Перейти к содержанию
справочник 14 июля 2026 По состоянию на 14 июля 2026

Поручение обработки ПДн по ст. 6 ч. 3: договор и ответственность

Поручение обработки персональных данных — правовая конструкция, при которой оператор передаёт часть действий с ПДн третьему лицу на основании договора или нормативного акта (ч. 3 ст. 6 ФЗ-152). Ответственность перед субъектами ПДн при этом остаётся на операторе.
С 30.05.2025 за утечку через подрядчика юридическому лицу грозит от 3 до 500 млн ₽ по ст. 13.11 КоАП — независимо от того, кто фактически допустил инцидент. Суды применяют принцип: ответственность оператора не переходит к обработчику.
→ Если вы юрист и проверяете договоры с подрядчиками, обрабатывающими ПДн, — проверьте, есть ли в них все обязательные условия по ч. 3 ст. 6 ФЗ-152.

Поручение обработки ПДн по ст. 6 ч. 3 ФЗ-152 регулирует отношения между оператором и лицом, которому он делегирует часть работы с персональными данными. Эта конструкция применяется в аутсорсинге бухгалтерии, HR-функций, IT-поддержки, облачного хранения и маркетинговых рассылок. С 30.05.2025 санкции за нарушения при поручении существенно выросли: суды рассматривают оператора как единственного ответственного субъекта перед РКН и субъектами ПДн.

Что такое поручение обработки ПДн и кто считается лицом, осуществляющим обработку по поручению?

Оператор по ст. 3 ФЗ-152 — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных.

Лицо, осуществляющее обработку по поручению (обработчик) — третье лицо, которому оператор поручает обработку ПДн на основании договора или нормативного правового акта. Обработчик действует в рамках задания оператора и не вправе самостоятельно определять цели обработки.

Поручение обработки по ч. 3 ст. 6 ФЗ-152 — это передача права совершать конкретные действия с ПДн (сбор, хранение, передачу, изменение, уничтожение и др.) третьему лицу при сохранении за оператором полной юридической ответственности перед субъектами и регулятором.

«Ч. 3 ст. 6 ФЗ-152: оператор вправе поручить обработку ПДн третьему лицу на основании заключаемого с ним договора. Такое лицо обязано соблюдать принципы и правила обработки, предусмотренные ФЗ-152. Оператор несёт ответственность перед субъектом персональных данных за действия обработчика.»

Ключевое отличие обработчика от самостоятельного оператора: обработчик не определяет цели обработки. Если подрядчик самостоятельно решает, зачем и как использовать переданные данные, он становится самостоятельным оператором со всеми вытекающими обязанностями по ФЗ-152.

Какие условия договора поручения обязательны по ч. 3 ст. 6 ФЗ-152?

Ч. 3 ст. 6 ФЗ-152 устанавливает требования к содержанию договора поручения. Отсутствие любого из обязательных условий создаёт основание для привлечения оператора к ответственности по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽ для юрлица в редакции с 30.05.2025).

Обязательные условия договора поручения обработки ПДн

  • Перечень действий с ПДн, которые вправе совершать обработчик (сбор, хранение, передача и т. д.)
  • Цели обработки ПДн, установленные оператором
  • Обязанность обработчика соблюдать конфиденциальность ПДн и принципы обработки по ст. 5 ФЗ-152
  • Обязанность обработчика по запросу оператора уничтожить или вернуть ПДн после исполнения поручения
  • Запрет обработчику передавать ПДн третьим лицам без согласия оператора

Дополнительно рекомендуется включить в договор: порядок реагирования на запросы субъектов ПДн, механизм уведомления оператора об инцидентах в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152), обязанность по соблюдению мер защиты согласно уровню защищённости ИСПДн (ПП РФ №1119 и Приказ ФСТЭК №21).

Договоры с подрядчиками, обрабатывающими ПДн, — проверены?

Если в компании есть аутсорсинг бухгалтерии, HR или IT-услуг с доступом к персональным данным — договоры поручения, скорее всего, либо отсутствуют, либо не содержат всех обязательных условий по ч. 3 ст. 6 ФЗ-152. Это типичная находка при аудите: каждый такой пробел образует отдельный состав по ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов, выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как распределяется ответственность оператора и обработчика?

Ответственность оператора перед субъектами ПДн сохраняется в полном объёме вне зависимости от заключённого договора поручения. Это прямое требование ч. 3 ст. 6 ФЗ-152 и устоявшаяся позиция судебной практики.

Ответственность обработчика перед оператором — договорная: за убытки, причинённые ненадлежащим исполнением поручения. Перед РКН и субъектами ПДн обработчик несёт ответственность только за нарушения, допущенные по его вине, при условии что он был надлежаще уведомлен об обязанностях.

На практике это означает: если подрядчик-обработчик допустил утечку данных клиентов, РКН составит протокол на оператора, а не на подрядчика. Оператор вправе взыскать убытки с подрядчика в регрессном порядке — но только при наличии соответствующих условий в договоре.

«Ст. 5 ФЗ-152 устанавливает принципы обработки ПДн: обработка должна ограничиваться конкретными заранее определёнными целями, объём ПДн должен соответствовать заявленным целям, данные не должны обрабатываться дольше, чем это необходимо. Обработчик по поручению обязан соблюдать эти принципы в той же мере, что и оператор.»

