аналитика 5 сентября 2026 По состоянию на 5 сентября 2026

Поручение обработки vs передача ПДн третьим лицам

Поручение обработки и передача ПДн третьим лицам — два разных правовых режима по ФЗ-152, которые на практике путают в 70% договоров с подрядчиками.

При поручении оператор остаётся ответственным перед субъектом, а подрядчик действует исключительно в рамках условий договора. При передаче — возникает новый оператор со своими обязательствами по ст. 6 ФЗ-152. Смешение режимов порождает нарушения по ч. 1 ст. 13.11 КоАП (штраф до 300 000 ₽) и риск оборотного штрафа при повторности.

→ Если вы юрист и сейчас проверяете договоры с подрядчиками — разберём конкретные признаки каждого режима и типовые ошибки в формулировках.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей, оборотный штраф по ч. 15 до 500 млн ₽. В этом контексте корректная квалификация отношений с подрядчиком — это не терминологический вопрос, а вопрос распределения ответственности. Ниже — разбор по нормам ФЗ-152, признакам разграничения режимов, типовым ошибкам в договорах и судебной практике 2025–2026 годов.

Что такое поручение обработки ПДн и как оно работает по 152-ФЗ?

Поручение обработки — это конструкция, при которой оператор привлекает другое лицо для выполнения конкретных действий с персональными данными от своего имени и в своих интересах. Правовое основание — п. 3 ч. 3 ст. 6 ФЗ-152. Лицо, осуществляющее обработку по поручению, не приобретает самостоятельного права на данные: оно действует строго в рамках инструкций оператора и несёт ответственность перед оператором, а не перед субъектом.

Ключевые признаки поручения:

Цели и состав обрабатываемых данных определяет оператор — лицо, осуществляющее обработку, не вправе их расширять самостоятельно.
Договор поручения (или соответствующий раздел в договоре) содержит перечень действий, которые разрешено совершать.
Ответственность перед субъектом ПДн несёт оператор — даже если утечка произошла на стороне подрядчика.
Оператор обязан убедиться, что лицо-исполнитель обеспечивает конфиденциальность и применяет меры защиты, соразмерные уровню защищённости (УЗ-3 или УЗ-4 для большинства коммерческих систем).

«Ч. 3 ст. 6 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу с согласия субъекта (если иное не предусмотрено федеральным законом) на основании договора. Лицо, осуществляющее обработку, обязано соблюдать принципы и правила, установленные ФЗ-152.»

Практическое следствие: если облачный сервис-провайдер (например, CRM-система или HR-платформа) обрабатывает данные сотрудников заказчика исключительно в рамках договора на оказание услуг — это поручение, а не передача. Провайдер не вправе использовать данные в собственных целях. Если такое использование происходит — режим де-факто превращается в передачу, что требует самостоятельного правового основания.

Чем передача ПДн третьим лицам отличается от поручения?

Передача персональных данных третьему лицу означает, что получатель становится самостоятельным оператором — он определяет цели и способы дальнейшей обработки по своему усмотрению. Для такой передачи требуется отдельное правовое основание из ч. 1 ст. 6 ФЗ-152: согласие субъекта, договор с субъектом, исполнение обязанности оператора по закону и т. д.

Признаки передачи (а не поручения):

Получатель самостоятельно определяет цели дальнейшего использования данных.
Оператор-передающий утрачивает контроль над тем, какие действия совершает получатель.
Получатель обязан уведомить РКН о своей деятельности как оператора (ст. 22 ФЗ-152) и опубликовать собственную политику конфиденциальности (ст. 18.1 ФЗ-152).
Субъект вправе обратиться к получателю напрямую с запросом о предоставлении информации об обработке (ст. 14 ФЗ-152) или с требованием об уничтожении данных (ст. 21 ФЗ-152).

«Ст. 3 ФЗ-152: оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки.»

Разграничение на практике: страховая компания передаёт данные клиента в СК-перестраховщик — это передача (перестраховщик становится оператором). Та же страховая компания поручает обработку данных аутсорсинговому колл-центру для приёма заявок — это поручение (колл-центр действует по инструкциям страховой).

Проверяете договоры с подрядчиками на соответствие 152-ФЗ?

Большинство договоров на ИТ-услуги, аутсорсинг персонала и маркетинговые платформы не содержат обязательных условий договора поручения по ч. 3 ст. 6 ФЗ-152. Это создаёт нарушение ч. 1 ст. 13.11 КоАП — штраф до 300 000 ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие обязательные условия должен содержать договор поручения?

Ч. 3 ст. 6 ФЗ-152 устанавливает требования к содержанию договора поручения. Отсутствие любого из обязательных элементов превращает обработку данных подрядчиком в обработку без правового основания — со всеми последствиями по ст. 13.11 КоАП.

