопление, хранение, уточнение, извлечение) обязаны выполняться в базах данных, расположенных в России (ч. 5 ст. 18 ФЗ-152). Иностранные облака допустимы только для обработки уже обезличенных данных или для операций, не подпадающих под перечень ч. 5 ст. 18. Нарушение квалифицируется по ч. 8 ст. 13.11 КоАП — штраф от 1 до 6 млн ₽ для юрлица.

3. Что такое обезличивание для ML?

Обезличивание для обучения ML-моделей — это применение одного из методов, закреплённых приказом РКН (в развитие ст. 13.1 ФЗ-152), который делает невозможным установление принадлежности данных конкретному субъекту без дополнительных сведений. После корректного обезличивания данные выходят из-под действия ФЗ-152. Применение методов должно быть задокументировано; метод выбирается исходя из типа данных и цели обработки — например, агрегация подходит для поведенческих паттернов, а декомпозиция — для структурированных записей.

4. Кто является оператором в мультиарендной SaaS?

Оператором по каждому клиентскому датасету является клиент — он определяет цели и состав обработки. Платформа выступает лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). Без договора поручения регулятор вправе признать платформу самостоятельным оператором по всем хранимым данным. При этом платформа как поручитель обязана применять меры защиты по ст. 19 ФЗ-152 и нести ответственность перед оператором-клиентом за их соблюдение.

5. Какие СЗИ обязательны по Приказу ФСТЭК №21?

Конкретный набор средств защиты информации определяется базовым набором мер для установленного УЗ по Приказу ФСТЭК №21. Для УЗ-3 (наиболее распространённый в коммерческих ИСПДн) обязательны, в частности: идентификация и аутентификация пользователей (группа ИАФ), управление доступом (УПД), регистрация событий безопасности (РСБ) и защита от вредоносного ПО (АВЗ). Применяемые СЗИ не обязательно должны иметь сертификат ФСТЭК, если иное прямо не предусмотрено нормативным актом для конкретного оператора, однако сертифицированные СЗИ снижают регуляторный риск при проверке.

Итог

Договор поручения обработки ПДн от клиента — не формальность, а системный элемент архитектуры SaaS. Его отсутствие меняет правовой статус платформы и умножает регуляторный риск на количество клиентов. Корректный договор должен включать перечень операций, цели, требования к конфиденциальности, указание УЗ по ПП РФ №1119, базовый набор мер по Приказу ФСТЭК №21 и условия об обезличивании — если платформа использует данные для ML.

DATUM сопровождает IT-компании и SaaS-платформы в построении корректной договорной и технической архитектуры по ФЗ-152: от аудита существующих договоров поручения до разработки ОРД и оценки воздействия (DPIA) для мультиарендных систем.

АГ

Антон Громов

Аналитик · Технологии и ИБ

Специализация — УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание для ML, логирование, реагирование на утечки за 24/72 часа, ст. 272.1 УК.

14 февраля 2027 года