Типовые ситуации при поручении обработки

Ситуация 1. Аутсорсинг бухгалтерии. Компания передаёт ведение бухучёта внешней организации. Бухгалтерская фирма получает доступ к ПДн сотрудников (ФИО, ИНН, СНИЛС, данные о доходах). Договор поручения отсутствует или заменён общим договором на бухгалтерские услуги без обязательных условий ч. 3 ст. 6. При проверке РКН оператор получает предписание и протокол по ч. 1 ст. 13.11 КоАП. Стратегия: заключить отдельный договор поручения с перечнем действий и категорий ПДн; включить требование об уничтожении данных после окончания договора.

Ситуация 2. Облачное хранение ПДн у иностранного провайдера. SaaS-платформа хранит клиентские данные на серверах за рубежом. Такая обработка требует одновременно: договора поручения по ч. 3 ст. 6, уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152, соблюдения требований локализации по ч. 5 ст. 18 ФЗ-152. Нарушение локализации — штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽. Стратегия: разделить хранение и обработку, российские сегменты ПДн граждан РФ перевести на российские серверы до осуществления передачи.

Ситуация 3. Маркетинговый подрядчик с доступом к базе клиентов. Агентство ведёт email-рассылки и получает доступ к базе контактов. Оно становится обработчиком по ч. 3 ст. 6. Если агентство использует базу для собственных целей (передаёт другим клиентам, использует в аналитике) — оно переходит в статус самостоятельного оператора и нарушает ч. 1 ст. 6 ФЗ-152. Оператор при этом несёт ответственность за ненадлежащий выбор подрядчика. Стратегия: включить в договор явный запрет использования базы в иных целях и право оператора на аудит соблюдения условий.

Если у вас есть подрядчики с доступом к ПДн клиентов или работников — проверьте договоры до проверки РКН. Неправильное поручение создаёт до трёх самостоятельных составов по ст. 13.11 КоАП одновременно.

Заказать аудит 152-ФЗ

Кейс 1. Торговая компания (Центральный ФО, начало 2026) передала обработку CRM-данных клиентов IT-подрядчику без договора поручения. При плановой проверке РКН инспектор установил отсутствие договора и зафиксировал три нарушения: обработку без надлежащего правового основания, отсутствие политики конфиденциальности в актуальной редакции и несоответствие уведомления в реестре операторов фактической обработке. Суммарный штраф составил сотни тысяч рублей. Регрессный иск к подрядчику был невозможен: договор поручения с соответствующими условиями отсутствовал.

Кейс 2 (case_generic_subpodryad). Утечка через подрядчика: в практике ВС РФ сложился принцип — оператор отвечает за действия обработчика перед субъектами ПДн в полном объёме. Финансовая организация (Приволжский ФО, осень 2025) получила предписание РКН и штраф по ч. 12 ст. 13.11 КоАП после утечки через подрядчика, обслуживавшего колл-центр. Подрядчик был привлечён к ответственности отдельно, однако это не освободило оператора от взыскания. Штраф составил несколько миллионов рублей.

Услуги DATUM по теме

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка ПДн по ст. 3 ФЗ-152 — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Важно: даже одно хранение данных уже является обработкой и требует правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований. Наиболее распространённые: согласие субъекта (п. 1 ч. 1 ст. 6), исполнение договора с субъектом (п. 5 ч. 1 ст. 6), исполнение обязанностей оператора по закону (п. 2 ч. 1 ст. 6). Поручение по ч. 3 ст. 6 — не самостоятельное основание, а порядок делегирования: обработчик действует в рамках того же основания, на котором работает оператор.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП в редакции с 30.05.2025 — от 30 000 ₽ (ч. 3, отсутствие политики) до 500 млн ₽ (ч. 15, оборотный штраф при повторной утечке). За утечку от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12). Уголовная ответственность по ст. 272.1 УК РФ (действует с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, обязанность уведомить РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 распространяется на всех операторов, кроме случаев прямых исключений (ч. 2 ст. 22 ФЗ-152 — в частности, обработка только в рамках трудовых отношений без передачи третьим лицам). Как только компания передаёт данные подрядчику-обработчику, исключение, как правило, перестаёт применяться. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единый возраст дееспособности для согласия на обработку ПДн. По общему правилу гражданского права — с 14 лет при наличии письменного согласия родителей или законных представителей. Для несовершеннолетних до 14 лет согласие дают только законные представители. Специальные категории ПДн (ст. 10 ФЗ-152) и биометрия (ст. 11 ФЗ-152) требуют только письменного согласия — форма с 01.09.2025 по ФЗ-156 оформляется отдельным документом.

Итог

Поручение обработки ПДн по ч. 3 ст. 6 ФЗ-152 — обязательная правовая конструкция при любом аутсорсинге функций, затрагивающих персональные данные. Договор без обязательных условий не защищает оператора от ответственности: РКН составляет протокол на оператора, а штрафы с 30.05.2025 исчисляются миллионами рублей.

DATUM сопровождает операторов при разработке договоров поручения, формировании полного пакета ОРД и подготовке к проверкам РКН. Практика охватывает аутсорсинг HR, IT, бухгалтерии, маркетинга и облачных сервисов.

Смотрите также

Есть ситуация с РКН или нужен договор поручения?

Юристы DATUM разработают договор поручения обработки ПДн, проверят существующие договоры с подрядчиками и сформируют пакет ОРД. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Telegram, email, телефоны Москвы и Новосибирска.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ, обработка через КЭДО, биометрия в СКУД, передача ПДн в зарплатных проектах, договоры поручения с подрядчиками HR-функций.

14 июля 2026 года