Обязательные условия договора поручения по ч. 3 ст. 6 ФЗ-152

Перечень действий (операций), которые разрешено совершать с ПДн: сбор, хранение, передача, обезличивание, уничтожение и т. д.
Цели обработки — они должны совпадать с целями, указанными в уведомлении оператора в РКН (ст. 22 ФЗ-152) и в политике конфиденциальности.
Обязанность исполнителя соблюдать конфиденциальность и принимать меры защиты согласно ст. 19 ФЗ-152.
Запрет на использование данных в собственных целях исполнителя и на передачу их третьим лицам без согласования с оператором.
Условие об уничтожении или возврате данных при расторжении договора.

Дополнительно юристы рекомендуют включать: порядок реагирования на запросы субъектов, перенаправляемые через исполнителя; процедуру уведомления оператора об инцидентах безопасности (во избежание нарушения 24-часового срока по ч. 3.1 ст. 21 ФЗ-152); порядок проверки мер защиты исполнителя.

Типичная ошибка: стандартный договор на оказание услуг содержит раздел «Конфиденциальность», который не раскрывает перечень разрешённых действий с ПДн и не запрещает использование данных в собственных целях исполнителя. Формально такой договор не удовлетворяет требованиям ч. 3 ст. 6 ФЗ-152 и не является договором поручения.

Нужно ли получать согласие субъекта при поручении обработки?

Это один из наиболее часто задаваемых вопросов. Ответ зависит от того, какое правовое основание оператор использует для первичной обработки данных.

Если первичная обработка ведётся на основании согласия субъекта по п. 1 ч. 1 ст. 6 ФЗ-152 — поручение третьему лицу, по общему правилу, требует отдельного согласия субъекта на такую передачу. Исключения: если федеральный закон прямо допускает поручение без согласия (например, нормы об аутсорсинге отдельных банковских функций) или если поручение явно следует из договора с субъектом.

Если обработка ведётся на основании договора с субъектом (п. 5 ч. 1 ст. 6 ФЗ-152) или во исполнение обязанности оператора по закону (п. 2 ч. 1 ст. 6) — поручение третьему лицу для технического исполнения тех же целей, как правило, не требует отдельного согласия, поскольку охватывается исходным основанием.

«Ч. 3 ст. 6 ФЗ-152: оператор вправе поручить обработку ПДн с согласия субъекта, если иное не предусмотрено федеральным законом. При этом ответственность перед субъектом несёт оператор — лицо, осуществляющее обработку по поручению, несёт ответственность перед оператором.»

На практике это означает: если в форме согласия, размещённой на сайте, не упомянуто поручение обработки подрядчикам — передача данных в CRM-систему стороннего провайдера формально нарушает ст. 9 ФЗ-152. С 01.09.2025 требования к содержанию согласия ужесточились по ФЗ-156 от 24.06.2025: согласие оформляется отдельным документом и должно содержать перечень лиц, которым поручается обработка.

Если юрист получил от РКН запрос о законности передачи данных подрядчику — у вас 10 рабочих дней на ответ по ст. 20 ФЗ-152. Юристы DATUM соберут комплект ОРД и подготовят позицию для РКН.

Собрать ОРД под ключ

Как это работает на практике: три сценария для юриста

Сценарий 1. CRM-система на внешнем SaaS-хостинге. Ситуация: компания хранит клиентские данные в CRM-системе, сервер которой находится у облачного провайдера. Доказательства: договор с провайдером не содержит условий ч. 3 ст. 6 ФЗ-152 — только общий SLA. Вероятный исход: при проверке РКН — протокол по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽ для юрлица). Стратегия: заключить дополнительное соглашение о поручении обработки с обязательными условиями; обновить политику конфиденциальности с указанием провайдера как лица, осуществляющего обработку по поручению.

Сценарий 2. Аутсорсинговая бухгалтерия с доступом к данным сотрудников. Ситуация: компания передала ведение бухгалтерского учёта внешней организации; та имеет доступ к ФИО, ИНН, СНИЛС, банковским реквизитам сотрудников. Доказательства: договор бухгалтерского аутсорсинга не запрещает использование данных в собственных целях исполнителя. Вероятный исход: если исполнитель использует данные для рекламы или продаёт список — оператор-заказчик несёт ответственность как лицо, не обеспечившее выполнение условий поручения. Стратегия: включить в договор явный запрет на использование данных в собственных целях исполнителя и условие об уничтожении данных после расторжения договора.

Сценарий 3. Маркетинговое агентство с доступом к базе подписчиков. Ситуация: оператор предоставил агентству базу email-адресов для проведения рассылки. Агентство после окончания кампании начало использовать базу для рассылок в собственных целях. Вероятный исход: если агентство самостоятельно определяет цели использования базы — это уже не поручение, а передача данных без правового основания. Оба субъекта — и оператор, и агентство — могут быть привлечены к ответственности. При масштабе базы от 10 000 субъектов — риск квалификации по ч. 13 ст. 13.11 КоАП (штраф 5–10 млн ₽). Стратегия: ограничить доступ агентства только на период кампании; прописать обязанность немедленного уничтожения данных по её завершении; включить условие о запрете хранения данных за пределами согласованного периода.

Примеры из практики

Кейс 1. IT-компания (Северо-Западный ФО, осень 2025) передала клиентскую базу маркетинговому подрядчику без договора поручения. РКН возбудил дело по ч. 1 ст. 13.11 КоАП. Компания получила штраф в пределах 150 000–300 000 ₽. После консультации с юристами заключила дополнительные соглашения со всеми подрядчиками, обновила политику конфиденциальности и уведомление в реестре РКН — повторных нарушений не выявлено.

Кейс 2. В деле о взаимодействии розничной сети (Центральный ФО, начало 2026) с аутсорсинговым HR-провайдером суд применил принцип ответственности оператора за действия лица, осуществляющего обработку по поручению (принцип, закреплённый в ч. 3 ст. 6 ФЗ-152). Утечка данных соискателей произошла через системы подрядчика, однако ответственность по ч. 12 ст. 13.11 КоАП была предъявлена заказчику как оператору. Штраф составил несколько миллионов рублей. Стратегия защиты строилась на доказательстве наличия договорных обязательств подрядчика по обеспечению безопасности — суд учёл это при определении размера ответственности. ⚠️ Точный номер дела и итоговая сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка договоров с подрядчиками, режима поручения, ОРД
Комплект ОРД под ключ — договоры поручения, политика, согласия, регламенты
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152, обработка — это любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Важно: даже простое хранение файлов с ФИО и контактами на корпоративном сервере является обработкой ПДн и требует правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ч. 1 ст. 6 ФЗ-152 содержит 11 правовых оснований. Основные для коммерческих операторов: согласие субъекта (п. 1), исполнение обязательств по договору с субъектом (п. 5), исполнение обязанности оператора по закону (п. 2). Без одного из этих оснований обработка незаконна — нарушение ч. 1 ст. 13.11 КоАП, штраф до 300 000 ₽ для юрлица в редакции с 30.05.2025.

3. Что грозит за нарушение 152-ФЗ?

В редакции ФЗ-420, действующей с 30.05.2025, ст. 13.11 КоАП содержит 18 частей. Базовые штрафы — от 30 000 до 15 000 000 ₽ в зависимости от состава. При повторной утечке от 100 000 субъектов применяется ч. 15 — оборотный штраф: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽ и не более 500 000 000 ₽. Дополнительно с 11.12.2024 действует ст. 272.1 УК РФ: уголовная ответственность до 10 лет лишения свободы за незаконное использование ПДн с тяжкими последствиями.

4. Нужно ли уведомлять РКН малому бизнесу?

По ст. 22 ФЗ-152, обязанность уведомить РКН о намерении обрабатывать ПДн распространяется на всех операторов, за исключением случаев, прямо перечисленных в ч. 2 ст. 22 (в частности, обработка в целях трудовых отношений, обработка данных членов организации без передачи третьим лицам, обработка без средств автоматизации и ряд других). Большинство компаний — даже малый бизнес с сайтом, собирающим заявки, — не подпадают под исключения. Неуведомление с 30.05.2025 — штраф по ч. 10 ст. 13.11 КоАП: 100 000–300 000 ₽ для юрлица.

5. С какого возраста нужно согласие на обработку ПДн?

ФЗ-152 не устанавливает единый возрастной порог напрямую. По общему правилу, полная дееспособность наступает в 18 лет, поэтому согласие несовершеннолетних до 14 лет дают законные представители. Для детей от 14 до 18 лет — согласие самого несовершеннолетнего при наличии согласия представителя. Отдельные сферы (образование, медицина) регулируются специальными нормами. С 01.09.2025 по ФЗ-156 согласие оформляется только отдельным документом — не встраивается в договор или пользовательское соглашение.

Итог

Поручение обработки и передача ПДн третьим лицам — принципиально разные правовые конструкции с разным распределением ответственности, разными требованиями к договорной базе и разными последствиями нарушения. Смешение режимов в договорах с подрядчиками — одна из наиболее распространённых причин нарушений ст. 13.11 КоАП, выявляемых при проверках РКН.

Практика DATUM по договорному аудиту в сфере 152-ФЗ охватывает взаимодействие с облачными провайдерами, HR-аутсорсингом, маркетинговыми агентствами, медицинскими лабораториями и финтех-платформами. Юристы DATUM разрабатывают договоры поручения с учётом актуальных требований ФЗ-152 в редакции 2025–2026 годов.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.